Flux réseau liés à la HA
Le mécanisme de Haute Disponibilité nécessite les flux suivants entre les deux membres du cluster :
- Trafic Kernel to Kernel : utilisé pour la synchronisation en temps réel (cf. tableau des Éléments synchronisés en temps réel), ce protocole est basé sur le port UDP/44242 (uniquement en IPv4). Ce port peut être personnalisé dans le fichier ~/ConfigFiles/Protocols/hasync/common (cette modification doit être réalisée sur les deux membres du cluster et suivie de la commande enha pour être prise en compte).
- Trafic sur le port TCP/1300 (démon serverd) : utilisé par le firewall qui rejoint le cluster pour récupérer la configuration HA et la configuration réseau du cluster.
- Trafic sur les ports TCP/16058 et TCP/16059 (démon gatewayd) : utilisé pour la synchronisation des états VPN IPsec.
- Trafic RSYNC au travers d'une session SSH (TCP/22) : permet au firewall qui rejoint le cluster de récupérer les fichiers de configuration (système, filtrage, ...) ou de synchroniser les modifications d'annuaire LDAP.
- Trafic unicast et multicast sur les ports UDP/5404 et UDP/5405 (démon corosync) : utilisé par les deux firewalls pour l'échange de messages en relation avec la HA et pour la supervision du réseau dédié à la HA sur le lien principal de contrôle. Lorsqu'un lien de secours est paramétré, celui-ci utilise les ports UDP/5406 et UDP/5407 pour ces mêmes opérations.
Si le mode sécurisé (option Chiffrer la communication entre les firewalls) a été choisi lors de la création du cluster, les ports UDP/5405 et UDP/5405 (UDP/5406 et UDP/5407 pour l'éventuel lien de secours) sont respectivement remplacés par les ports UDP/5414 et UDP/5415 (UDP/5416 et UDP/5417 pour l'éventuel lien de secours).
L'adresse multicast utilisée par défaut est 226.94.1.1. Celle-ci peut être personnalisée dans le fichier ~/ConfigFiles/HA/highavailability.
Si les liens HA sont réalisés au travers de commutateurs réseau, il est nécessaire de désactiver les fonctions "IGMP snooping" sur ces équipements afin d'autoriser le trafic multicast. - Trafic ICMP echo request (Ping) : utilisé pour contrôler le fonctionnement d'un firewall du point de vue réseau.
Notez que ces différents types de flux sont autorisés par le biais d'une règle de filtrage implicite (Autoriser l'accès mutuel entre les membres d'un groupe de firewalls (cluster HA)) activée lors de la mise en place de la Haute Disponibilité.
La désactivation de cette règle entraîne l'interruption immédiate du fonctionnement de la HA.