Avant de Configurer un FireCluster
- Vérifiez les exigences
- Vérifier la configuration de l'interface externe
- Vérifiez la configuration des routeurs et des commutateurs du réseau
- Sélectionner les adresses IP pour les interfaces cluster
Pour plus d'informations sur les fonctionnalités non prises en charge pour un FireCluster, consultez Fonctions Non Prises en Charge pour un FireCluster.
Vérifier les Exigences
Exigences Générales
La latence du réseau entre les membres du cluster doit être inférieure à 100 ms.
Exigences du Mode Réseau
- Pour configurer un cluster actif/passif, les interfaces de votre réseau doivent être configurées en mode de routage mixte ou en mode d'insertion.
- Pour configurer un cluster actif/actif, les interfaces de votre réseau doivent être configurées en mode de routage mixte. FireCluster ne prend pas en charge le mode pont.
Pour plus d'informations sur les modes réseau, consultez À propos des Modes Réseau et Interfaces.
Exigences relatives à Fireware, à la Clé de Fonctionnalité et aux Licences
- Assurez-vous que la même version de Fireware est installée sur chaque Firebox.
- Assurez-vous d'avoir la clé de fonctionnalité de chaque Firebox enregistrée dans un fichier local. Pour plus d'informations, consultez Obtenir une Clé de Fonctionnalité Firebox.
- Dans un cluster actif/actif, il est recommandé que tous les Fireboxes aient des licences actives pour les mêmes services d'abonnement facultatifs tels que WebBlocker ou Gateway AntiVirus.
Pour plus d'informations, consultez À propos des Clés de Fonctionnalité et de FireCluster.
Exigences relatives au Matériel et aux Câbles
Assurez-vous que vous avez :
- Deux Fireboxes activés avec le même numéro de modèle. Le modèle de Firebox doit corresponde à l'un des Modèles Pris en Charge par un FireCluster.
- Les mêmes modules d'interface installés sur chaque Firebox (M4600 et M5600 uniquement).
- Un câble Ethernet pour chaque interface de cluster. Vous pouvez utiliser un câble droit ou croisé. Si vous configurez une interface de cluster de sauvegarde, vous devez utiliser deux câbles.
- Un commutateur réseau pour chaque interface activée approuvée, facultative, personnalisée ou externe.
- Des câbles Ethernet pour connecter les interfaces des deux périphériques aux commutateurs réseau.
Si les Fireboxes que vous souhaitez mettre dans un cluster possèdent des interfaces modulaires ou une mise à niveau de modèle, consultez À propos de FireCluster avec Interfaces Modulaires.
Exigences Sans Fil
Pour les conditions et restrictions concernant les périphériques sans fil, consultez À propos de FireCluster sur les Modèles Sans Fil.
Exigences relatives aux Machines Virtuelles (MV)
Dans un environnement VMware, un FireCluster fonctionne comme escompté uniquement si toutes les conditions sont satisfaites. Pour plus d'informations, consultez Configurer un FireCluster sur VMware ESXi.
FireCluster n'est pas supporté pour Hyper-V.
Tous les clients protégés par le cluster doivent pouvoir communiquer avec les deux membres du cluster. VMware ne transmet pas le trafic des clients du même hôte ESXi qu'un membre du cluster vers l'autre membre du cluster d'un autre hôte ESXi. Pour plus d'informations, consultez Configurer un FireCluster sur VMware ESXi.
Vérifier la Configuration de l'Interface Externe
Avant de configurer un FireCluster, vous devez vous assurer que la configuration de l'interface externe est compatible avec le type de FireCluster que vous souhaitez utiliser.
- FireCluster actif/actif — Chaque interface externe doit avoir une adresse IP statique. Vous ne pouvez pas activer un FireCluster actif/actif si une interface externe est configurée pour utiliser les protocoles DHCP ou PPPoE.
-
Pour plus d'informations sur la manière de configurer l'interface externe, consultez Configurer une Interface Externe.
Vérifier la Configuration des Routeurs et des Commutateurs du Réseau
Dans une configuration de FireCluster actif/actif, les interfaces réseau du cluster utilisent des adresses MAC de multidiffusions. Avant d'activer un FireCluster actif/actif, vérifiez que les routeurs réseau et les autres périphériques sont configurés pour acheminer correctement le trafic provenant des adresses MAC de multidiffusion ou y étant destiné.
Vous devez posséder un commutateur réseau ou un réseau local virtuel (VLAN) pour chaque interface active du trafic.
Les interfaces de cluster principales et de sauvegarde doivent être sur des sous-réseaux différents. Si vous utilisez un commutateur entre chaque membre pour les interfaces de cluster, ces dernières doivent être séparées logiquement entre elles sur des VLAN différents.
Pour un cluster actif/actif, tous les commutateurs et les routeurs d'un domaine de diffusion de FireCluster actif/actif doivent satisfaire aux exigences indiquées dans la rubrique Configuration Requise des Commutateurs et des Routeurs pour un FireCluster Actif/Actif.
