Inicio Rápido — Configurar un FireCluster

Antes de configurar un FireCluster, asegúrese de tener estos componentes:

• Dos Firebox activados con el mismo número de modelo
• La misma versión de Fireware instalada en cada Firebox
• Los mismos módulos de interfaz instalados en cada Firebox (solamente M4600 y M5600)
• La llave de licencia para cada Firebox, guardada en un archivo local. Para más información, consulte Obtener una Llave de Licencia del Firebox.
• Un cable Ethernet para cada interfaz de clúster. Puede usar un cable recto o cruzado. (Si configura una interfaz de clúster de respaldo, debe usar dos cables).
• Un conmutador de red para cada interfaz de confianza, opcional, personalizada o externa admitida
• Cables ethernet para conectar las interfaces de ambos dispositivos a los conmutadores de red

Para asegurarse de que los dos Firebox ejecuten la misma versión de Fireware OS, podría ser necesario establecer el segundo Firebox por separado con una configuración básica, agregar la llave de licencia y actualizar Fireware OS a la misma versión que el primer Firebox. Cuando forme el clúster, restablezca el segundo dispositivo a las configuraciones predeterminadas de fábrica. El proceso de restablecimiento reinicia los ajustes a la configuración predeterminada de fábrica y elimina la llave de licencia, pero no cambia la versión instalada de Fireware OS.

Antes de habilitar FireCluster, usted configura un Firebox con la configuración de red y de política que desea que el clúster use. Asegúrese de que los ajustes de configuración cumplan con los requisitos para el tipo de FireCluster que desea habilitar.

Requisitos para un FireCluster activo/pasivo

• El Firebox debe tener al menos una interfaz sin utilizar para usar como la interfaz de clúster dedicada.
• El Firebox debe estar configurado en Modo de Enrutamiento Combinado o en Modo Directo.
• La interfaz externa debe tener una dirección IP estática o estar configurada para PPPoE. En Fireware v11.12 o superior, la interfaz externa puede configurarse para DHCP.
• Todas las interfaces sin usar deben estar deshabilitadas.

Requisitos para un FireCluster activo/activo:

• El Firebox debe tener al menos una interfaz sin utilizar para su usar como la interfaz de clúster.
• El Firebox debe estar configurado en Modo de Enrutamiento Combinado.
• La interfaz externa debe tener una dirección IP estática.
• Todas las interfaces sin usar deben estar deshabilitadas.
• El servicio inalámbrico debe estar deshabilitado en el Firebox. (puede usar un dispositivo AP inalámbrico de WatchGuard que esté conectado)
• Los conmutadores y enrutadores deben configurarse para enrutar el tráfico con direcciones MAC multicast. Para más información, consulte Requisitos de Conmutador y Enrutador para un FireCluster Activo/Activo.
• Si lo requieren sus conmutadores, agregue entradas ARP estáticas a la configuración de Firebox para cada conmutador de red capa 3. Para más información, consulte Agregar Entradas ARP Estáticas para un FireCluster Activo/Activo.
• Los servicios de suscripción deben estar activados para ambos miembros del clúster. Para más información, consulte Acerca de las Llaves de Licencia y el FireCluster.

Existen algunas limitaciones de configuración para un FireCluster. Antes de habilitar un FireCluster, consulte Funciones no soportadas por FireCluster.

Identifique la ID del clúster, las interfaces y las direcciones IP que utilizará en la configuración del FireCluster.

• ID del Clúster — Debe configurar una ID de Clúster para cada FireCluster. Para un FireCluster activo/pasivo, la ID del Clúster se utiliza para generar direcciones MAC virtuales (VMAC) para las interfaces. Si la red tiene más de un FireCluster, o tiene dispositivos que utilizan HSRP o VRRP, asegúrese de seleccionar una ID del Clúster que no cree un conflicto de direcciones MAC. Para más información, consulte ID del Clúster Activo/Pasivo y Dirección MAC Virtual.
• Interfaces de Clúster — Identifique qué interfaces usar como interfaz del clúster primario y del clúster de respaldo. Cada interfaz de clúster es exclusiva para la comunicación entre los miembros del clúster. La interfaz de clúster de respaldo es opcional. Para cada interfaz del clúster, debe configurar una dirección IP en la misma subred para cada miembro del clúster. Le recomendamos que asigne direcciones IP en una subred privada dedicada, o utilice los enlace-direcciones IP locales. Encontrará útil definir sus interfaces de clúster con enlaces-direcciones IP locales de la siguiente manera: 169.254.<número de interfaz>.<número de interfaz>/24

