19.1. Allgemeine High Availibility

Die High Availibility in VT AIR setzt sich aus drei verschiedenen und unabhängigen Einstellungen zusammen:

  • Konfiguration Synchronisation

  • Status Synchronisation

  • VRRP Virtual IPs

Jede dieser Einstellungen kann unabhängig voneinander aktiviert werden, ohne die anderen Einstellungen zu beeinflussen. Ein komplettes HA-Setup ist aber nur dann sinnvoll, wenn alle drei Teile aktiviert sind.

Die Hochverfügbarkeits-Synchronisierung wird nur dann gestartet, wenn auf beiden Geräten die gleiche VT AIR-Version läuft.

Ein Assistent für hohe Verfügbarkeit ist für eine einfache Einbindung der sekundären Firewall verfügbar.

19.1.1. Interface Setup

Die Interfaces werden nur synchronisiert, wenn beide Geräte vom gleichen VT AIR Modell sind. Ist dies nicht der Fall, gibt es eine Interface-Bedingung bevor Sie das High-Availability Setup starten. Da zwei Geräte nicht das gleiche Hardware Modell sein müssen, müssen Sie zuerst das Interface individuell konfigurieren.

Die Synchronisationen hängen von stabilen internen Interface-Namen (WAN, LAN, INT1, INT2, …) ab. Diese Namen müssen an beiden Enden eines Sync-Masters und eines Clients übereinstimmen. Die INTX-Nummern werden automatisch vom System im Hintergrund generiert und können in Interfaces → Zuordnen oder auf jeder Seite der Interface-Einstellungen in der oberen linken Ecke gefunden werden.

Bitte achten Sie darauf, dass Sie die gleiche Anzahl an Interfaces haben und dass die Namen an beiden Enden übereinstimmen. Achten Sie auch darauf, dass die Interface IPs unterschiedlich sind und diese keine Konflikte untereinander haben.

Wenn Sie nicht über die gleiche Anzahl an Schnittstellen verfügen, erstellen Sie bitte Dummy-Schnittstellen auf der sekundären Firewall mit der Hardware-Schnittstelle none. Die Schnittstelle kann deaktiviert bleiben.

19.1.2. Synchronisationsinterface

Es wird dringend empfohlen, ein Synchronisationsinterface für alle Sync-Aktivitäten zu verwenden. Die Daten sind teilweise unverschlüsselt und es ist wichtig, dass sie schnell und sicher bei jeder Box ankommen.

Verwenden Sie entweder ein separates VLAN oder ein separates physikalisches Interface.

High Availability Sync VLAN High Availability Sync Interface

Geben Sie allen VT AIR eine statische IP-Adresse in diesem Netzwerk und aktivieren Sie nicht den DHCP-Server.

High Availability Sync Interface Settings

Stellen Sie sicher, dass es eine Firewall-Regel gibt, die den gesamten Datenverkehr zur Schnittstellen-IP-Adresse auf der Sync-Schnittstelle auf jedem VT AIR zulässt.

High Availability Sync Firewall Rule

Legen Sie für jeden VT AIR dasselbe Kennwort für den hasync Benutzer fest.

Der Modus ist standardmäßig Multicast. Er ermöglicht mehreren Firewalls den Austausch von Statusinformationen. Wenn Sie eine spezielle Anforderung haben, können Sie den Modus auf Unicast ändern und Statusinformationen nur an einen Peer senden. Bitte geben Sie die IP-Adresse der Gegenstelle an. Diese Einstellung muss auf beiden VT AIRs vorgenommen werden.

19.1.3. VRRP-Modus

Der VRRP-Modus ist standardmäßig Multicast. Der Austausch von VRRP-Statusinformationen erfolgt auf jeder Schnittstelle, für die eine VRRP-IP definiert ist, über Multicast. Dies stellt auch sicher, dass eine Layer-2-Prüfung durchgeführt wird.

In bestimmten Cloud- oder virtuellen Umgebungen gibt es möglicherweise keine Layer-2-Multicast-Verbindung zwischen Firewalls. In diesem Fall setzen Sie Modus auf Unicast und es wird eine neue Option angezeigt, um auch den VRRP-Modus von Multicast auf Unicast zu ändern.

Der Unicast-Modus sendet alle VRRP-Informationen über die Sync-Schnittstelle an die Peer-IP-Adresse und nicht die Informationen über die Schnittstellen, für die die VRRP-IP definiert ist. Die Layer-2-Prüfung auf jeder Schnittstelle geht in diesem Szenario ebenfalls verloren.

High Availability VRRP Unicast Mode

19.1.4. High Availability Nodes

Es gibt keine Begrenzung an der Anzahl von Nodes, die Sie dem HA-Setup hinzufügen können. Sie können die Geräte in VT AIR hintereinander schalten, Sie müssen nur die Konfigurationssync auf jedem Node aktivieren, der mit dem nächsten synchronisiert werden soll.

Einige Systeme wie DHCP unterstützen jedoch nicht mehr als drei Nodes gleichzeitig zu haben.

19.1.5. Sekundäre Firewall

Die sekundäre Firewall zeigt ein rotes Zeichen in der oberen rechten Ecke an.

High Availability Secondary Firewall

Bemerkung

Bitte nehmen Sie keine Konfigurationsänderungen an der sekundären Firewall vor, da diese vom Master überschrieben werden.

19.1.6. Onboarding Assistent

Die Master-Firewall zeigt einen Einrichtungsassistenten an, wenn Sie zum ersten Mal auf High Availibility im Menü klicken.

High Availability Wizard

Sie können die Haupteinstellungen konfigurieren, und der Assistent stellt eine Verbindung mit der sekundären Firewall her, um sie für die hohe Verfügbarkeit einzurichten.

States Sync aktiviert die Synchronisierung von Zuständen DHCP HA aktiviert den HA-Modus für den DHCP-Server Configuration Sync aktiviert die Synchronisierung der Konfiguration vom Master zum Secondary

Sync Interface sollte eine separate Schnittstelle (oder VLAN-Schnittstelle) sein, über die der Master Daten mit dem Secondary synchronisiert. Remote Webgui ist die URL der sekundären Firewall zur Aktivierung der HA-Einstellungen. Es muss sich nicht um die Sync-Schnittstelle handeln, die Master-Firewall benötigt nur Zugriff auf die sekundäre Firewall auf dieser Schnittstelle, um sie für HA einzurichten. Admin User für die sekundäre Firewall für den Onboarding-Vorgang. Passwort für den Administrator-Benutzer.

Der Assistent richtet die sekundäre Firewall ein und konfiguriert sie für den HA-Modus. Der spezielle Benutzer hasync wird für die Konfigurationssynchronisierung verwendet. Das Passwort wird zufällig generiert.