Démarrage rapide — Configurer un FireCluster

Vous pouvez configurer deux périphériques Firebox du même modèle en FireCluster. Les options de configuration disponibles pour un FireCluster sont au nombre de deux : actif/passif et actif/actif. Pour ajouter une redondance, configurez un cluster actif/passif. Pour ajouter une redondance et une répartition de charge, configurez un cluster actif/actif.

Cette rubrique résume la planification et la configuration d'un FireCluster. Si vous n'êtes pas familiarisé avec FireCluster, nous vous recommandons de lire ces rubriques en guise d'introduction avant de commencer.

Si les Fireboxes que vous souhaitez mettre dans un cluster possèdent des interfaces modulaires ou une mise à niveau de modèle, consultez À propos de FireCluster avec Interfaces Modulaires.

Suivez ces étapes pour planifier et configurer votre FireCluster.

Avant de configurer un FireCluster, assurez-vous d'avoir les composants suivants :

  • Deux périphériques Firebox activés ayant le même numéro de modèle
  • La même version de Fireware installée sur chaque Firebox
  • Les mêmes modules d'interface installés sur chaque Firebox (M4600 et M5600 uniquement)
  • La clé de fonctionnalité de chaque Firebox, enregistrée dans un fichier local. Pour plus d'informations, consultez Obtenir une Clé de Fonctionnalité Firebox.
  • Un câble Ethernet pour chaque interface de cluster. Vous pouvez utiliser un câble droit ou croisé. (Si vous configurez une interface de cluster de sauvegarde, vous devez utiliser deux câbles.)
  • Un commutateur réseau pour chaque interface activée approuvée, facultative, personnalisée ou externe
  • Des câbles Ethernet pour connecter les interfaces des deux périphériques aux commutateurs réseau

Pour vérifier que les deux Firebox exécutent la même version du système d'exploitation Fireware OS, il peut être nécessaire de configurer le second Firebox séparément suivant une configuration de base, d'ajouter la clé de fonctionnalité et de mettre à niveau le système d'exploitation Fireware OS vers la même version que le premier Firebox. Lors de la formation du cluster, vous réinitialisez le second périphérique aux paramètres usine par défaut. La procédure de réinitialisation réinitialise la configuration aux paramètres usine par défaut et supprime la clé de fonctionnalité mais ne modifie pas la version du système d'exploitation Fireware OS installée.

Avant d'activer FireCluster, vous configurez un Firebox avec les paramètres de réseau et de stratégie que le cluster devra utiliser. Vérifiez que les paramètres de configuration satisfont aux exigences du type de FireCluster que vous voulez activer.

  • Le Firebox doit avoir au moins une interface inutilisée qui servira d'interface dédiée au cluster.
  • Le Firebox doit être configuré en Mode Routage Mixte ou en mode d'Insertion.
  • L'interface externe doit avoir une adresse IP statique, ou être configurée pour le protocole PPPoE. Dans Fireware v11.12 ou les versions ultérieures, l'interface externe peut être configurée pour le DHCP.
  • Toutes les interfaces inutilisées doivent être désactivées.
  • Le Firebox doit avoir au moins une interface inutilisée pour servir d'interface au cluster.
  • Le Firebox doit être configuré en Mode Routage Mixte.
  • L'interface externe doit posséder une adresse IP statique.
  • Toutes les interfaces inutilisées doivent être désactivées.
  • Le mode sans fil doit être désactivé sur le Firebox. (vous pouvez utiliser un périphérique AP WatchGuard sans fil connecté)
  • Les commutateurs et routeurs doivent être configurés de manière à acheminer le trafic via des adresses MAC de multidiffusion. Pour plus d'informations, consultez Configuration Requise des Commutateurs et des Routeurs pour un FireCluster Actif/Actif.
  • Si vos commutateurs le nécessitent, ajoutez des entrées ARP statiques à la configuration du Firebox pour chaque commutateur réseau de couche 3. Pour plus d'informations, consultez Ajouter des Entrées ARP Statiques pour un FireCluster Actif/Actif.
  • Les services d'abonnement doivent être activés pour les deux membres du cluster. Pour plus d'informations, consultez À propos des Clés de Fonctionnalité et de FireCluster.

Il existe quelques restrictions de configuration pour un FireCluster. Avant d'activer un FireCluster, consultez Fonctions Non Prises en Charge pour un FireCluster.

Identifiez l'ID, les interfaces, et les adresses IP du cluster que vous utiliserez dans la configuration du FireCluster.

