Configurar FireCluster con el Asistente Setup Wizard
Para configurar FireCluster, tiene estas opciones:
- Ejecutar el Asistente FireCluster Setup Wizard
- Configurar el FireCluster manualmente
Este tema describe cómo utilizar el asistente. Para una demostración de cómo usar el asistente de instalación de FireCluster para configurar un clúster activo/pasivo, consulte el video tutorial FireCluster (15 minutos).
Para obtener más información sobre cómo configurar el FireCluster manualmente, consulte Configurar el FireCluster Manualmente.
Requisitos de FireCluster
- Asegúrese de tener todo lo necesario para configurar su FireCluster y de planificar su configuración.
Para más información, consulte Antes de Configurar un FireCluster. - Asegúrese de comprender las limitaciones de un FireCluster, como se describen en Funciones no soportadas por FireCluster.
- Conecte los miembros del FireCluster entre sí y a la red, como se describe en Conectar el Hardware de FireCluster.
- Asegúrese de comprender cómo configurar un FireCluster con los modelos M5600 y M4600 de Firebox.
Para más información, consulte Acerca de FireCluster con Interfaces Modulares - Asegúrese de comprender cómo configurar un FireCluster activo/pasivo con dispositivos FireboxV o XTMv.
Para más información, consulte Configurar un FireCluster en VMware ESXi.
Configurar FireCluster
Para configurar FireCluster:
- En el WatchGuard System Manager, conéctese al Firebox que tenga la configuración que desea usar para el clúster. Después de activar el FireCluster, este dispositivo se vuelve el clúster principal la primera vez que guarda la configuración.
- Haga clic en .
O bien, seleccione Herramientas > Policy Manager.
El Policy Manager abre el archivo de configuración del dispositivo seleccionado. - Seleccione FireCluster > Configuración.
El FireCluster Setup Wizard se inicia.
- Haga clic en Siguiente.
- Seleccione el tipo de clúster que desea habilitar:
Clúster Activo/Pasivo
Habilita el clúster para alta disponibilidad, pero no para distribución de carga. Si selecciona esta opción, el clúster tiene un Firebox activo que maneja todas las conexiones y un Firebox pasivo que maneja conexiones solo si ocurre una conmutación por error del primer dispositivo.
Clúster Activo/Activo
Habilitar el clúster para alta disponibilidad y distribución de carga. Si selecciona esta opción, el clúster equilibra las solicitudes de conexión entrante entre ambos dispositivos en él.
Para obtener más información sobre los tipos de clúster, consulte Propiedades de FireCluster.
- Seleccione el ID del Clúster.
El ID del Clúster identifica singularmente este clúster si configura más de un clúster en el mismo dominio de difusión de capa 2. Si solo tiene un clúster, y su red no tiene dispositivos HSRP o VRRP, puede usar el valor predeterminado.
Para un clúster activo/pasivo, el ID del Clúster determina las direcciones MAC virtuales (VMAC) usadas por las interfaces de los dispositivos agrupados en clúster. Si configura más de un FireCluster activo/pasivo en la misma subred, es importante que sepa cómo configurar la ID del Clúster para evitar un posible conflicto con la dirección MAC virtual.
Para obtener más información sobre la ID del Clúster, consulte Propiedades de FireCluster y ID del Clúster Activo/Pasivo y Dirección MAC Virtual.
- Si seleccionó Clúster Activo/Activo, seleccione el Método balance de carga.
El método de balance de cargas es utilizado para balancear conexiones entre miembro del clústers activos. Existen dos opciones:
Conexión menor
Si selecciona esa opción, cada nueva conexión es asignada al miembro del clúster activo con el número mínimo de conexiones abiertas. Esta es la configuración predeterminada.
Operación por Turnos
Si selecciona esta opción, se distribuyen nuevas conexiones entre los miembro del clústers activos en una operación por turnos. La primera conexión se dirige a un miembro del clúster. La conexión siguiente se dirige a otro miembro del clúster, y así sucesivamente.
Para obtener más información sobre el método de equilibrar la carga, consulte Propiedades de FireCluster.
