Configurar el FireCluster Manualmente

Puede activar el FireCluster manualmente o usar el FireCluster Setup Wizard. Para obtener información acerca de cómo usar FireCluster Setup Wizard, consulte Usar el Asistente de Configuración de FireCluster .

Antes de habilitar el FireCluster:

• Asegúrese de tener todo lo necesario para configurar su FireCluster y de planificar su configuración.
  Para mayor información, consulte Antes de Empezar.
• Asegúrese de entender las limitaciones de un FireCluster, como se describe en Funciones no soportadas por FireCluster.
• Conecte los miembros de FireCluster entre sí y a la red como se describe en Conectar el Hardware de FireCluster.
• Asegúrese de comprender cómo configurar un FireCluster con los modelos M5400 y M5600 de Firebox.
  Para mayor información, consulte Acerca de FireCluster con Interfaces Modulares
• Asegúrese de comprender cómo configurar un FireCluster activo/pasivo con dispositivos FireboxV o XTMv.
  Para mayor información, consulte Configurar un FireCluster en VMware ESXi.

En la configuración de FireCluster activo/activo, las interfaces de red para el clúster tienen direcciones MAC multicast. Antes de habilitar un FireCluster activo/activo, asegúrese de que los enrutadores de red y otros dispositivos estén configurados para soportar el tráfico de red de multicast. Para mayor información, consulte Requisitos de Conmutador y Enrutador para un FireCluster Activo/Activo.

Habilitar FireCluster

1. En el WatchGuard System Manager, conéctese al Firebox que tenga la configuración que desea usar para el clúster. Este dispositivo se convierte en el clúster principal la primera vez que guarda la configuración con el FireCluster habilitado.
2. Haga clic en .
   O bien, seleccione Herramientas > Policy Manager.
   Aparece el Policy Manager.
   
3. Seleccione FireCluster > Configurar.
   Aparece el cuadro de diálogo Configuración de clúster de FireCluster.

4. Marque la casilla de selección Habilitar FireCluster .
   
5. Seleccione el tipo de clúster que desea habilitar.

Habilitar clúster Activo/Pasivo  

Habilita el clúster para alta disponibilidad, pero no para distribución de carga. Si elige esta opción, el clúster tiene un miembro activo que maneja todo el tráfico de red y un miembro pasivo que maneja solo el tráfico si ocurre una conmutación por error del otro miembro.

Habilitar clúster Activo/Activo

Habilitar el clúster para alta disponibilidad y distribución de carga. Si selecciona esa opción, el clúster equilibra la carga de tráfico en ambos miembros del clúster.

6. Si seleccionó Habilitar clúster Activo/Activo, en la lista desplegable Método de balance de cargas, seleccione el método que se utilizará para balancear la carga del tráfico entre los clústeres miembros activos.

Conexión menor

Si selecciona esa opción, cada nueva conexión es asignada al clúster miembro activo con el número mínimo de conexiones abiertas.

Operación por turnos

Si selecciona esa opción, se distribuyen las conexiones entre los clústers miembros activos en una operación por turnos. La primera conexión se dirige a un clúster miembro. La conexión siguiente se dirige a otro clúster miembro, y así sucesivamente.

7. En la lista desplegable ID del Clúster, seleccione un número para identificar este FireCluster.

El ID del clúster identifica singularmente ese FireCluster si hay más de un FireCluster activo en el mismo dominio de difusión de capa 2. Si solo tiene un clúster, y su red no tiene dispositivos HSRP o VRRP , puede usar el valor predeterminado.

Para un clúster activo/pasivo, el id. de clúster determina las direcciones MAC virtuales usadas por las interfaces de los dispositivos agrupados en clúster. Si configura más de un FireCluster activo/pasivo en la misma subred, es importante que sepa cómo configurar la ID de clúster para evitar un posible conflicto con la dirección MAC virtual. También es posible que las direcciones MAC virtuales de FireCluster tengan conflicto con los dispositivos HSRP y VRRP configurados en la red.

Para obtener más información, consulte ID de Clúster Activo/Pasivo y Dirección MAC Virtual.

Configurar interfaz

La interfaz de clúster es una interfaz exclusiva que los clúster miembros usan para comunicarse unos con otros acerca del estado del sistema. Puede configurar sólo una o dos interfaces de clúster. Con fines de redundancia, si tiene las interfaces disponibles, le recomendamos que configure dos interfaces de clúster en cada miembro: una principal y una de respaldo.