• Interfaces de Administración del Clúster — Identifique la interfaz que generalmente utiliza para conectarse al Firebox para la administración. A menudo esta es la interfaz de confianza. Para cada miembro del clúster, debe configurar una dirección IP de Administración para esa interfaz. Le recomendamos seleccionar direcciones IP en la misma subred que la dirección IP de la interfaz.

Las interfaces de administración de clúster son utilizadas por el clúster principal para administrar el clúster. Asegúrese de que la interfaz de administración del clúster de ambos miembros del clúster esté conectada a un conmutador común en todo momento. Para más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.

Por ejemplo, sus ajustes de configuración planificados para el FireCluster pueden verse así:

Para más información sobre estas configuraciones, consulte Antes de Configurar un FireCluster.

Con el segundo dispositivo apagado, conecte los dos dispositivos entre sí y a sus conmutadores de red. Este diagrama muestra las conexiones para un FireCluster con una interfaz de clúster, una interfaz de confianza y una interfaz externa.

Para conectar su hardware de FireCluster:

1. Apague el Firebox que desee agregar al clúster.
2. Use un cable Ethernet (recto o cruzado) para conectar la interfaz de clúster principal en un Firebox a la interfaz de clúster principal del otro Firebox.
3. Si planea habilitar una interfaz de clúster de respaldo, use un segundo cable Ethernet para conectar interfaces de clúster de respaldo.
4. Conecte la interfaz externa de cada Firebox a un conmutador de red o a una VLAN. Si usa multi-WAN, conecte la segunda interfaz externa de cada Firebox a otro conmutador de red.
5. Conecte la interfaz de confianza de cada Firebox a un conmutador de red interno o a una VLAN.
6. Conecte cada una de las otras interfaces habilitadas de confianza u opcionales de red en cada Firebox a un conmutador de red o a una VLAN.
   Debe conectar cada par de interfaces habilitadas a un conmutador independiente.
7. Conecte su equipo al conmutador en la red de confianza.

Si la interfaz 1 tiene la dirección IP predeterminada 10.0.1.1, no conecte la interfaz 1 del segundo dispositivo al conmutador hasta después de que se haya formado el clúster. Esto evita un conflicto temporal de dirección IP cuando inicia el segundo dispositivo con la configuración de fábrica.

Use el FireCluster Setup Wizard en el Policy Manager para habilitar el FireCluster y configurar sus ajustes planificados. Asegúrese de que tiene la llave de licencia para ambos dispositivos en un archivo de texto antes de iniciar el asistente.

1. En el WatchGuard System Manager, conéctese al Firebox configurado que desee habilitar como el primer miembro del FireCluster.
2. Inicie el Policy Manager.
3. Seleccione FireCluster > Configuración para iniciar el FireCluster Setup Wizard.
4. Seleccione el tipo de clúster que desea habilitar (Activo/Activo o Activo/Pasivo)
5. Seleccione el ID del Clúster.
   
6. Si seleccionó Activo/Activo, seleccione el Método balance de carga.
   • Menos conexiones asigna nuevas conexiones al miembro con el menor número de conexiones.
   • Operación por turno asigna nuevas conexiones alternativamente para cada uno de los dos miembros.
7. Seleccione las interfaces que usará como interfaces de clúster Principal y de Respaldo.
   Estas son las interfaces que conectará directamente con el cable Ethernet.
8. Seleccione IP de Interfaz para Administración.
9. Para cada Firebox, configure estas propiedades, que son únicas para cada miembro:
   • Llave de Licencia — Para el primer miembro, la llave de licencia del dispositivo se incluye automáticamente. Pegue el texto de la llave de licencia en el asistente para el segundo dispositivo.
   • Nombre del Miembro — Identifica cada dispositivo. Los nombres predeterminados son Miembro1 y Miembro2
   • Direcciones IP — Utilice las direcciones IP de interfaz y administración del clúster planificadas con anterioridad.

