Paso de Clúster de gestión distrubída a un Clúster UTM-1 full HA

Publicado: 03/30/2011 en Checkpoint, Manual

Los equipos UTM-1 de Checkpoint son una grán elección como cortafuegos de empresas de mediano tamaño ya que, además de un magnifico rendimiento, su licencia incluye la licencia de managent en modo StandAlone. Son una gran opción cuando se  desea actualizar una infraestructura de cortafuegos obsoleta o que ya no cumple los requerimientos.

Pero, ¿Qué ocurre cuando queremos migrar de un entorno distribuído con un sólo management a uno en Standalone con un clúster? En teoría, este cambio es muy sencillo, aunque como siempre ocurre, en la vida real no es asi.

Pongámonos en situación: Tenemos un antiguo entorno formado por un clúster de cortafuegos (fwcluster) gestionados por un management(mgmt) y queremos migrar a un entorno nuevo formado por un clúster UTM-1  full HA (fwclusterha) con el tiempo mínimo de indisponibilidad.

Pero seño: ¿Qué es un clúster UTM-1 Full HA? Pues es un clúster de conmutación por error, en el que los equipos hacen las veces de clúster de cortafuegos y de clúster de management. Es decir, tenemos dos clúster en uno: el clúster de cortafuegos y el clúster de management principal y secundario alojados en la misma máquina.

Si buscamos un poco como realizar la migración, encontramos un “precioso” documento de Checkpoint sk33896: How to migrate a distributed SmartCenter to a UTM-1 Cluster y piensas “¡Estupendo! Tengo la vida solucionada. Un manual paso a paso para la migración”. ERROR. Hay un fallo en el procedimiento y dejo a mis expertos lectores que lo busquen.

Los pasos para realizar la migración son:

1) Realizar un Upgrade_export de las políticas ( si no sabes hacerlo sigue atento al blog que pronto publicaré una entrada sobre eso)
2) Realizar un backup de la configuración de los firewalls antiguos.
3) Transcribir a papel los datos básicos de los cortafuegos (por si todo lo demás falla).
4) Failover del tráfico al nodo secundario. OJO: Este paso tiene un pequeño corte.
5) Desconectar el firewall antiguo y conectar el nuevo UTM-1 (fwnodo1)
6) Instala y configura el nodo UTM-1 nuevo según la configuración deseada con dos puntualizaciones. Elige standalone (no cluster) y Locally managed en la configuración inicial.
7) Habilita SCP y copia el fichero con las políticas. (Esto también se vrá en el próximo post).
8 ) Importa las políticas con Upgrade_import
9) Accede mediante Smartdahboard a la IP del nodo fwnodo1.
10) Comprueba que la política se abre con todos los elementos.
11) Accede a la consola de fwnodo1
12) Ejecuta: cp_conf fullha enable para convertirlo en miembro de un clúster full HA.
13) Reboot de fwnodo1 para que se aplique la configuración.
14) Conecta por Dashboard de nuevo a fwnodo1
15) Sigue el wizard de clúster sin configurar el miembro secundario del clúster.
16) Cambia en la política el objeto de clúster antiguo (fwcluster) por el nuevo (fwclusterha)
17) Elimina el objeto de cluster antiguo fwcluster.
18) Aplica políticas sobre el nodo activo.
19) Haz el failover de tráfico del nodo antiguo a fwnodo1. OJO: Este paso tiene un pequeño corte.
20) Instala y configura el nodo secundario de UTM-1 (fwnodo2) teniendo precaución de conectar el cable de la interfaz de sincronización entre los nodos. Selecciona Locally managed y miembro de cluster.
21) Conecta por dashboard a fwnodo1
22) Sigue el wizar en el objeto de cluster para añadirel secundario.
23) Instala políticas y sincroniza la base de datos (Policy > Management High Availability > Synchronize).

Y ya tenemos un precioso clúster Full HA completamente funcional. Facil ¿Verdad?. Sólo añadir que las licencias de los UTM-1 en este caso no pueden ser centrales. Deben ser locales y asignadas a la IP principal de cada uno de los nodos del clúster.

Y eso es todo por hoy. Intentaré actualizar más a menudo.

Anuncios
comentarios
  1. Raquel dice:

    Hola,
    sabrías cómo o dónde podría obtener los siguientes ficheros de configuración de Checkpoint?:

    objects_5_0.C
    PolicyName.W
    rulebases_5_0.fws

    es para hacer una migración de CKP a otros fabricantes de fw.
    Thx!

    • pelirrojilla dice:

      Hola Raquel,

      los ficheros a los que haces referencia se encuentran en $FWDIR/conf. Deben estar en texto claro (al menos objects_5_0-C).

      Respecto a las licencias, al ser activo- activo necesitas dos licencias, una por nodo y teniendo en cuenta que la del segundo nodo incluya la característica de clúster (que es especial en la licencia). Estas tendrás que tenerlas de todas formas, sea locally o centrally managed.

      Para no tener que asociar las licencias a la IP de los nodos cuando sean locally managed, puedes solicitar a tu proveedor licencias temporales de Checkpoint. Estas licencias, son para probar productos nuevos y duran un mes con todas las funcionalidades incluídas. Si no, asocialas a la IP del nodo y después se puede realizar el cambio de IP sobre la licencia desde el Usercenter.

      Espero haberte sido de ayuda.

      Un saludo.

      • Raquel dice:

        Hola,muchas gracias por tus respuestas,si mal no he entendido en la licencia que ya tengo el cambio al Ip que viene detrás de cplic put y le pongo la IP que vaya a tener definitiva y se lo traga?no dará errores?
        Y luego,me has recordado lo de la licencia del Clúster:que el 2º nodo incluya la licencia del clúster,refiriéndote al nodo que va a hacer de primario no?y esa licencia es la de Cluster XL,no?era uan de las cosas que me preocupaban pero como en el primer wizard de cada nodo me daba la opción de decir éste nodo va a pertenecer a un clúster y es el primario o es el secundario`y luego en el smartdashboard sí que veo que pueod poner la opción de Load Sharing en Clúster XL.Significa que me he bajado esa licencia sin hacer nada en especial?!
        Por último,para bajarme las licencias hede tener conexión a internet verdad?o con el Smart Update me es suficiente para bajármelas?
        Thx!

      • pelirrojilla dice:

        Tienes que cambiar la IP a la definitiva a través de la cuenta del usercenter, descargar la nueva licencia y aplicarla bien a través de smartupdate o bien a través de consola con el comamdo cplic.

        Sí, necesitas conexión a internet aunque puedes descargarlas desde Smartupdate si estas en un equipo con salida a internet.

        Me alegra haberte ayudado.

  2. Raquel dice:

    Con respecto al Clúster tengo varias dudas:
    he de montar un clúster activo-activo Locally Managed.Mi pregunta es respecto a las licencias:necesito sólo una,ó una distinta para cada uno?
    el direccionamiento todavía no está muy claro,así que como cada licencia está asociada a una IP si esa IP cambia,me quedaría sin licencia?
    Luego pasarán a estar Centrally managed,en modo distribuido,serían válidas las mismas licencias?
    Gracias,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s