Usar el Asistente de Configuración de FireCluster

Para configurar el FireCluster, puede ejecutar el FireCluster Setup Wizard o configurar el FireCluster manualmente. Para más información acerca de cómo configurar el FireCluster manualmente, consulte Configurar el FireCluster Manualmente .

Para una demostración de cómo usar el asistente de instalación de FireCluster para configurar un clúster activo/pasivo, consulte el video tutorial FireCluster (14 minutos).

En el FireCluster Setup Wizard puede obtener ayuda para cada paso. Para obtener más información, consulte FireCluster Setup Wizard Help Topics

Antes de habilitar el FireCluster:

• Asegúrese de tener todo lo necesario para configurar su FireCluster y de planificar su configuración.
  Para mayor información, consulte Antes de Empezar.
• Asegúrese de entender las limitaciones de un FireCluster, como se describe en Funciones no soportadas por FireCluster.
• Conecte los miembros de FireCluster entre sí y a la red como se describe en Conectar el Hardware de FireCluster.
• Asegúrese de comprender cómo configurar un FireCluster con los modelos M5400 y M5600 de Firebox.
  Para mayor información, consulte Acerca de FireCluster con Interfaces Modulares
• Asegúrese de comprender cómo configurar un FireCluster activo/pasivo con dispositivos FireboxV o XTMv.
  Para mayor información, consulte Configurar un FireCluster en VMware ESXi.

En la configuración de FireCluster activo/activo, las interfaces de red para el clúster tienen direcciones MAC multicast. Antes de habilitar un FireCluster activo/activo, asegúrese de que los enrutadores de red y otros dispositivos estén configurados para soportar el tráfico de red de multicast. Para mayor información, consulte Requisitos de Conmutador y Enrutador para un FireCluster Activo/Activo.

Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.

Configurar FireCluster

1. En el WatchGuard System Manager, conéctese al Firebox que tenga la configuración que desea usar para el clúster. Después de activar el FireCluster, este dispositivo se vuelve el clúster principal la primera vez que guarda la configuración.
2. Haga clic en .
   O bien, seleccione Herramientas > Policy Manager.
   El Policy Manager abre el archivo de configuración del dispositivo seleccionado.
   
3. Seleccione FireCluster > Configuración.
   El FireCluster Setup Wizard se inicia.

4. Haga clic en Siguiente.
5. Seleccione el tipo de clúster que desea habilitar:

Clúster Activo/Pasivo  

Habilita el clúster para alta disponibilidad, pero no para distribución de carga. Si selecciona esta opción, el clúster tiene un Firebox activo que maneja todas las conexiones y un Firebox pasivo que maneja conexiones solo si ocurre una conmutación por error del primer dispositivo.

 Clúster Activo/Activo

Habilitar el clúster para alta disponibilidad y distribución de carga. Si selecciona esta opción, el clúster equilibra las solicitudes de conexión entrante entre ambos dispositivos en él.

6. Seleccione el ID del clúster.
   El ID del clúster identifica singularmente este clúster si configura más de un clúster en el mismo dominio de difusión de capa 2. Si solo tiene un clúster, y su red no tiene dispositivos HSRP o VRRP , puede usar el valor predeterminado.

Para un clúster activo/pasivo, el id. de clúster determina las direcciones MAC virtuales usadas por las interfaces de los dispositivos agrupados en clúster. Si configura más de un FireCluster activo/pasivo en la misma subred, es importante que sepa cómo configurar la ID de clúster para evitar un posible conflicto con la dirección MAC virtual. También es posible que las direcciones MAC virtuales de FireCluster tengan conflicto con los dispositivos HSRP y VRRP configurados en la red.

Para obtener más información, consulte ID de Clúster Activo/Pasivo y Dirección MAC Virtual.

