Écran de la Haute disponibilité

Communication entre les firewalls du cluster

Lien principal Interface principale utilisée pour relier les deux firewalls constituant le cluster.
Sélectionnez-là parmi les objets figurant au sein de la liste déroulante
Utiliser un second lien de communication Cochez cette option afin de dégriser les champs du dessous et de définir un lien secondaire pour votre cluster.
Lien secondaire Interface secondaire utilisée pour relier les deux firewalls constituant le cluster.
Sélectionnez parmi les objets figurant au sein de la liste déroulante.

AVERTISSEMENT
Il est conseillé d’utiliser un lien secondaire lorsque l’on souhaite changer l’interface utilisée en tant que lien principal. En effet, le changement de lien peut provoquer une coupure de la communication entre les membres du cluster, pouvant résulter en un cluster non fonctionnel.

Configuration avancée

Modifier la clé pré-partagée entre les firewalls du cluster

Clé pré-partagée du cluster Ce champ permet de modifier la clé pré-partagée ou le mot de passe défini lors de la création du cluster.
Confirmer Confirmation du mot de passe / clé pré-partagée, que vous venez de renseigner dans le champ précédent.
Robustesse du mot de passe Cette jauge indique le niveau de sécurité de votre mot de passe : « Très Faible », « Faible », « Moyen », « Bon » ou « Excellent ». Il est fortement conseillé d’utiliser les majuscules et les caractères spéciaux.

Indicateur de qualité

Firewall actif en cas d’égalité

Cette option permet de favoriser un firewall comme actif lorsque les 2 ont le même niveau de qualité.

Le but de privilégier un firewall actif est de conserver au maximum les logs sur le même firewall ou de favoriser le trafic sur un firewall spécifique. Si l'actif tombe en panne, ou si un câble se fait débrancher, l'autre passera actif.

Automatique Si vous choisissez cette option, aucune priorité n’est affectée.
Ce firewall (<son numéro de série>) En choisissant cette option, vous positionnerez ce firewall comme actif et le second le relaiera si celui tombe en panne ou est débranché.
L’autre firewall (distant) (<son numéro de série>) En choisissant cette option, vous positionnerez le firewall distant comme actif et celui-ci le relaiera si il tombe en panne ou est débranché.

AVERTISSEMENT
Le choix de cette option va provoquer un swap immédiat, ou basculement de ce firewall en tant que firewall actif, entraînant une déconnexion de l’interface d’administration.

Synchronisation de sessions

Activer la synchronisation selon la durée des connexions

Cette option permet de déclencher la synchronisation des sessions selon la durée de celles-ci. Seules les connexions dont la durée est supérieure ou égale à la valeur précisée dans le champ Durée minimale des connexions à synchroniser (secondes) seront synchronisées.
Les sessions dont la durée est inférieure à cette valeur seront ignorées lors d'une synchronisation. Cette option permet ainsi d'éviter de synchroniser des connexions très brèves et pouvant être très nombreuses, comme les requêtes DNS par exemple.
Durée minimale des connexions à synchroniser (secondes). Précisez la durée minimale (en secondes) des connexions devant être synchronisées.
La valeur 0 correspond à la désactivation de cette option.

Optimisation du basculement

Cette option accélère notamment la prise en compte de la bascule d’un cluster en mode bridge par les équipements environnants.

Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA)

Si l’option est active, les interfaces du bridge sont réinitialisées au moment de la bascule pour forcer les commutateurs connectés au firewall à renouveler leur table ARP.

Activer l'agrégation de liens lorsque le firewall est passif

Lorsque l'option est active, dans une configuration utilisant des agrégats de liens (LACP), les agrégats sont activés même sur le membre passif du cluster.
Transmettre périodiquement des requêtes ARP gratuites En cochant cette case, vous enverrez, à intervalles réguliers, des annonces ARP, afin que les différents éléments du réseau (commutateurs, routeurs, …) puissent mettre à jour leurs propres tables ARP.

NOTE
Lors du passage actif, le firewall enverra tout de même une annonce ARP, indifféremment de cette option

Fréquence (en secondes) Ce champ permet de définir la fréquence en secondes des requêtes ARP, dans la limite 9999 secondes maximum.
Forcer la synchronisation des adresses MAC

Cette option permet de choisir si la synchronisation des adresses MAC doit être forcée lors d'une bascule du cluster. L'activation ou la désactivation de cette synchronisation est immédiate.

La synchronisation des adresses MAC est activée par défaut sur les firewalls physiques et désactivée par défaut sur les machines virtuelles (EVA).

Il peut être nécessaire de désactiver cette option dans des configurations utilisant les agrégats de liens (LACP) par exemple.

Impact de l’indisponibilité d’une interface dans l’indicateur de qualité d’un firewall

Interface Cette colonne liste toutes les interfaces Ethernet de votre firewall.
Poids [0-9999] Le poids permet de donner une valeur relative à l'interface. Le nombre « 100 » a été donné par défaut aux interfaces listées. Elles sont donc toutes d’égale importance.
Vous pouvez modifier ce critère en sélectionnant la case voulue et spécifier, par exemple, que l’interface « in » est plus importante que l’interface « out » et les autres interfaces en lui attribuant le nombre 150.

NOTE
Il peut être intéressant de placer les interfaces inutilisées à 0, afin qu’elles n’entrent pas en compte dans le calcul de la qualité.

NOTE
Les interfaces réseau désactivées ne sont pas prises en compte dans les calculs de qualité de la haute disponibilité.

 

Cliquez ensuite sur Appliquer