Configurer la HA

La mise en œuvre d'un cluster HA de firewalls nécessite deux étapes :

  • Créer le cluster sur le firewall déjà en activité,
  • Intégrer l'autre firewall dans le cluster.
    Notez que cette opération provoque un redémarrage du firewall intégrant le cluster. Ce redémarrage n'impacte pas la production (pas de coupure de flux).

Cette configuration peut être réalisée soit via la méthode basée sur une clé USB (voir la Note Technique Configuration initiale par clé USB), soit via l'interface Web d'administration des firewalls en suivant la procédure décrite ci-dessous.

Préparer les firewalls

  • Les firewalls doivent être interconnectés via leurs interfaces HA avant de démarrer la création du cluster.
  • Sur le firewall destiné à rejoindre le cluster, les interfaces réseau autres que celles dédiées à la HA ne doivent pas être connectées avant que le cluster soit entièrement défini, afin de ne pas provoquer de perturbations sur le réseau de production.

Créer le cluster

  1. Connectez-vous à l'interface Web d'administration du firewall sur lequel vous souhaitez créer le cluster.
  2. Cliquez sur Système > Haute Disponibilité.
    La première étape de l'assistant de création du cluster s'affiche.
  3. Sélectionnez Créer un groupe de firewalls (cluster).
  4. Cliquez sur Suivant.
  5. Dans la partie Configuration du lien principal, sélectionnez l'Interface dédiée à la haute disponibilité (dmz1 dans l'exemple).
  6. Donnez un nom explicite à cette interface (HA-main dans l'exemple).
  7. Définissez l'Adresse IP et le masque réseau pour cette interface (192.168.69.1/30 dans l'exemple).
    Notez que les liens point à point acceptent des masques réseau de type /31. Dans ce cas, pour un réseau de type 192.168.69.0/31, les firewalls portent 192.168.69.0 et 192.168.69.1 comme adresse respective sur le lien HA.
  8. Si vous souhaitez définir un lien de secours pour la HA, dans la partie Lien secondaire (facultatif), cochez la case Utiliser un second lien de communication.
  9. Donnez un nom explicite à cette interface (HA-backup dans l'exemple).
  10. Définissez l'Adresse IP et le masque réseau pour cette interface (192.168.70.1/30 dans l'exemple).
  11. Cliquez sur Suivant.
  12. Indiquez et confirmez la Clé pré-partagée permettant de sécuriser la communication entre les membres du cluster.
    Pour garantir une sécurité accrue, utilisez des mots de passe d'une longueur supérieure à 12 caractères et mixant différents types de caractères (majuscules, minuscules, chiffres et caractères spéciaux). Pour plus d'information sur la sécurité des mots de passe, consultez les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
  13. Vous pouvez choisir de Chiffrer la communication entre les firewalls, ce qui est recommandé si l'interconnexion des membres du cluster est réalisée au travers d'équipements réseau de type commutateurs.
    Notez que cette option peut avoir un impact sur les performances en cas de configuration supportant un nombre élevé de connexions par seconde ou de tunnels IPsec.
  14. L'option Activer l'agrégation de liens lorsque le firewall est passif est cochée par défaut. Elle permet dans une configuration utilisant des agrégats de liens (LACP) d'activer les agrégats même sur le membre passif du cluster. Désactivez cette option en décochant la case.
  15. Cliquez sur Suivant.
  16. Validez l'écran de résumé de la configuration en cliquant sur Terminer.

Intégrer le deuxième firewall dans le cluster

  1. Connectez-vous à l'interface Web d'administration du firewall devant rejoindre le cluster créé précédemment.
  2. Cliquez sur Système > Haute Disponibilité.
    La première étape de l'assistant de création du cluster s'affiche.
  3. Sélectionnez Rejoindre un groupe de firewalls (cluster) existant.
  4. Cliquez sur Suivant.
  5. Dans la partie Configuration du lien principal, sélectionnez l'Interface dédiée à la haute disponibilité.
    Elle doit être identique à celle sélectionnée sur le premier firewall (dmz1 dans l'exemple).
  6. Définissez l'Adresse IP et le masque réseau pour cette interface. Cette adresse doit appartenir au réseau choisi pour le lien principal du premier firewall (192.168.69.2/30 dans l'exemple).
  7. Si vous avez défini un lien de secours pour la HA, dans la partie Lien secondaire (facultatif), cochez la case Utiliser un second lien de communication.
  8. Sélectionnez l'Interface dédiée à la haute disponibilité.
    Elle doit être identique à celle sélectionnée sur le premier firewall (dmz2 dans l'exemple).
  9. Définissez l'Adresse IP et le masque réseau pour cette interface. Cette adresse doit appartenir au réseau choisi pour le lien secondaire du premier firewall (192.168.70.2/30 dans l'exemple).
  10. Cliquez sur Suivant.
  11. Saisissez l'adresse IP du firewall à contacter (adresse affectée au lien HA du firewall sur lequel le cluster a été créé).
  12. Indiquez la clé pré-partagée définie lors de la création du cluster.
  13. Cliquez sur Suivant.
  14. Validez l'écran de résumé de la configuration en cliquant sur Terminer.
    Un message de confirmation s'affiche.
  15. Confirmez l'opération en cliquant sur le bouton Rejoindre le groupe de firewalls et redémarrer.
    Après avoir appliqué la nouvelle configuration réseau, le firewall ayant rejoint le cluster redémarre.
  16. Une fois cette étape terminée, vous pouvez connecter les interfaces autres que celles dédiée à la HA.

Vérifier l'état du cluster

Dans l'interface Web d'administration du firewall sur lequel vous avez créé le cluster :

  1. Cliquez sur l'onglet Monitoring.
  2. Dans le widget Indicateurs de santé, l'icône Lien HA doit être verte :
  3. Cliquez sur cette icône pour accéder au module Supervision > Matériel / Haute Disponibilité.
  4. Cliquez sur l'onglet Détails du cluster.
    L'état général des deux membres du cluster et des liens de haute disponibilité s'affiche :
  5. En cliquant sur Indicateurs avancés, vous pouvez afficher d'autres informations comme la date de dernière synchronisation, la date de dernier changement d'état du ou des liens HA :

État des voyants sur le firewall

Sur le firewall passif, le voyant Online (Run pour les SN6100 et SNi40) émet un clignotement (de l’ordre de 2 secondes éteint pour 1 seconde allumé). Ce voyant est fixe sur le firewall actif.