Acerca de FireCluster

Para aumentar el rendimiento y la escalabilidad de la red, puede configurar un FireCluster, que es la solución de alta disponibilidad (HA) para los Fireboxes WatchGuard.

Un FireCluster incluye dos Fireboxes configurados como miembros del clúster. Si un miembro del clúster falla, el otro miembro del clúster asume la operación.

FireCluster no es compatible con algunos modelos de dispositivos. Para más información, consulte Modelos Admitidos por FireCluster.

Acerca de los Tipos de FireCluster

FireCluster soporta dos tipos de configuraciones de clúster.

Clúster Activo/Pasivo

En un clúster activo/pasivo, un miembro del clúster está activo mientras que el otro está pasivo. El miembro del clúster activo maneja todo el tráfico de red, salvo que se produzca un evento de conmutación por error. El miembro del clúster pasivo monitorea activamente el estado del dispositivo activo. Si el dispositivo activo falla, el dispositivo pasivo asume las conexiones asignadas al dispositivo con fallas.

Para una demostración de cómo configurar un clúster activo/pasivo, consulte el video tutorial FireCluster (14 minutos).

Clúster Activo/Activo

En un clúster activo/activo, los clústers miembros comparten el tráfico que pasa a través del clúster. Para distribuir las conexiones entre los Fireboxes activos en el clúster, configure FireCluster para usar un algoritmo de operación por turno o menos conexiones. Si falla un miembro en un clúster, el otro miembro del clúster asume las conexiones asignadas al dispositivo con falla.

El mismo miembro del clúster maneja el tráfico de respuesta a menos que ese miembro falle. Por ejemplo, al Miembro del Clúster 1 se le asigna un paquete saliente desde la computadora de un usuario en su red local. El Miembro del Clúster 1 también maneja el tráfico de respuesta. Este flujo de paquetes ocurre porque el Firebox es un firewall con estado que rastrea y controla el tráfico de red en una sesión de capa 3. El Miembro del Clúster 2 no maneja el paquete de respuesta a menos que el Miembro 1 falle.

Para los clústeres activos/pasivos y activos/activos, todo el tráfico de las interfaces de tráfico en cualquiera de los miembros del clúster se envía a ambos miembros del clúster. Esto ocurre porque los miembros del clúster comparten la misma dirección mac virtual (VMAC).

Diagrama de FireCluster que muestra las redes de confianza y opcionales

Conmutación por Error

Cuando un miembro del clúster genera error, el clúster conmuta por error sin inconvenientes y mantiene:

Conexiones de filtrado de paquetes
Túneles BOVPN administrados
Sesiones de usuario
Sesiones de usuario de Access Portal

Cuando ocurre un evento de conmutación por error, estas conexiones pueden desconectarse:

Conexiones de proxy
Conexiones de Mobile VPN
Conexiones RDP y SSH iniciadas a través del Access Portal

Posiblemente los usuarios de VPN móvil deban reiniciar manualmente la conexión de VPN después de una conmutación por error.

Para obtener más información acerca de la conmutación por error de FireCluster, consulte Acerca de la Conmutación por Error de FireCluster.

Roles de Clúster

Es importante comprender los roles que cada Firebox puede desempeñar en el clúster.

Clúster principal

Este miembro del clúster asigna flujos de tráfico de red a clústers miembros y responde a todas las solicitudes de sistemas externos, tal como el WatchGuard System Manager, SNMP, DHCP, ARP, protocolos de enrutamiento e IKE. Cuando configura o modifica la configuración del clúster, se guarda la configuración del clúster en el clúster principal. El clúster principal puede ser cualquiera de los dispositivos. El primer dispositivo en un clúster a encenderse se vuelve el clúster principal.

Principal de respaldo

Este miembro del clúster sincroniza toda la información necesaria con el clúster principal, para que pueda convertirse en el clúster principal en caso de que éste falle. El clúster principal de resguardo puede ser activo o pasivo.

Miembro activo

Éste puede ser cualquier miembro del clúster que actualmente maneje el flujo de tráfico. En un clúster activo/activo, ambos dispositivos están activos. En un clúster activo/pasivo, el clúster principal es el único dispositivo activo

Miembro pasivo

Un Firebox en un clúster activo/pasivo que no maneja flujos de tráfico de red excepto si ocurre una conmutación por error de un dispositivo activo. En un clúster activo/pasivo, el miembro pasivo es el clúster principal de resguardo.

Requisitos

Para obtener una lista detallada de los requisitos de FireCluster, consulte Antes de Configurar un FireCluster.

Funciones del Firebox Compatibles

Cuando FireCluster está habilitado, sus Firebox continúan admitiendo:

Secondary networks en interfaces externas, de confianza u opcionales
Conexiones de multi-WAN
(Limitación — La conmutación por error de multi-WAN causada por una conexión fallida a un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde.)
VLAN
Dynamic routing

Para obtener información sobre las funciones no compatibles con un FireCluster, consulte Funciones no soportadas por FireCluster.

Configurar FireCluster

Para configurar el FireCluster, consulte Configurar FireCluster.

Estado del FireCluster

Después de configurar el FireCluster, puede ver el estado del clúster cuando se conecta al clúster con:

WatchGuard System Manager
Firebox System Manager — Consulte Estado del Dispositivo.
Fireware Web UI — Seleccione Estado del Sistema > FireCluster. Su Firebox debe tener Fireware v12.3 o superior.

Luego de haber configurado un clúster en Policy Manager, puede usar Fireware Web UI para conectarse. Puede usar la Web UI para monitorizar el clúster y actualizar las políticas y otras configuraciones, pero no puede usar la Web UI para modificar las configuraciones de FireCluster.

Cuando usa Fireware Web UI para conectarse a dispositivos configurados como un clúster, es importante que entienda los roles de los clústeres miembro.

Clúster principal

El clúster principal asigna flujos de tráfico de red a clústers miembros y responde a todas las solicitudes de sistemas externos, tal como el WatchGuard System Manager, SNMP, DHCP, ARP, protocolos de enrutamiento e IKE. Cuando configura o modifica la configuración de un FireCluster, guarda la configuración al clúster de respaldo. Cualquier miembro del clúster puede ser el clúster principal. El primer dispositivo en un clúster a encenderse se vuelve el clúster principal.

Principal de respaldo

El principal de respaldo sincroniza toda la información necesaria con el clúster principal, para que pueda convertirse en el clúster principal en caso de que éste falle. No puede usar Fireware Web UI para guardar los cambios de configuración al principal de respaldo.

FireCluster en WatchGuard Cloud

En WatchGuard Cloud, puede agregar un FireCluster administrado localmente, iniciar acciones del sistema (actualizar, reiniciar y conmutar por error) y ver mensajes de registro. Para más información, consulte Acerca de FireCluster en WatchGuard Cloud.

Ver También

Antes de Configurar un FireCluster

Utilizar la Web UI con un FireCluster

FireCluster (Video)

Configurar FireCluster

Monitorizar y Controlar Miembros de FireCluster

Actualización, Reversión a una Versión Anterior, Copia de seguridad, Restablecimiento y Migración de FireCluster

Funciones no soportadas por FireCluster

Diagnósticos de FireCluster

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.