Vor der Konfiguration eines Cloud-verwalteten FireClusters in WatchGuard Cloud

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema gilt für Fireboxen, die Sie in WatchGuard Cloud konfigurieren.

Vor der Konfiguration eines Cloud-verwalteten FireClusters in WatchGuard Cloud sollten Sie unbedingt:

• Funktionsunterstützung überprüfen
• Voraussetzungen verifizieren:
  • Cloud-Verwaltung
  • WatchGuard Cloud-Konten
  • Firmware-Version
  • Lizenzen und Subscriptions
  • Hardware und Verkabelung
  • Netzwerke
  • Virtuelle Maschinen
• Die externe Schnittstellenkonfiguration verifizieren
• Netzwerk-Router- und Switch-Konfigurationen verifizieren
• Cluster-Schnittstellenkonfiguration planen

Funktionsunterstützung überprüfen

FireCluster unterstützen nicht alle Firebox-Funktionen. Weitere Informationen finden Sie unter Von Cloud-verwalteten FireClustern nicht unterstützte Funktionen.

Voraussetzungen verifizieren

Um einen Cloud-verwalteten FireCluster zu WatchGuard Cloud hinzuzufügen, können Sie eine der folgenden Optionen verwenden:

• Fügen Sie zwei Fireboxen mit Standardwerkseinstellungen als ein Cloud-verwaltetes FireCluster hinzu.
• Ändern Sie ein lokal verwaltetes Aktiv/Passiv-FireCluster zu Cloud-Verwaltung.

Cloud-verwaltete FireCluster werden im Aktiv/Passiv-Modus betrieben. Sie können keinen Cloud-verwalteten Aktiv/Aktiv-FireCluster hinzufügen.

Voraussetzungen für WatchGuard Cloud-Konten

Sie müssen Folgendes beachten:

• Aktivieren Sie beide Fireboxen in Ihrem WatchGuard-Konto. Weitere Informationen finden Sie unter WatchGuard Fireboxen aktivieren.
• Weisen Sie eine der Fireboxen einem Subscriber-Konto zu (nur Service-Provider). Um die zweite Firebox hinzuzufügen, können Sie die Seriennummer angeben. Weitere Informationen finden Sie unter Fireboxen zuweisen.

Firmware-Anforderungen

Cloud-verwaltete FireCluster müssen folgende Anforderungen an die Firmware erfüllen:

• Auf beiden Fireboxen im FireCluster muss dieselbe Version der Fireware-Firmware laufen. Informationen zur Firmware-Version finden Sie unter Geräteeinstellungen in WatchGuard Cloud konfigurieren.
• Beide Fireboxen müssen Fireware v12.8.2 oder höher ausführen

Lizenz- und Subscription-Anforderungen

Cloud-verwaltete FireCluster haben folgende Anforderungen in Bezug auf Lizenzen:

• Aktivieren Sie die Subscription Services im Feature Key für nur ein Cluster-Mitglied. Das aktive Cluster-Mitglied nutzt die Subscription Services, die im Feature Key eines der Cluster-Mitglieder aktiv sind.
• Ein Cluster-Mitglied muss über eine Lizenz für Total Security Suite oder Basic Security Suite verfügen. Das andere Cluster-Mitglied muss mindestens über eine Standard Support-Lizenz verfügen.
• Service-Provider und Partner können eine Firebox, die nicht für den Weiterverkauf bestimmt ist (NFR), in einem FireCluster zusammen mit einer anderen NFR- oder Nicht-NFR-Firebox verwenden. Beachten Sie, dass für die Aktivierung einer SKU mit hoher Verfügbarkeit auf einem NFR-Gerät ein weiteres Nicht-NFR-Gerät desselben Modells in Ihrem Konto erforderlich ist, das noch nicht mit einer SKU mit hoher Verfügbarkeit gekoppelt ist.

