Résoudre les problèmes
Ce chapitre liste certains problèmes fréquemment rencontrés.
Le numéro de série du firewall virtuel est toujours VMSNSX00Z0000A0
Le firewall n’est pas activé. Reportez-vous au chapitre Activer le firewall virtuel SNS EVA.
Certaines fonctionnalités du firewall virtuel ne sont pas disponibles
Vérifiez le numéro de série du firewall. S'il correspond à VMSNSX00Z0000A0, le firewall n’est pas activé. Reportez-vous alors au chapitre Activer le firewall virtuel SNS EVA. Si le firewall est activé, vérifiez les détails de sa licence dans son interface Web d’administration dans Configuration > Système > Licence.
Des problèmes surviennent en haute disponibilité sur l'hyperviseur vSphere
Il est possible de rencontrer des problèmes avec les connexions à destination d'un cluster de firewalls en haute disponibilité dans les architectures suivantes :
Firewalls hébergés sur un même serveur ESX et connectés à des vSwitches :
Firewalls hébergés sur deux serveurs ESX distincts et connectés à des vSwitches :
Firewalls hébergés sur deux serveurs ESX distincts et connectés à des dvSwitches :
Grâce aux outils VMWare tools, le switch virtuel (vSwitch/dvSwitch) apprend automatiquement les adresses MAC des équipements connectés sur ses ports.
Les deux membres d'un cluster SNS EVA ayant par défaut la même adresse MAC, le switch virtuel transmet toujours les paquets réseau destinés à l'adresse MAC d'un firewall vers ce firewall, quel que soit son état dans le cluster (actif ou passif). Ainsi, si le switch virtuel (vSwitch/dvSwitch) transmet des paquets vers le firewall passif, ceux-ci seront automatiquement ignorés.
La solution consiste à supprimer les adresses MAC forcées dans la configuration des deux firewalls. Réalisez cette manipulation :
Dans l'interface Web d'administration du firewall :
-
Rendez-vous dans Configuration > Réseau > Interfaces, onglet Configuration avancée.
-
Dans le champ Adresse physique (MAC), supprimez toutes les adresses MAC personnalisées pour les interfaces réseau des firewalls virtuels.
-
Appliquez la modification.
Via la console système du firewall :
- Dans le fichier de configuration /usr/Firewall/ConfigFiles/network, supprimez toutes les lignes contenant l'entrée "MacAddress=".
- Tapez ensuite les commandes ennetwork puis hasync afin de prendre en compte les modifications et de synchroniser la configuration entre le firewall actif et le firewall passif.
En fonction des équipements réseau connectés aux firewalls, et principalement selon la valeur fixée aux timeout ARP, la restauration des connexions lors d'un changement de rôle des firewalls au sein du cluster (actif / passif) peut nécessiter un délai plus ou moins long.