Antes de Configurar un FireCluster Administrado en la Nube en WatchGuard Cloud

Se aplica A: Fireboxes administrados en la nube

Antes de configurar un FireCluster administrado en la nube en WatchGuard Cloud, asegúrese de:

Para conocer los requisitos que se aplican a los FireClusters administrados localmente en WatchGuard Cloud, consulte Agregar un Firebox Administrado Localmente a WatchGuard Cloud y Antes de Configurar un FireCluster.

Aprender sobre la Compatibilidad de Funciones

FireCluster no admite todas las funciones del Firebox. Para más información, consulte Funciones no Admitidas para un FireCluster Administrado en la Nube.

Verificar los Requisitos

Para agregar un FireCluster administrado en la nube en WatchGuard Cloud, debe usar una de estas opciones:

  • Método 1 — Agregar dos Fireboxes con los ajustes predeterminados de fábrica como un FireCluster administrado en la nube.
  • Método 2 — Cambiar un FireCluster activo/pasivo administrado localmente a la administración en la nube.

Los FireClusters administrados en la nube funcionan en modo activo/pasivo. No puede agregar un FireCluster administrado en la nube activo/activo.

Para obtener más información acerca de estas opciones, consulte Cómo Agregar un FireCluster Administrado en la Nube.

Requisitos de la Cuenta WatchGuard Cloud

Debe asegurarse de:

  • Activar ambos Fireboxes en su WatchGuard Portal account.
  • Asignar uno de los Fireboxes a una cuenta Subscriber (solo Service Providers). Para agregar el segundo Firebox, puede especificar el número de serie. Para más información, consulte Asignar Fireboxes.

Requisitos de Firmware

Los FireClusters administrados en la nube tienen estos requisitos de firmware:

  • Ambos Fireboxes en el FireCluster deben ejecutar la misma versión de firmware de Fireware. Para obtener información sobre la versión del firmware, consulte Acerca de la Página Ajustes de Dispositivo.
  • Ambos Fireboxes deben ejecutar Fireware v12.8.2 o superior (o v12.5.11 o superior para los Fireboxes T30, T35, T50, M200 y M300).

Requisitos de Licencia y Suscripción

Los FireClusters administrados en la nube tienen estos requisitos de licencia:

  • Habilite los servicios de suscripción en la llave de licencia solo para un miembro del clúster. El miembro del clúster activo usa los servicios de suscripción que están activos en la llave de licencia de cualquiera de los miembros del clúster.
  • Solo un miembro del clúster debe tener una licencia para Total Security Suite, Basic Security Suite o Standard Support.

Los FireClusters administrados en la nube tienen estos requisitos para las suscripciones Support:

  • Una suscripción de soporte se aplica a un solo dispositivo, incluso cuando ese dispositivo está configurado como miembro de un clúster. Debe tener una suscripción de Soporte activa para cada dispositivo en el clúster con el mismo nivel de soporte. Si la suscripción de soporte expira para un miembro del clúster, no es posible actualizar el firmware de ese dispositivo. En la llave de licencia, la suscripción a soporte está identificada por el nombre antiguo de soporte de WatchGuard, LiveSecurity Service. En los Detalles de la Llave de Licencia, la línea de llaves de licencia para la suscripción al soporte aparece en este formato: Feature: LIVESECURITY@MMM-DD-YYYY.

  • El nivel de soporte para cada Firebox con clúster no es visible en la llave de licencia. Para ver el nivel de soporte y las fechas de vencimiento de la suscripción para cada miembro, vaya a la página Administrar Productos en su cuenta en el sitio web de WatchGuard. Cada miembro del FireCluster tiene derecho al mismo nivel de soporte comprado para ese Firebox. Por ejemplo, si solo un miembro de un FireCluster tiene una actualización Gold Support, el otro miembro del clúster recibe el nivel de soporte asociado con su propia suscripción de soporte. Para obtener información sobre los niveles de soporte, consulte Comparar Niveles de Soporte.

Los FireClusters administrados en la nube tienen estos requisitos para las suscripciones RMA:

  • Para actualizar ambos miembros de FireCluster a una suscripción RMA Premium de 4 horas, debe comprar esta suscripción para cada miembro del clúster.Para obtener más información sobre las suscripciones de RMA Premium de 4 horas, consulte las Preguntas Frecuentes del Servicio RMA en el sitio web de WatchGuard.

Para más información sobre la activación, renovación y vencimiento de la licencia, consulte Acerca de las Licencias de WatchGuard Cloud para Firebox.

Requisitos de Hardware y Cableado

Asegúrese de tener:

  • Dos Fireboxes activados con el mismo número de modelo.
  • El mismo número y tipo de módulos de interfaz instalados en las mismas ranuras de cada Firebox.
  • Al menos una interfaz del Firebox sin utilizar para usar como la interfaz del clúster dedicada. Para configurar una interfaz del clúster de respaldo, debe tener una interfaz del Firebox adicional sin usar.
  • Un cable Ethernet para cada interfaz del clúster. Puede utilizar un cable recto o cruzado para conectar la interfaz del clúster de un miembro del clúster a la interfaz del clúster del otro miembro del clúster.
  • Un conmutador de red por cada interfaz interna, invitada o externa habilitada.
  • Cables ethernet para conectar las interfaces de ambos dispositivos a los conmutadores de red.

FireCluster es completamente compatible con todos los dispositivos Firebox o XTM, con estas excepciones:

  • Los dispositivos Firebox T10, T15 y NV5 no son compatibles con FireCluster.
  • Los dispositivos FireboxV y XTMv solo son compatibles con un FireCluster activo/pasivo, en un entorno VMware ESXi.
  • Firebox Cloud no es compatible con FireCluster.
  • FireCluster no es compatible en absoluto con Hyper-V.

Cuando configura dos Fireboxes inalámbricos como un FireCluster, la configuración debe cumplir con estos requisitos:

  • Los modelos de Fireboxes inalámbricos T10-W y T15-W no son compatibles con FireCluster.
  • No puede utilizar interfaces inalámbricas como interfaces de clúster principal o de respaldo.
  • Si la dirección IP de la interfaz del clúster está en una interfaz conectada a una red inalámbrica, no puede utilizar una conexión inalámbrica para administrar el dispositivo.

Algunos modelos de Firebox con compatibles con módulos de interfaz que el usuario puede instalar. Debido a que el número de módulos de interfaz instalado en estos modelos puede variar, estos modelos tienen requisitos de configuración de FireCluster adicionales:

  • Ambos miembros de un FireCluster deben ser del mismo modelo de Firebox, y deben tener el mismo número y tipo de módulos de interfaz instalados en las mismas ranuras. El clúster no se puede formar si la configuración de hardware para ambos Fireboxes no coincide exactamente.
  • Debe elegir la interfaz integrada como la interfaz principal del clúster. Con esta configuración, se conectan directamente las interfaces integradas de los dos miembros. El descubrimiento de miembros se produce a través de esa interfaz cuando se forma el clúster por primera vez.

Requisitos Administrativos

Asegúrese de tener acceso administrativo local al FireCluster.

Requisitos de Red

Ambos Fireboxes deben estar conectados a la red y tener acceso confiable a Internet.

La latencia de la red entre los miembros del clúster debe ser inferior a 100 ms.

El FireCluster no admite redes puenteadas.

Requisitos Inalámbricos

FireCluster no es compatible con los modelos de Fireboxes inalámbricos T10-W o T15-W.

Requisitos de la Máquina Virtual (VM)

FireCluster en un entorno de VMware funciona como se espera solo si se cumplen todos los requisitos. Para más información, consulte Configurar un FireCluster en VMware ESXi.

FireCluster no es compatible con Hyper-V.

Todos los clientes protegidos por el clúster deben poder comunicarse con ambos miembros del clúster. VMware no envía tráfico de clientes en el mismo host ESXi que un miembro del clúster al otro miembro del clúster en otro host ESXi. Para más información, consulte Configurar un FireCluster en VMware ESXi.

Verificar la Configuración de la Interfaz Externa

Cada interfaz externa debe tener una dirección IP estática o estar configurada para PPPoE o DHCP.

Para obtener más información acerca de cómo configurar las interfaces externas, consulte Configurar una Red Externa del Firebox.

Verificar las Configuraciones del Enrutador y del Conmutador de Red

Debe tener un conmutador de red o una VLAN para cada interfaz de tráfico activa.

Las interfaces de clúster principal y de respaldo deben estar en subredes diferentes y no utilizadas. Asegúrese de utilizar subredes que no se superpongan con subredes locales o VPN. Para evitar conflictos de direcciones IP con direcciones IP enrutables, le recomendamos que utilice subredes de Direcciones IP Privadas Automáticas (APIA), también conocidas como direcciones de enlace local (169.254.0.1-169.254.255.254 con máscara de subred 255.255.0.0).

