WatchGuard High Availability Promotion

WatchGuard High Availability Promotion

Firewall Cluster

Alle aktuellen WatchGuard Modelle von der kleinen Firebox T20 bis zur großen Firebox M5800 unterstützen von Hause aus die FireCluster-Funktionalität. Nur das kleinste WatchGuard-Modell, die T15, ist nicht clusterfähig! Ein ausfallsicherer Firewall-Cluster besteht aus zwei WatchGuard Boxen des gleichen Hardware-Modells. Ein WatchGuard FireCluster wird üblicherweise im Active/Passive Modus (Active/Standby) betrieben. Nur in seltenen Fällen wird der Active/Active Modus gewählt, bei dem auch eine Lastverteilung über beide Cluster-Knoten erfolgt – weniger als 1% der WatchGuard Cluster weltweit laufen im Active/Active Modus.

emblem-impIm Active/Passive Modus reicht es aus, wenn EINE WatchGuard Box mit der "Basic Security Suite" oder "Total Security Suite" ausgestattet ist. Die zweite Cluster-Box benötigt nur den regulären "Standard Support". Die beiden Feature Keys (Lizenzdateien) werden "gemerged", und die gemeinsame Lizenzdatei steht im laufenden Betrieb beiden Cluster-Knoten zur Verfügung. Daher ist es dann auch egal, welcher Cluster-Knoten gerade die "Master"-Rolle hat. Im Active/Active Modus hingegen benötigen beide WatchGuard Boxen das volle Lizenzpaket.
emblem-impDer Active/Passive Modus verwendet das VRRP Protokoll (Virtual Router Redundancy Protocol). Die physikalischen MAC-Adressen der Interfaces werden ersetzt durch virtuelle MAC-Adressen aus dem Bereich 00:00:5E:00:01:xx. Die Cluster-ID legt fest, wie die genauen MAC-Adressen des WatchGuard FireClusters lauten. Es muss sichergestellt sein, dass nicht zufällig andere Netzwerkgeräte (z.B. Switches), die ebenfalls das VRRP-Protokoll nutzen, die gleichen virtuellen MAC-Adressen verwenden!

Für den Standardfall “Active/Passive” bietet WatchGuard im Rahmen der High Availability Promotion besonders vergünstigte Hardware-Varianten an:

High Availability Promotion-Artikel

mit 1 Jahr Standard Support mit 3 Jahren Standard Support
Firebox T80 mit 1 Jahr Standard Support (WGT80071-EU) Firebox T80 mit 3 Jahren Standard Support (WGT80073-EU)
Firebox M290 mit 1 Jahr Standard Support (WGM29001601) Firebox M290 mit 3 Jahren Standard Support (WGM29001603)
Firebox M390 mit 1 Jahr Standard Support (WGM39001601) Firebox M390 mit 3 Jahren Standard Support (WGM39001603)
Firebox M590 mit 1 Jahr Standard Support (WGM59001601) Firebox M590 mit 3 Jahren Standard Support (WGM59001603)
Firebox M690 mit 1 Jahr Standard Support (WGM69001601) Firebox M690 mit 3 Jahren Standard Support (WGM69001603)
Firebox M4800 mit 1 Jahr Standard Support (WGM48071) Firebox M4800 mit 3 Jahren Standard Support (WGM48073)
Firebox M5800 mit 1 Jahr Standard Support (WGM58071) Firebox M5800 mit 3 Jahren Standard Support (WGM58073)
emblem-impDie zweite Cluster-Box kann zeitgleich mit der ersten Box gekauft werden. Sie kann aber auch nachträglich gekauft und aktiviert werden. Auf jeden Fall muss zunächst die "erste" Box in Ihrem WatchGuard-Account aktiviert werden. Die "zweite" Cluster-Box aus der "HA-Promotion" kann erst aktiviert werden, wenn in dem betreffenden Account eine "reguläre" Box vorhanden ist (ein Vollprodukt, eine Trade-Up Box oder eine Competitive Trade-In Box).
emblem-impAuch mit den kleineren Desktop Modellen WatchGuard Firebox T20 und T40 können FireCluster aufgebaut werden. Hier gibt es aber keine besonders bezuschussten Hardware-Varianten. Wenn Sie einen T20 oder T40 Cluster aufbauen wollen, nehmen Sie bitte eine zweite reguläre T20 oder T40 hinzu. In diesem Fall ist die Reihenfolge der Aktivierung egal.