Le recomendamos una conexión de cable directa:

• Un cable entre las interfaces de clúster principales en cada miembro
• Otro cable entre las interfaces de clúster de respaldo en cada miembro

Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.

Debe deshabilitar cualquier interfaz no conectada a su red antes de guardar la configuración de FireCluster en el Firebox. 

1. En la lista desplegable Interfaz de clúster primaria, seleccione una interfaz para usar como interfaz primaria.
   
2. Para usar una segunda interfaz de clúster, en la lista desplegable Interfaz de clúster de respaldo, seleccione una interfaz para usar como interfaz de respaldo.
3. Seleccione una Dirección IP de interfaz para administración. Esa es la interfaz de red del Firebox usada para establecer una conexión directa con un dispositivo clúster con cualquier aplicación de administración de WatchGuard. No puede seleccionar una interfaz externa que usa PPPoE como la Interfaz para dirección IP de Administración. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.
   Para obtener más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.
4. Revise la lista de interfaces monitoreadas. La lista de interfaces monitoreadas no incluye aquellas que configuró como interfaces de clúster principal y de respaldo. Por defecto, el FireCluster monitorea el estado del enlace para todas las interfaces habilitadas. Si el clúster principal detecta la pérdida de enlace de una interfaz monitoreada, éste empieza una conmutación por error.
5. Para un clúster activo/pasivo, puede seleccionar cuáles interfaces activas monitorear. Si no quiere monitorear el estado del enlace de una interfaz habilitada como criterio para conmutación por error, desmarque la casilla de selección para esa interfaz en la columna Monitorear Enlace.

Le recomendamos que configure el FireCluster para que monitoree el estado del enlace en todas las interfaces habilitadas.

El FireCluster activo/activo siempre monitorea el estado del enlace de todas las interfaces de red habilitadas. Para un FireCluster Activo/Activo, debe desactivar toda interfaz que no esté conectada a un conmutador de red.

Para desactivar una interfaz:

1. En Policy Manager, seleccione Red > Configuración.
2. Haga doble clic en la interfaz que desea deshabilitar.
3. Establezca el Tipo de interfaz en Deshabilitado.

Si habilita una interfaz física o agrega una interfaz de Conjunto de Enlaces después de habilitar el FireCluster, esa interfaz se selecciona automáticamente como interfaz monitoreada en la configuración de FireCluster.

Configurar Miembros de FireCluster

1. Seleccione la pestaña Miembros.
   Aparecen las configuraciones de miembros de FireCluster.
   

Si importó anteriormente una llave de licencias en ese archivo de configuración, ese dispositivo es automáticamente configurado como Miembro 1.

Si no tiene una llave de licencias en ese archivo de configuración, el miembro de FireCluster no aparece en la lista. En ese caso, debe añadir cada dispositivo como miembro e importar el archivo de configuración para cada dispositivo, tal como se describe en los siguientes pasos.

2. Para añadir un miembro, haga clic en Agregar.
   Aparece el diálogo Agregar miembro.

3. En el cuadro de texto Nombre de Miembro, escriba un nombre. Ese nombre identifica ese dispositivo en la lista de miembros.
4. Seleccione la pestaña Llave de Licencias.

5. Haga clic en Importar.
   Aparece el cuadro de diálogo Importar Llave de Licencias de Firebox.
6. Para encontrar el archivo de la tecla de función, haga clic en Examinar.
   O bien, copie el texto del archivo de tecla de función y haga clic en Pegar para insertarlo en el cuadro de diálogo.
7. Haga clic en Aceptar.
8. Seleccione la pestaña Configuración.
   El campo Número de serie se completa de forma automática con el número de serie de la llave de licencias.
9. En la sección Dirección IP de Interfaz, escriba las direcciones que se usarán para cada interfaz del clúster y la dirección IP de la interfaz de administración.
   • En el cuadro de texto Clúster primario, escriba la dirección IP que se usará para la interfaz de clúster primario. La dirección IP para la interfaz del clúster principal debe estar en la misma subred que cada clúster miembro. El clúster miembro con la dirección IP más alta asignada a la interfaz del clúster principal se convierte en el principal, si ambos dispositivos inician al mismo tiempo.
   • En el cuadro de texto Clúster de respaldo, escriba la dirección IP que se usará para la interfaz de clúster de respaldo. Esa opción sólo aparece si configuró una interfaz de clúster de resguardo. La dirección IP para la interfaz del clúster de resguardo debe estar en la misma subred para cada clúster miembro.

