WatchGuard High Availability Promotion
Firewall Cluster
Alle aktuellen WatchGuard Modelle von der kleinen Firebox T115-W bis zur großen Firebox M5800 unterstützen von Hause aus die FireCluster-Funktionalität. Nur das kleinste WatchGuard-Modell, die NV5, ist nicht clusterfähig! Ein ausfallsicherer Firewall-Cluster besteht aus zwei WatchGuard Boxen des gleichen Hardware-Modells. Ein WatchGuard FireCluster wird üblicherweise im Active/Passive Modus (Active/Standby) betrieben. Nur in seltenen Fällen wird der Active/Active Modus gewählt, bei dem auch eine Lastverteilung über beide Cluster-Knoten erfolgt – weniger als 1% der WatchGuard Cluster weltweit laufen im Active/Active Modus.
Warum Ausfallsicherheit mit einem WatchGuard FireCluster so wichtig ist erfahren Sie bei uns unter >> WatchGuard FireCluster.
In unserem Blog-Artikel zeigen wir Schritt für Schritt, wie Sie eine WatchGuard Firebox Active/Passive-Clusterlösung einrichten: >> HOWTO: Best-Practice-Konfiguration eines WatchGuard Firebox Clusters Active / Passive.
Im Active/Passive Modus reicht es aus, wenn EINE WatchGuard Box mit der "Basic Security Suite" oder "Total Security Suite" ausgestattet ist. Die zweite Cluster-Box benötigt nur den regulären "Standard Support". Die beiden Feature Keys (Lizenzdateien) werden "gemerged", und die gemeinsame Lizenzdatei steht im laufenden Betrieb beiden Cluster-Knoten zur Verfügung. Daher ist es dann auch egal, welcher Cluster-Knoten gerade die "Master"-Rolle hat. Im Active/Active Modus hingegen benötigen beide WatchGuard Boxen das volle Lizenzpaket.
Der Active/Passive Modus verwendet das VRRP Protokoll (Virtual Router Redundancy Protocol). Die physikalischen MAC-Adressen der Interfaces werden ersetzt durch virtuelle MAC-Adressen aus dem Bereich 00:00:5E:00:01:xx. Die Cluster-ID legt fest, wie die genauen MAC-Adressen des WatchGuard FireClusters lauten. Es muss sichergestellt sein, dass nicht zufällig andere Netzwerkgeräte (z.B. Switches), die ebenfalls das VRRP-Protokoll nutzen, die gleichen virtuellen MAC-Adressen verwenden!
Für den Standardfall “Active/Passive” bietet WatchGuard im Rahmen der High Availability Promotion besonders vergünstigte Hardware-Varianten an:
High Availability Promotion-Artikel
Die zweite Cluster-Box kann zeitgleich mit der ersten Box gekauft werden. Sie kann aber auch nachträglich gekauft und aktiviert werden. Auf jeden Fall muss zunächst die "erste" Box in Ihrem WatchGuard-Account aktiviert werden. Die "zweite" Cluster-Box aus der "HA-Promotion" kann erst aktiviert werden, wenn in dem betreffenden Account eine "reguläre" Box vorhanden ist (ein Vollprodukt, eine Trade-Up Box oder eine Competitive Trade-In Box).
Auch mit den kleineren Desktop Modellen WatchGuard Firebox T115-W, T125 und T145 können FireCluster aufgebaut werden. Hier gibt es aber keine besonders bezuschussten Hardware-Varianten. Wenn Sie einen T115-W, T125 oder T145 Cluster aufbauen wollen, nehmen Sie bitte eine zweite reguläre T115-W, T125 oder T145 hinzu. In diesem Fall ist die Reihenfolge der Aktivierung egal.
Das könnte Sie auch interessieren: