Parece que como una moda un par de nuestros clientes nos han solicitado Firewalls en HA (1 NSA3600 de sonicwall y  2 TZ 400 de sonicwall )
la opción de Sonicwall HA (Licencia Extra de pago) Son dos firewalls conectados entres si con duplicidad de caminos en las conexiones para que en caso de caída de un firewall funciones otro

Los dos firewalls tienen que tener configuraciones «Gemelas»
LAS X0 (LAN) van al Switch corporativo
X1 WAN a internet
X2 Misma Wan de backup (si tenemos)
x3 si tenemos DMZ a un switch de DMZ etc…
X4 Configuración de HA podemos utilizar otro pero normalmente la gente utiliza la ultima
 

Configurando HA

Antes de empezar igualamos firmwares de los dos equipos 
High Availablity – Settings
En el desplegable (este de un TZ400 encontramos las opciones
None – No hace nada
Active/Standby – Este modo realiza el «balanceo» de que si falla un Firewall empieza a funcionar el secundario que esta a la espera «standby»

Checks

• Enable Virtual MAC (1 mac para los dos equipos)
• Enable Preemt Mode (siempre tiene preferencia la maquina principal)
  • Si Firewall 1 falla se pasa al Firewall 2 si el Firewall 1 se arregla vuelve el trafico al Firewall 1

Muy interesante (aparece en el NSA3600 pero no en el TZ400)

• Enable Stateful Synchonization (Coste añadido comparte caches de navegación entre  firewalls y en caso de caída no se nota el cambio de servicio entre firewalls en VPN o servicios de  Terminal Server)

HA Devices

colocamos los serials de los dos firewalls y definimos cual es el principal y el secundario.

Ha interfaces

Las patas por las que comunicamos los dos firewalls (en mi caso la x4 cable directo)

Advanced

intervalos de tiempo y comunicación de estado entre firewalls
Sincronizacion de settings -Para que la configuacion del firewall1 pase al firewall2
Synconizacion dirmware – Recomendable hacerlo manualmente.

Monitoring (importante para el correcto funcionamiento del HA)

En este apartado configuramos las pruebas que realizara el HA (Por interface) para diagnosticar el estado del firewall mas lejos del físico (conectado / desconectado) del mismo,
ejemplo conectividad X0 (lan)

• Enable Physical/link (comprobación física de los dispositivos firewall HA)

Ip firewall principal y IP del Firewall Secundario

• Allow Management on primary/Secundary IP Address (administración de los dispositivos.)
• Logical/prove IPv4 Addres (Ip interna de un server siempre activo para testear la conectividad.)
  • En el momento de que una de las dos máquinas no responda PING a la ip del server se considera que está dañada.
  • En la zona de wan aconsejable hacerlo contra una IP externa (ejemplo 8.8.8.8 que es dificil falle).

 
Saludos Monster