10. Haga clic en Finalizar.
    Aparece el cuadro de diálogo Configuración de FireCluster.
    
11. En la sección Configuraciones de Interfaz, revise la lista de interfaces monitorizadas.
    Le recomendamos que monitoree el estado del enlace en todas las interfaces habilitadas.
12. Para un FireCluster activo/activo, deshabilite las interfaces que no estén conectadas a su red.

Todavía no guarde la configuración al Firebox.

Para que el clúster principal descubra el segundo Firebox, debe restablecer el segundo Firebox a la configuración por defecto de fábrica. El proceso de restablecimiento restablece la configuración y elimina la llave de licencia, pero no cambia la versión instalada de Fireware OS.

Para restablecer un dispositivo Firebox T Series a la configuración predeterminada de fábrica:

1. Apague el Firebox.
2. Presione y mantenga presionado el botón Restablecer en la parte trasera del Firebox.
3. Mientras continúa presionando el botón Restablecer, encienda el Firebox.
4. Continúe presionando el botón Restablecer hasta que el indicador Attn comience a parpadear.
5. Suelte el botón Restablecer. No apague el Firebox todavía.
   
6. Espere que se complete el proceso de restablecimiento. Esto puede tomar unos 70 segundos. Cuando se ha completado el restablecimiento, el indicador Attn permanece encendido y no parpadea.
7. Apague el Firebox.
8. Encienda el Firebox.
   El Firebox se reinicia con los ajustes predeterminados de fábrica.

Para restablecer las configuraciones predeterminadas de fábrica de un Firebox M200 o M300:

1. Encienda el Firebox.
2. Espere a que el indicador Arm ( ) se ponga de color verde.
3. Presione y mantenga presionado el botón Restablecer en la parte delantera del dispositivo.
   Después de cinco segundos, el indicador Arm se pone de color rojo.
4. Continúe presionando el botón Restablecer mientras el indicador Arm esté de color rojo o no esté encendido.
   Después de 40 segundos, el indicador Arm comienza a parpadear en color verde.
5. Continúe presionando el botón Restablecer mientras el indicador Arm parpadee en color verde una vez por segundo.
6. Después de que el indicador Arm comience a parpadear en color verde dos veces por segundo, suelte el botón Restablecer.
7. Espere hasta que el indicador Arm comience a parpadear en color rojo.
8. Presione y mantenga presionado el botón Restablecer durante cinco segundos para reiniciar el dispositivo.
   El Firebox se reinicia con los ajustes predeterminados de fábrica.

Para restablecer un Firebox M270, M370, M400, M470, M500, M570, M670, M4600, M4800, M5600, o M5800 a los ajustes predeterminados de fábrica:

Antes de restablecer un Firebox M5600, asegúrese de que tiene un módulo de interfaz instalado en la ranura A. Para obtener más información, consulte Acerca de las Interfaces Modulares.

1. Apague el Firebox.
2. Presione y mantenga presionado el botón Restablecer en la parte delantera izquierda del dispositivo y presione brevemente el botón de Encendido en la parte delantera del dispositivo para encenderlo.
   El indicador Arm se pone de color rojo.
3. Continúe presionando el botón Restablecer mientras el indicador Arm ( ) esté de color rojo.
   El indicador Arm comienza a parpadear en color verde.
4. Continúe presionando el botón Restablecer mientras el indicador Arm parpadee en color verde una vez por segundo.
5. Después de que el indicador Arm comience a parpadear en color verde dos veces por segundo, suelte el botón Restablecer.
6. Espere hasta que el indicador Arm comience a parpadear en color rojo.
7. Presione y mantenga pulsado el botón de Encendido durante cinco segundos para apagar el dispositivo.
8. Presione brevemente el botón de Encendido en la parte delantera del dispositivo para encenderlo.
   El Firebox se reinicia con los ajustes predeterminados de fábrica.

