Configurer des firewalls virtuels en HA sur l'hyperviseur VSPHERE

Lorsque vous créez un cluster de firewalls en haute disponibilité dans un environnement VSphere, il est possible que vous rencontriez des problèmes avec les connexions à destination du cluster dans les architectures suivantes :

Firewalls hébergés sur un même serveur ESX et connectés à des vSwitches :

Firewalls hébergés sur deux serveurs ESX distincts et connectés à des vSwitches :

Firewalls hébergés sur deux serveurs ESX distincts et connectés à des dvSwitches :

Explication

Grâce aux outils VMWare tools, le switch virtuel (vSwitch/dvSwitch) apprend automatiquement les adresses MAC des équipements connectés sur ses ports.

Les deux membres d'un cluster Stormshield ayant par défaut la même adresse MAC, le switch virtuel transmet toujours les paquets réseau destinés à l'adresse MAC d'un firewall vers ce firewall, quel que soit son état dans le cluster (actif ou passif). Ainsi, si le switch virtuel (vSwitch/dvSwitch) transmet des paquets vers le firewall passif, ceux-ci seront automatiquement ignorés.

Solution

La solution consiste à supprimer les adresses MAC forcées dans la configuration des deux firewalls. Réalisez cette manipulation au travers de l'interface Web d'administration ou via la console système du firewall.

Utiliser l'interface Web d'administration

Dans le menu Réseau > Interfaces > onglet Configuration avancée > champ Adresse physique (MAC), supprimez toutes les adresses MAC personnalisées pour les interfaces réseau des firewalls virtuels et appliquez votre modification.

Utiliser la console système

  1. Dans le fichier de configuration /usr/Firewall/ConfigFiles/network, supprimez toutes les lignes contenant l'entrée "MacAddress=".
  2. Tapez ensuite les commandes système ennetwork puis hasync afin de prendre en compte ces modifications et de synchroniser la configuration entre le firewall actif et le firewall passif.
 

En fonction des équipements réseau connectés aux firewalls Stormshield Network, et principalement selon la valeur fixée aux timeout ARP, la restauration des connexions lors d'un changement de rôle des firewalls au sein du cluster (actif / passif) peut nécessiter un délai plus ou moins long.