  • Identifiant de Cluster — Pour chaque FireCluster, vous devez configurer un Identifiant de Cluster. Pour un FireCluster actif/passif, l'ID de Cluster est utilisé pour générer des adresses MAC virtuelles (VMAC) pour les interfaces. Si votre réseau possède plus d'un FireCluster ou comprend des périphériques qui utilisent HSRP ou VRRP, assurez-vous de choisir un ID de Cluster qui n'occasionne pas de conflit d'adresse MAC. Pour plus d'informations, consultez ID de Cluster Actif/Passif et Adresse MAC virtuelle.
  • Interfaces de Cluster — Identifiez quelles interfaces utiliser comme interfaces de cluster principale et de secours. Chaque interface de cluster est réservée à la communication entre les membres du cluster. L'interface de cluster de secours est facultative. Pour chaque interface de cluster, vous configurez une adresse IP sur le même sous-réseau pour chaque membre du cluster. Nous vous recommandons d'attribuer des adresses IP sur un sous-réseau privé dédié ou d'utiliser des adresses IP de liaison locale. Vous voudrez peut-être définir vos interfaces de cluster avec des adresses IP de liaison locale comme suit : 169.254.<numéro d'interface>.<numéro de membre>/24
  • Interfaces de Gestion de Cluster — Identifiez l'interface que vous utilisez habituellement pour vous connecter au Firebox pour la gestion. Il s'agit souvent d'une interface approuvée. Pour chaque membre du cluster, vous devez configurer une adresse IP de Gestion pour cette interface. Nous vous recommandons de sélectionner des adresses IP sur le même sous-réseau que l'adresse IP de l'interface.

Les interfaces de gestion du cluster sont utilisées par le maître du cluster pour gérer le cluster. Vérifiez que les interfaces de gestion du cluster des deux membres du cluster sont connectées à un commutateur commun en permanence. Pour plus d'informations, consultez À Propos des Adresses IP de Gestion de FireCluster.

Par exemple, vos paramètres planifiés de configuration du FireCluster pourraient ressembler à ceci :

Paramètres Planifiés de Configuration du FireCluster
ID du cluster : 10 Nº d'interface Adresse IP pour le membre 1 Adresse IP pour le membre 2
Interface cluster principale 5 169.254.5.1/24 169.254.5.2/24
Interface cluster de sauvegarde 6 169.254.6.1/24 169.254.6.2/24
Interface de gestion
(Adresse IP : 10.0.10.1)		 1 10.0.10.101/24 10.0.10.102/24

Pour plus d'informations sur ces paramètres, consultez Avant de Configurer un FireCluster.

Le second périphérique éteint, connectez les deux périphériques ensemble ainsi qu'à vos commutateurs réseau. Ce schéma montre les connexions pour un FireCluster avec une interface de cluster, une interface approuvée et une interface externe.

Diagramme de la configuration du réseau simple FireCluster

Pour connecter le matériel de votre FireCluster :

  1. Mettez hors tension le Firebox que vous voulez ajouter au cluster.
  2. Utilisez un câble Ethernet (droit ou croisé) pour connecter l'interface de cluster principale d'un Firebox à l'interface de cluster principale de l'autre Firebox.
  3. Si vous souhaitez activer une interface cluster de secours, utilisez un second câble Ethernet pour connecter les interfaces cluster de secours.
  4. Connectez l'interface externe de chaque Firebox à un commutateur réseau ou un réseau local virtuel (VLAN). Si vous utilisez le Multi-WAN, connectez la seconde interface externe de chaque Firebox à un autre commutateur réseau.
  5. Connectez l'interface approuvée de chaque Firebox à un commutateur réseau interne ou un réseau local virtuel (VLAN).
  6. Connectez toutes les autres interfaces réseau activées approuvées ou facultatives de chaque Firebox à un commutateur réseau ou un réseau local virtuel (VLAN).
    Vous devez connecter chaque paire d'interfaces activées à un commutateur distinct.
  7. Connectez votre ordinateur au commutateur du réseau approuvé.

Si l'interface 1 possède l'adresse IP par défaut 10.0.1.1, ne connectez pas l'interface 1 du second périphérique au commutateur avant que le cluster ne soit effectivement formé. Ceci permet d'éviter un conflit d'adresses IP temporaire lorsque vous démarrez le second périphérique avec les paramètres usine par défaut.

Utilisez FireCluster Setup Wizard dans Policy Manager pour activer le FireCluster et configurer vos paramètres planifiés. Vérifiez que vous avez la clé de fonctionnalité des deux périphériques dans un fichier texte avant de démarrer l'assistant.