- Seleccione las interfaces de clúster Principal y de Resguardo. Las interfaces de clúster se dedican a establecer la comunicación entre los miembro del clústers y no son usadas para otro tráfico de red. Debe configurar la interfaz Principal. Para redundancia, recomendamos que también configure una interfaz de Resguardo.
Principal
La interfaz en el dispositivo que es exclusiva de la comunicación principal entre los miembro del clústers. Seleccione el número de interfaces usadas para conectar los dispositivos FireCluster unos a otros.
Copia de Seguridad
La interfaz en el dispositivo exclusiva de la comunicación entre los clústeres miembros en caso de que una interfaz principal falle. Seleccione el segundo número de interfaz usado para conectar los dispositivos de FireCluster unos a otros, si hay alguno.
Para obtener más información sobre de las interfaces del clúster, consulte Interfaces del FireCluster.
Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.
- Seleccione IP de Interfaz para Administración. Use esa interfaz para conectarse directamente a los miembros de FireCluster para operaciones de mantenimiento. Ésta no es una interfaz exclusiva. También es utilizada para otro tráfico de red. No puede seleccionar una interfaz externa que usa PPPoE como la Interfaz para dirección IP de Administración. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.
Para obtener más información sobre la interfaz para la dirección IP de Administración, consulte Interfaces del FireCluster. - Cuando lo solicite el asistente de configuración, añada esas propiedades del FireCluster miembro a cada dispositivo:
Llave de Licencia
Para cada dispositivo, importe o descargue la llave de licencia para habilitar todas las funciones del dispositivo. Si importó anteriormente la llave de licencia en el Policy Manager, el asistente automáticamente usa esa llave de licencia para el primer dispositivo en el clúster.
Para obtener más información sobre la llave de licencia, consulte Agregar la Llave de Licencia del Miembro del Clúster.
Nombre del miembro
El nombre que identifica a cada dispositivo en la configuración de FireCluster.
Para obtener más información sobre el nombre del miembro, consulte Agregar ID y nombre del miembro del FireCluster.
Número de Serie
El número de serie del Firebox. El número de serie es usado como el ID del Miembro en el cuadro de diálogo Configuración de FireCluster. El asistente define esto automáticamente cuando importa o descarga la llave de licencia para el Firebox.
Para obtener más información sobre el número de serie, consulte Agregar ID y nombre del miembro del FireCluster.
Dirección IP de la interfaz del clúster principal
La dirección IP que usan los miembros clúster para comunicarse entre sí en la interfaz del clúster principal. La dirección IP primaria de FireCluster para cada miembro del clúster debe ser una dirección IPv4 en la misma subred.
Si ambos miembros del clúster se inician al mismo tiempo, el miembro con la dirección IP más alta asignada a la interfaz del clúster principal se convierte en el principal.
Dirección IP de la interfaz de clúster de respaldo
La dirección IP que usan los miembros clúster para comunicarse entre sí en la interfaz del clúster de respaldo. La dirección IP de respaldo de FireCluster para cada miembro del clúster debe ser una dirección IPv4 en la misma subred.
No establezca la dirección IP del clúster Primario o de Respaldo a la dirección IP predeterminada de alguna interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1-10.0.26.1. Las direcciones IP del clúster Primarias y de Respaldo no deben utilizarse para nada más en su red, tal como direcciones IP virtuales para Mobile VPN o las direcciones IP usadas por redes remotas para sucursales. Cuando se produce la conmutación por error del clúster, un miembro del clúster entra brevemente en modo seguro antes de asumir el control. Si la interfaz de su clúster está configurada para usar una de las direcciones IP de interfaz predeterminadas de fábrica, puede ocurrir un conflicto durante este breve período, lo que puede hacer que falle la conmutación por error.
Dirección IP de administración
Una dirección IP única que puede usar para conectarse a un Firebox individual mientras que está configurada como parte de un clúster. Debe especificar una dirección IP de administración diferente para cada miembro del clúster. Si la interfaz que seleccionó como la Interfaz para dirección IP de administración tiene IPv6 habilitado, también puede, de forma opcional, configurar una dirección IPv6 de administración.
