Clúster
master: Es el dispositivo que actualiza y mantiene toda la información de
conexión y sesión del clúster y sincroniza esa información con el maestro de
respaldo. En un clúster activo / activo, el maestro de clúster asigna
conexiones y sesiones a sí mismo o al maestro de respaldo.
Backup master: El dispositivo que supervisa el
maestro de clúster y asume automáticamente el rol de maestro de clúster en caso
de una conmutación por error
En
un clúster activo/activo, ambos miembros del clúster comparten la carga de
tráfico que pasa a través del clúster. Un clúster provee escalabilidad porque
ambos dispositivos comparten la carga. Si algunos de los miembros del clúster
Activo/Activo falla, el otro miembro toma toda la carga del clúster, entonces
para agregar redundancia y balanceo de carga en su red, seleccione un clúster activo/activo.
Metodos de balanceo de carga
Un
Firecluster activo/activo soporta dos métodos de balanceo de carga.
-
Least connection (Menos conexión): el clúster maestro asigna
cada flujo de tráfico nuevo al miembro del clúster que tenga el número de
conexiones abiertas más bajo
-
Round-robin: El maestro
del clúster se alterna cada nuevo flujo de tráfico entre el maestro y su
respaldo (Backup Master).
Requerimientos y restricciones de un FireCluster
-
Los Firebox deben ser
el mismo número de modelo (FireCluster es totalmente compatible con todos los
dispositivos Firebox o XTM, excepto los siguientes: Los dispositivos Firebox
T10 no son compatibles con FireCluster.
- Los dispositivos XTM 25-W y 26-W sólo admiten FireCluster activo / pasivo.
- Los dispositivos XTM 21, 22 y 23 no son compatibles con FireCluster
- Los dispositivos FireboxV y XTMv admiten FireCluster activo / pasivo solamente, en un entorno VMware ESXi.
- Cada Firebox de un clúster debe utilizar la misma versión de Fireware.
- Cada Firebox de un clúster debe tener una suscripción activa para los servicios de soporte, enumerados en el feature key como Servicio de LiveSecurity.
- Para un clúster activo / pasivo, las interfaces de red deben estar configuradas en modo de enrutamiento mixto o en modo routing.
- Para un clúster activo / activo, las interfaces de red deben configurarse en modo de enrutamiento mixto.
- FireCluster no admite el modo de red de puente.
- Para un clúster activo / activo, recomendamos que todas los Firebox tengan licencias activas para los mismos servicios opcionales de suscripción, como WebBlocker o Gateway AntiVirus.
- Debe tener un conmutador de red o VLAN para cada interfaz de tráfico activa.
- Para un clúster activo / activo, debe conocer la dirección IP y la dirección MAC de cada conmutador de capa 3 conectado al clúster. A continuación, puede agregar entradas ARP estáticas para estos dispositivos de red a la configuración de FireCluster.
Antes de empezar:
1) Asegúrese de tener
estos elementos
-Dos Fireboxes activados con el
mismo número de modelo.
-La misma versión de Fireware instalada en cada Firebox.
-Los mismos módulos de interfaz instalados en cada Firebox (sólo M4600 y M5600).
-La feature key para cada Firebox, guardada en un archivo local.-Un conmutador de red para cada interfaz habilitada, opcional, personalizada o externa.
-Cables Ethernet para conectar las interfaces de ambos dispositivos a los conmutadores de red.
-Un cable cruzado para cada
interfaz de clúster (Si configura una interfaz de clúster con backup master, debe
utilizar dos cables de cruzados).
Requerimientos para los Switches y Routers
Todos
los conmutadores y enrutadores en un dominio de difusión activo / activo de
FireCluster deben cumplir estos requisitos.
1) Todos
los Switch y Routers del dominio de difusión no deben bloquear las solicitudes
ARP si la respuesta contiene una dirección MAC de multidifusión.
-
Este es el comportamiento predeterminado para la mayoría de los conmutadores de
la capa 2.
-
Para routers y switches de capa 3, el comportamiento
predeterminado es esta en el siguiente RFC 1812, y dice que el enrutador no
debe considerar cualquier respuesta ARP que afirma que la dirección de la capa de
enlace de otro host o enrutador es una transmisión o dirección de multidifusión.
Si es posible, deshabilite este configuración. Si no puede bloquear la
compatibilidad con RFC 1812, es posible que deba configurar entradas estáticas
MAC y ARP en su dispositivo de enrutamiento o capa 3.
Nota:
Algunos conmutadores de capa 3 no le permiten configurar direcciones MAC
estáticas en varios puertos. Si es posible, recomendamos que utilice un
conmutador de capa 2, que requiere menos configuración y es más fácil de
configurar
2) Todos
los conmutadores del dominio de difusión deben configurarse para reenviar el
tráfico a todos los puertos cuando la dirección MAC de destino es la dirección
MAC de multidifusión del FireCluster.
-
Para los conmutadores
no administrados de la capa 2, este debe ser el comportamiento predeterminado.