  1. Dans WatchGuard System Manager, connectez-vous au Firebox configuré que vous voulez activer comme premier membre du FireCluster.
  2. Démarrez Policy Manager.
  3. Sélectionnez FireCluster > Configuration pour démarrer FireCluster Setup Wizard.
  4. Sélectionnez le type de cluster que vous voulez activer (Actif/Actif ou Actif/Passif)
  5. Sélectionnez l'ID du cluster.
  6. Si vous avez opté pour Actif/Actif, sélectionnez la Méthode d'équilibrage de charge.
    • Connexions minimales affecte les nouvelles connexions au membre ayant le plus petit nombre de connexions.
    • Tourniquet affecte les nouvelles connexions alternativement à l'un et l'autre membre.
  7. Sélectionnez les interfaces à utiliser comme interfaces de cluster Principale et de Secours.
    Ce sont les interfaces que vous avez connectées directement avec le câble Ethernet.
  8. Sélectionnez l'Interface pour l'Adresse IP de Gestion.
  9. Pour chaque Firebox, configurez ces propriétés qui sont propres à chaque membre :
    • Clé de Fonctionnalité — Pour le premier membre, la clé de fonctionnalité du périphérique est automatiquement incluse. Pour le second périphérique, copiez-collez le texte de la clé de fonctionnalité dans l'assistant.
    • Nom de Membre — Identifie chaque périphérique. Les noms par défaut sont Member1 et Member2
    • Adresses IP — Utilisez l'interface du cluster et les adresses IP de gestion que vous avez planifiées.
  1. Cliquez sur Terminer.
    La boîte de dialogue Configuration FireCluster s'affiche.
  2. Dans la section Paramètres d'interface, vérifiez la liste des interfaces analysées.
    Nous vous recommandons de surveiller l'état du lien de toutes les interfaces activées.
  3. Pour un FireCluster actif/actif, désactivez toutes les interfaces qui ne sont pas connectées à votre réseau.

N'enregistrez pas encore la configuration dans le Firebox.

Pour que le maître de cluster découvre le second Firebox, vous devez réinitialiser le second Firebox aux paramètres usine par défaut. La procédure de réinitialisation réinitialise la configuration et supprime la clé de fonctionnalité mais ne modifie pas la version du système d'exploitation Fireware OS installée.

  1. Mettez le Firebox hors tension.
  2. Maintenez enfoncé le bouton Réinitialiser situé à l'arrière du Firebox.
  3. Tout en maintenant le bouton Réinitialiser enfoncé, mettez le Firebox sous tension.
  4. Continuez à maintenir le bouton Rétablir enfoncé jusqu'à ce que le voyant Attn commence à clignoter.
  5. Relâchez le bouton Rétablir. Ne mettez pas le Firebox hors tension pour le moment.
  6. Attendez que le processus de réinitialisation se termine. Cela peut prendre jusqu'à 70 secondes. Une fois la réinitialisation terminée, le voyant Attn reste allumé mais il cesse de clignoter.
  7. Mettez le Firebox hors tension.
  8. Mettez le Firebox sous tension.
    Le Firebox redémarre avec les paramètres usine par défaut.
  1. Mettez le Firebox sous tension.
  2. Attendez que le voyant Arm ( Symbole bouclier ) passe au vert.
  3. Maintenez enfoncé le bouton Rétablir situé à l'avant du périphérique.
    Après cinq secondes, le voyant Arm passe au rouge.
  4. Continuez à maintenir le bouton Réinitialiser enfoncé tant que le voyant Arm est rouge ou éteint.
    Après 40 secondes, le voyant Arm clignote en vert.
  5. Continuez à maintenir le bouton Rétablir enfoncé tant que le voyant Arm clignote vert toute les secondes.
  6. Dès que le voyant Arm clignote en vert deux fois par seconde, relâchez le bouton Réinitialiser.
  7. Attendez que le voyant Arm clignote rouge.
  8. Maintenez enfoncé le bouton Rétablir pendant 5 secondes pour redémarrer le périphérique.
    Le Firebox redémarre avec les paramètres usine par défaut.

Avant de réinitialiser un Firebox M5600, assurez-vous d'avoir installé un module d'interface dans l'emplacement A. Pour de plus amples informations, consultez À propos des Interfaces Modulaires.