Cloud-verwaltete FireCluster haben folgende Anforderungen in Bezug auf Lizenzabonnements:

• Ein Supportabonnement gilt für das einzelne Gerät, selbst wenn dieses Gerät als Mitglied eines Clusters konfiguriert ist. Jedes Gerät im Cluster muss ein aktives Support-Abonnement haben. Läuft das Supportabonnement für ein Cluster-Mitglied ab, können Sie die Firmware auf diesem Gerät nicht upgraden.
• Die Supportstufe und das Ablaufdatum des Abonnements für das einzelne Mitglied können Sie auf der Seite Produkte verwalten in Ihrem Konto auf der WatchGuard-Website einsehen.

Cloud-verwaltete FireCluster haben folgende Anforderungen in Bezug auf RMA-Abonnements:

• Um beide FireCluster-Mitglieder auf den Premium-4-Stunden-RMA-Service upzugraden, müssen Sie dieses Abonnement für jedes Cluster-Mitglied erwerben. Weitere Informationen zum optionalen Premium-4-Stunden-RMA-Service finden Sie unter RMA-Service FAQ auf der WatchGuard-Website.

Weitere Informationen zu Aktivierung, Verlängerung und Ablauf von Lizenzen finden Sie unter Über Firebox WatchGuard Cloud-Lizenzen.

Anforderungen an Hardware und Verkabelung

Stellen Sie sicher, dass folgende Anforderungen erfüllt sind:

• Zwei aktivierte Fireboxen mit derselben Modellnummer.
• Lokaler administrativer Zugriff auf den FireCluster.
• Dieselbe Anzahl und Art von Netzwerkschnittstellen und Schnittstellenmodulen sind in denselben Steckplätzen auf jeder Firebox installiert.
• Mindestens eine freie Firebox-Schnittstelle ist für die Nutzung als Cluster-Schnittstelle bestimmt. Für die Konfiguration einer Backup-Cluster-Schnittstelle benötigen Sie eine weitere freie Firebox-Schnittstelle.
• Ein Ethernet-Kabel für jede Cluster-Schnittstelle. Die Cluster-Schnittstellen der beiden Cluster-Mitglieder können Sie mit einem Patch- oder Crossover-Kabel verbinden.
• Einen Netzwerk-Switch für jede aktivierte interne, externe oder Gast-Schnittstelle.
• Ethernet-Kabel für die Verbindung der Schnittstellen auf beiden Geräten mit den Netzwerk-Switches.
• Manche Firebox-Modelle unterstützen benutzerseitig installierbare Schnittstellenmodule. Da die Anzahl der auf diesen Modellen installierten Schnittstellenmodule variieren kann, haben diese Modelle zusätzliche Anforderungen an die FireCluster-Konfiguration:
• Beide Mitglieder eines FireCluster müssen dasselbe Firebox-Modell sein und dieselbe Anzahl und Art von Schnittstellenmodulen müssen in denselben Steckplätzen installiert sein. Es kann kein Cluster gebildet werden, wenn die Hardware-Konfiguration für beide Fireboxen nicht genau übereinstimmt.
• Sie müssen eine geräteeigene Schnittstelle als primäre Cluster-Schnittstelle auswählen. Bei dieser Konfiguration verbinden Sie die geräteeigenen Schnittstellen beider Mitglieder direkt miteinander. Die Erkennung der Mitglieder erfolgt über diese Schnittstelle, wenn sich der Cluster erstmals bildet.
• Bei einem M5600 ist die einzige integrierte Schnittstelle die Schnittstelle 32
• Bei einem M470, M570, M590, M670, M690, M4600, T80 und T85 sind die acht integrierten Schnittstellen die Schnittstellen 0 bis 7

Abgesehen von den folgenden Ausnahmen wird FireCluster auf allen Firebox-Geräten vollständig unterstützt:

• Firebox T15 und NV5-Geräte unterstützen FireCluster nicht.
• FireboxV-Geräte in einer VMware ESXi-Umgebung unterstützen nur einen Aktiv/Passiv-FireCluster.
• FireCluster wird für eine Hyper-V-Umgebung nicht unterstützt.
• Firebox Cloud unterstützt FireCluster nicht.