-
Para los switches
gestionados, podría necesitar agregar entradas MAC estáticas y ARP estáticas
para FireCluster.
3) Es
posible que deba agregar la dirección IP y la dirección MAC de cada enrutador o
conmutador de capa 3 en el dominio de difusión como una entrada ARP estática en
la configuración de FireCluster.
Una
dirección MAC de multidifusión es compartida entre el par. La dirección MAC
comienza con 01: 00: 5E. Puede encontrar las direcciones MAC de multidifusión
para un clúster en la ficha Informe de estado de Firebox System Manager o en el
cuadro de diálogo de configuración de FireCluster en Policy Manager.
2) Conecta
los dispositivos a la red, como se muestra a continuación
En este ejemplo, FireCluster tiene una interfaz externa y una confiable conectada a conmutadores de red. Las interfaces de clúster principales se conectan mediante un cable de cruzado. |
Configure FireCluster
1) En WatchGuard
System Manager, conéctese al Firebox que tenga la configuración que desea
utilizar para el clúster. Después de habilitar FireCluster, este dispositivo se
convierte en el maestro de clúster la primera vez que guarda la configuración.
2) Haga clic en el icono de Policy Manager.
O bien, seleccione Herramientas> Administrador de políticas.
Policy Manager abre el archivo de configuración del dispositivo seleccionado.
3) Seleccione FireCluster> Configuración.
2) Haga clic en el icono de Policy Manager.
O bien, seleccione Herramientas> Administrador de políticas.
Policy Manager abre el archivo de configuración del dispositivo seleccionado.
3) Seleccione FireCluster> Configuración.
Se inicia el Asistente para la configuración de FireCluster.
4) Haga clic
en Siguiente.
5)
Seleccione el tipo de clúster que desea habilitar:
Clúster activo / pasivo
Habilita el clúster para una alta disponibilidad, pero no para compartir cargas. Si selecciona esta opción, el clúster tiene un Firebox activo que maneja todas las conexiones y un Firebox pasivo que gestiona las conexiones sólo si se produce una conmutación por error del primer dispositivo.
Clúster activo / activo
Habilita el clúster para la alta disponibilidad y el uso compartido de la carga. Si selecciona esta opción, el clúster equilibra las solicitudes de conexión entrantes en ambos dispositivos del clúster.
Habilita el clúster para la alta disponibilidad y el uso compartido de la carga. Si selecciona esta opción, el clúster equilibra las solicitudes de conexión entrantes en ambos dispositivos del clúster.
6) Seleccione la ID de clúster.
El
ID de clúster solo identifica este clúster si configura más de un clúster en el
mismo dominio de difusión de la capa 2. Si sólo tiene un clúster y su red no
tiene dispositivos HSRP o VRRP, puede utilizar el valor predeterminado.
Para un clúster activo / pasivo, el Clúster ID determina las direcciones MAC virtuales utilizadas por las interfaces de los dispositivos agrupados. Si configura más de un FireCluster activo / pasivo en la misma subred, es importante saber cómo configurar la ID de clúster para evitar un posible conflicto de direcciones MAC virtuales. También es posible que las direcciones MAC virtuales de FireCluster puedan entrar en conflicto con dispositivos configurados HSRP y VRRP en su red.
Para un clúster activo / pasivo, el Clúster ID determina las direcciones MAC virtuales utilizadas por las interfaces de los dispositivos agrupados. Si configura más de un FireCluster activo / pasivo en la misma subred, es importante saber cómo configurar la ID de clúster para evitar un posible conflicto de direcciones MAC virtuales. También es posible que las direcciones MAC virtuales de FireCluster puedan entrar en conflicto con dispositivos configurados HSRP y VRRP en su red.
6) Si selecciona un cluster Activo/Activo, seleccione
el método Balanceo de carga.
El
método balanceo de carga es el método usado para balancear conexiones entre los
miembros del clúster activo. Hay dos opciones:
Menos conexión
Si
selecciona esta opción cada nueva conexión es asignada al miembro del clúster
activo con el menor número de conexiones abiertas, esta es la configuración por
defecto.
Round-Robin
Si
selecciona esta opción, las nuevas conexiones se distribuirán entre los
miembros activos del clúster en orden de turno. La primera conexión va a un
miembro del clúster. La siguiente conexión va al otro miembro del clúster, y
así sucesivamente.
7) Seleccione
las interfaces de clúster principal y backup. Las interfaces de clúster están
dedicadas a la comunicación entre los miembros del clúster y no se utilizan
para otros tráficos de red. Debe configurar la interfaz principal. Para
redundancia, le recomendamos que también configure la interfaz de backup.
Primario
La interfaz de dispositivo que se dedica a la comunicación primaria entre los miembros del clúster. Seleccione el número de interfaz que utilizó para conectar los dispositivos FireCluster entre sí.