Le recomendamos que no utilice un conmutador entre cada miembro para las interfaces del clúster. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.

Planificar la Configuración de la Interfaz del Clúster

Le recomendamos que planifique qué direcciones IP e interfaces del Firebox usar para el FireCluster antes de configurar el FireCluster. En la configuración del FireCluster, debe especificar direcciones IP y números de interfaz para estas interfaces del FireCluster:

Interfaz del clúster

Una interfaz exclusiva para la comunicación entre los miembros del clúster. Los miembros del clúster utilizan esta interfaz para intercambiar paquetes de latido y para sincronizar la información de conexión y de sesión. Esta interfaz no es usada para tráfico de red regular. Cuando configure el hardware del clúster, recomendamos que conecte las interfaces del clúster de cada Firebox unas a otras. Recomendamos que no use un conmutador entre las interfaces del clúster.

Interfaz del clúster de respaldo (opcional)

Una interfaz exclusiva redundante para la comunicación entre los miembros del clúster. Recomendamos una interfaz del clúster de respaldo solo si utiliza un conmutador entre las interfaces del clúster.

Interfaz de comunicación

Una interfaz utilizada para enviar mensajes de registro de ambos miembros del clúster a su servidor de Dimension o syslog, y para administrar el maestro del clúster de respaldo. ¡Consejo!

Esta lista muestra direcciones IP de muestra para un FireCluster administrado en la nube.

Direcciones I para un FireCluster Administrado en la Nube
  Interfaz de Firebox Dirección IP del Miembro1 Dirección IP del Miembro2
Interfaz del clúster 0 169.254.0.1/30 169.254.0.2/30
Interfaz de clúster de respaldo 1 169.254.1.1/30 169.254.1.2/30
Interfaz de comunicación 2 10.10.2.3/24 10.10.2.4/24

Prácticas Recomendadas de Interfaz del Clúster

Siga estas prácticas recomendadas para las direcciones IP de las interfaces del clúster:

  • Utilice una dirección IP que no esté en uso en su red. Para evitar conflictos con direcciones IP enrutables, le recomendamos direcciones APIPA o direcciones IP de una subred privada dedicada.
  • Las direcciones IP de la interfaz para ambos clústeres miembros deben estar en la misma subred.
  • Si tiene una interfaz configurada como interfaz VLAN dedicada, no elija esa interfaz como una interfaz de clúster dedicada.
  • No establezca la IP del clúster en la dirección IP predeterminada de ninguna interfaz del Firebox. De forma predeterminada, el Firebox usa subredes 10.0.x.0/24 para las direcciones IP de la interfaz, lo que significa que recomendamos evitar el uso de direcciones 10.0.x.0/24 para las direcciones IP del clúster. Si configura la interfaz del clúster para usar una de las direcciones IP de la interfaz predeterminada de fábrica, puede ocurrir un conflicto durante la conmutación por error, lo que puede provocar que la conmutación por error falle.
  • No utilice las direcciones IP del clúster para ninguna otra cosa en su red, incluidas las VPN.

Siga estas prácticas recomendadas para las interfaces del clúster:

  • Para obtener la mejor tolerancia a fallos contra fallos de la tarjeta de interfaz de red (NIC) en el Firebox, le recomendamos que utilice eth0 para la interfaz principal del clúster. Si una NIC del Firebox falla, el Firebox reasigna automáticamente los números de interfaz lógica. El Firebox asigna etiquetas eth en el orden en que se detectan las interfaces. Como resultado, los números de interfaz lógica parecen desplazarse hacia la izquierda. La reasignación de etiquetas puede afectar a las operaciones de FireCluster y a las configuraciones de la interfaz del clúster de respaldo.

    Por ejemplo, si utiliza eth0 para la interfaz principal del clúster y falla una NIC distinta de eth0, el FireCluster sigue funcionando como se esperaba porque la etiqueta de la interfaz sigue siendo eth0. El Firebox no reasigna la etiqueta de interfaz lógica para eth0 porque no hay ninguna interfaz físicamente a la derecha de eth0. Esta configuración protege al FireCluster contra fallos de NIC en interfaces que no sean eth0. Solo un fallo de eth0 afectaría a las operaciones del FireCluster.

    Si utiliza eth4 como interfaz principal del clúster y eth3 falla, el Firebox reasigna la etiqueta lógica eth3. La interfaz eth4 se convierte en eth3. Esto interrumpe las operaciones del FireCluster porque los ajustes de configuración del FireCluster en el Firebox especifican eth4 como interfaz principal del clúster.