Pour un cluster actif/actif, vous devez connaître l'adresse IP et l'adresse MAC de tous les commutateurs de couche 3 connectés au cluster. Vous pouvez ensuite ajouter des entrées ARP statiques pour ces périphériques réseau à la configuration de FireCluster. Pour plus d'informations, consultez Ajouter des Entrées ARP Statiques pour un FireCluster Actif/Actif.
Cette étape n'est pas nécessaire dans le cas d'un cluster actif/passif, car ce type de cluster n'utilise pas d'adresses MAC multidiffusions.
Sélectionner les adresses IP pour les interfaces cluster
Nous vous recommandons de faire un tableau des adresses réseau que vous comptez utiliser pour les interfaces réseau et pour l'adresse IP de l'interface de gestion. Pour éviter un conflit avec les adresses IP routables, il est recommandé d'allouer un sous-réseau privé dédié à chaque interface, ou d'utiliser des adresses IP de liaison locale commençant par 169.254. Si vous utilisez des adresses IP de liaison locale, il peut être utile de définir les adresses IP des interfaces du cluster comme suit :
169.254.<numéro d'interface>.<numéro de membre>/24
L'assistant FireCluster Setup Wizard vous demande de configurer ces paramètres individuellement pour chaque membre du cluster. Si vous planifiez les interfaces et les adresses IP à l'avance, il est plus facile de configurer ces interfaces à l'aide de l'assistant. Par exemple, ceci pourrait ressembler à :
| Numéros d'interface et adresses IP pour un FireCluster | |||
|---|---|---|---|
| Nº d'interface | Adresse IP pour le membre 1 | Adresse IP pour le membre 2 | |
| Interface cluster principale | 5 | 169.254.5.1/24 | 169.254.5.2/24 |
| Interface cluster de sauvegarde | 6 | 169.254.6.1/24 | 169.254.6.2/24 |
| Interface de gestion | 1 | 10.0.10.100/24 | 10.0.10.102/24 |
Interface cluster principale
Il s'agit de l'interface dédiée à la communication principale entre les membres du cluster. Cette interface n'est pas utilisée pour le trafic réseau régulier. Si vous disposez d'une interface configurée en tant qu'interface VLAN dédiée, vous ne pouvez pas la choisir comme interface cluster dédiée.
Les adresses IP d'interface principale doivent être sur le même sous-réseau pour les deux membres du cluster.
Pour un FireCluster Firebox M5600, nous vous recommandons de choisir l'interface 32 comme interface cluster principale. Pour plus d'informations, consultez À propos de FireCluster avec Interfaces Modulaires.
Interface cluster de sauvegarde (facultative, mais recommandée)
Il s'agit de la seconde interface dédiée à la communication principale entre les membres du cluster. Les membres du cluster utilisent l'interface cluster de sauvegarde pour communiquer si l'interface cluster principale n'est pas disponible. Pour la redondance, nous vous recommandons d'utiliser deux interfaces cluster.
Les adresses IP d'interface de sauvegarde doivent être sur le même sous-réseau pour les deux membres du cluster.
Ne définissez pas l'adresse IP du cluster principal ou de sauvegarde sur l'adresse IP par défaut d'une interface dans le périphérique. Les adresses IP d'interface par défaut sont dans la plage 10.0.0.1–10.0.26.1. Les adresses IP du cluster Principal ou de Sauvegarde ne doivent pas être utilisées sur votre réseau à d'autres fins, comme les adresses IP virtuelles pour Mobile VPN ou les adresses IP utilisées par les réseaux Branch Office distants. Lors du basculement du cluster, un membre du cluster passe très brièvement en mode sans échec avant de prendre le relais. Si votre interface de cluster est configurée pour utiliser l'une des adresses IP d'interface par défaut, un conflit peut se produire pendant cette brève période, ce qui peut entraîner l'échec du basculement.
Adresse IP de l'interface de gestion
Il s'agit d'une interface que vous utilisez pour établir une connexion directe à un périphérique du cluster depuis n'importe quelle application de gestion WatchGuard. Il doit se trouver sur le même sous-réseau que le serveur auquel le Firebox envoie les messages de journal.
L'adresse IP de gestion de chaque membre du cluster doit correspondre à une adresse IP inutilisée sur le même sous-réseau que l'adresse attribuée à l'interface configurée comme Interface pour l'adresse IP de gestion.
Si le protocole IPv6 est activé pour l'Interface pour l'adresse IP de gestion, vous pouvez également configurer une adresse IP de gestion IPv6 pour chaque membre du cluster.
Pour plus d'informations, consultez À Propos des Adresses IP de Gestion de FireCluster.
Pour les périphériques sans fil, l'interface de cluster principal, l'interface de cluster de sauvegarde et l'interface pour la gestion de l'adresse IP ne peuvent pas être une interface reliée par un pont à un réseau sans fil. Pour plus d'informations, consultez À propos de FireCluster sur les Modèles Sans Fil.
Après avoir vérifié toutes les exigences, vous pouvez Configurer FireCluster.
Voir Également
Configurer un FireCluster avec l'Assistant Setup Wizard