La dirección IP IPv4 de administración puede ser cualquier dirección IP sin utilizar. Recomendamos que use una dirección IP en la misma subred como la interface que seleccione como la Interfaz para dirección IP de administración. Esto es para asegurarse de que la dirección es enrutable. Las direcciones IP de administración deben encontrarse en la misma subred que el WatchGuard Log Server o el servidor syslog a los que su FireCluster envía los mensajes de registro.
La dirección IP IPv6 de administración debe ser una dirección IP sin utilizar. Recomendamos que use una dirección IPv6 con el mismo prefijo que una dirección IPv6 asignada a la interfaz que seleccionó como la Interfaz para la dirección IP de administración. Esto es para asegurarse de que la dirección IPv6 es enrutable.
Para más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.
- Revise el resumen de configuración en la pantalla final del FireCluster Setup Wizard. El resumen de configuración incluye las opciones seleccionadas y cuáles interfaces son monitorizadas para el estado del enlace.
- Haga clic en Finalizar.
Aparece el cuadro de diálogo Configuración de FireCluster.
- En la sección Configuraciones de Interfaz, revise la lista de interfaces monitorizadas.
La lista de interfaces monitorizadas no incluye aquellas que configuró como interfaces de clúster Principal y Resguardo. Por defecto, el FireCluster monitorea el estado del enlace para todas las interfaces habilitadas. Si el clúster principal detecta la pérdida de enlace de una interfaz monitorizada, éste empieza un proceso de conmutación por error para ese dispositivo.
Para un clúster activo/pasivo, puede seleccionar cuáles interfaces activas monitorizar. Si no quiere monitorizar el estado del enlace de una interfaz habilitada como criterio para conmutación por error, desmarque la casilla de selección para esa interfaz en la columna Monitorizar Enlace.
Le recomendamos que configure el FireCluster para que monitoree el estado del enlace en todas las interfaces habilitadas.
Para un FireCluster activo/activo, debe deshabilitar toda interfaz que no esté conectada a su red antes de guardar la configuración de FireCluster en el Firebox. Para desactivar una interfaz:
- En Policy Manager, seleccione Red > Configuración.
- Haga doble clic en la interfaz que desea deshabilitar y ajuste el Tipo de Interfaz a Deshabilitado.
Si desea que el segundo dispositivo sea encontrado y agregado automáticamente al clúster, no guarde el archivo de configuración hasta que inicie el segundo dispositivo en modo seguro.
- Inicie el Firebox secundario con la configuración de fábrica.
Use las instrucciones de restablecimiento de su modelo de Firebox. Para más información, consulte Restablecer un Firebox.
Para cualquier dispositivo XTM que tiene una pantalla LCD, inicie el dispositivo en modo seguro
Para iniciar en modo seguro, presione y mantenga el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo. Mantenga presionada la flecha hacia abajo hasta que aparezca Inicio en Modo Seguro... en la pantalla LCD. Cuando el dispositivo está en modo seguro, el número del modelo seguido de la palabra safe aparece en la pantalla LCD.
Si usa la command line interface (CLI), puede usar el comando restore factory-default para restablecer rápidamente el segundo dispositivo a los ajustes predeterminados de fábrica sin reiniciar.
- Guarde la configuración en el clúster principal.
Se crea el clúster. El clúster principal automáticamente descubre al otro dispositivo con el número de serie que coincide con el número de serie en la llave de licencia que agregó a la configuración del clúster.
Después de activar el clúster, se puede monitorizar el estado de los miembro del clústers en la pestaña Firebox System Manager Panel frontal.
Para más información, consulte Monitorizar y Controlar Miembros de FireCluster.
Si guarda la configuración al clúster principal antes de iniciar el segundo dispositivo en modo seguro, el clúster principal no encuentra automáticamente el segundo dispositivo. Si el segundo dispositivo no es encontrado automáticamente, usted puede propiciar manualmente la detección del dispositivo como se describe en Encontrar un Miembro del Clúster.