  • Le recomendamos que no utilice un conmutador entre cada miembro para las interfaces del clúster. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.
  • Para un FireCluster Firebox M5600, le recomendamos elegir la interfaz 32 como la interfaz principal del clúster. Para más información, consulte Acerca de FireCluster con Interfaces Modulares.

Prácticas Recomendadas de Interfaz del Clúster de Respaldo

El tipo de conexión entre las interfaces del clúster determina si recomendamos una interfaz del clúster de respaldo.

FireCluster con una conexión directa por cable entre los miembros del clúster

No recomendamos una interfaz del clúster de respaldo para este tipo de configuración porque proporciona una redundancia limitada.

FireCluster utiliza la interfaz del clúster de respaldo solo si falla el cable entre las interfaces principales del clúster. Si falla cualquier NIC del Firebox, la interfaz del clúster de respaldo no proporciona redundancia porque el Firebox reasigna automáticamente las etiquetas de la interfaz lógica como se describe en la sección anterior de esta página.

FireCluster con un conmutador entre los miembros del clúster

En esta configuración, los miembros del FireCluster están separados físicamente por un conmutador, lo que no recomendamos. Si coloca un conmutador entre las interfaces del clúster, le recomendamos que configure una interfaz del clúster de respaldo. El FireCluster utiliza la interfaz del clúster de respaldo en estos eventos:

  • El cable entre el conmutador y la interfaz del clúster falla.
  • La interfaz del conmutador falla.
  • Un problema de red provoca que el conmutador no esté disponible.

Si falla cualquier NIC del Firebox, la interfaz del clúster de respaldo no proporciona redundancia porque el Firebox reasigna automáticamente las etiquetas de la interfaz lógica. Por ejemplo, especifique eth3 como la interfaz principal del clúster y eth4 como la interfaz del clúster de respaldo. Si eth3 falla, el Firebox reasigna la etiqueta lógica eth3. La interfaz que estaba etiquetada como eth4 ahora está etiquetada como eth3. La reasignación de etiquetas de interfaz interrumpe las operaciones del FireCluster porque los ajustes de configuración del FireCluster especifican eth3 como interfaz principal del clúster y eth4 como interfaz del clúster de respaldo.

Para obtener los mejores resultados, utilice eth0 para la interfaz principal del clúster.

Utilice una dirección IP que no esté en uso en su red. Para evitar conflictos con direcciones IP enrutables, le recomendamos direcciones APIPA o direcciones IP de una subred privada dedicada. Las direcciones IP de las interfaces del clúster de respaldo deben estar en la misma subred. Las direcciones IP de las interfaces del clúster de respaldo deben estar en una subred distinta de las direcciones IP de las interfaces principales del clúster.

Siga estas prácticas recomendadas para las interfaces del clúster y las direcciones IP:

  • Las interfaces de clúster principal y de respaldo deben estar en subredes diferentes.
  • No establezca la dirección IP del clúster de respaldo en la dirección IP predeterminada de ninguna interfaz en el Firebox. De forma predeterminada, el Firebox usa subredes 10.0.x.0/24 para las direcciones IP de la interfaz, lo que significa que recomendamos que evite usar direcciones 10.0.x.0/24 para las direcciones IP del clúster de respaldo. Si configura la interfaz del clúster de respaldo para que utilice una de las direcciones IP de interfaz predeterminadas de fábrica, puede producirse un conflicto durante la conmutación por error que puede hacer que esta falle.Las direcciones IP del clúster de respaldo no deben utilizarse para ninguna otra cosa en su red, incluidas las VPN.

Prácticas Recomendadas para la Interfaz de Comunicación

Utilice una dirección IP que se encuentre en la misma subred que su servidor de syslog o Dimension. La dirección IP de la interfaz de comunicación también debe estar en la misma subred que su red interna.

En WatchGuard Cloud, puede configurar un FireCluster administrado en la nube para enviar mensajes de registro a los servidores de syslog o Dimension para retener los mensajes de registro por más tiempo que el periodo de retención de datos normal en WatchGuard Cloud.

Próximos Pasos

Después de verificar todos los requisitos, puede Cómo Agregar un FireCluster Administrado en la Nube.

Temas Relacionados

Acerca de FireCluster en WatchGuard Cloud

Configurar un Reemplazo de RMA para un Miembro de FireCluster Administrado en la Nube