Antes de Configurar un FireCluster

Antes de configurar un FireCluster, asegúrese de comprender los requisitos y restricciones.

Para obtener información sobre las funciones no compatibles con un FireCluster, consulte Funciones no soportadas por FireCluster.

Verificar los Requisitos

Requisitos Generales

La latencia de la red entre los miembros del clúster debe ser inferior a 100 ms.

Requisitos del Modo de Red

  • Para configurar un clúster activo/pasivo, las interfaces de su red deben estar configuradas en modo de enrutamiento combinado o modo drop-in.
  • Para configurar un clúster activo/activo, las interfaces de su red deben estar configuradas en modo de enrutamiento combinado. El FireCluster no soporta modo de red en puente.

Para obtener más información acerca de los modos de red, consulte Acerca de las Interfaces y los Modos de Red.

Fireware, Llave de Licencia y Requisitos de Licencia

  • Asegúrese de que la misma versión de Fireware está instalada en cada Firebox.
  • Asegúrese de tener la llave de licencia para cada Firebox guardada en un archivo local. Para más información, consulte Obtener una Llave de Licencia del Firebox.
  • En el caso de un clúster activo/activo, recomendamos que todos los Fireboxes tengan licencias activas para los mismos servicios de suscripción opcional, tal como el WebBlocker o el Gateway AntiVirus.

Para más información, consulte Acerca de las Llaves de Licencia y el FireCluster.

Requisitos de Hardware y Cableado

Asegúrese de tener:

  • Dos Firebox activados con el mismo número de modelo. El modelo de Firebox debe ser uno de los Modelos Admitidos por FireCluster.
  • Los mismos módulos de interfaz instalados en cada Firebox (solamente M4600 y M5600).
  • Un cable Ethernet para cada interfaz de clúster. Puede usar un cable recto o cruzado. Si configura una interfaz de clúster de respaldo, debe usar dos cables.
  • Un conmutador de red para cada interfaz de confianza, opcional, personalizada o externa admitida.
  • Cables ethernet para conectar las interfaces de ambos dispositivos a los conmutadores de red.

Si los Fireboxes que desea colocar en el clúster tienen interfaces modulares o una actualización de modelo, consulte Acerca de FireCluster con Interfaces Modulares.

Requisitos Inalámbricos

Para requisitos y restricciones para dispositivos inalámbricos, consulte Acerca de FireCluster con Modelos Inalámbricos.

Requisitos de la Máquina Virtual (VM)

FireCluster en un entorno de VMware funciona como se espera solo si se cumplen todos los requisitos. Para más información, consulte Configurar un FireCluster en VMware ESXi.

FireCluster no es compatible con Hyper-V.

Todos los clientes protegidos por el clúster deben poder comunicarse con ambos miembros del clúster. VMware no envía tráfico de clientes en el mismo host ESXi que un miembro del clúster al otro miembro del clúster en otro host ESXi. Para más información, consulte Configurar un FireCluster en VMware ESXi.

Verificar la Configuración de la Interfaz Externa

Antes de poder configurar un FireCluster, debe asegurarse de que la configuración de la interfaz externa sea compatible con el tipo de FireCluster que quiere usar.

  • FireCluster Activo/activo — Cada interfaz externa debe tener una dirección IP estática. No puede habilitar un FireCluster activo/activo si la interfaz externa está configurada para usar DHCP o PPPoE.
  • FireCluster Activo/Pasivo — Cada interfaz externa debe tener una dirección IP estática o configurarse para PPPoE o DHCP.

Para obtener más información acerca de cómo configurar las interfaces externas, consulte Configurar una interfaz externa.

Verificar las Configuraciones del Enrutador y del Conmutador de Red

En la configuración de FireCluster activo/activo, las interfaces de red para el clúster usan direcciones MAC multicast. Antes de habilitar un FireCluster activo/activo, asegúrese de que los enrutadores de red y otros dispositivos estén configurados para enrutar adecuadamente el tráfico desde y hacia las direcciones MAC multicast.

Debe tener un conmutador de red o una VLAN para cada interfaz de tráfico activa.

Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.

Para un clúster activo/activo, todos los conmutadores y enrutadores de un dominio de difusión de FireCluster activo/activo deben cumplir los requisitos que se especifican en Requisitos de Conmutador y Enrutador para un FireCluster Activo/Activo.

