Modifier certains paramètres de la HA

Il est possible de modifier certains paramètres ou d'activer certaines options de la HA depuis le module Configuration Système > Haute Disponibilité > Configuration avancée.

Modifier la clé pré-partagée entre les membres du cluster,

  1. Positionnez-vous dans le cadre Modifier la clé pré-partagée entre les firewalls du groupe de haute disponibilité.
  2. Entrez la Nouvelle clé pré-partagée.
  3. Confirmez-la.
    Une jauge indique le niveau de sécurité de la clé pré-partagée choisie.
  4. Cliquez sur Appliquer.
    Un message vous propose de Sauvegarder cette modification de configuration.
  5. Ces modifications de configuration devant être synchronisées au sein du cluster, confirmez que vous souhaitez Appliquer les modifications.
    L'icône s'affiche alors dans la partie supérieure de l'interface Web d'administration, indiquant qu'une synchronisation de configuration est attendue.
  6. Cliquez sur cette icône pour provoquer la synchronisation.
    Un message vous informe que cette synchronisation peut provoquer un redémarrage du firewall passif.
  7. Validez en cliquant sur Synchroniser la configuration.
    Les deux membres du cluster sont maintenant synchronisés.

Sélectionner le firewall actif en cas d'égalité (firewall prioritaire)

Le facteur de qualité est un paramètre calculé à partir de l'état de santé du firewall (plus de détails dans la section Comprendre le calcul du facteur de qualité).

En cas d'égalité de ce facteur de qualité sur les membres du cluster, vous pouvez forcer un membre du cluster à devenir le firewall actif (sélection Automatique par défaut).

Notez bien que cette action n'est valable qu'en cas d'égalité du facteur de qualité pour les membres du cluster : si le facteur de qualité se dégrade sur le membre du cluster sélectionné, celui-ci deviendra néanmoins passif.

  1. Positionnez vous dans le cadre Indicateur de qualité.
  2. Sélectionnez l'un des membres du cluster pour le champ Firewall actif en cas d'égalité :
    • Ce firewall (numéro_de_serie_de_ce_firewall),
    • L'autre firewall (distant) (numéro_de_serie_du_firewall_distant).
  3. Cliquez sur Appliquer.
    Un message vous propose de Sauvegarder cette modification de configuration.
  4. Ces modifications de configuration devant être synchronisées au sein du cluster, confirmez que vous souhaitez Appliquer les modifications.
  5. Si vous avez sélectionné L'autre firewall (distant) (numéro_de_serie_du_firewall_distant), un message vous indique que la modification de priorité peut entraîner un basculement entre l'actif et le passif. Validez en cliquant sur Appliquer.
    Dans le cas ou le facteur d'égalité était identique sur les membres du cluster, le basculement est réalisé et vous êtes déconnecté de l'interface Web d'administration.

Lorsqu'un firewall a été choisi comme firewall actif par défaut, sa priorité devient alors égale à 50 (pas de priorité définie pour l'autre membre du cluster) :

Activer la synchronisation des sessions selon leur durée

Cette option permet de limiter le nombre de connexions synchronisées en favorisant les connexions ayant une durée supérieure à la valeur indiquée.

Les connexions très brèves et très fréquentes du type requêtes DNS ne seront ainsi pas synchronisées.

  1. Positionnez-vous dans le cadre Synchronisation des sessions.
  2. Cochez la case Activer la synchronisation selon la durée des connexions.
  3. Indiquez la durée minimale (en secondes) que doivent respecter les connexions pour être synchronisées.
  4. Cliquez sur Appliquer.
    Un message vous propose de Sauvegarder cette modification de configuration.
  5. Ces modifications de configuration devant être synchronisées au sein du cluster, confirmez que vous souhaitez Appliquer les modifications.
    L'icône s'affiche alors dans la partie supérieure de l'interface Web d'administration, indiquant qu'une synchronisation de configuration est attendue.
  6. Cliquez sur cette icône pour provoquer la synchronisation.
    Un message vous informe que cette synchronisation peut provoquer un redémarrage du firewall passif.
  7. Validez en cliquant sur Synchroniser la configuration.
    Les deux membres du cluster sont maintenant synchronisés.

Modifier la configuration du basculement d'un membre à l'autre du cluster

Trois options peuvent être activées / désactivées :

  • Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA) : lorsque cette option est active, les interfaces du bridge sont réinitialisées au moment du basculement pour forcer les commutateurs connectés au firewall à renouveler leur table ARP.
  • Activer l'agrégation de liens lorsque le firewall est passif : lorsque cette option est active, dans une configuration utilisant des agrégats de liens (LACP), les agrégats sont activés même sur le membre passif du cluster.
  • Transmettre périodiquement des requêtes ARP gratuites : cette option permet d'envoyer à intervalle régulier des annonces ARP afin que les différents éléments du réseau (commutateurs, routeurs...) puissent mettre à jour leur propre table ARP.
  1. Positionnez-vous dans le cadre Configuration du basculement.
  2. Activez ou désactivez un ou plusieurs de ces options.
  3. Cliquez sur Appliquer.
    Un message vous propose de Sauvegarder cette modification de configuration.
  4. Ces modifications de configuration devant être synchronisées au sein du cluster, confirmez que vous souhaitez Appliquer les modifications.
    L'icône s'affiche alors dans la partie supérieure de l'interface Web d'administration, indiquant qu'une synchronisation de configuration est attendue.
  5. Cliquez sur cette icône pour provoquer la synchronisation.
    Un message vous informe que cette synchronisation peut provoquer un redémarrage du firewall passif.
  6. Validez en cliquant sur Synchroniser la configuration.
    Les deux membres du cluster sont maintenant synchronisés.

Modifier le poids d'une interface dans le calcul du facteur de qualité

Le rôle et les composantes du facteur de qualité sont expliqués dans la partie Comprendre le calcul du facteur de qualité.

Pour donner plus d'importance à une interface dans ce calcul, il suffit ainsi d'augmenter son poids (le poids d'une interface étant fixé à 100 par défaut) :

  1. Positionnez-vous dans le cadre Impact de l’indisponibilité d’une interface dans l’indicateur de qualité d’un firewall.
  2. Double-cliquez dans la colonne Poids de l'interface dont vous voulez modifier ce paramètre.
  3. Entrez la valeur souhaitée.
  4. Cliquez sur Appliquer.
    Un message vous propose de Sauvegarder cette modification de configuration.
  5. Ces modifications de configuration devant être synchronisées au sein du cluster, confirmez que vous souhaitez Appliquer les modifications.
    L'icône s'affiche alors dans la partie supérieure de l'interface Web d'administration, indiquant qu'une synchronisation de configuration est attendue.
  6. Cliquez sur cette icône pour provoquer la synchronisation.
    Un message vous informe que cette synchronisation peut provoquer un redémarrage du firewall passif.
  7. Validez en cliquant sur Synchroniser la configuration.
    Les deux membres du cluster sont maintenant synchronisés.