Contents

Temas Relacionados

Configurar un FireCluster en VMware ESXi

Puede configurar dos máquinas virtuales FireboxV como un FireCluster. Recomendamos que complete la configuración de red virtual en el hipervisor antes de configurar los dispositivos FireboxV que desea agrupar.

Planificación del Clúster

Antes de configurar FireCluster, planifique su red y configure el vSwitch para cada interfaz.

Verificar los Componentes Básicos

Asegurarse de que tiene esos ítems:

  • Dos máquinas virtuales WatchGuard FireboxV del mismo modelo
  • La misma versión de Fireware en cada dispositivo
  • La llave de licencias para cada máquina virtual
  • Un vSwitch configurado para cada interfaz de clúster
  • Un vSwitch para cada interfaz de tráfico activa
  • WatchGuard System Manager, para editar la configuración de FireCluster

Planifición de su Red

Para que dos máquinas virtuales FireboxV operen con éxito como un FireCluster, las redes para el clúster y las interfaces de administración deben cumplir con estos requisitos de dominio:

  • Las interfaces de administración deben estar en el mismo dominio de difusión
  • Las interfaces del clúster deben estar en el mismo dominio de multidifusión

Puede configurar un FireCluster con dos máquinas virtuales FireboxV en diferentes servidores ESXi. Esto puede permitir que el FireCluster realice una conmutación por error en el caso de una falla de software o hardware. Por ejemplo, FireCluster es compatible con este escenario de red:

  • Dos servidores ESXi conectados a un conmutador virtual distribuido con varios conmutadores físicos entre ellos
  • Los miembros maestros y de respaldo del FireCluster están configurados en un servidor ESXi diferente

Antes de habilitar FireCluster, le recomendamos que identifique el vSwitch, la interfaz de red y las direcciones de red a usar. Para FireCluster, la interfaz externa debe usar una dirección IP estática. Un plan claro le ayuda a configurar las direcciones IP de la interfaz y a configurar los ajustes del vSwitch según sea necesario para cada interfaz. Por ejemplo, podría crear una lista que se parezca a algo como esto

Opción de FireCluster Nombre de vSwitch FireboxV o XTMv
N.° de interfaz 		Dirección IP
Interfaz de clúster primario Red HA 9

Miembro 1: 10.10.5.1/24

Miembro 2: 10.10.5.2/24
Interfaz para la dirección IP de administración Red de confianza 1

Miembro 1: 10.10.1.2/24

Miembro 2: 10.10.1.3/24
Interfaz externa Red externa 0 203.0.113.2 /24
Interfaz de confianza Red de confianza 1 10.10.1.1/24

Configurar Conmutadores de Red

Debe configurar un vSwitch para cada interfaz que desee habilitar. Le recomendamos que haga esto antes de habilitar FireCluster. Antes de habilitar FireCluster, asegúrese de que los conmutadores estén configurados para cumplir con estos requisitos:

  • El vSwitch para la interfaz externa debe configurarse para aceptar cambios en la dirección MAC
  • El vSwitch para la interfaz de administración de FireCluster debe tener el modo promiscuo habilitado
  • El vSwitch que se conecta a cada interfaz del clúster debe estar dedicado a este fin

Para más información sobre la configuración del conmutador, consulte Configurar Recursos en VMware ESXi.

Configurar el Clúster

Después de haber planificado su red y configurado los vSwitches, puede configurar las máquinas virtuales FireboxV y habilitar FireCluster.

Implementación y Provisión de dos Máquinas Virtuales FireboxV

Para crear un FireCluster con dos nuevas máquinas virtuales FireboxV, use el procedimiento de la sección anterior para implementar y activar dos dispositivos Firebox V. Si desea habilitar FireCluster para una máquina virtual FireboxV existente, implemente y active una máquina virtual FireboxV adicional. Para obtener más información, consulte Implementar FireboxV o XTMv en VMware ESXi.

Asigne los mismos recursos (adaptadores de red, CPU virtual y memoria) a cada máquina virtual FireboxV. Para obtener más información, consulte Configurar Recursos en VMware ESXi.

Obtener la Llave de Licencias para el Segundo Dispositivo

Copie la llave de licencias desde el segundo dispositivo a un archivo de texto, para que pueda agregarla a la configuración de FireCluster.

Para copiar la llave de licencias con Policy Manager:

  1. En WatchGuard System Manager, conéctese a la máquina virtual que será el segundo dispositivo en el clúster.
  2. Seleccione Herramientas > Policy Manager.
  3. Seleccione Configurar > Llaves de Licencias > Detalles.
  4. Seleccione y copie los detalles de la llave de licencias en un archivo de texto.

Configurar los Ajustes de FireCluster

Los pasos para configurar los ajustes de FireCluster en FireboxV son los mismos que para cualquier otro Firebox, excepto que debe seleccionar activo/pasivo para un FireCluster virtual. Después de ejecutar el FireCluster Setup Wizard, guarde la configuración del clúster en cada una de las máquinas virtuales. Cuando se reinician, se forma el clúster.

