Configurar el FireCluster Manualmente
Para configurar FireCluster, tiene estas opciones:
- Ejecutar el Asistente FireCluster Setup Wizard
- Configurar el FireCluster manualmente
Este tema describe cómo configurar FireCluster manualmente.
Para obtener información acerca de cómo usar FireCluster Setup Wizard, consulte Configurar FireCluster con el Asistente Setup Wizard.
Requisitos de FireCluster
- Asegúrese de tener todo lo necesario para configurar su FireCluster y de planificar su configuración.
Para más información, consulte Antes de Configurar un FireCluster. - Asegúrese de comprender las limitaciones de un FireCluster, como se describen en Funciones no soportadas por FireCluster.
- Conecte los miembros del FireCluster entre sí y a la red, como se describe en Conectar el Hardware de FireCluster.
- Asegúrese de comprender cómo configurar un FireCluster con los modelos M5600 y M4600 de Firebox.
Para más información, consulte Acerca de FireCluster con Interfaces Modulares - Asegúrese de comprender cómo configurar un FireCluster activo/pasivo con dispositivos FireboxV o XTMv.
Para más información, consulte Configurar un FireCluster en VMware ESXi.
Habilitar FireCluster
- En el WatchGuard System Manager, conéctese al Firebox que tenga la configuración que desea usar para el clúster. Este dispositivo se convierte en el clúster principal la primera vez que guarda la configuración con el FireCluster habilitado.
- Haga clic en .
O bien, seleccione Herramientas > Policy Manager.
Aparece el Policy Manager. - Seleccione FireCluster > Configurar.
Aparece el cuadro de diálogo Configuración de Clúster de FireCluster.
- Marque la casilla de selección Habilitar FireCluster.
- Seleccione el tipo de clúster que desea habilitar.
Habilitar clúster Activo/Pasivo
Habilita el clúster para alta disponibilidad, pero no para distribución de carga. Si elige esta opción, el clúster tiene un miembro activo que maneja todo el tráfico de red y un miembro pasivo que maneja solo el tráfico si ocurre una conmutación por error del otro miembro.
Habilitar clúster Activo/Activo
Habilitar el clúster para alta disponibilidad y distribución de carga. Si selecciona esa opción, el clúster equilibra la carga de tráfico en ambos miembros del clúster.
- Si seleccionó Habilitar clúster Activo/Activo, en la lista desplegable Método de balance de cargas, seleccione el método que se utilizará para balancear la carga del tráfico entre los clústeres miembros activos.
Conexión menor
Si selecciona esa opción, cada nueva conexión es asignada al miembro del clúster activo con el número mínimo de conexiones abiertas.
Operación por Turnos
Si selecciona esa opción, se distribuyen las conexiones entre los clústers miembros activos en una operación por turnos. La primera conexión se dirige a un miembro del clúster. La conexión siguiente se dirige a otro miembro del clúster, y así sucesivamente.
- En la lista desplegable ID del Clúster, seleccione un número para identificar este FireCluster.
El ID del clúster identifica singularmente ese FireCluster si hay más de un FireCluster activo en el mismo dominio de difusión de capa 2. Si solo tiene un clúster, y su red no tiene dispositivos HSRP o VRRP, puede usar el valor predeterminado.
Para un clúster activo/pasivo, el ID del Clúster determina las direcciones MAC virtuales (VMAC) usadas por las interfaces de los dispositivos agrupados en clúster. Si configura más de un FireCluster activo/pasivo en la misma subred, es importante que sepa cómo configurar la ID del Clúster para evitar un posible conflicto con la dirección MAC virtual.
Para más información, consulte ID del Clúster Activo/Pasivo y Dirección MAC Virtual.
Configurar interfaz
Cuando habilita el FireCluster, debe dedicar al menos una interfaz a la comunicación entre los miembros del clúster. Esto es llamado una interfaz de clúster. Cuando configure el hardware de clúster, conecte las interfaces de clúster principal de cada Firebox unas a otras. Puede configurar sólo una o dos interfaces de clúster. Con fines de redundancia, si tiene las interfaces disponibles, le recomendamos que configure dos interfaces de clúster en cada miembro: una principal y una de respaldo. Los clústers miembros usan interfaces de clúster para sincronizar continuamente toda la información necesaria para compartir carga y para hacer una conmutación por error transparente.
