Configurer FireCluster Manuellement
Pour configurer un FireCluster, vous disposez des options suivantes :
- Éxécuter l'assistant FireCluster Setup Wizard
- Configurer FireCluster manuellement
Cette rubrique décrit comment configurer FireCluster manuellement.
Pour plus d'informations sur l'utilisation du FireCluster Setup Wizard, consultez Configurer un FireCluster avec l'Assistant Setup Wizard.
Exigences de FireCluster
- Veillez à disposer de tous les éléments nécessaires à la configuration de FireCluster et à préparer vos paramètres de configuration au préalable.
Pour plus d'informations, consultez Avant de Configurer un FireCluster. - Assurez-vous que vous compreniez les limitations d'un FireCluster telles que décrites dans Fonctions Non Prises en Charge pour un FireCluster.
- Connectez les membres du FireCluster entre eux et au réseau, comme indiqué dans Connecter le Matériel FireCluster.
- Assurez-vous d'avoir compris comment configurer un FireCluster pour des modèles de Firebox M5600 et M4600.
Pour plus d'informations, consultez À propos de FireCluster avec Interfaces Modulaires - Assurez-vous d'avoir compris comment mettre en place un FireCluster actif/passif avec des périphériques FireboxV ou XTMv.
Pour plus d'informations, consultez Configurer un FireCluster sur VMware ESXi.
Activer FireCluster
- Dans WatchGuard System Manager, connectez-vous au Firebox possédant la configuration à utiliser pour le cluster. Ce périphérique devient le maître du cluster à partir du premier enregistrement de la configuration, une fois FireCluster activé.
- Cliquez sur .
Sinon, sélectionnez Outils > Policy Manager.
Policy Manager apparaît. - Sélectionnez FireCluster > Configurer.
La boîte de dialogue Configuration FireCluster s'affiche.
- Activez la case à cocher Activer FireCluster.
- Sélectionnez le type de cluster à activer :
Activer le cluster actif/passif
Active le cluster pour la haute disponibilité, sans répartition de charge. Si vous sélectionnez cette option, le cluster comprend un membre actif qui gère l'ensemble du trafic réseau et un membre passif qui ne gère le trafic qu'en cas de basculement de l'autre membre.
Activer le cluster actif/actif
Active le cluster pour la haute disponibilité et la répartition de charge. Si vous sélectionnez cette option, le cluster équilibre la charge de trafic entre les deux membres du cluster.
- Si vous avez sélectionné Activer le cluster Actif/Actif, dans la liste déroulante Méthode d'équilibrage de charge, sélectionnez la méthode à utiliser pour équilibrer la charge de trafic entre les membres actifs du cluster.
Connexion minimale
Si vous sélectionnez cette option, chaque nouvelle connexion est affectée au membre du cluster actif dont le nombre de connexions ouvertes est le plus bas.
Tourniquet
Si vous sélectionnez cette option, les nouvelles connexions sont réparties entre les membres du cluster actif selon un algorithme tourniquet. La première connexion est envoyée à un membre du cluster. la seconde à l'autre membre, et ainsi de suite.
- Dans la liste déroulante ID du cluster, sélectionnez un numéro pour identifier ce FireCluster.
L'ID du cluster identifie ce FireCluster de manière unique s'il existe plus d'un FireCluster actif sur le même domaine de diffusion de couche 2. Si vous n'avez qu'un seul cluster, et que votre réseau ne possède pas de périphériques HSRP ou VRRP, vous pouvez utiliser la valeur par défaut.
Pour un cluster actif/passif, l'ID de Cluster détermine les adresses MAC virtuelles (VMAC) utilisées par les interfaces des périphériques en cluster. Si vous configurez plusieurs FireCluster actif/passif sur le même sous-réseau, il est important que vous sachiez définir l'ID du cluster pour éviter tout conflit d'adresse MAC virtuelle.
Pour plus d'informations, consultez ID de Cluster Actif/Passif et Adresse MAC virtuelle.
Configurer les paramètres de l'interface
Lorsque vous activez FireCluster, vous devez dédier au moins une interface à la communication des membres du cluster. C'est ce que l'on appelle une interface cluster. Lorsque vous configurez le matériel du cluster, vous connectez entre elles les interfaces de cluster principales de chaque Firebox. Vous pouvez configurer une ou deux interfaces de cluster. Pour la redondance, si les interfaces sont disponibles, nous vous recommandons de configurer deux interfaces de cluster pour chaque membre—une primaire, une de sauvegarde. Les interfaces cluster permettent aux membres du cluster de synchroniser en permanence l'ensemble des informations nécessaires à la répartition de charge et à un basculement transparent.
