Configurer le mode Sûreté du bypass

Cette section présente le fonctionnement du mode Sûreté du bypass et sa configuration dans l'interface Web d'administration des firewalls SNS.

Comprendre le fonctionnement du mode Sûreté

Le mode Sûreté privilégie la continuité de service. Lorsque ce mode est activé :

Le mécanisme de bypass est activé (prêt à être déclenché) sur tous les segments bypass configurés pour l'utiliser,
Lorsqu'un événement déclencheur survient, le mécanisme de bypass est déclenché, ce qui commute le mode de communication du bypass en mode bypass,
Une fois le mécanisme de bypass déclenché, seul un réarmement du mécanisme de bypass permet de commuter le mode de communication du bypass en mode normal.

Si le mode Sûreté n'est pas activé, c'est le mode Sécurité qui est utilisé. Dans ce mode, la fonction de bypass reste désactivée en permanence, même si une défaillance critique survient.

Événements déclencheurs du mécanisme de bypass en mode Sûreté

Le mécanisme de bypass est déclenché lorsque l'un de ces événements survient :

Lors d’une défaillance électrique du firewall SNS ou d’une coupure de courant,
Lors d’un redémarrage du firewall SNS, une fois le BIOS initialisé,

NOTE
Le mécanisme de bypass est automatiquement réarmé une fois le firewall SNS redémarré.
Lors d'une défaillance logicielle, notamment lorsque le système d’exploitation du firewall SNS ne répond plus ou est surchargé, après écoulement du compte à rebours du watchdog.

Délai de reprise

C'est le délai nécessaire pour assurer la continuité du service. Selon l'événement déclencheur, vous devez additionner tous les délais du tableau ou seulement certains pour déterminer le délai de reprise théorique.

Élément	Délai nécessaire à la reprise (à additionner)
Délai du compte à rebours du watchdog	1 à 4 minutes, selon le délai défini dans la configuration du mode Sûreté. Le compte à rebours démarre lorsque l'état du watchdog ne peut plus être rafraîchi par le moteur de gestion du matériel du firewall SNS, notamment lors d'une défaillance logicielle. Une fois le compte à rebours à zéro, le seuil d'inactivité est atteint et le mécanisme de bypass est déclenché (communication en mode bypass).
Délai de commutation	100 ms environ. C'est le délai nécessaire pour commuter le mode de communication du bypass.
Délai de détection des équipements distants	Généralement de 3 à 10 secondes. Après une commutation, c'est le délai nécessaire aux équipements distants pour détecter le changement d'état ("DOWN" ou "UP") des interfaces du segment bypass. Ce délai varie selon l'équipement distant et la version installée sur le firewall SNS.

Élément

Délai nécessaire à la reprise (à additionner)

Délai du compte à rebours du watchdog

1 à 4 minutes, selon le délai défini dans la configuration du mode Sûreté.

Le compte à rebours démarre lorsque l'état du watchdog ne peut plus être rafraîchi par le moteur de gestion du matériel du firewall SNS, notamment lors d'une défaillance logicielle. Une fois le compte à rebours à zéro, le seuil d'inactivité est atteint et le mécanisme de bypass est déclenché (communication en mode bypass).

Délai de commutation

100 ms environ.

C'est le délai nécessaire pour commuter le mode de communication du bypass.

Délai de détection des équipements distants

Généralement de 3 à 10 secondes.

Après une commutation, c'est le délai nécessaire aux équipements distants pour détecter le changement d'état ("DOWN" ou "UP") des interfaces du segment bypass. Ce délai varie selon l'équipement distant et la version installée sur le firewall SNS.

Accéder à la configuration du mode Sûreté

Rendez-vous dans Configuration > Système > Configuration, onglet Configuration générale.
Dépliez le cadre Configuration avancée.

La configuration du mode Sûreté se trouve dans la zone Matériel.

Sur les versions SNS 4.3 LTSB, l'interface est légèrement différente mais la configuration du mode Sûreté s'effectue de la même manière.

Activer ou désactiver le mode Sûreté

Pour rappel, vous ne pouvez pas activer le mode Sûreté sur un firewall SNS configuré en haute disponibilité.

Accédez à la configuration du mode Sûreté.

Sur les firewalls SNS disposant de plusieurs bypass, une liste indique les segments bypass sur lesquels le mode Sûreté sera activé.
Cochez ou décochez la case Activer le mode Sûreté.
Cliquez sur Appliquer.

Définir le délai du compte à rebours du watchdog (seuil d'inactivité)

Accédez à la configuration du mode Sûreté.
Dans la liste déroulante en dessous de la case Activer le mode Sûreté, sélectionnez le délai souhaité. Les valeurs proposées vont de 1 minute à 4 minutes.
Cliquez sur Appliquer.

Réarmer le mécanisme de bypass (réarmement du mode Sûreté)

Une fois le mécanisme de bypass déclenché, seul un réarmement permet de retrouver un fonctionnement où le firewall SNS effectue de nouveau ses analyses. Réarmer le mécanisme de bypass commute le mode de communication en mode normal, ce qui implique un délai de reprise correspondant aux délais de commutation et de détection des équipements distants.

Le mécanisme de bypass est automatiquement réarmé lorsque le firewall SNS termine sa phase de démarrage.

Vous pouvez réarmer manuellement le mécanisme de bypass dans l'interface Web d'administration des firewalls SNS.

Accédez à la configuration du mode Sûreté.
Cliquez sur le bouton Réarmement du mode sûreté.
Dans la fenêtre qui s'affiche, confirmez le réarmement du mode Sûreté.

IMPORTANT
Après un réarmement manuel, vous devez vérifier le fonctionnement correct des flux réseau. En effet, les connexions initiées pendant la phase active du bypass seront interrompues et devront être rétablies à l'initiative des machines distantes.