Para un clúster activo/activo, debe conocer la dirección IP y la dirección MAC de cada conmutador de capa 3 conectado con el clúster. Después, se pueden agregar entradas ARP estáticas para estos dispositivos de red a la configuración de FireCluster. Para más información, consulte Agregar Entradas ARP Estáticas para un FireCluster Activo/Activo.

Este paso no es necesario para un clúster activo/pasivo porque un clúster activo/pasivo no usa direcciones MAC multicast.

Seleccionar Direcciones IP para Interfaces del Clúster

Recomendamos que haga una tabla con las direcciones de red que planea usar para las interfaces de clúster y la interfaz para la dirección IP de administración. Para evitar conflictos con las direcciones IP enrutables, le recomendamos asignar una subred privada dedicada en cada interfaz de clúster, o usar enlaces-direcciones IP locales que empiecen con 169.254. Si usa enlaces-direcciones IP locales, encontrará útil definir sus direcciones IP de interfaz de clúster de la siguiente manera:

169.254.<número de interfaz>.<número de interfaz>/24

El asistente de instalación de FireCluster le pide que ajuste individualmente estas configuraciones para cada miembro del clúster. Si planea las interfaces y las direcciones IP de antemano, es más fácil configurar estas interfaces con el asistente. Por ejemplo, algo como lo siguiente:

Número de interfaz y direcciones IP para un FireCluster
  N.° de interfaz Dirección IP para el Miembro 1 Dirección IP para Miembro 2
Interfaz de clúster primario 5 169.254.5.1/24 169.254.5.2/24
Interfaz de clúster de respaldo 6 169.254.6.1/24 169.254.6.2/24
Interfaz de Administración 1 10.0.10.100/24 10.0.10.102/24

Interfaz de clúster primario

Esta es la interfaz exclusiva para la comunicación principal entre los clústers miembro. Esta interfaz no es usada para tráfico de red regular. Si tiene una interfaz configurada como interfaz VLAN dedicada, no elija esa interfaz como una interfaz de clúster dedicada.

Las direcciones IP de la interfaz principal para ambos clústeres miembros deben estar en la misma subred.

Para un FireCluster Firebox M5600, le recomendamos elegir la interfaz 32 como la interfaz de clúster principal. Para más información, consulte Acerca de FireCluster con Interfaces Modulares.

Interfaz del clúster de respaldo (opcional, pero recomendado)

Esta es la interfaz secundaria para la comunicación principal entre los clústers miembro. Los clústeres miembros usan la interfaz de clúster de respaldo para comunicarse si la interfaz de clúster primario no está disponible. Para redundancia, recomendamos que use dos interfaces de clúster.

Las direcciones IP de la interfaz de respaldo para ambos clústeres miembros deben estar en la misma subred.

No establezca la dirección IP del clúster Primario o de Respaldo a la dirección IP predeterminada de alguna interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1-10.0.26.1. Las direcciones IP del clúster Primarias y de Respaldo no deben utilizarse para nada más en su red, tal como direcciones IP virtuales para Mobile VPN o las direcciones IP usadas por redes remotas para sucursales. Cuando se produce la conmutación por error del clúster, un miembro del clúster entra brevemente en modo seguro antes de asumir el control. Si la interfaz de su clúster está configurada para usar una de las direcciones IP de interfaz predeterminadas de fábrica, puede ocurrir un conflicto durante este breve período, lo que puede hacer que falle la conmutación por error.

Interfaz para dirección IP de administración

Ésta es una interfaz usada para establecer una conexión directa con un dispositivo clúster desde cualquier aplicación de administración de WatchGuard. Debe encontrarse en la misma subred que el servidor al que el Firebox envía los mensajes de registro.

Las direcciones IP de administración de cada miembro del clúster debe ser una dirección IP no utilizada en la misma subred como la dirección asignada a la interfaz configurada como la Interfaz para la dirección IP de administración.

Si la dirección IP de administración de la Interfaz tiene IPv6 habilitado, también puede configurar una dirección IP de administración IPv6 para cada miembro del clúster.

Para más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.

Para dispositivos inalámbricos, la interfaz de clúster primario, la interfaz de clúster de respaldo y la interfaz para dirección IP de administración no pueden ser una interfaz que está conectada a una red inalámbrica. Para más información, consulte Acerca de FireCluster con Modelos Inalámbricos.

Después de verificar todos los requisitos, puede Configurar FireCluster.

Ver También

Acerca de FireCluster

Configurar FireCluster con el Asistente Setup Wizard

Configurar el FireCluster Manualmente

Diagnósticos de FireCluster