  1. Mettez le Firebox hors tension.
  2. Maintenez enfoncé le bouton Rétablir situé sur la partie avant-gauche du périphérique et appuyez brièvement sur le bouton Marche/arrêt situé à l'avant du périphérique pour le mettre sous tension.
    Le voyant Arm est rouge.
  3. Continuez à maintenir le bouton Réinitialiser enfoncé tant que le voyant Arm ( Symbole bouclier ) est rouge.
    Le voyant Arm clignote en vert.
  4. Continuez à maintenir le bouton Rétablir enfoncé tant que le voyant Arm clignote vert toute les secondes.
  5. Dès que le voyant Arm clignote en vert deux fois par seconde, relâchez le bouton Réinitialiser.
  6. Attendez que le voyant Arm clignote rouge.
  7. Maintenez enfoncé le bouton Marche/arrêt pendant 5 secondes pour mettre le périphérique hors tension.
  8. Appuyez brièvement sur le bouton Marche/arrêt situé à l'avant du périphérique pour le mettre sous tension.
    Le Firebox redémarre avec les paramètres usine par défaut.
  1. Mettez le Firebox hors tension.
  2. Maintenez enfoncé le bouton Rétablir situé sur la partie avant-gauche du périphérique et appuyez brièvement sur le bouton Marche/arrêt situé à l'avant du périphérique pour le mettre sous tension.
  3. Continuez à maintenir le bouton Rétablir enfoncé jusqu'à ce que le voyant Attn commence à clignoter.
  4. Relâchez le bouton Rétablir.
  5. Le voyant Attn est allumé et ne clignote pas.
  6. Maintenez enfoncé le bouton Marche/arrêt pendant 3 secondes pour mettre le périphérique hors tension.
  7. Appuyez brièvement sur le bouton Marche/arrêt situé à l'avant du périphérique pour le mettre sous tension.
    Le Firebox redémarre avec les paramètres usine par défaut.
  1. Mettez le périphérique XTM hors tension.
  2. Maintenez enfoncé le bouton fléché vers le bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique sous tension.
  3. Continuez de maintenir enfoncé le bouton fléché vers le bas jusqu'à ce que le message Safe Mode starting (Démarrage en Mode Sans Échec) apparaisse sur l'écran LCD.

Lorsque le périphérique XTM démarre en mode sans échec, l'écran LCD affiche le numéro de modèle suivi du terme safe (sans échec). Lorsque vous démarrez un périphérique en mode sans échec :

  • Les paramètres de réseau et de sécurité usine par défaut sont utilisés. En mode sans échec, l'adresse IP de l'interface 1 est 10.0.1.1.
  • La clé de fonctionnalité active n'est pas supprimée. Si vous exécutez l'assistant Quick Setup Wizard pour créer une nouvelle configuration, la clé de fonctionnalité précédemment installée est utilisée.
  • Votre configuration actuelle n'est supprimée que si un nouveau fichier de configuration est enregistré sur le périphérique XTM. Si vous redémarrez le périphérique avant d'avoir enregistré une nouvelle configuration, l'ancienne configuration sera utilisée.

Pour tout périphérique XTM qui dispose d'un écran LCD, démarrez le périphérique en mode sans échec.

  1. Maintenez enfoncé le bouton avec une flèche vers le bas situé sur le panneau avant du périphérique pendant que vous mettez le périphérique XTM sous tension.
  2. Continuez à maintenir le bouton enfoncé jusqu'à ce que le message Démarrage en mode sans échec... apparaisse sur l'écran LCD.
    Lorsque le périphérique XTM est en mode sans échec, l'écran indique le numéro de modèle, suivi du mot safe.

Dans Policy Manager, sélectionnez Fichier > Enregistrer > Dans Firebox.

Lorsque vous enregistrez la configuration avec FireCluster activé sur le Firebox, ce Firebox devient le maître du cluster. Lors de la première activation du FireCluster, le maître du cluster utilise l'interface du cluster pour découvrir automatiquement l'autre membre du cluster.

Lorsque le maître du cluster découvre un périphérique connecté avec les paramètres usine par défaut, il vérifie si le numéro de série correspond au numéro de série dans la configuration du FireCluster puis il envoie la configuration du cluster au second périphérique. Le second périphérique rejoint alors le cluster et synchronise tous les états du cluster avec le maître de cluster.

Après avoir activé FireCluster, utilisez Firebox System Manager pour vérifier l'état des membres du cluster. Si nécessaire, vous pouvez déclencher manuellement la découverte du second membre du cluster.

  1. Connectez-vous au cluster avec Firebox System Manager.
  2. Dans l'onglet Panneau Avant, développez le cluster pour consulter l'état des membres du cluster. Pour plus d'informations, consultez Surveiller et Contrôler les Membres FireCluster.

Si le second Firebox n'est pas automatiquement ajouté au cluster :

  1. Vérifiez que les interfaces de cluster principales des deux périphériques sont connectées.
  2. Vérifiez que le second Firebox a été démarré avec les paramètres usine par défaut.
  3. Sélectionnez Outils > Cluster > Découvrir un membre pour déclencher manuellement la découverte du second membre du cluster. Pour plus d'informations, consultez Découvrir un Membre du Cluster.

Voir Également

À propos des Clés de Fonctionnalité et de FireCluster

Modèles Pris en Charge par un FireCluster

Diagnostics de FireCluster