Déployer une configuration sur des firewalls

A chaque création ou modification de la configuration sur le serveur SMC, vous devez déployer la configuration sur les firewalls.

Tous les déploiements sont enregistrés dans l'historique de déploiement. Reportez-vous à la section Charger et déployer une ancienne configuration.

Lors d'un déploiement, les informations suivantes sont transmises aux firewalls :

  • Les objets utilisés dans les règles de filtrage ou de translation liées au firewall ou à ses dossiers parents.
  • Les objets pour lesquels vous avez choisi le déploiement sur tous les firewalls ou pour lesquels vous avez sélectionné les firewalls sur lesquels les déployer. Pour plus d'informations, reportez-vous à la section Gérer les objets.
  • Si le firewall fait partie d'une topologie VPN : les objets Réseau, Machine et/ou Groupe et l'autorité de certification associés à cette topologie, ainsi que les informations sur le certificat sélectionné pour le firewall dans la topologie (le certificat est déjà installé sur le firewall).
  1. Allez dans le menu Déploiement > Déploiement de configuration ou cliquez sur le bouton Icône Déployer la configuration dans le bandeau supérieur de l'interface. Ce bouton devient orange lorsque des modifications ont été apportées à la configuration.
  2. Choisissez les firewalls dans l'onglet Sélection des firewalls.
  3. Renseignez un commentaire en bas du panneau si nécessaire. Ce commentaire sera affiché dans l'historique de déploiement.
  4. Cliquez sur Déployer la configuration à côté du champ de commentaire. L'onglet Déploiement s'ouvre automatiquement. Une barre d'état indique l'avancement et le résultat du déploiement pour chaque firewall.
    Lors du déroulement d'un déploiement ou une exécution de script CLI SNS, vous ne pouvez pas lancer un autre déploiement mais il est possible de préparer un déploiement dans l'onglet Sélection des firewalls.
  5. Pendant ou après le déploiement, vous pouvez cliquer sur la barre d'état d'un firewall pour afficher un résumé du déploiement sur ce firewall. Pour obtenir plus d'informations sur le déploiement, utilisez la commande clogs dans l'interface de ligne de commande.
  6. Un résumé du déploiement est visible en bas du panneau, affichant les réussites, les avertissements, les erreurs et les déploiements reportés.
  7. Vous pouvez également filtrer la liste des firewalls en sélectionnant un résultat de déploiement dans la liste déroulante tout en haut de la liste.

    Écran de déploiement de la configuration
    En cas de déploiement réussi, le numéro de déploiement sera incrémenté dans la colonne Déploiement.

    ASTUCE
    Si la configuration a été déployée sur des firewalls déconnectés, le déploiement est reporté et les firewalls récupèrent la configuration la prochaine fois qu'ils se connectent.

  8. En cas d'erreur, reportez-vous aux journaux du serveur SMC. Vous pouvez également vous connecter aux journaux et rapports d'activité d'un firewall en cliquant sur l'icône Icône Traces dans la colonne Actions et consulter les journaux du firewall.
  9. Si le firewall doit être redémarré pour terminer le déploiement, ceci est indiqué par l'état de santé "Redémarrage nécessaire". Vous pouvez lancer le redémarrage directement depuis l'écran de déploiement en cliquant sur le bouton Redémarrer en bas de l'écran. Vous pouvez également redémarrer le firewall plus tard depuis les écrans de supervision, configuration et déploiement ou en cliquant sur l'information affichée à droite dans le bandeau supérieur de l'interface :

    10. Redémarrage du firewall nécessaire
  10. Après un premier déploiement, le serveur SMC vérifie régulièrement si la configuration sur le firewall correspond toujours à la configuration sur SMC. Reportez-vous à la section Détecter des modifications de la configuration locale sur des firewalls.

Les étapes sont identiques à celles de la section précédente.

La configuration est d'abord déployée sur le nœud actif du cluster. Le serveur SMC effectue ensuite une synchronisation des deux nœuds du cluster.

Si le nœud passif n'est pas connecté au nœud actif au moment du déploiement, le serveur SMC effectuera une synchronisation des deux nœuds du cluster lorsque le nœud passif se reconnectera au nœud actif.

Vous pouvez utiliser la commande smc-deploy pour déployer une configuration en ligne de commande.

Faites suivre la commande de la liste des firewalls ciblés par le déploiement avec l'une des deux options :

  • --all : déployer sur tous les firewalls,
  • --firewall-list <firewallNames> : déployer sur certains firewalls (séparés par des virgules).

Pour voir les autres options de cette commande, tapez smc-deploy --help.

Au début du déploiement, le numéro du déploiement s'affiche.

Avant qu'une nouvelle configuration déployée par SMC ne soit installée sur un firewall SNS, sa configuration est sauvegardée. Ainsi, si un déploiement altère la connexion entre le serveur SMC et un firewall SNS, la sauvegarde la plus récente est restaurée. Ce mécanisme garantit que le firewall SNS sera toujours joignable par le serveur SMC. Vous pouvez gérer cette fonctionnalité pour chaque firewall à l'aide de trois variables d'environnement :

Variable Description

FWADMIN_SNS_DEPLOYMENT_TIMEOUT_BEFORE_ROLLBACK

Par défaut : 30 secondes

Définit le temps d'attente en secondes pendant lequel SMC essaie de rétablir la connexion. Passé ce délai, la configuration précédente est restaurée.

FWADMIN_SNS_DEPLOYMENT_TIMEOUT_ROLLBACK

Par défaut : 180 secondes

Définit le temps d'attente en secondes entre la restauration de la configuration et la reconnexion au serveur SMC. Si la connexion n'est pas rétablie passé ce délai, le déploiement est considéré comme ayant échoué.

Nous vous recommandons de ne pas fixer une valeur inférieure à la valeur par défaut.
FWADMIN_FW_DEPLOYMENT_DISABLE_ROLLBACK Permet de désactiver la fonctionnalité. Par défaut, elle est activée (valeur paramétrée sur False).

Si vous rencontrez des problèmes lors d'un déploiement de configuration, commencez par consulter les fichiers de journaux suivants.

Côté SMC

/var/log/fwadmin-server/cfg2ini.log, /var/log/fwadmin-server/server.log et /var/log/fwadmin-server/connections.log

Côté firewalls

/log/l_system

La validation du déploiement échoue

  • Situation : Après un déploiement de la configuration sur le firewall, l'état du firewall passe en Critique et indique "Validation de configuration". La commande CONFIG STATUS VALIDATE a donc échoué.

  • Cause : Le mot de passe utilisé pour valider la configuration sur le firewall SNS a peut-être été modifié et ne correspond plus à celui enregistré sur SMC. Consultez les journaux du serveur pour connaître la cause exacte.

  • Solution : Connectez-vous sur le firewall pour corriger le problème. Dans le cas d'un mot de passe incorrect, exécutez la commande CONFIG STATUS REMOVE.

Il n'est pas possible de déployer une configuration sur certains firewalls

  • Situation : Certains firewalls ne peuvent pas être sélectionnés pour le déploiement.

  • Cause : Une exécution de script CLI SNS est en cours ou en état différé sur le firewall et il n'est donc pas possible de déployer une configuration sur ce firewall.

  • Solution : Attendez la fin de l'exécution du script ou la reconnexion du firewall pour que l'exécution se termine. Vous pouvez aussi annuler l'exécution du script depuis le menu Scripts CLI SNS.