La interfaz de dispositivo que se dedica a la comunicación primaria entre los miembros del clúster. Seleccione el número de interfaz que utilizó para conectar los dispositivos FireCluster entre sí.
Apoyo/Respaldo
La interfaz de dispositivo que se dedica a la comunicación entre los miembros del clúster si falla la interfaz primaria. Seleccione el segundo número de interfaz que utilizó para conectar los dispositivos FireCluster entre sí, si los hubiera.
La interfaz de dispositivo que se dedica a la comunicación entre los miembros del clúster si falla la interfaz primaria. Seleccione el segundo número de interfaz que utilizó para conectar los dispositivos FireCluster entre sí, si los hubiera.
Observación:
Las interfaces de clúster principal y backup deben estar en diferentes
subredes. Si utiliza un conmutador entre cada miembro para las interfaces de
clúster, las interfaces de clúster deben estar separadas lógicamente entre sí
en VLAN diferentes.
8)
Seleccione la interfaz para la dirección IP de administración. Utilice esta
interfaz para conectarse directamente a los miembros de FireCluster para
operaciones de mantenimiento. Esto no es una interfaz dedicada. También se
utiliza para otro tráfico de red. No puede seleccionar una interfaz externa que
utilice PPPoE como interfaz para la dirección IP de administración. Le
recomendamos que seleccione la interfaz a la que normalmente se conecta el
equipo de administración.
9)
Cuando el asistente de configuración lo solicite, agregue estas propiedades de
miembro de FireCluster para cada dispositivo:
Feature Key
Para
cada dispositivo, importe o descargue la Feature Key para habilitar todas las
funciones del dispositivo. Si ha importado previamente el Feature Key en Policy
Manager, el asistente utiliza automáticamente esa Feature Key para el primer
dispositivo del clúster.
Nombre de miembro
El
nombre que identifica cada dispositivo en la configuración de FireCluster.
Número de serie
El
número de serie del Firebox. El número de serie se utiliza como ID de miembro
en el cuadro de diálogo Configuración de FireCluster. El asistente establece
esto automáticamente cuando importa o descarga el Feature Key para el Firebox
Dirección IP de la
interfaz principal del clúster
La
dirección IP que utilizan los miembros del clúster para comunicarse entre sí a
través de la interfaz principal del clúster. La dirección IP principal de
FireCluster para cada miembro del clúster debe ser una dirección IPv4 en la
misma subred.
Si
ambos miembros del clúster se inician al mismo tiempo, el miembro del clúster
con la dirección IP más alta asignada a la interfaz principal del clúster se
convierte en el maestro.
Dirección IP de la
interfaz del clúster de respaldo
La
dirección IP que utilizan los miembros del clúster para comunicarse entre sí a
través de la interfaz del clúster de respaldo. La dirección IP FireCluster
de respaldo de cada miembro del clúster debe ser una dirección IPv4 en la misma
subred.
No
establezca la dirección IP del clúster principal o de backup en la
dirección IP predeterminada de ninguna interfaz del dispositivo. Las
direcciones IP de la interfaz predeterminada están en el rango
10.0.0.1-10.0.26.1. Las direcciones IP del clúster principal y de copia de
seguridad no deben utilizarse para ningún otro elemento de la red, como las
direcciones IP virtuales para VPN móvil o las direcciones IP utilizadas por las
redes de sucursales remotas.
Dirección IP de
administración
Una
dirección IP única que puede utilizar para conectarse a un Firebox individual
mientras está configurado como parte de un clúster. Debe especificar una
dirección IP de administración diferente para cada miembro del clúster. Si la
interfaz que ha elegido como Interfaz para la dirección IP de gestión tiene
habilitada IPv6, puede configurar opcionalmente una dirección IP de gestión
IPv6.
La
dirección IP de gestión IPv4 puede ser cualquier dirección IP no utilizada. Le
recomendamos que utilice una dirección IP en la misma subred que la interfaz
que seleccione como interfaz para la dirección IP de gestión. Esto es para
asegurarse de que la dirección es enrutable. La dirección IP de administración
debe estar en la misma subred que el servidor de registro de WatchGuard o el
servidor de syslog al que el FireCluster envía mensajes de registro.
La
dirección IP de gestión IPv6 debe ser una dirección IP no utilizada. Le
recomendamos que utilice una dirección IPv6 con el mismo prefijo que una
dirección IPv6 asignada a la interfaz seleccionada como interfaz para la
dirección IP de gestión. Esto es para asegurarse de que la dirección IPv6 es
enrutable.
10)
Revise el resumen de configuración en la pantalla final del Asistente de
configuración de FireCluster. El resumen de configuración incluye las opciones
seleccionadas y las interfaces que se supervisan para el estado del enlace.
Carlos Palomo.
Analista II/ Desarrollo de Proyectos.
Servicios de Proyectos y Consultoría SGSI 0526
Analista II/ Desarrollo de Proyectos.
Servicios de Proyectos y Consultoría SGSI 0526
No hay comentarios:
Publicar un comentario