Nous recommandons une connexion directe par câble :
- Un câble entre les interfaces de cluster principales pour chaque membre
- Un autre câble entre les interfaces des cluster de sauvegarde pour chaque membre
Les interfaces de cluster principales et de sauvegarde doivent être sur des sous-réseaux différents. Si vous utilisez un commutateur entre chaque membre pour les interfaces de cluster, ces dernières doivent être séparées logiquement entre elles sur des VLAN différents.
Vous devez désactiver les interfaces qui ne sont pas connectées à votre réseau avant d'enregistrer la configuration FireCluster dans le Firebox.
- Dans la liste déroulante Interface cluster principale, sélectionnez l'interface qui doit servir d'interface principale.
- Pour utiliser une seconde interface cluster, dans la liste déroulante Interface cluster de sauvegarde, sélectionnez l'interface qui doit servir d'interface de sauvegarde.
- Sélectionnez une Interface pour l'adresse IP de gestion. Il s'agit de l'interface réseau du Firebox que vous utilisez pour établir une connexion directe à un périphérique du cluster depuis n'importe quelle application de gestion WatchGuard. Vous ne pouvez pas sélectionner une interface externe qui utilise PPPoE comme Adresse IP de l'Interface de Gestion. Nous vous conseillons de sélectionner l'interface à laquelle l'ordinateur de gestion se connecte habituellement.
Pour plus d'informations, consultez À Propos des Adresses IP de Gestion de FireCluster. - Vérifiez la liste des interfaces analysées. La liste des interfaces analysées ne comprend pas les interfaces que vous avez configurées en tant qu'interfaces de cluster principales et de sauvegarde. Par défaut, FireCluster surveille l'état des liaisons de toutes les interfaces activées. Si le maître du cluster détecte une perte de liaison sur une interface surveillée, il déclenche le basculement.
- Pour un cluster actif/passif, vous pouvez sélectionner les interfaces actives à surveiller. Si vous ne souhaitez pas surveiller l'état des liaisons d'une interface active comme critère de basculement, décochez la case pour cette interface dans la colonne Surveiller les Liaisons.
Nous vous recommandons de configurer le FireCluster pour surveiller l'état des liaisons de toutes les interfaces actives.
Un FireCluster actif/actif surveille toujours l'état de toutes les interfaces réseau actives. Pour un FireCluster actif/actif, vous devez désactiver les interfaces qui ne sont pas connectées à votre commutateur réseau.
Pour désactiver une interface :
- Dans Policy Manager, sélectionnez Réseau > Configuration.
- Double-cliquez sur l'interface à désactiver.
- Réglez Type d'interface sur Désactivé.
Si vous activez une interface physique ou si vous ajoutez une interface d'Agrégation des Liaisons après avoir activé FireCluster, celle-ci est automatiquement définie comme interface surveillée dans la configuration du FireCluster.
Configurer les Membres du FireCluster
- Cliquez sur l'onglet Membres.
Les paramètres de configuration des membres FireCluster apparaissent.
Si vous avez précédemment importé une clé de fonctionnalité dans ce fichier de configuration, le périphérique concerné est automatiquement configuré en tant que Membre nº 1.
Si le fichier de configuration ne contient pas de clé de fonctionnalité, aucun membre FireCluster ne figure sur la liste. Dans ce cas, vous devez ajouter chaque périphérique en tant que membre et importer le fichier de configuration de chaque périphérique selon la procédure indiquée aux prochaines étapes.
- Pour ajouter un membre, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche.
- Dans la zone de texte Nom de Membre, entrez un nom. Ce nom identifie le périphérique dans la liste des membres.
- Cliquez sur l'onglet Clé de fonctionnalité.
- Cliquez sur Importer.
La boîte de dialogue Importer la Clé de Fonctionnalité Firebox s'affiche. - Cliquez sur Parcourir pour chercher le fichier de clé de fonctionnalité.
Sinon, copiez le texte du fichier de clé de fonctionnalité et cliquez sur Coller pour l'insérer dans la boîte de dialogue. Pour plus d'informations, consultez À propos des Clés de Fonctionnalité et de FireCluster. - Cliquez sur OK.
- Sélectionnez l'onglet Configuration.
Le champ Numéro de Série est automatiquement renseigné avec le numéro de série de la clé de fonctionnalité. - Dans la section Adresse IP d'Interface, entrez les adresses à utiliser pour chaque interface cluster, ainsi que l'interface pour l'adresse IP de gestion.
- Dans la zone de texte Cluster Principal, entrez l'adresse IP à utiliser pour l'interface cluster principale. Celle-ci doit figurer sur le même sous-réseau pour tous les membres du cluster. Le membre du cluster pour lequel l'adresse IP la plus élevée est attribuée à l'interface cluster principale devient le maître si les deux périphériques démarrent en même temps.
- Dans la zone de texte Cluster de Sauvegarde, entrez l'adresse IP à utiliser pour l'interface cluster de sauvegarde. Cette option n'apparaît que si vous avez configuré une interface cluster de sauvegarde. L'adresse IP de celle-ci doit figurer sur le même sous-réseau pour tous les membres du cluster.