Para restablecer las configuraciones predeterminadas de fábrica de un Firebox M440:

1. Apague el Firebox.
2. Presione y mantenga presionado el botón Restablecer en la parte delantera izquierda del dispositivo y presione brevemente el botón de Encendido en la parte delantera del dispositivo para encenderlo.
3. Continúe presionando el botón Restablecer hasta que el indicador Attn comience a parpadear.
4. Suelte el botón Restablecer.
5. Espere hasta que el indicador Attn permanezca encendido y no parpadee.
6. Presione y mantenga presionado el botón de Encendido durante tres segundos para apagar el dispositivo.
7. Presione brevemente el botón de Encendido en la parte delantera del dispositivo para encenderlo.
   El Firebox se reinicia con los ajustes predeterminados de fábrica.

Para restablecer las configuraciones predeterminadas de fábrica de cualquier dispositivo XTM con pantalla LCD (modo seguro):

1. Apague el dispositivo XTM.
2. Presione y mantenga presionado el botón de flecha abajo en el panel delantero mientras enciende el dispositivo.
3. Continúe presionando el botón flecha abajo hasta que aparezca el mensaje Inicio en Modo Seguro en la pantalla LCD.

Cuando el dispositivo XTM se inicia en modo seguro, la pantalla LCD muestra el número del modelo seguido de la palabra seguro. Cuando inicia un dispositivo en modo seguro:

• El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas de fábrica. En modo seguro, la dirección IP de la interfaz 1 es 10.0.1.1.
• No se quita la llave de licencia actual. Si ejecuta el asistente Quick Setup Wizard para crear una nueva configuración, el asistente usa la llave de licencia previamente instalada en el equipo.
• Su configuración actual sólo se elimina cuando guarda un nuevo archivo de configuración en el Dispositivo XTM. Si reinicia el dispositivo antes de guardar una nueva configuración, el dispositivo utilizará su configuración actual.

Para cualquier dispositivo XTM que tenga una pantalla LCD, inicie el dispositivo en modo seguro.

1. Presione y mantenga pulsado el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo XTM.
2. Mantenga presionada la flecha hacia abajo hasta que aparezca Inicio en Modo Seguro... en la pantalla LCD.
   Cuando el dispositivo XTM está en modo seguro, el número del modelo seguido de la palabra seguro aparece en la pantalla LCD.

Desde Policy Manager, seleccione Archivo > Guardar > A Firebox.

Este Firebox se convierte en el clúster principal cuando guarda la configuración con el FireCluster habilitado en el Firebox. Cuando FireCluster se habilita por primera vez, el clúster principal utiliza la interfaz de clúster para descubrir automáticamente al otro miembro del clúster.

Cuando el clúster principal descubre un dispositivo conectado con la configuración por defecto de fábrica, verifica que el número de serie coincida con el número de serie en la configuración FireCluster y, a continuación, envía la configuración del clúster al segundo dispositivo. El segundo dispositivo luego se une al clúster y sincroniza todo el estado del clúster con el clúster principal.

Después de habilitar FireCluster, utilice Firebox System Manager para verificar el estado de los miembros del clúster. Si es necesario, puede activar manualmente la detección del segundo miembro del clúster.

1. Conéctese al clúster con Firebox System Manager.
2. En la pestaña Panel Delantero, expanda el clúster para ver el estado de los miembros del clúster. Para más información, consulte Monitorizar y Controlar Miembros de FireCluster.

Si el segundo Firefox no se agrega automáticamente al clúster:

1. Asegúrese de que las interfaces de clúster principales de ambos dispositivos estén conectadas.
2. Asegúrese de que el segundo Firebox se inicie con la configuración de fábrica.
3. Seleccione Herramientas > Clúster > Detectar Miembro para activar manualmente la detección del segundo miembro del clúster. Para más información, consulte Encontrar un Miembro del Clúster.