Acerca de la Administración de Direcciones IP para FireCluster
En una configuración de FireCluster, todos los clústeres miembros comparten las mismas direcciones IP para cada interfaz habilitada. Cuando usa una dirección IP de interfaz para conectarse el clúster en el WatchGuard System Manager, se conecta automáticamente al clúster principal y puede ver el estado para todos los clústeres miembros.
Para algunas funciones de administración, como restablecimiento, debe conectarse a un miembro del clúster específico. Para hacerlo, utiliza la dirección IP de Administración de FireCluster que es una dirección IP única que usted asigna a cada miembro del clúster. El clúster principal también utiliza la dirección IP de Administración del principal de respaldo para comunicarse con el principal de respaldo acerca del estado del dispositivo y el conjunto de acciones. Por ejemplo, cuando se conecta a un FireCluster en Firebox System Manager, el clúster principal utiliza la dirección IP de Administración del principal de respaldo para solicitar información de estado sobre el principal de respaldo. El clúster principal entonces envía esa información al Firebox System Manager, de modo que aparece el estado de ambos clústeres miembros.
El clúster principal utiliza la dirección IP de Administración para administrar el principal de respaldo incluso cuando no está conectado al clúster. Por ello, es importante que las interfaces de administración de ambos miembros del clúster estén conectados al mismo conmutador en todo momento.
Cuando configura el FireCluster, configura ajustes relacionados con la dirección IP de Administración del FireCluster:
La interfaz para la dirección IP de administración (una para el clúster)
Primero, debe seleccionar una interfaz para asignarle la dirección IP de administración del FireCluster. Esta es una configuración global que se aplica a todos los clústeres miembros. Puede seleccionar cualquier interfaz habilitada física, de puente, VLAN o de Conjunto de Enlaces, o una interfaz externa que use PPPoE. Recomendamos que seleccione la interfaz a la que se conecta por lo general la computadora de administración.
Si desea usar IPv6 para conectarse a un miembro individual del clúster, debe elegir una interfaza que tenga IPv6 actualizada.
Direcciones IPv4 de administración (una para cada miembro del clúster)
Para cada miembro del clúster, configura una dirección IP de Administración de FireCluster para utilizar en la Interfaz para la dirección IP de administración seleccionada.
Recomendamos que seleccione dos direcciones IPv4 sin utilizar en la misma subred como la dirección IP principal de la interfaz. Esto es para asegurarse de que las direcciones IP sean enrutables.
Por ejemplo, si selecciona la interfaz de confianza como la Interfaz para la dirección IP de administración, elija dos direcciones IP sin utilizar de su subred de confianza para utilizar como las direcciones IP de administración del FireCluster. Si elije la Interfaz externa como la Interfaz para la dirección IP de administración, elija dos direcciones IP externas sin utilizar en la misma subred como la Dirección IP de la interfaz externa que puede dedicar a funciones de administración de FireCluster.
Las direcciones IP de administración deben encontrarse en la misma subred a la que WatchGuard Log Server o el sevidor syslog que su FireCluster envía los mensajes de registro.
Si configura las direcciones IP de Administración de un miembro de FireCluster a una dirección IPv4 que no esté en la misma subred que la dirección IP de la Interfaz para la dirección IP de administración, asegúrese de que la configuración de red incluya rutas para permitir que el software de administración se comunique con miembros del FireCluster, y que permita que los miembros del FireCluster se comuniquen entre ellos.
Direcciones IPv6 de administración (una para cada miembro del clúster)
Si la interfaz que seleccionó como la Interfaz para la IP de administración tiene la IPv6 habilitada, puede configurar una dirección IP de administración IPv6. Si configura una dirección IP de administración IPv6, debe ser una dirección IP sin usar. Le recomendamos que use dos direcciones IPv6 con el mismo prefijo que una dirección IP IPv6 asignada a la Interfaz para la dirección IP de administración. Esto es para asegurarse de que las direcciones IP sean enrutables.
Si configura una dirección IPv6 de administración para cada miembro:
- El clúster principal también utiliza la dirección IPv6 de administración del principal de respaldo para comunicarse con el principal de respaldo
- La dirección IPv4 de administración para cada miembro es opcional
Si utiliza la dirección IP de Administración del FireCluster para conectarse directamente con el principal de respaldo, no puede guardar cambios de configuración en Policy Manager.
Usar la dirección IP de administración para Restablecer una Imagen de Copia de Seguridad
Cuando restablece una imagen de copia de seguridad de FireCluster, debe utilizar la dirección IP de Administración del FireCluster para conectarse directamente con un miembro del clúster. Cuando utiliza esta dirección IP para conectarse con un miembro del clúster, hay dos comandos adicionales disponibles en Firebox System Manager en el menú Herramientas: Clúster > Salir y Clúster > Unirse. Se usan estos comandos cuando restablece una imagen de copia de seguridad al clúster.
Para más información, consulte Recuperar una Imagen de Copia de Seguridad de FireCluster.
Usar la Interfaz para Dirección IP de Administración para Actualizar desde una Ubicación Externa
El software WatchGuard System Manager utiliza la dirección IP de Administración del FireCluster cuando actualiza el sistema operativo de los miembros de un clúster. Si desea actualizar el OS desde una ubicación remota, asegúrese de que:
- La interfaz para la dirección IP de administración se configura en una interfaz externa
- La dirección IP de Administración de cada miembro del clúster es una dirección IP pública y es enrutable
Para más información, consulte Actualizar Fireware OS para un FireCluster.
La Dirección IP de Administración y la Política de WatchGuard
La política de WatchGuard (tipo de política WG-Firebox-Mgmt) controla las conexiones administrativas al dispositivo. De manera predeterminada, la política de WatchGuard permite las conexiones de administración desde los alias Cualquiera-De Confianza o Cualquiera-Opcional. Si se configura la interfaz de administración del FireCluster como una interfaz de confianza u opcional, las direcciones IP de interfaz de administración se incluyen automáticamente en el alias Cualquiera-De Confianza o el alias Cualquiera-Opcional, y no hace falta que se modifique la política de WatchGuard para que las conexiones de administración del FireCluster funcionen correctamente.
Hay dos situaciones para las cuales debe editar la política de WatchGuard para agregar las direcciones IP de administración de FireCluster:
- Si restringe el acceso de administración a direcciones IP específicas
Para restringir el acceso de administración a direcciones IP específicas, puede editar la política de WatchGuard PARA eliminar los alias Cualquiera-De Confianza o Cualquiera-Opcional de la sección Desde, y agregar solo las direcciones IP o alias que usted desea que administren el dispositivo. Si hace esto, es importante que agregue también las direcciones IP de administración del FireCluster a la sección Desde de la política de WatchGuard.
- Si configura la Interfaz de Administración FireCluster a una Interfaz externa
Si selecciona una Interfaz externa como la Interfaz de Administración del FireCluster, debe agregar direcciones IP de Administración del FireCluster o agregar el alias Cualquiera-Externo a la sección Desde de la política de WatchGuard. Su configuración es más segura si agrega las direcciones IP de administración específicas que si agrega el alias Cualquiera Externo.
Para obtener más información sobre la política de WatchGuard, consulte Administrar Su Firebox desde una Ubicación Remota.