Les interfaces de cluster principales et de sauvegarde doivent être sur des sous-réseaux différents. Si vous utilisez un commutateur entre chaque membre pour les interfaces de cluster, ces dernières doivent être séparées logiquement entre elles sur des VLAN différents.
- Dans la section Gestion, entrez dans la zone de texte IPv4 l'adresse IP à utiliser afin de connecter un membre du cluster individuel pour des opérations de maintenance. L'interface de gestion n'est pas une interface dédiée. Elle est également utilisée pour d'autres trafics réseau. Vous devez spécifier une adresse IP de gestion différente pour chaque membre du cluster. L'adresse IP de gestion IPv4 doit être une adresse IP inutilisée. Nous vous recommandons d'utiliser une adresse IP figurant sur le même sous-réseau que l'adresse IPv4 attribuée à l'interface. Elle doit également se trouver sur le même sous-réseau que les serveurs WatchGuard Log Server ou syslog auxquels votre FireCluster envoie des messages de journal.
- Si le protocole IPv6 est activé pour l'interface sélectionnée comme Interface pour l'adresse IP de gestion, vous pouvez également configurer une adresse IP de gestion IPv6. Dans la section Gestion, entrez dans la zone de texte IPv6 l'adresse IP IPv6 à utiliser afin de connecter un membre du cluster individuel pour des opérations de maintenance. L'adresse IP de gestion IPv6 doit être une adresse IP inutilisée. Nous vous recommandons d'utiliser une adresse IP avec le même préfixe que l'adresse IP IPv6 attribuée à l'interface.
Pour plus d'informations, consultez À Propos des Adresses IP de Gestion de FireCluster.
Ne définissez pas l'adresse IP du cluster principal ou de sauvegarde sur l'adresse IP par défaut d'une interface dans le périphérique. Les adresses IP d'interface par défaut sont dans la plage 10.0.0.1–10.0.26.1. Les adresses IP du cluster Principal ou de Sauvegarde ne doivent pas être utilisées sur votre réseau à d'autres fins, comme les adresses IP virtuelles pour Mobile VPN ou les adresses IP utilisées par les réseaux Branch Office distants. Lors du basculement du cluster, un membre du cluster passe très brièvement en mode sans échec avant de prendre le relais. Si votre interface de cluster est configurée pour utiliser l'une des adresses IP d'interface par défaut, un conflit peut se produire pendant cette brève période, ce qui peut entraîner l'échec du basculement.
- Cliquez sur OK.
Le périphérique ajouté apparaît dans la liste Membres en tant que membre du cluster. - Répétez les étapes précédentes pour ajouter le second périphérique à la configuration du cluster.
Si vous voulez que le second périphérique soit automatiquement découvert et ajouté au cluster, n'enregistrez pas le fichier de configuration sur le périphérique jusqu'à ce que vous ayez démarré le second périphérique avec les paramètres usine par défaut.
- Lancez le second périphérique avec les paramètres usine par défaut.
Utilisez les instructions de réinitialisation pour votre modèle de Firebox. Pour plus d'informations, consultez Réinitialiser un Firebox.
Pour tout périphérique XTM possédant un affichage LCD, démarrez celui-ci en mode sans échec
Pour démarrer en mode sans échec, maintenez enfoncé le bouton fléché vers le bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique sous tension. Continuez à maintenir le bouton enfoncé jusqu'à ce que le message Démarrage en mode sans échec... apparaisse sur l'écran LCD. Lorsque le périphérique est en mode sans échec, l'écran indique le numéro de modèle, suivi du mot safe (sans échec).
Si vous utilisez l'interface de ligne de commande (CLI), vous pouvez utiliser la commande restore factory-default pour réinitialiser rapidement le deuxième périphérique aux paramètres d'usine par défaut sans redémarrage.
- Enregistrez le fichier de configuration dans le maître du cluster.
Le cluster est activé. Le maître du cluster découvre automatiquement l'autre périphérique grâce au numéro de série qui correspond à celui inscrit dans la clé de fonctionnalité que vous avez ajoutée dans la configuration du cluster
Une fois le cluster actif, vous pouvez analyser l'état des membres du cluster sous l'onglet Panneau avant de Firebox System Manager.
Pour plus d'informations, consultez Surveiller et Contrôler les Membres FireCluster.
Si vous enregistrez la configuration sur le maître du cluster avant de démarrer le second périphérique en mode sans échec, le maître du cluster ne découvre pas automatiquement le second périphérique. Si le deuxième périphérique n'est pas découvert automatiquement, vous pouvez utiliser Firebox System Manager pour déclencher manuellement la découverte de périphériques, comme indiqué dans Découvrir un Membre du Cluster.