À Propos des Adresses IP de Gestion de FireCluster

Dans une configuration de FireCluster, tous les membres du cluster partagent les mêmes adresses IP pour chaque interface activée. Lorsque vous vous connectez au cluster dans WatchGuard System Manager à l'aide d'une adresse IP d'interface, vous êtes automatiquement connecté au maître du cluster et vous voyez s'afficher l'état de tous les membres du cluster.

Pour certaines fonctions de gestion comme la restauration, vous devez vous connecter à un membre spécifique du cluster. Pour ce faire, vous devez utiliser l'adresse IP de Gestion de FireCluster, qui est une adresse IP unique que vous attribuez à chaque membre du cluster. Le maître du cluster utilise également l'Adresse IP de Gestion du maître de sauvegarde pour communiquer avec ce dernier sur l'état des périphériques et l'agrégation d'actions. Par exemple, lorsque vous vous connectez à un FireCluster dans Firebox System Manager, le maître du cluster utilise l'Adresse IP de Gestion du maître de sauvegarde pour lui demander des informations d'état. Le maître du cluster envoie alors l'information au Firebox System Manager, pour que l'état des deux membres du cluster apparaisse.

Le maître de cluster utilise l'adresse IP de Gestion pour gérer le maître de secours même quand vous n'êtes pas connecté au cluster. C'est pourquoi il est important que les interfaces de gestion des deux membres du cluster soient connectés au même commutateur en permanence.

Lorsque vous configurez le FireCluster, vous configurez des paramètres liés à l'Adresse IP de Gestion de FireCluster :

Adresse IP de l'interface de gestion (une pour le cluster)

Tout d'abord, vous devez sélectionner une interface à laquelle attribuer l'adresse IP de gestion de FireCluster. Il s'agit d'un paramètre global s'appliquant à tous les membres du cluster. Vous pouvez sélectionnez toute interface physique, de pont, VLAN ou d'Agrégation des Liaisons, ou une interface externe qui utilise le protocole PPPoE. Nous vous conseillons de sélectionner l'interface à laquelle l'ordinateur de gestion se connecte habituellement.

Pour utiliser une interface de pont ou VLAN comme interface de gestion du cluster, le cluster doit utiliser Fireware XTM version 11.9 ou ultérieure.

Si vous souhaitez utiliser IPv6 pour vous connecter à un membre individuel du cluster, vous devez choisir une interface dans laquelle le protocole IPv6 est activé.

Adresse IP de l'interface de gestion

Adresses de gestion IPv4 (une pour chaque membre du cluster)

Pour chaque membre du cluster, vous configurez une Adresse IP de Gestion de FireCluster à utiliser sur l'Interface pour l'adresse IP de gestion.

Nous vous conseillons de sélectionner deux adresses IPv4 inutilisées sur le même sous-réseau de l'adresse IP principale de l'interface. afin que les adresses IP soient routables.

Adresse IP de gestion FireCluster attribuée à l'interface pour l'adresse IP de gestion

Par exemple, si vous sélectionnez l'interface approuvée comme Interface pour l'adresse IP de gestion, choisissez à partir de votre sous-réseau approuvé deux adresses IP inutilisées qui serviront d'adresses IP de gestion de FireCluster. Si vous choisissez l'Interface externe comme Interface pour l'adresse IP de gestion, choisissez deux adresses IP externes inutilisées sur le même sous-réseau de l'adresse IP d'interface externe que vous consacrerez aux fonctions de gestion de FireCluster.

Les adresses IP de gestion doivent se trouver sur le même sous-réseau que les serveurs WatchGuard Log Server ou syslog auxquels votre FireCluster envoie des messages de journal.

Si vous définissez les Adresses IP de Gestion d'un membre du FireCluster sur une adresse IPv4 qui ne se trouve pas sur le même sous-réseau que l'adresse IP de l'Interface pour l'adresse IP de gestion, vérifiez que votre configuration réseau comprend des routes permettant au logiciel de gestion de communiquer avec les membres du FireCluster et à ces derniers de communiquer entre eux.