Wenn Sie zwei WLAN-Fireboxen als einen FireCluster konfigurieren, muss die Konfiguration folgende Bedingungen erfüllen:

• Firebox T15-W-WLAN-Modelle unterstützen kein FireCluster.
• Sie können WLAN-Schnittstellen nicht als primäre oder Backup-Cluster-Schnittstellen verwenden.
• Wenn sich die Cluster-Schnittstellen-IP-Adresse auf einer Schnittstelle befindet, die per Bridge mit einem WLAN-Netzwerk verbunden ist, können Sie keine WLAN-Verbindung zur Verwaltung des Geräts verwenden.

Netzwerkanforderungen

Beide Fireboxen müssen mit dem Netzwerk verbunden sein und über einen zuverlässigen Internetzugang verfügen.

• Die Netzwerklatenz zwischen den Cluster-Mitgliedern muss unter 100 ms betragen.
• FireCluster unterstützt keine Bridge-Netzwerke.

Anforderungen für Virtuelle Maschine (VM)

FireCluster in einer VMware-Umgebung funktionieren nur dann wie erwartet, wenn alle Anforderungen erfüllt sind. Informationen finden Sie unter FireCluster auf VMware ESXi konfigurieren.

• FireCluster wird für Hyper-V nicht unterstützt.
• Alle vom Cluster geschützten Clients müssen mit beiden Cluster-Mitgliedern kommunizieren können. VMware sendet Datenverkehr von Clients, die sich auf demselben ESXi-Host wie das eine Cluster-Mitglied befinden, nicht an das andere Cluster-Mitglied, das sich auf einem anderen ESXi-Host befindet. Weitere Informationen finden Sie unter FireCluster auf VMware ESXi konfigurieren.

Die externe Schnittstellenkonfiguration verifizieren

Jede externe Schnittstelle muss eine statische IP-Adresse haben oder für PPPoE oder DHCP konfiguriert sein. Weitere Informationen zum Konfigurieren der externen Schnittstelle finden Sie unter Externes Netzwerk auf Fireboxen konfigurieren.

Netzwerk-Router- und Switch-Konfigurationen verifizieren

Sie müssen für jede aktive Datenverkehrsschnittstelle einen Netzwerk-Switch oder ein VLAN haben.

Die primären und Backup-Cluster-Schnittstellen müssen sich auf unterschiedlichen, ungenutzten Subnetzen befinden. Achten Sie darauf, dass Sie Subnetze nutzen, die sich nicht mit lokalen oder VPN-Subnetzen überschneiden. Um IP-Adresskonflikte mit routingfähigen IP-Adressen zu vermeiden, empfehlen wir Ihnen, mit Automatic Private IP Addressing (APIPA) generierte Subnetze zu nutzen, die auch Link-Local-Adressen genannt werden (169.254.0.1/16 – 169.254.255.254/16).

Wir raten davon ab, einen Switch zwischen den einzelnen Mitgliedern für die Cluster-Schnittstellen zu nutzen. Falls Sie einen Switch zwischen jedem Mitglied für die Cluster-Schnittstellen nutzen, müssen die Cluster-Schnittstellen auf unterschiedlichen VLANs logisch voneinander getrennt sein.

Cluster-Schnittstellenkonfiguration planen

Wir empfehlen Ihnen, vor der Konfiguration des FireClusters zu planen, welche IP-Adressen und Firebox-Schnittstellen Sie für das FireCluster nutzen. Bei der FireCluster-Konfiguration müssen Sie IP-Adressen und Schnittstellennummern für folgende FireCluster-Schnittstellen angeben:

Cluster-Schnittstelle

Eine ausschließlich für die Kommunikation zwischen den Cluster-Mitgliedern genutzte Schnittstelle. Cluster-Mitglieder nutzen diese Schnittstelle für den Austausch von Heartbeat-Paketen und die Synchronisation von Verbindungs- und Sitzungs-Informationen. Diese Schnittstelle wird nicht für normalen Netzwerk-Datenverkehr verwendet. Wir empfehlen Ihnen, bei der Einrichtung der Cluster-Hardware die Cluster-Schnittstellen der Fireboxen direkt miteinander zu verbinden. Wir raten davon ab, einen Switch zwischen Cluster-Schnittstellen zu nutzen.