Para configurar el FireCluster:

  1. En el WatchGuard System Manager, conéctese a la máquina virtual FireboxV o XTMv que tenga la configuración que desea usar para el clúster.
  2. Seleccione Herramientas > Policy Manager.
  3. Seleccione FireCluster > Configuración.
    El FireCluster Setup Wizard se inicia.
  4. Haga clic en Siguiente.
  5. Seleccione Clúster Activo/Pasivo
    Aunque puede seleccionarla, la opción de clúster Activo/Activo no es admitida en FireboxV.
  6. Seleccione el ID del clúster.
    El ID del clúster identifica singularmente el clúster si configura más de un clúster en el mismo dominio de difusión de capa 2. Si solo tiene un clúster, puede usar el valor predeterminado de 1.
  7. Haga clic en Siguiente.
  8. Seleccione una interfaz de grupo Primario.
    Seleccione una interfaz que esté conectada a un vSwitch dedicado. Las interfaces de clúster están dedicadas a establecer la comunicación entre los clúster miembro y no se usan para otro tráfico de red.
  9. (Opcional) Seleccione una interfaz de clúster de Respaldo.
    Si selecciona una interfaz de clúster de respaldo, seleccione una interfaz conectada a un segundo vSwitch dedicado.
  10. Seleccione la Dirección IP de interfaz para administración.
    Use esa interfaz para conectarse directamente a los dispositivos miembros de FireCluster para operaciones de mantenimiento. El clúster principal también utiliza la dirección IP de Administración del principal de respaldo para comunicarse con el principal de respaldo acerca del estado del dispositivo y el conjunto de acciones. Ésta no es una interfaz exclusiva. También es utilizada para otro tráfico de red. No se puede seleccionar una interfaz VLAN como dirección IP de Interfaz para Administración. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.

Asegúrese de que el modo promiscuo esté habilitado en vSwitch para la interfaz que configure como Interfaz para la dirección IP de administración.

  1. Haga clic en Siguiente.
  2. Cuando lo solicite el asistente de configuración, añada esas propiedades del FireCluster miembro a cada dispositivo:

Llave de Licencias

Para cada Firebox, agregue la llave de licencias para obtener los números de serie del dispositivo y habilitar todas las funciones. Para el primer miembro del clúster, el asistente utiliza automáticamente la llave de licencias que existe en el archivo de configuración.

Nombre del miembro

El nombre que identifica a cada Firebox en la configuración de FireCluster.

Dirección IP de la interfaz del clúster principal

La dirección IP que los miembros del clúster utilizan para comunicarse entre sí a través de la interfaz del clúster primaria. La dirección IP de interfaz para el clúster primario para cada clúster miembro debe ser una dirección IPv4 en la misma subred.

Si ambos dispositivos inician al mismo tiempo, el clúster miembro con la dirección IP más alta asignada a la interfaz del clúster principal se convierte en el principal.

Dirección IP de interfaz de clúster de respaldo

(Opcional) La dirección IP que los miembros del clúster utilizan para comunicarse entre sí a través de la interfaz del clúster de respaldo. La dirección IP de interfaz para el clúster de respaldo para cada clúster miembro debe ser una dirección IPv4 en la misma subred.

No establezca la dirección IP del clúster Primario o de Respaldo a la dirección IP predeterminada de una interfaz en el dispositivo. Las direcciones IP de interfaz predeterminadas se encuentran dentro del rango 10.0.0.1 - 10.0.17.1. Las direcciones IP del clúster primario y de respaldo no se deben usar para ninguna otra cosa en su red, como las direcciones IP virtuales para VPN móvil y las direcciones IP utilizadas por las redes de sucursales remotas.

Dirección IP de Administración

Una dirección IP única que puede usar para conectarse a un Firebox individual mientras que está configurada como parte de un clúster. Debe especificar una dirección IP de administración diferente para cada clúster miembro. Si la interfaz que seleccionó como la Interfaz para dirección IP de administración tiene IPv6 habilitado, también puede, de forma opcional, configurar una dirección IPv6 de administración.

La dirección IP IPv4 de administración puede ser cualquier dirección IP sin utilizar. Recomendamos que use una dirección IP en la misma subred que la interfaz que seleccione como Interfaz para dirección IP de administración. Esto es para asegurarse de que la dirección es enrutable. La dirección IP de administración debe encontrarse en la misma subred que el WatchGuard Log Server o el servidor syslog a los que su FireCluster envía los mensajes de registro.

La dirección IP IPv6 de administración debe ser una dirección IP sin utilizar. Recomendamos que use una dirección IPv6 con el mismo prefijo que una dirección IPv6 asignada a la interfaz que seleccionó como la Interfaz para la dirección IP de administración. Esto es para asegurarse de que la dirección IPv6 sea enrutable.

  1. Revise el resumen de configuración en la pantalla final del FireCluster Setup Wizard. El resumen de configuración muestra las opciones que seleccionó y cuáles interfaces son monitoreadas para el estado del enlace.
  2. Haga clic en Finalizar.
    Aparece el cuadro de diálogo Configuración de FireCluster.

Formación del Clúster

Para formar el clúster, guarde el archivo de configuración en cada máquina virtual FireboxV.

  1. En Policy Manager, seleccione Archivo> Guardar > En Firebox para guardar la configuración en la primera máquina virtual FireboxV o XTMv.
  2. En Policy Manager, seleccione nuevamente Archivo > Guardar > En Firebox y especifique la dirección IP de la segunda máquina virtual FireboxV.
    Policy Manager despliega una advertencia si la configuración que guardó en la dirección IP no existe en el archivo de configuración.
  3. Haga clic en para confirmar que desea guardar el archivo.

El clúster se forma automáticamente. Para verificar si se ha formado un clúster, conéctese al dispositivo en WatchGuard System Manager y actualice el estado periódicamente. Si el clúster no se forma automáticamente después de unos minutos, reinicie o desconecte y vuelva a conectar cada máquina virtual para activar la formación automática del clúster.

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.