6. Si seleccionó Clúster Activo/Activo, seleccione el Método balance de carga.
   El método de balance de cargas es utilizado para balancear conexiones entre clúster miembros activos. Existen dos opciones:

Conexión menor

Si selecciona esa opción, cada nueva conexión es asignada al clúster miembro activo con el número mínimo de conexiones abiertas. Esa es la configuración predeterminada.

Operación por turnos

Si selecciona esta opción, se distribuyen nuevas conexiones entre los clúster miembros activos en una operación por turnos. La primera conexión se dirige a un clúster miembro. La conexión siguiente se dirige a otro clúster miembro, y así sucesivamente.

7. Seleccione las interfaces de clúster Principal y de Resguardo. Las interfaces de clúster se dedican a establecer la comunicación entre los clúster miembros y no son usadas para otro tráfico de red. Debe configurar la interfaz Principal. Para redundancia, recomendamos que también configure una interfaz de Resguardo.

 Principal

La interfaz en el dispositivo que es exclusiva de la comunicación principal entre los clúster miembros. Seleccione el número de interfaces usadas para conectar los dispositivos FireCluster unos a otros.

Hacer copia de resguardo

La interfaz en el dispositivo exclusiva de la comunicación entre los clústeres miembros en caso de que una interfaz principal falle. Seleccione el segundo número de interfaz usado para conectar los dispositivos de FireCluster unos a otros, si hay alguno.

Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.

8. Seleccione IP de Interfaz para Administración. Use esa interfaz para conectarse directamente a los miembros de FireCluster para operaciones de mantenimiento. Ésta no es una interfaz exclusiva. También es utilizada para otro tráfico de red. No puede seleccionar una interfaz externa que usa PPPoE como la Interfaz para dirección IP de Administración. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.
   Para obtener más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.
9. Cuando lo solicite el asistente de configuración, añada esas propiedades del FireCluster miembro a cada dispositivo:

Tecla de Función

Para cada dispositivo, importe o descargue la tecla de función para habilitar todas las funciones del dispositivo. Si importó anteriormente la tecla de función en el Policy Manager, el asistente automáticamente usa esa tecla de función para el primer dispositivo en el clúster.

Nombre del miembro

El nombre que identifica a cada dispositivo en la configuración de FireCluster.

Número de serie

El número de serie del Firebox. El número de serie es usado como el ID del Miembro en el cuadro de diálogo Configuración de FireCluster. El asistente define esto automáticamente cuando importa o descarga la llave de licencias para el Firebox.

Dirección IP de la interfaz del clúster principal

La dirección IP que usan los miembros clúster para comunicarse entre sí en la interfaz del clúster principal. La dirección IP primaria de FireCluster para cada clúster miembro debe ser una dirección IPv4 en la misma subred.

Si ambos miembros del clúster se inician al mismo tiempo, el miembro con la dirección IP más alta asignada a la interfaz del clúster principal se convierte en el principal.

Dirección IP de la interfaz de clúster de respaldo

La dirección IP que usan los miembros clúster para comunicarse entre sí en la interfaz del clúster de respaldo. La dirección IP de respaldo de FireCluster para cada clúster miembro debe ser una dirección IPv4 en la misma subred.

No establezca la dirección IP del clúster Primaria o de Respaldo a la dirección IP predeterminada de una interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1-10.0.26.1. Las direcciones IP del clúster Primaria o de Respaldo no se deben usar para ninguna otra cosa en su red, como las direcciones IP virtuales para Mobile VPN y las direcciones IP utilizadas por las redes de sucursales remotas.

Dirección IP de administración

Una dirección IP única que puede usar para conectarse a un Firebox individual mientras que está configurada como parte de un clúster. Debe especificar una dirección IP de administración diferente para cada clúster miembro. Si la interfaz que seleccionó como la Interfaz para dirección IP de administración tiene IPv6 habilitado, también puede, de forma opcional, configurar una dirección IPv6 de administración.