Backup-Cluster-Schnittstelle (optional)

Eine redundante ausschließlich für die Kommunikation zwischen den Cluster-Mitgliedern genutzte Schnittstelle. Wir empfehlen eine Backup-Cluster-Schnittstelle nur dann, falls Sie die Cluster-Schnittstellen über einen Switch verbinden.

Kommunikationsschnittstelle

Eine Schnittstelle für das Übermitteln von Protokollmeldungen beider Cluster-Mitglieder an Ihren Dimension- oder Syslog Server und für die Verwaltung des Backup-Cluster-Masters. Bei lokal verwalteten FireCluster wird diese Schnittstelle in der Fireware Web UI und im WatchGuard System Manager als Interface for Management IP address bzw. Schnittstelle für Management-IP-Adresse bezeichnet.

In der folgenden Liste sind beispielhafte IP-Adressen für einen Cloud-verwalteten FireCluster aufgeführt.

IP-Adresse für Cloud-verwalteten FireCluster
	Firebox-Schnittstelle	IP-Adresse Mitglied1	IP-Adresse Mitglied2
Cluster-Schnittstelle	0	169.254.0.1/30	169.254.0.2/30
Backup-Cluster-Schnittstelle	1	169.254.1.1/30	169.254.1.2/30
Kommunikationsschnittstelle	2	10.10.2.3/24	10.10.2.4/24

Bewährte Verfahren für Cluster-Schnittstellen

Folgen Sie diesen bewährten Verfahren für die IP-Adressen von Cluster-Schnittstellen:

• Verwenden Sie eine freie IP-Adresse, die in Ihrem Netzwerk nicht vergeben ist. Um Konflikte mit für das Routing geeigneten IP-Adressen zu vermeiden, empfehlen wir APIPA-Adressen oder IP-Adressen von einem speziellen privaten Subnetz.
• Die Schnittstellen-IP-Adressen beider Cluster-Mitglieder müssen sich auf im selben Subnetz befinden.
• Falls Sie eine Schnittstelle als dedizierte VLAN-Schnittstelle konfiguriert haben, wählen Sie diese Schnittstelle nicht als dedizierte Cluster-Schnittstelle.
• Legen Sie als Cluster-IP keine Standard-IP-Adresse einer Schnittstelle auf der Firebox fest. Standardmäßig verwendet die Firebox 10.0.x.0/24 Subnetze für Schnittstellen-IP-Adressen, weshalb wir Ihnen empfehlen, die Verwendung von 10.0.x.0/24-Adressen als Cluster-IP-Adressen zu vermeiden. Wenn Sie die Cluster-Schnittstelle so konfigurieren, dass eine der werkseitig voreingestellten Schnittstellen-IP-Adressen verwendet wird, kann es bei einer Clusterbildung zu Konflikten kommen und der Failover könnte fehlschlagen.
• Vergeben Sie die Cluster-IP-Adressen für nichts anderes in Ihrem Netzwerk, auch nicht für VPNs.

Folgen Sie diesen bewährten Verfahren für Cluster-Schnittstellen:

• Für die höchste Ausfallsicherheit in Bezug auf Fehler der Netzwerkschnittstellenkarte (NIC) der Firebox empfehlen wir Ihnen, eth0 als die primäre Cluster-Schnittstelle zu verwenden. Bei einem Fehler in der Firebox NIC weist die Firebox die logischen Schnittstellennummern automatisch neu zu. Die Firebox weist eth-Kennungen in der Reihenfolge zu, in der Schnittstellen erkannt werden. Deswegen scheinen logische Schnittstellennummern nach links zu wandern. Eine Neuzuweisung der Kennung kann sich auf den Betrieb des FireClusters und die Schnittstellenkonfigurationen des Backup-Clusters auswirken.