Le recomendamos una conexión de cable directa:
- Un cable entre las interfaces de clúster principales en cada miembro
- Otro cable entre las interfaces de clúster de respaldo en cada miembro
Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.
Debe deshabilitar cualquier interfaz no conectada a su red antes de guardar la configuración de FireCluster en el Firebox.
- En la lista desplegable Interfaz de clúster primaria, seleccione una interfaz para usar como interfaz primaria.
- Para usar una segunda interfaz de clúster, en la lista desplegable Interfaz de clúster de respaldo, seleccione una interfaz para usar como interfaz de respaldo.
- Seleccione una Dirección IP de interfaz para administración. Esa es la interfaz de red del Firebox usada para establecer una conexión directa con un dispositivo clúster con cualquier aplicación de administración de WatchGuard. No puede seleccionar una interfaz externa que usa PPPoE como la Interfaz para dirección IP de Administración. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.
Para más información, consulte Acerca de la Administración de Direcciones IP para FireCluster. - Revise la lista de interfaces monitorizadas. La lista de interfaces monitorizadas no incluye aquellas que configuró como interfaces de clúster principal y de respaldo. Por defecto, el FireCluster monitorea el estado del enlace para todas las interfaces habilitadas. Si el clúster principal detecta la pérdida de enlace de una interfaz monitorizada, éste empieza una conmutación por error.
- Para un clúster activo/pasivo, puede seleccionar cuáles interfaces activas monitorizar. Si no quiere monitorizar el estado del enlace de una interfaz habilitada como criterio para conmutación por error, desmarque la casilla de selección para esa interfaz en la columna Monitorizar Enlace.
Le recomendamos que configure el FireCluster para que monitoree el estado del enlace en todas las interfaces habilitadas.
El FireCluster activo/activo siempre monitorea el estado del enlace de todas las interfaces de red habilitadas. Para un FireCluster Activo/Activo, debe desactivar toda interfaz que no esté conectada a un conmutador de red.
Para desactivar una interfaz:
- En Policy Manager, seleccione Red > Configuración.
- Haga doble clic en la interfaz que desea deshabilitar.
- Establezca el Tipo de interfaz en Deshabilitado.
Si habilita una interfaz física o agrega una interfaz de Conjunto de Enlaces después de habilitar el FireCluster, esa interfaz se selecciona automáticamente como interfaz monitorizada en la configuración de FireCluster.
Configurar Miembros de FireCluster
- Seleccione la pestaña Miembros.
Aparecen las configuraciones de miembros de FireCluster.
Si importó anteriormente una llave de licencia en ese archivo de configuración, ese dispositivo es automáticamente configurado como Miembro 1.
Si no tiene una llave de licencia en ese archivo de configuración, el miembro de FireCluster no aparece en la lista. En ese caso, debe agregar cada dispositivo como miembro e importar el archivo de configuración para cada dispositivo, tal como se describe en los siguientes pasos.
- Para agregar un miembro, haga clic en Agregar.
Aparece el diálogo Agregar miembro.
- En el cuadro de texto Nombre de Miembro, escriba un nombre. Ese nombre identifica ese dispositivo en la lista de miembros.
- Seleccione la pestaña Llave de Licencia.
- Haga clic en Importar.
Aparece el cuadro de diálogo Importar Llave de Licencia de Firebox. - Para encontrar el archivo de la llave de licencia, haga clic en Examinar.
O bien copie el texto del archivo de la llave de licencia y haga clic en Pegar para insertarlo en el cuadro de diálogo. Para más información, consulte Acerca de las Llaves de Licencia y el FireCluster. - Haga clic en Aceptar.
- Seleccione la pestaña Configuración.
El campo Número de serie se completa de forma automática con el número de serie de la llave de licencia. - En la sección Dirección IP de Interfaz, escriba las direcciones que se usarán para cada interfaz del clúster y la dirección IP de la interfaz de administración.
- En el cuadro de texto Clúster primario, escriba la dirección IP que se usará para la interfaz de clúster primario. La dirección IP para la interfaz del clúster principal debe estar en la misma subred que cada miembro del clúster. El miembro del clúster con la dirección IP más alta asignada a la interfaz del clúster principal se convierte en el principal, si ambos dispositivos inician al mismo tiempo.
