REDUNDANCIA ISP

Otras Alternativas: Configurar en los terminales, dos puertas de enlace (Default Gateway). Comprarse un router multi-WAN

Conceptos: Es una forma de tener acceso constante a internet, sin perder el servicio. Siempre y cuando se cuente con dos o ms ISP. Para lograr esto se tienes dos tipos de conexin: Modo de Alta disponibilidad (Primary/BackUp) Modo de balanceo de carga (Load Sharing)

MODOS DE OPERACIN DE REDUNDANCIA ISP

Los siguientes modos de redundancia ISP controlan el comportamiento de las conexiones salientes de los clientes en las redes internas a Internet: Principal / de respaldo: Se conecta a un ISP a travs del enlace principal y cambia a un ISP de respaldo cuando el enlace principal ISP falla. Cuando la conexin principal se restablezca, nuevas conexiones de salida se asignan a la misma, mientras que las conexiones existentes se mantienen a travs del enlace de respaldo hasta que se complete. Balanceo de carga: Se conecta a ambos ISPs mientras que la distribucin de la carga de las conexiones de salida entre los ISP. Las nuevas conexiones son asignadas al azar a un enlace. Si falla un enlace, todas las conexiones salientes nuevos se dirigen a la conexin activa.

Conexiones de entrada (desde Internet a los servidores de aplicaciones en la DMZ o redes internas) tambin se benefician de la alta disponibilidad de los dos enlaces ISP, porque el Security Gateway vuelve pasarela paquetes con el mismo enlace ISP a travs del cual se inici la conexin. Adems, en el modo de reparto de carga, las conexiones entrantes puedan alcanzar los servidores de aplicaciones a travs de cualquiera de los enlaces ISP, porque la puerta de enlace de seguridad pueden responder a las peticiones DNS para la direccin IP de los servidores internos con las direcciones de los dos proveedores de Internet por la alternancia de su orden.

EL CONTROL DE LOS ENLACES ISP

La redundancia ISP supervisa el estado de los enlaces ISP y dirige las conexiones de salida en el enlace correspondiente. Para supervisar el estado del enlace, la puerta de enlace de seguridad comprueba si la interfaz est en funcionamiento y si el cable est enchufado el router del siguiente salto es controlado automticamente.

Otra forma de controlar el estado de la conexin ISP es para que el administrador configure una lista de equipos que deben responder a las peticiones de eco ICMP (ping) a fin de que el enlace ISP se considere activo. Si uno de los anfitriones no devuelve las respuestas ICMP, el enlace se considera abajo. Usted puede optar por incluir los anfitriones tales como un servidor Web de ISP o de algn otro host en Internet. El estado de los enlaces ISP es reportado por SmartView Monitor en la seccin Firewall. ISP de redundancia supervisa el estado de los enlaces ISP y dirige las conexiones de salida en el enlace correspondiente. Para supervisar el estado del enlace, la puerta de enlace de seguridad comprueba si la interfaz est en funcionamiento y si el cable est enchufado el router del siguiente salto es controlado automticamente. Otra forma de controlar el estado de la conexin ISP es para que el administrador configure una lista de equipos que deben responder a las peticiones de eco ICMP (ping) a fin de que el enlace ISP se considere activo. Si uno de los anfitriones no devuelve las respuestas ICMP, el enlace se considera abajo. Usted puede optar por incluir los anfitriones tales como un servidor Web de ISP o de algn otro host en Internet.

CMO TRABAJA LA REDUNDANCIA ISP?

Tanto las conexiones de salida, por detrs de la puerta de enlace de seguridad para Internet, y las conexiones entrantes, a travs de Internet, se benefician de la existencia de vnculos duplicados.

Conexiones de salida
En el modo de reparto de carga, el trfico de salida que sale de la puerta de enlace de seguridad en su camino a la Internet se distribuye entre los enlaces ISP. Se puede establecer un peso relativo de la cantidad que desea cada uno de los enlaces ISP para ser utilizado. Por ejemplo, si un enlace es ms rpido, se puede configurar para enrutar el trfico a travs de ese vnculo ms que el otro ISP.

En el modo principal / de respaldo, el trfico de salida utiliza una conexin principal activa. Ocultar NAT (Hide NAT) se utiliza para cambiar la direccin de origen de los paquetes de salida a la direccin de la interfaz a travs del cual el paquete de hojas del Security Gateway puerta de enlace de seguridad. Esto permite que los paquetes vuelvan a ser automticamente enrutados a travs del mismo enlace ISP debido a que su direccin de destino es la direccin del enlace correcto. Hide NAT es configurado por el administrador.