  Wenn Sie beispielsweise eth0 als primäre Cluster-Schnittstelle nutzen und eine andere NIC als eth0 versagt, dann funktioniert das FireCluster wie erwartet weiter, da die Schnittstellenkennung eth0 bleibt. Die Firebox weist die logische Schnittstellenkennung für eth0 nicht neu zu, weil es physisch links von eth0 keine Schnittstelle gibt. Diese Konfiguration schützt das FireCluster vor NIC-Fehlern auf anderen als der Schnittstelle eth0. Nur ein Fehler von eth0 würde den FireCluster-Betrieb beeinträchtigen.

  Wenn Sie eth4 als primäre Cluster-Schnittstelle nutzen und an eth3 ein Fehler auftritt, weist die Firebox die logische Kennung eth3 neu zu. Schnittstelle eth4 wird zu Schnittstelle eth3. Dies stört den FireCluster-Betrieb, weil in den FireCluster-Konfigurationseinstellungen der Firebox eth4 als primäre Cluster-Schnittstelle vorgesehen ist.

• Wir raten davon ab, einen Switch zwischen den einzelnen Mitgliedern für die Cluster-Schnittstellen zu nutzen. Falls Sie einen Switch zwischen jedem Mitglied für die Cluster-Schnittstellen nutzen, müssen die Cluster-Schnittstellen auf unterschiedlichen VLANs logisch voneinander getrennt sein.
• Sie müssen eine geräteeigene Firebox-Schnittstelle als primäre Cluster-Schnittstelle auswählen. Weitere Informationen finden Sie unter Über FireCluster mit modularen Schnittstellen.
• Bei einem M5600 ist die einzige integrierte Schnittstelle die Schnittstelle 32
• Bei einem M470, M570, M590, M670, M690, M4600, T80 und T85 sind die acht integrierten Schnittstellen die Schnittstellen 0 bis 7

Bewährte Verfahren für Backup-Cluster-Schnittstellen

Die Art der Verbindung zwischen den Cluster-Schnittstellen bestimmt, ob wir eine Backup-Cluster-Schnittstelle empfehlen.

FireCluster mit direkter Kabelverbindung zwischen Cluster-Mitgliedern

Bei dieser Konfigurationsart empfehlen wir keine Backup-Cluster-Schnittstelle, da sie nur begrenzte Redundanz bietet.

Der FireCluster nutzt die Backup-Cluster-Schnittstelle nur bei einem Kabelfehler bzw. -bruch zwischen den primären Cluster-Schnittstellen. Bei einem Fehler der NIC einer Firebox bietet die Backup-Cluster-Schnittstelle keinerlei Redundanz, da die Firebox die logischen Schnittstellenkennungen – wie oben beschrieben – automatisch neu zuweist.

FireCluster mit einem Switch zwischen Cluster-Mitgliedern

Bei dieser Konfiguration sind FireCluster-Mitglieder physisch durch einen Switch getrennt, wovon wir abraten. Wenn Sie einen Switch zwischen den Cluster-Schnittstellen platzieren, empfehlen wir Ihnen die Konfiguration einer Backup-Cluster-Schnittstelle. Der FireCluster nutzt die Backup-Cluster-Schnittstelle in folgenden Fällen:

• Das Kabel zwischen Switch und Cluster-Schnittstelle ist defekt.
• Die Switch-Schnittstelle ist defekt.
• Ein Netzwerkproblem führt dazu, dass der Switch nicht mehr verfügbar ist.

