À propos de FireCluster
Pour renforcer les performances et l'évolutivité du réseau, vous pouvez configurer un FireCluster, la solution haute disponibilité (HA) des Fireboxes WatchGuard.
Un FireCluster comprend deux Fireboxes configurés en tant que membres du cluster. Si un membre du cluster dysfonctionne, l'autre membre le remplace.
Certains modèles de périphériques ne prennent pas en charge FireCluster. Pour plus d'informations, consultez Modèles Pris en Charge par un FireCluster.
À propos des types de FireCluster
FireCluster prend en charge deux types de configurations de cluster.
Cluster actif/passif
Dans un cluster actif/passif, un des membres du cluster est actif tandis que l'autre est passif. Le membre du cluster actif gère l'ensemble du trafic réseau à moins qu'un évènement de basculement ne survienne. Le membre du cluster passif surveille activement l'état du périphérique actif. Si le périphérique actif échoue, le périphérique passif reprend les connexions qui lui étaient attribuées.
Pour voir comment configurer un cluster actif/passif, regardez le tutoriel vidéo FireCluster (14 minutes).
Cluster actif/actif
Dans un cluster actif/actif, les membres du cluster se répartissent le trafic qui circule dans le cluster. Pour répartir les connexions entre les Fireboxes actifs du cluster, configurez FireCluster pour qu'il utilise un algorithme de tourniquet ou de connexions minimales. Si un membre du cluster a une défaillance, l'autre membre reprend les connexions qui lui étaient attribuées.
Le même membre du cluster gère le trafic de réponse sauf si ce membre échoue. Par exemple, le Membre du Cluster 1 reçoit un paquet sortant d'un ordinateur utilisateur sur votre réseau local. Le Membre du Cluster 1 gère également le trafic de réponse. Ce flux de paquets se produit car le Firebox est un pare-feu avec état qui suit et contrôle le trafic réseau dans une session de couche 3. Le Membre du Cluster 2 ne gère pas le paquet de réponse sauf si le Membre 1 échoue.
Pour les clusters actifs/passifs et actifs/actifs, tout le trafic des interfaces de trafic sur l'un des membres du cluster est remis aux deux membres du cluster. Cela se produit car les membres du cluster partagent la même adresse virtuelle mac (VMAC).
Basculement
En cas d'échec d'un membre du cluster, le cluster bascule naturellement et préserve les fonctionnalités suivantes :
- Connexions via un filtre de paquets
- Tunnels BOVPN
- Sessions d'utilisateur
- Sessions utilisateur d'Access Portal
En cas d'un événement de basculement, ces connexions suivantes pourraient se déconnecter :
- Connexions proxy
- Les connexions Mobile VPN
- Connexions RDP et SSH établies via Access Portal
Il se peut que les utilisateurs de Mobile VPN aient à redémarrer manuellement la connexion VPN après un basculement.
Pour plus d'informations sur le basculement FireCluster, consultez À propos du Basculement FireCluster.
Rôles de Cluster
Il est important de comprendre les rôles que chaque Firebox peut jouer dans le cluster.
Maître du cluster
Ce membre du cluster attribue les flux du trafic réseau aux membres du cluster et répond à toutes les demandes provenant de systèmes externes, tels que WatchGuard System Manager, SNMP, DHCP, ARP, les protocoles de routages et IKE. Lorsque vous configurez ou modifiez la configuration du cluster, vous enregistrez la configuration du cluster dans le maître du cluster . Le maître du cluster peut être l'un ou l'autre des périphériques. Le premier périphérique à s'allumer devient le maître du cluster.
Maître de sauvegarde
Ce membre du cluster synchronise toutes les informations nécessaires à partir du maître du cluster, afin de le remplacer au cas où il échouerait. Le maître du cluster de sauvegarde peut être actif ou passif.
Membre actif
Il peut s'agir de l'un ou l'autre des membres du cluster gérant activement le flux du trafic. Dans un cluster actif/actif, les deux périphériques sont actifs. Dans un cluster actif/passif, le maître du cluster est le seul périphérique actif.
Membre passif
Un Firebox dans un cluster actif/passif qui ne gère pas les flux du trafic réseau sauf en cas de basculement d'un périphérique actif. Dans un cluster actif/passif, le membre passif constitue le maître du cluster de sauvegarde.
Exigences
Fonctions du Firebox prises en charge
Quand FireCluster est activé, vos périphériques Firebox continuent de prendre en charge les éléments suivants :
- les réseaux secondaires sur des interfaces externes, approuvées ou facultatives
- Les connexions multi-WAN
(Restriction— Un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l'interface physique est inactive ou ne répond pas.) - VLAN
- Routage dynamique
Pour plus d'informations sur les fonctionnalités non prises en charge pour un FireCluster, consultez Fonctions Non Prises en Charge pour un FireCluster.
Configurer FireCluster
Pour configurer un FireCluster, consultez la section Configurer FireCluster.
État de FireCluster
Après avoir configuré un FireCluster, vous pouvez afficher l'état du cluster lorsque vous vous connectez au cluster avec :
- WatchGuard System Manager
- Firebox System Manager — Consultez la section État du Périphérique.
- Fireware Web UI — Sélectionnez État du Système > FireCluster. Votre Firebox doit exécuter Fireware v12.3 ou une version ultérieure.
Après avoir configuré un cluster dans Policy Manager, vous pouvez utiliser Fireware Web UI pour vous connecter à celui-ci. Vous pouvez utiliser Web UI pour surveiller le cluster et mettre à jour les stratégies et d'autres paramètres de configuration, mais vous ne pouvez pas l'utiliser pour modifier les paramètres de FireCluster.
Lorsque vous utilisez Fireware Web UI pour vous connecter aux périphériques configurés comme cluster, il est important de comprendre les rôles des membres du cluster.
Maître du cluster
Le maître du cluster attribue les flux du trafic réseau aux membres du cluster et répond à toutes les demandes provenant de systèmes externes, tels que WatchGuard System Manager, SNMP, DHCP, ARP, les protocoles de routage et IKE. Lorsque vous configurez ou modifiez la configuration d'un FireCluster, vous enregistrez la configuration sur le maître du cluster. Chaque membre du cluster peut être le maître du cluster. Le premier périphérique à s'allumer devient le maître du cluster.
Maître de sauvegarde
Le maître de sauvegarde synchronise toutes les informations nécessaires à partir du maître du cluster, afin de le remplacer au cas où il échouerait. Vous ne pouvez pas utiliser Fireware Web UI pour enregistrer les modifications de configuration sur le maître de sauvegarde.
FireCluster dans WatchGuard Cloud
Dans WatchGuard Cloud, vous pouvez ajouter un FireCluster géré localement, lancer des actions système (mise à niveau, redémarrage et basculement) et afficher les messages de journal. Pour plus d'informations, consultez Ajouter un FireCluster à WatchGuard Cloud.
Voir Également
Avant de Configurer un FireCluster
Utiliser Web UI avec un FireCluster
FireCluster (Vidéo)
Surveiller et Contrôler les Membres FireCluster
Mise à Niveau, Rétrogradation, Sauvegarde, Restauration et Migration d'un FireCluster