Acerca de FireCluster en WatchGuard Cloud

Se aplica A: Fireboxes administrados en la nube Este tema se aplica a los Fireboxes que configura en WatchGuard Cloud., Fireboxes administrados localmente Este tema se aplica a los Fireboxes que configura en Policy Manager o Fireware Web UI.

Para aumentar el rendimiento y la escalabilidad de la red, puede configurar un FireCluster. FireCluster es la solución de alta disponibilidad (HA) para los Fireboxes de WatchGuard.

Un FireCluster incluye dos Fireboxes configurados como miembros del clúster. Si un miembro activo del clúster falla, el miembro pasivo del clúster asume la operación.

Cuando agrega un FireCluster a WatchGuard Cloud, selecciona cómo administrar el FireCluster:

• Administrado en la Nube — Con esta opción, usa WatchGuard Cloud para toda la administración, monitorización y generación de informes de configuración de FireCluster.
• Administrado Localmente — Con esta opción, puede usar WatchGuard Cloud para la monitorización y generación de informes de FireCluster. También puede actualizar, conmutar por error y reiniciar el FireCluster en WatchGuard Cloud. Para administrar la configuración del FireCluster, debe usar WatchGuard System Manager, Fireware Web UI o la CLI.

Este tema explica:

• Requisitos
• Configuraciones de clúster
• Conmutación por Error
• Roles del miembro
• Funciones del Firebox compatibles
• Cómo agregar un FireCluster
• Cómo administrar y monitorizar un FireCluster

Requisitos

Antes de agregar un FireCluster administrado en la nube, conozca los requisitos y planifique su configuración.

Para obtener información sobre los requisitos del FireCluster, consulte Antes de Configurar un FireCluster Administrado en la Nube en WatchGuard Cloud.

Modo de Clúster

En WatchGuard Cloud, puede agregar:

• Un FireCluster administrado en la nube en modo activo/pasivo
• Un FireCluster administrado localmente en modo activo/pasivo o activo/activo

En un clúster activo/pasivo, un miembro del clúster está activo mientras que el otro está pasivo.El miembro del clúster activo maneja todo el tráfico de red.El miembro del clúster pasivo monitoriza activamente el estado del miembro del clúster activo. Todo el tráfico de las interfaces de tráfico en cualquiera de los miembros del clúster se envía a ambos miembros del clúster. Esto ocurre porque los miembros del clúster comparten la misma dirección mac virtual (VMAC).

Si falla el miembro activo del clúster, el miembro pasivo del clúster asume las conexiones asignadas al miembro fallido del clúster. El miembro pasivo del clúster se convierte en el miembro activo del clúster. Este proceso se conoce como conmutación por error.

Todos los FireClusters administrados en la nube utilizan el modo activo/pasivo. No puede configurar un FireCluster administrado en la nube para utilizar el modo activo/activo. Para más información acerca del modo activo/activo en un FireCluster administrado localmente, consulte Acerca de FireCluster.

Topología

Este diagrama muestra las conexiones para una configuración simple de un FireCluster administrado en la nube.

Este diagrama muestra las conexiones para la configuración de un FireCluster administrado en la nube y múltiples redes internas.

Conmutación por Error

Cuando un miembro del clúster genera error, el clúster conmuta por error y mantiene:

• Conexiones de filtrado de paquetes
• Túneles BOVPN administrados
• Sesiones del usuario

Cuando ocurre la conmutación por error, estas conexiones pueden desconectarse:

• Conexiones de proxy
• Conexiones de Mobile VPN

Posiblemente los usuarios de Mobile VPN deban reiniciar manualmente la conexión de VPN después de una conmutación por error.

Algunos eventos hacen que un FireCluster conmute automáticamente por error. Para más información sobre la conmutación por error automática para los FireClusters administrados en la nube, consulte Acerca de la Conmutación por Error del FireCluster.

En WatchGuard Cloud, puede forzar manualmente la conmutación por error de un FireCluster. Para más información acerca de la conmutación por error manual, consulte Conmutación por Error de un FireCluster en WatchGuard Cloud.

Roles del Miembro

Es importante comprender los roles que cada Firebox puede desempeñar en el clúster.

Maestro del clúster

Este miembro del clúster asigna flujos de tráfico de red a clústers miembros y responde a todas las solicitudes de sistemas externos, tal como el WatchGuard Cloud, SNMP, DHCP, ARP, protocolos de enrutamiento e IKE. Cuando configura o modifica la configuración del clúster, se guarda la configuración del clúster en el maestro del clúster. El maestro del clúster puede ser cualquiera de los dispositivos. El primer dispositivo en un clúster a encenderse se vuelve el maestro del clúster.

Maestro de respaldo

Este miembro del clúster sincroniza toda la información necesaria con el maestro del clúster, para que pueda convertirse en el maestro del clúster en caso de que éste falle. En un clúster activo/pasivo, el maestro del clúster de respaldo es pasivo.

Miembro activo

Éste puede ser cualquier miembro del clúster que actualmente maneje el flujo de tráfico. En un clúster activo/pasivo, el maestro del clúster es el único dispositivo activo.

Miembro pasivo

Un Firebox en un clúster activo/pasivo que no maneja flujos de tráfico de red excepto si ocurre una conmutación por error de un dispositivo activo. En un clúster activo/pasivo, el miembro pasivo es el maestro del clúster de respaldo.

Funciones del Firebox Compatibles

Cuando el FireCluster está habilitado, sus Fireboxes continúan admitiendo estas funciones:

• Redes secundarias en interfaces internas, externas y de invitado
• Conexiones de multi-WAN
• VLAN

La conmutación por error de multi-WAN provocada por una conexión con fallas hacia un host de monitorización de enlaces no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde.

Para obtener información sobre las funciones no compatibles con un FireCluster administrado en la nube, consulte Funciones no Admitidas para un FireCluster Administrado en la Nube.

Agregar un FireCluster

Puede agregar un FireCluster administrado en la nube o administrado localmente en WatchGuard Cloud. Si agrega un FireCluster administrado localmente a WatchGuard Cloud para más visibilidad, puede cambiar el tipo de administración a administrado en la nube más adelante.

Para obtener más información, consulte:

• Cómo Agregar un FireCluster Administrado en la Nube
• Agregar un FireCluster Administrado Localmente a WatchGuard Cloud
• Cambiar el Tipo de Administración del FireCluster

Para un FireCluster administrado en la nube, ambos Fireboxes deben ejecutar Fireware v12.8.2 o superior (o v12.5.11 o superior para los Fireboxes T30, T35, T50, M200 y M300).

Administrar y Monitorizar un FireCluster

Para los FireClusters administrados en la nube y administrados localmente, puede utilizar WatchGuard Cloud para:

• Actualizar un FireCluster en WatchGuard Cloud
• Reiniciar un Miembro del Clúster en WatchGuard Cloud
• Conmutación por Error de un FireCluster en WatchGuard Cloud
• Monitorizar un FireCluster
• Administrar la Generación de Registros del FireCluster en WatchGuard Cloud
• Cambiar el Tipo de Administración del FireCluster
• Eliminar un FireCluster de WatchGuard Cloud

Para clústeres administrados en la nube, también puede:

• Editar los ajustes del FireCluster
• Configurar un Reemplazo de RMA para un Miembro de FireCluster Administrado en la Nube