Bei einem Fehler der NIC einer Firebox bietet die Backup-Cluster-Schnittstelle keinerlei Redundanz, da die Firebox die logischen Schnittstellenkennungen automatisch neu zuweist. Beispielsweise haben Sie eth3 als primäre Cluster-Schnittstelle und eth4 als Backup-Cluster-Schnittstelle konfiguriert. Bei einem Fehler an eth3 weist die Firebox die logische Kennung eth3 neu zu. Die ehemalige Schnittstelle eth4 wird jetzt zu Schnittstelle eth3. Die Neuzuweisung der Schnittstellenkennung stört den Betrieb des FireClusters, weil in dessen Konfigurationseinstellungen eth3 als primäre Cluster-Schnittstelle und eth4 als Backup-Cluster-Schnittstelle spezifiziert sind.

Für die höchste Ausfallsicherheit empfehlen wir die Verwendung von eth0 als primäre Cluster-Schnittstelle.

Verwenden Sie eine freie IP-Adresse, die in Ihrem Netzwerk nicht vergeben ist. Um Konflikte mit für das Routing geeigneten IP-Adressen zu vermeiden, empfehlen wir APIPA-Adressen oder IP-Adressen von einem speziellen privaten Subnetz. Die IP-Adressen für Backup-Cluster-Schnittstellen müssen sich im selben Subnetz befinden. Die IP-Adressen für Backup-Cluster-Schnittstellen müssen sich in einem anderen Subnetz befinden als die IP-Adressen für primäre Cluster-Schnittstellen.

Folgen Sie diesen bewährten Verfahren für Cluster-Schnittstellen und IP-Adressen:

• Die primären und Backup-Cluster-Schnittstellen müssen sich in unterschiedlichen Subnetzen befinden.
• Vergeben Sie keine der Standard-IP-Adressen für die Schnittstellen der Firebox als Cluster-IP-Adresse. Standardmäßig verwendet die Firebox 10.0.x.0/24-Subnetze für Schnittstellen-IP-Adressen, weshalb wir Ihnen empfehlen, die Verwendung von 10.0.x.0/24-Adressen als Backup-Cluster-IP-Adressen zu vermeiden. Wenn Sie die Backup-Cluster-Schnittstelle so konfigurieren, dass eine der werkseitig voreingestellten Schnittstellen-IP-Adressen verwendet wird, kann es bei einer Clusterbildung zu Konflikten kommen und der Failover könnte fehlschlagen. Die Backup-Cluster-IP-Adressen dürfen für nichts anderes in Ihrem Netzwerk vergeben werden, auch nicht für VPNs.

Bewährte Verfahren für Kommunikationsschnittstellen

Verwenden Sie eine IP-Adresse, die sich im selben Netzwerk wie Ihr Dimension- oder Syslog Server befindet. Die IP-Adresse der Kommunikationsschnittstelle muss sich im selben Subnetz wie Ihr internes Netzwerk befinden.

In WatchGuard Cloud können Sie einen Cloud-verwalteten FireCluster so konfigurieren, dass es Protokollmeldungen an Dimension- oder Syslog Server sendet, um sie dort über den normalen Datenaufbewahrungszeitraum in WatchGuard Cloud hinaus aufbewahren zu können.

IP-Adressen und RADIUS-Authentifizierung

Nachdem Sie einen FireCluster konfiguriert haben, können RADIUS-Authentifizierungsanfragen von Benutzern in Ihrem Netzwerk entweder von der FireCluster-Verwaltungs-IP-Adresse oder von der Firebox-Schnittstellen-IP-Adresse stammen. Dies geschieht, weil die Routing-Tabelle verschiedene Faktoren verwendet, um zu bestimmen, welche IP-Adresse verwendet wird.

Nächste Schritte

Nach der Überprüfung sämtlicher Anforderungen können Sie Cloud-verwaltete FireCluster hinzufügen.

Ähnliche Themen

Über FireCluster in WatchGuard Cloud

RMA-Ersatz für ein Cloud-verwaltetes FireCluster-Mitglied konfigurieren