La dirección IP IPv4 de administración puede ser cualquier dirección IP sin utilizar. Recomendamos que use una dirección IP en la misma subred como la interface que seleccione como la Interfaz para dirección IP de administración. Esto es para asegurarse de que la dirección es enrutable. Las direcciones IP de administración deben encontrarse en la misma subred que el WatchGuard Log Server o el servidor syslog a los que su FireCluster envía los mensajes de registro.

La dirección IP IPv6 de administración debe ser una dirección IP sin utilizar. Recomendamos que use una dirección IPv6 con el mismo prefijo que una dirección IPv6 asignada a la interfaz que seleccionó como la Interfaz para la dirección IP de administración. Esto es para asegurarse de que la dirección IPv6 es enrutable.

Para obtener más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.

10. Revise el resumen de configuración en la pantalla final del FireCluster Setup Wizard. El resumen de configuración incluye las opciones seleccionadas y cuáles interfaces son monitoreadas para el estado del enlace.

11. Haga clic en Finalizar.
    Aparece el cuadro de diálogo Configuración de FireCluster.
    

12. En la sección Configuraciones de Interfaz, revise la lista de interfaces monitoreadas.

La lista de interfaces monitoreadas no incluye aquellas que configuró como interfaces de clúster Principal y Resguardo. Por defecto, el FireCluster monitorea el estado del enlace para todas las interfaces habilitadas. Si el clúster principal detecta la pérdida de enlace de una interfaz monitoreada, éste empieza un proceso de conmutación por error para ese dispositivo.

Para un clúster activo/pasivo, puede seleccionar cuáles interfaces activas monitorear. Si no quiere monitorear el estado del enlace de una interfaz habilitada como criterio para conmutación por error, desmarque la casilla de selección para esa interfaz en la columna Monitorear Enlace.

Le recomendamos que configure el FireCluster para que monitoree el estado del enlace en todas las interfaces habilitadas.

Para un FireCluster activo/activo, debe deshabilitar cualquiera de las interfaces que no estén conectadas a su red antes de guardar la configuración de FireCluster en el Firebox. Para deshabilitar una interfaz:

• En Policy Manager, seleccione Red > Configuración.
• Haga doble clic en la interfaz que desea deshabilitar y ajuste el Tipo de Interfaz a Deshabilitado.
  

Si desea que el segundo dispositivo sea encontrado y agregado automáticamente al clúster, no guarde el archivo de configuración hasta que inicie el segundo dispositivo en modo seguro.

14. Inicie el Firebox secundario con la configuración de fábrica.

Para cualquier modelo Firebox, o un dispositivo XTM 33, 25 o 26, reestablezca la configuración predeterminada de fábrica del dispositivo.

Use las instrucciones de restablecimiento de su modelo de Firebox. Para obtener más información, consulte Restablecer un Firebox.

Para cualquier dispositivo XTM  que tiene una pantalla LCD, inicie el dispositivo en modo seguro

Para iniciar en modo seguro, pulse y mantenga presionado el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo. Siga presionando el botón con la flecha hacia abajo hasta que aparezca Iniciando Modo Seguro... en la pantalla LCD. Cuando el dispositivo está en modo seguro, el número del modelo seguido de la palabra seguro aparece en la pantalla LCD.

15. Guarde la configuración en el clúster principal.
    Se crea el clúster. El clúster principal automáticamente descubre al otro dispositivo con el número de serie que coincide con el número de serie en la llave de licencias que agregó a la configuración del clúster.
    

Después de activar el clúster, se puede monitorear el estado de los clúster miembros en la pestaña Panel Delantero de Firebox System Manager.
Para obtener más información, consulte Monitorear y Controlar Miembros de FireCluster.

Si guarda la configuración al clúster principal antes de iniciar el segundo dispositivo en modo seguro, el clúster principal no encuentra automáticamente el segundo dispositivo. Si el segundo dispositivo no es encontrado automáticamente, usted puede propiciar manualmente la detección del dispositivo como se describe en Encontrar un Clúster Miembro.

 

Vea también

FireCluster

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.