   Las interfaces de clúster primaria y de respaldo deben estar en subredes diferentes. Si utiliza un conmutador entre cada miembro para las interfaces de clúster, estas deberán estar separadas lógicamente una de otra en VLAN diferentes.

   • En la sección Administración, en el cuadro de texto IPv4, escriba la dirección IP para usar para conectar un clúster miembro individual para operaciones de mantenimiento. La interfaz para administración no es una interfaz exclusiva. También es utilizada para otro tráfico de red. Debe especificar una dirección IP de administración diferente para cada clúster miembro. La dirección IP IPv4 de administración debe ser una dirección IP sin utilizar. Recomendamos que use una dirección IP en la misma subred que la dirección IPv4 asignada a la interfaz. También debe encontrarse en la misma subred que el WatchGuard Log Server o el servidor syslog a los que su FireCluster envía los mensajes de registro.
   • Si la interfaz que seleccionó como la Interfaz para dirección IP de administración tiene IPv6 habilitado, también puede configurar una dirección IP de administración IPv6. En la sección Administración, en el cuadro de texto IPv6, escriba la dirección IPv6 que se usará para conectar un clúster miembro individual para operaciones de mantenimiento. La dirección IP de administración IPv6 debe ser una dirección IP sin utilizar. Le recomendamos que use una dirección IP con el mismo prefijo que una dirección IP IPv6 asignada a la interfaz.
     Para obtener más información, consulte Acerca de la Administración de Direcciones IP para FireCluster.

No establezca la dirección IP del clúster Primaria o de Respaldo a la dirección IP predeterminada de una interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1-10.0.26.1. Las direcciones IP del clúster Primaria o de Respaldo no se deben usar para ninguna otra cosa en su red, como las direcciones IP virtuales para Mobile VPN y las direcciones IP utilizadas por las redes de sucursales remotas.

10. Haga clic en Aceptar.
    El dispositivo agregado aparece en la pestaña Miembros como un clúster miembro.
11. Repita los pasos anteriores para añadir el segundo dispositivo a la configuración del clúster.

Si desea que el segundo dispositivo sea encontrado y agregado al clúster automáticamente, no guarde la configuración en el dispositivo hasta que inicie el segundo dispositivo con la configuración de fábrica.

12. Inicie el segundo dispositivo con las configuraciones predeterminadas de fábrica.

Para cualquier modelo Firebox, o un dispositivo XTM 33, 25 o 26, reestablezca la configuración predeterminada de fábrica del dispositivo.

Use las instrucciones de restablecimiento de su modelo de Firebox. Para obtener más información, consulte Restablecer un Firebox.

Para cualquier dispositivo XTM  que tiene una pantalla LCD, inicie el dispositivo en modo seguro

Para iniciar en modo seguro, pulse y mantenga presionado el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo. Siga presionando el botón con la flecha hacia abajo hasta que aparezca Iniciando Modo Seguro... en la pantalla LCD. Cuando el dispositivo está en modo seguro, el número del modelo seguido de la palabra seguro aparece en la pantalla LCD.

13. Guarde el archivo de configuración en el clúster principal.
    Se crea el clúster. El clúster principal automáticamente descubre al otro dispositivo por el número de serie que coincide con el número de serie en la llave de licencias que agregó a la configuración del clúster

Después de activar el clúster, se puede monitorear el estado de los clúster miembros en la pestaña Panel Delantero de Firebox System Manager.
Para obtener más información, consulte Monitorear y Controlar Miembros de FireCluster.

Si guarda la configuración al clúster principal antes de iniciar el segundo dispositivo en modo seguro, el clúster principal no encuentra automáticamente el segundo dispositivo. Si el segundo dispositivo no es encontrado automáticamente, usted puede propiciar manualmente la detección del dispositivo como se describe en Encontrar un Clúster Miembro.

Vea también

FireCluster

Acerca de las Llaves de Licencias y el FireCluster

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.