- En el cuadro de texto Clúster de respaldo, escriba la dirección IP que se usará para la interfaz de clúster de respaldo. Esa opción solo aparece si configuró una interfaz de clúster de resguardo. La dirección IP para la interfaz del clúster de resguardo debe estar en la misma subred para cada miembro del clúster.
Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.
- En la sección Administración, en el cuadro de texto IPv4, escriba la dirección IP para usar para conectar un miembro del clúster individual para operaciones de mantenimiento. La interfaz para administración no es una interfaz exclusiva. También es utilizada para otro tráfico de red. Debe especificar una dirección IP de administración diferente para cada miembro del clúster. La dirección IP IPv4 de administración debe ser una dirección IP sin utilizar. Recomendamos que use una dirección IP en la misma subred que la dirección IPv4 asignada a la interfaz. También debe encontrarse en la misma subred que el WatchGuard Log Server o el servidor syslog a los que su FireCluster envía los mensajes de registro.
- Si la interfaz que seleccionó como la Interfaz para dirección IP de administración tiene IPv6 habilitado, también puede configurar una dirección IP de administración IPv6. En la sección Administración, en el cuadro de texto IPv6, escriba la dirección IPv6 que se usará para conectar un miembro del clúster individual para operaciones de mantenimiento. La dirección IP de administración IPv6 debe ser una dirección IP sin utilizar. Le recomendamos que use una dirección IP con el mismo prefijo que una dirección IP IPv6 asignada a la interfaz.
Para obtener más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.
No establezca la dirección IP del clúster Primario o de Respaldo a la dirección IP predeterminada de alguna interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1-10.0.26.1. Las direcciones IP del clúster Primarias y de Respaldo no deben utilizarse para nada más en su red, tal como direcciones IP virtuales para Mobile VPN o las direcciones IP usadas por redes remotas para sucursales. Cuando se produce la conmutación por error del clúster, un miembro del clúster entra brevemente en modo seguro antes de asumir el control. Si la interfaz de su clúster está configurada para usar una de las direcciones IP de interfaz predeterminadas de fábrica, puede ocurrir un conflicto durante este breve período, lo que puede hacer que falle la conmutación por error.
- Haga clic en Aceptar.
El dispositivo agregado aparece en la pestaña Miembros como un miembro del clúster. - Repita los pasos anteriores para agregar el segundo dispositivo a la configuración del clúster.
Si desea que el segundo dispositivo sea encontrado y agregado al clúster automáticamente, no guarde la configuración en el dispositivo hasta que inicie el segundo dispositivo con la configuración de fábrica.
- Inicie el segundo dispositivo con las configuraciones predeterminadas de fábrica.
Use las instrucciones de restablecimiento de su modelo de Firebox. Para más información, consulte Restablecer un Firebox.
Para cualquier dispositivo XTM que tiene una pantalla LCD, inicie el dispositivo en modo seguro
Para iniciar en modo seguro, presione y mantenga el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo. Mantenga presionada la flecha hacia abajo hasta que aparezca Inicio en Modo Seguro... en la pantalla LCD. Cuando el dispositivo está en modo seguro, el número del modelo seguido de la palabra safe aparece en la pantalla LCD.
Si usa la command line interface (CLI), puede usar el comando restore factory-default para restablecer rápidamente el segundo dispositivo a los ajustes predeterminados de fábrica sin reiniciar.
- Guarde el archivo de configuración en el clúster principal.
Se crea el clúster. El clúster principal automáticamente descubre al otro dispositivo por el número de serie que coincide con el número de serie en la llave de licencia que agregó a la configuración del clúster
Después de activar el clúster, se puede monitorizar el estado de los miembro del clústers en la pestaña Firebox System Manager Panel frontal.
Para más información, consulte Monitorizar y Controlar Miembros de FireCluster.
Si guarda la configuración al clúster principal antes de iniciar el segundo dispositivo en modo seguro, el clúster principal no encuentra automáticamente el segundo dispositivo. Si el segundo dispositivo no es encontrado automáticamente, usted puede propiciar manualmente la detección del dispositivo como se describe en Encontrar un Miembro del Clúster.