Configurar FireCluster

FireCluster soporta dos tipos de configuraciones de clúster.

Clúster Activo/Pasivo

En un clúster activo/pasivo, un miembro del clúster está activo mientras que el otro está pasivo. El miembro del clúster activo maneja todo el tráfico de red, salvo que se produzca un evento de conmutación por error. El miembro del clúster pasivo monitorea activamente el estado del dispositivo activo. Si el dispositivo activo falla, el dispositivo pasivo asume las conexiones asignadas al dispositivo con fallas. Después de un evento de conmutación por error, todo el tráfico para conexiones existente se enruta automáticamente hacia el miembro del clúster activo.

Clúster Activo/Activo  

En un clúster activo/activo, los clústers miembros comparten el tráfico que pasa a través del clúster. Para distribuir las conexiones entre los Firebox activos en el clúster, configure FireCluster para usar un algoritmo de operación por turno o menos conexiones. Si falla un miembro en un clúster, el otro miembro del clúster asume las conexiones asignadas al dispositivo con falla. Después de un evento de conmutación por error, todo el tráfico para conexiones existentes se enruta automáticamente hacia el miembro activo restante.

Para una demostración de cómo configurar un clúster activo/pasivo, consulte el video tutorial FireCluster (14 minutos).

Requisitos y Restricciones de FireCluster  

Asegúrese de comprender estos requisitos y restricciones antes de empezar:

• Los Firebox de un clúster deben ser del mismo número de modelo. Para obtener una lista de los modelos admitidos, consulte Modelos Compatibles por FireCluster.
• Cada Firebox en un clúster debe usar la misma versión del Fireware.
• Cada Firebox en un clúster debe tener una suscripción activa para soportar los servicios, inluidos en la llave de licencias de LiveSecurity® Service.
• Para un clúster activo/pasivo, las interfaces de su red deben estar configuradas en modo de enrutamiento combinado o modo drop-in.
• Sus interfaces de red deben estar configuradas en modo de enrutamiento combinado.
• El FireCluster no soporta modo de red en puente.
• En el caso de un clúster activo/activo, recomendamos que todos los Firebox tengan licencias activas para los mismos servicios de suscripción opcional, tal como el WebBlocker o el Gateway AntiVirus.

Para obtener más información, consulte Acerca de las Llaves de Licencias y el FireCluster.

• Para un FireCluster activo/activo, la interfaz externa debe estar configurada con una dirección IP estática. No puede habilitar un FireCluster activo/activo si la interfaz externa está configurada para usar DHCP o PPPoE.
• Para un FireCluster activo/pasivo, la interfaz externa debe estar configurada con una dirección IP estática o puede configurarse para usar PPPoE. En Fireware v11.12 o superior, la interfaz externa puede configurarse para DHCP.
• Debe tener un conmutador de red o una VLAN para cada interfaz de tráfico activa.
• Para un clúster activo/activo, todos los conmutadores y enrutadores de un dominio de difusión de FireCluster activo/activo deben cumplir los requisitos que se especifican en Requisitos de Conmutador y Enrutador para un FireCluster Activo/Activo.

• Para un clúster activo/activo, debe conocer la dirección IP y la dirección MAC de cada conmutador de capa 3 conectado con el clúster. Después, se pueden agregar entradas ARP estáticas para estos dispositivos de red a la configuración de FireCluster.

Para obtener más información, consulte Agregar Entradas ARP Estáticas para un FireCluster Activo/Activo .

Para requisitos y restricciones para dispositivos inalámbricos, consulte Acerca de FireCluster en Modelos Inalámbricos.

Sincronización del Clúster y Monitoreo del Estado 

Cuando habilita el FireCluster, debe dedicar al menos una interfaz a la comunicación entre los miembros del clúster. Esto es llamado una interfaz de clúster. Cuando configure el hardware de clúster, conecte las interfaces de clúster principal de cada Firebox unas a otras. Para redundancia, recomendamos que configure una interfaz de resguardo del clúster. Los clústers miembros usan interfaces de clúster para sincronizar continuamente toda la información necesaria para compartir carga y para hacer una conmutación por error transparente.

Roles del Dispositivo FireCluster  

Cuando configura los dispositivos en un clúster, es importante comprender los roles que cada dispositivo puede cumplir allí.

Clúster principal

Este clúster miembro asigna flujos de tráfico de red a clústers miembros y responde a todas las solicitudes de sistemas externos, tal como el WatchGuard System Manager, SNMP, DHCP, ARP, protocolos de enrutamiento e IKE. Cuando configura o modifica la configuración del clúster, se guarda la configuración del clúster en el clúster principal. El clúster principal puede ser cualquiera de los dispositivos. El primer dispositivo en un clúster a encenderse se vuelve el clúster principal.

Principal de respaldo

Este clúster miembro sincroniza toda la información necesaria con el clúster principal, para que pueda convertirse en el clúster principal en caso de que éste falle. El clúster principal de resguardo puede ser activo o pasivo.

Miembro activo

Éste puede ser cualquier clúster miembro que actualmente maneje el flujo de tráfico. En un clúster activo/activo, ambos dispositivos están activos. En un clúster activo/pasivo, el clúster principal es el único dispositivo activo.

Miembro pasivo

Un Firebox en un clúster activo/pasivo que no maneja flujos de tráfico de red excepto si ocurre una conmutación por error de un dispositivo activo. En un clúster activo/pasivo, el miembro pasivo es el clúster principal de resguardo.

Pasos de la configuración de FireCluster

Para configurar Firebox como un FireCluster, debe:

1. Planifique la configuración del FireCluster, tal como se describe en Antes de Empezar.
2. Conecte los dispositivos a la red, tal como se describe en Conectar el Hardware de FireCluster.
3. Configure el FireCluster en el Policy Manager. Puede usar uno de estos métodos:
   • Usar el Asistente de Configuración de FireCluster
   • Configurar el FireCluster Manualmente

Para un clúster activo/activo, también debe realizar estos pasos:

1. Hacer los cambios necesarios a la configuración de sus enrutadores y conmutadores de red de capa 3 para admitir las direcciones MAC multicast usadas por el FireCluster.

Para obtener más información, consulte Requisitos de Conmutador y Enrutador para un FireCluster Activo/Activo.

2. Agregue entradas ARP estáticas para cada enrutador y conmutador de capa 3 que se conecten al FireCluster.

Para obtener más información, consulte Agregar Entradas ARP Estáticas para un FireCluster Activo/Activo .

Vea también

FireCluster

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.