Adresses de gestion IPv6 (une pour chaque membre du cluster)

Si le protocole IPv6 est activé pour l'interface sélectionnée comme Interface pour l'adresse IP de gestion, vous pouvez configurer une adresse IP de gestion IPv6. Si vous configurez une adresse IP de gestion IPv6, il doit s'agir d'une adresse IP inutilisée. Nous vous recommandons d'utiliser deux adresses IPv6 avec le même préfixe que l'adresse IP IPv6 attribuée à l'interface pour l'adresse IP de gestion. afin que les adresses IP soient routables.

Si vous configurez une adresse de gestion IPv6 pour chaque membre :

  • Le maître du cluster utilise l'adresse de gestion IPv6 du maître de sauvegarde pour communiquer avec ce dernier.
  • L'adresse de gestion IPv4 pour chaque membre est facultative

Si vous utilisez l'Adresse IP de Gestion de FireCluster pour vous connecter directement au maître de sauvegarde, vous ne pouvez pas enregistrer les modifications de configuration dans Policy Manager.

Utiliser l'adresse IP de gestion pour restaurer une image de sauvegarde

Lorsque vous restaurez une image de sauvegarde de FireCluster, vous devez utiliser l'Adresse IP de Gestion de FireCluster pour vous connecter directement à un membre du cluster. Si vous utilisez cette adresse IP pour vous connecter au membre du cluster, il existe deux commandes supplémentaires disponibles dans Firebox System Manager dans le menu Outils : Cluster > Quitter et Cluster > Rejoindre. Vous utilisez ces commandes lorsque vous restaurez une image de sauvegarde dans le cluster.

Pour plus d'informations, consultez Restaurer une image de sauvegarde FireCluster.

Utiliser l'adresse IP de gestion pour effectuer une mise à niveau depuis un emplacement externe

Le logiciel WatchGuard System Manager utilise l'adresse IP de gestion de FireCluster lors de la mise à niveau du Système d'Exploitation pour les membres d'un cluster. Si vous souhaitez mettre à jour le système d'exploitation depuis un emplacement distant, vérifiez les éléments suivants :

  • L'Interface de l'adresse IP de gestion est définie sur une interface externe
  • L'Adresse IP de Gestion pour chaque membre du cluster est une adresse IP publique et routable

Pour plus d'informations, consultez Mettre à Niveau le système d'exploitation Fireware OS pour un FireCluster.

L'adresse IP de gestion et la stratégie WatchGuard

La stratégie WatchGuard (stratégie de type WG-Firebox-Gestion) gère les connexions administratives au périphérique. Par défaut, la stratégie WatchGuard autorise les connexions de gestion à partir des alias Tout-Approuvé ou Tout-Facultatif. Si vous définissez l'interface de gestion FireCluster sur une interface approuvée ou facultative, les adresses IP de l'interface de gestion sont incluses automatiquement dans l'alias Tout-Approuvé ou Tout-Facultatif et il est inutile de modifier la stratégie WatchGuard pour assurer le bon fonctionnement des connexions de gestion FireCluster.

Il existe deux situations pour lesquelles vous devez modifier la stratégie WatchGuard afin d'ajouter les adresses IP de gestion FireCluster :

  • Si vous limitez l'accès de gestion à des adresses IP spécifiques
    Pour limiter l'accès de gestion à des adresses IP spécifiques, vous pouvez modifier la stratégie WatchGuard afin de supprimer les alias Tout-Approuvé ou Tout-Facultatif de la section De et ajouter uniquement les adresses IP ou les alias souhaités pour gérer le périphérique. Pour ce faire, vous devez veiller à ajouter également les adresses IP de gestion FireCluster dans la section DE de la stratégie WatchGuard.
  • Si vous définissez l'Interface de Gestion de FireCluster sur une Interface externe
    Si vous sélectionnez une Interface externe comme Interface de Gestion de FireCluster, vous devez ajouter les adresses IP de Gestion de FireCluster ou l'alias Tout-Externe dans la section De de la stratégie WatchGuard. Votre configuration est plus sécurisée si vous ajoutez les adresses IP de gestion spécifiques que l'alias Tout-Externe.

Pour plus d'informations sur la stratégie WatchGuard, consultez Administrer Votre Firebox à partir d'un Emplacement Distant.