WatchGuard High Availability Promotion
WatchGuard High Availability Promotion
Firewall Cluster
Alle aktuellen WatchGuard Modelle von der kleinen Firebox T25 bis zur großen Firebox M5800 unterstützen von Hause aus die FireCluster-Funktionalität. Nur das kleinste WatchGuard-Modell, die NV5, ist nicht clusterfähig! Ein ausfallsicherer Firewall-Cluster besteht aus zwei WatchGuard Boxen des gleichen Hardware-Modells. Ein WatchGuard FireCluster wird üblicherweise im Active/Passive Modus (Active/Standby) betrieben. Nur in seltenen Fällen wird der Active/Active Modus gewählt, bei dem auch eine Lastverteilung über beide Cluster-Knoten erfolgt – weniger als 1% der WatchGuard Cluster weltweit laufen im Active/Active Modus.
Im Active/Passive Modus reicht es aus, wenn EINE WatchGuard Box mit der "Basic Security Suite" oder "Total Security Suite" ausgestattet ist. Die zweite Cluster-Box benötigt nur den regulären "Standard Support". Die beiden Feature Keys (Lizenzdateien) werden "gemerged", und die gemeinsame Lizenzdatei steht im laufenden Betrieb beiden Cluster-Knoten zur Verfügung. Daher ist es dann auch egal, welcher Cluster-Knoten gerade die "Master"-Rolle hat. Im Active/Active Modus hingegen benötigen beide WatchGuard Boxen das volle Lizenzpaket.
Der Active/Passive Modus verwendet das VRRP Protokoll (Virtual Router Redundancy Protocol). Die physikalischen MAC-Adressen der Interfaces werden ersetzt durch virtuelle MAC-Adressen aus dem Bereich 00:00:5E:00:01:xx. Die Cluster-ID legt fest, wie die genauen MAC-Adressen des WatchGuard FireClusters lauten. Es muss sichergestellt sein, dass nicht zufällig andere Netzwerkgeräte (z.B. Switches), die ebenfalls das VRRP-Protokoll nutzen, die gleichen virtuellen MAC-Adressen verwenden!
Für den Standardfall “Active/Passive” bietet WatchGuard im Rahmen der High Availability Promotion besonders vergünstigte Hardware-Varianten an:
High Availability Promotion-Artikel
Die zweite Cluster-Box kann zeitgleich mit der ersten Box gekauft werden. Sie kann aber auch nachträglich gekauft und aktiviert werden. Auf jeden Fall muss zunächst die "erste" Box in Ihrem WatchGuard-Account aktiviert werden. Die "zweite" Cluster-Box aus der "HA-Promotion" kann erst aktiviert werden, wenn in dem betreffenden Account eine "reguläre" Box vorhanden ist (ein Vollprodukt, eine Trade-Up Box oder eine Competitive Trade-In Box).
Auch mit den kleineren Desktop Modellen WatchGuard Firebox T25 und T45 können FireCluster aufgebaut werden. Hier gibt es aber keine besonders bezuschussten Hardware-Varianten. Wenn Sie einen T25 oder T45 Cluster aufbauen wollen, nehmen Sie bitte eine zweite reguläre T25 oder T45 hinzu. In diesem Fall ist die Reihenfolge der Aktivierung egal.
Das könnte Sie auch interessieren: