Documente Academic
Documente Profesional
Documente Cultură
Otras Alternativas: Configurar en los terminales, dos puertas de enlace (Default Gateway). Comprarse un router multi-WAN
Conceptos: Es una forma de tener acceso constante a internet, sin perder el servicio. Siempre y cuando se cuente con dos o ms ISP. Para lograr esto se tienes dos tipos de conexin: Modo de Alta disponibilidad (Primary/BackUp) Modo de balanceo de carga (Load Sharing)
Conexiones de entrada (desde Internet a los servidores de aplicaciones en la DMZ o redes internas) tambin se benefician de la alta disponibilidad de los dos enlaces ISP, porque el Security Gateway vuelve pasarela paquetes con el mismo enlace ISP a travs del cual se inici la conexin. Adems, en el modo de reparto de carga, las conexiones entrantes puedan alcanzar los servidores de aplicaciones a travs de cualquiera de los enlaces ISP, porque la puerta de enlace de seguridad pueden responder a las peticiones DNS para la direccin IP de los servidores internos con las direcciones de los dos proveedores de Internet por la alternancia de su orden.
Otra forma de controlar el estado de la conexin ISP es para que el administrador configure una lista de equipos que deben responder a las peticiones de eco ICMP (ping) a fin de que el enlace ISP se considere activo. Si uno de los anfitriones no devuelve las respuestas ICMP, el enlace se considera abajo. Usted puede optar por incluir los anfitriones tales como un servidor Web de ISP o de algn otro host en Internet. El estado de los enlaces ISP es reportado por SmartView Monitor en la seccin Firewall. ISP de redundancia supervisa el estado de los enlaces ISP y dirige las conexiones de salida en el enlace correspondiente. Para supervisar el estado del enlace, la puerta de enlace de seguridad comprueba si la interfaz est en funcionamiento y si el cable est enchufado el router del siguiente salto es controlado automticamente. Otra forma de controlar el estado de la conexin ISP es para que el administrador configure una lista de equipos que deben responder a las peticiones de eco ICMP (ping) a fin de que el enlace ISP se considere activo. Si uno de los anfitriones no devuelve las respuestas ICMP, el enlace se considera abajo. Usted puede optar por incluir los anfitriones tales como un servidor Web de ISP o de algn otro host en Internet.
Conexiones de salida
En el modo de reparto de carga, el trfico de salida que sale de la puerta de enlace de seguridad en su camino a la Internet se distribuye entre los enlaces ISP. Se puede establecer un peso relativo de la cantidad que desea cada uno de los enlaces ISP para ser utilizado. Por ejemplo, si un enlace es ms rpido, se puede configurar para enrutar el trfico a travs de ese vnculo ms que el otro ISP.
En el modo principal / de respaldo, el trfico de salida utiliza una conexin principal activa. Ocultar NAT (Hide NAT) se utiliza para cambiar la direccin de origen de los paquetes de salida a la direccin de la interfaz a travs del cual el paquete de hojas del Security Gateway puerta de enlace de seguridad. Esto permite que los paquetes vuelvan a ser automticamente enrutados a travs del mismo enlace ISP debido a que su direccin de destino es la direccin del enlace correcto. Hide NAT es configurado por el administrador.
Conexiones entrantes
Para hacer conexiones entrantes para usuarios externos, el administrador debe dar a cada servidor de aplicaciones de dos direcciones IP enrutables, una por cada ISP. El administrador tambin debe configurar NAT esttico para traducir las direcciones enrutable a la direccin real del servidor. Si los servidores manejan diferentes servicios (por ejemplo, HTTP y FTP), tu puede utilizar NAT para emplear slo dos direcciones IP enrutable para todos los servidores pblicos disponibles. Los clientes externos utilizan una de las dos direcciones. Con el fin de conectarse, los clientes deben ser capaces de resolver el nombre DNS del servidor de la direccin IP correcta. Nota - En el siguiente ejemplo, las subredes 172.16.0.0/24 y 192.168.0.0/24 representan las direcciones pblicas ruteables. En el siguiente ejemplo, el servidor web www.example.com se le asigna una direccin IP de cada ISP: 192.168.1.2 del ISP A, y 172.16.2.2 de ISP B. Si el enlace ISP A esta cado, 192.168.1.2 no est disponible y los clientes deben ser capaces de resolver www.example.com con 172.16.2.2.
Una conexin de entrada se establece, con base en este ejemplo, en la siguiente secuencia: 1. Cuando un usuario en el Internet entra en contacto con www.example.com, la mquina de cliente enva una pregunta del DNS para el IP address. La pregunta del DNS alcanza la entrada de la seguridad. La entrada de la seguridad tiene un servidor de DNS mini- incorporado que se pueda configurar para interceptar preguntas del DNS (del tipo A) para los servidores en su dominio. 2. Una pregunta del DNS que llega un interfaz que pertenece a uno de los acoplamientos de la ISP es interceptada por la entrada de la seguridad.
3. Si la entrada de la seguridad reconoce el nombre del anfitrin, enva una de las contestaciones siguientes: en modo primario/de reserva, la entrada de la seguridad contesta solamente con las direcciones asociadas al acoplamiento primario, mientras el acoplamiento primario sea activo. en el modo de la distribucin de carga, la entrada de la seguridad contesta con formatos de dos direcciones, alternando su orden. 4. Si la entrada de la seguridad no puede manejar peticiones del DNS (por ejemplo, puede no reconocer el nombre de anfitrin), pasa la pregunta del DNS a su destinacin original o al servidor de DNS del dominio example.com. 5. Cuando el cliente externo recibe la contestacin a su pregunta del DNS, abre una conexin. Una vez que los paquetes alcanzan la entrada, la entrada de la seguridad utiliza el NAT esttico para traducir la direccin de destinacin 192.168.1.2 o 172.16.2.2 a la direccin verdadera 10.0.0.2 del servidor. 6. Las rutas de la entrada de la seguridad contestan los paquetes del servidor al cliente con el mismo acoplamiento de la ISP que fue utilizado para iniciar la conexin.
Este comando se puede ejecutar de forma local en el gateway o de forma remota desde el servidor de gestin de la seguridad. Cuando se ejecuta desde el servidor de gestin de la seguridad, usted debe proporcionar el fw isp_link [target] link-name up|down el argumento de destino, donde <target> es el nombre del gateway y <link-name> es el nombre del enlace ISP, como se define en la pgina de redundancia ISP del Gateway o Gateway object Clster.