DM
Доброго всем дня. Офис есть, там до поры до времени стоял один 1100 (допустим FW01). Спустя пару лет выяснилось, что у них оказывается лежит в коробке второй 1100 (FW02) и хорошо бы теперь собрать кластер из двух 1100. Собрать кластер из 2х 1100 (77.20) не сложно. Но ломаю мозг - как сделать корректно. FW01 стоял много лет, оброс политиками и NAT`ами. Все еще осложняется тем, что офис боевой, возможен лишь минимальный простой. В идеале бы настроить FW02, подключить и собрать кластер с минимальным простоем.
Вот собственно и вопрос - как из одиночного шлюза добавив ещё один сделать кластер? Куда копать?
Вот собственно и вопрос - как из одиночного шлюза добавив ещё один сделать кластер? Куда копать?
примерно так:
- установить на новую железку ОС той же версии и желательно все те же хотфиксы, что и на fw01;
- на fw01 включить clusterXL и переконфигурировать сетевые настройки с учетом новой топологии (например, для простоты запуска кластера, очевидно, нужно будет на объект кластера повесить адресацию fw01, а на сам fw01 - новую);
- в SmartConsole соответственно изменить адресацию для объекта fw01 и перевыпустить сертификат. Создать объект кластера, добавив в него fw01, задать топологию для кластера;
- в политике заменить объект fw01 на объект кластера во всех правилах. Если настроен site-to-site VPN, то добавить объект кластера в соответствующее VPN-коммьюнити вместо fw01 и настроить VPN-Domain для объекта кластера;
- установить политику на кластер;
- монтаж fw02;
- в SmartConsole создать объект fw02, включить блэйды аналогично fw01, установить траст с сервером управления;
- в SmartConsole добавить fw02 в кластер, подтянуть топологию;
- еще раз проинсталлировать политику на кластер;
- при необходимости установить лицензию на fw02.
И перед всем этим лучше сохранить конфиг fw01 + забэкапить политику на sms
- установить на новую железку ОС той же версии и желательно все те же хотфиксы, что и на fw01;
- на fw01 включить clusterXL и переконфигурировать сетевые настройки с учетом новой топологии (например, для простоты запуска кластера, очевидно, нужно будет на объект кластера повесить адресацию fw01, а на сам fw01 - новую);
- в SmartConsole соответственно изменить адресацию для объекта fw01 и перевыпустить сертификат. Создать объект кластера, добавив в него fw01, задать топологию для кластера;
- в политике заменить объект fw01 на объект кластера во всех правилах. Если настроен site-to-site VPN, то добавить объект кластера в соответствующее VPN-коммьюнити вместо fw01 и настроить VPN-Domain для объекта кластера;
- установить политику на кластер;
- монтаж fw02;
- в SmartConsole создать объект fw02, включить блэйды аналогично fw01, установить траст с сервером управления;
- в SmartConsole добавить fw02 в кластер, подтянуть топологию;
- еще раз проинсталлировать политику на кластер;
- при необходимости установить лицензию на fw02.
И перед всем этим лучше сохранить конфиг fw01 + забэкапить политику на sms