Conexiones entrantes
Para hacer conexiones entrantes para usuarios externos, el administrador debe dar a cada servidor de aplicaciones de dos direcciones IP enrutables, una por cada ISP. El administrador tambin debe configurar NAT esttico para traducir las direcciones enrutable a la direccin real del servidor. Si los servidores manejan diferentes servicios (por ejemplo, HTTP y FTP), tu puede utilizar NAT para emplear slo dos direcciones IP enrutable para todos los servidores pblicos disponibles. Los clientes externos utilizan una de las dos direcciones. Con el fin de conectarse, los clientes deben ser capaces de resolver el nombre DNS del servidor de la direccin IP correcta. Nota - En el siguiente ejemplo, las subredes 172.16.0.0/24 y 192.168.0.0/24 representan las direcciones pblicas ruteables. En el siguiente ejemplo, el servidor web www.example.com se le asigna una direccin IP de cada ISP: 192.168.1.2 del ISP A, y 172.16.2.2 de ISP B. Si el enlace ISP A esta cado, 192.168.1.2 no est disponible y los clientes deben ser capaces de resolver www.example.com con 172.16.2.2.

Una conexin de entrada se establece, con base en este ejemplo, en la siguiente secuencia: 1. Cuando un usuario en el Internet entra en contacto con www.example.com, la mquina de cliente enva una pregunta del DNS para el IP address. La pregunta del DNS alcanza la entrada de la seguridad. La entrada de la seguridad tiene un servidor de DNS mini- incorporado que se pueda configurar para interceptar preguntas del DNS (del tipo A) para los servidores en su dominio. 2. Una pregunta del DNS que llega un interfaz que pertenece a uno de los acoplamientos de la ISP es interceptada por la entrada de la seguridad.

3. Si la entrada de la seguridad reconoce el nombre del anfitrin, enva una de las contestaciones siguientes: en modo primario/de reserva, la entrada de la seguridad contesta solamente con las direcciones asociadas al acoplamiento primario, mientras el acoplamiento primario sea activo. en el modo de la distribucin de carga, la entrada de la seguridad contesta con formatos de dos direcciones, alternando su orden. 4. Si la entrada de la seguridad no puede manejar peticiones del DNS (por ejemplo, puede no reconocer el nombre de anfitrin), pasa la pregunta del DNS a su destinacin original o al servidor de DNS del dominio example.com. 5. Cuando el cliente externo recibe la contestacin a su pregunta del DNS, abre una conexin. Una vez que los paquetes alcanzan la entrada, la entrada de la seguridad utiliza el NAT esttico para traducir la direccin de destinacin 192.168.1.2 o 172.16.2.2 a la direccin verdadera 10.0.0.2 del servidor. 6. Las rutas de la entrada de la seguridad contestan los paquetes del servidor al cliente con el mismo acoplamiento de la ISP que fue utilizado para iniciar la conexin.

Script de ISP de redundancia

Cada vez que la SG se inicia o se cambia un enlace ISP del estado, se ejecuta un script. Dependiendo de si el enlace ISP es arriba o hacia abajo, este script cambia automticamente la ruta por defecto de la SG. La ruta de acceso del script ISP de redundancia es de $ FWDIR / bin / cpisp_update. Si uno de los enlaces ISP es una interfaz de acceso telefnico, usted puede editar manualmente el script de redundancia de ISP para que el Gateway de Seguridad cambiar el estado de la interfaz de acceso telefnico cuando cambia el estado de los enlaces ISP o cuando la puerta de enlace de seguridad se inicia. El script tambin se puede configurar para realizar otras acciones, por ejemplo, ejecutar un comando SAM para bloquear el trfico determinado, cuando el enlace primario se ha reducido con el fin de disminuir la carga de trfico en el enlace.

Cambio manual del estado del enlace (mf isp_link)

El comando fw isp_link se utiliza para configurar el enlace del ISP en el Security Gateway para ponerlo en Down o Up y es til cuando: Comprobamos la configuracin. Usted sabe el enlace ISP se ha reducido, pero el Security Gateway cree que est en marcha. Use fw isp_link para que el enlace de una copia de seguridad cuando est disponible.

Este comando se puede ejecutar de forma local en el gateway o de forma remota desde el servidor de gestin de la seguridad. Cuando se ejecuta desde el servidor de gestin de la seguridad, usted debe proporcionar el fw isp_link [target] link-name up|down el argumento de destino, donde <target> es el nombre del gateway y <link-name> es el nombre del enlace ISP, como se define en la pgina de redundancia ISP del Gateway o Gateway object Clster.

Implementaciones de ISP de redundancia

Una serie de despliegues son compatibles. Para ms informacin, vea Consideraciones para redundancia de enlaces ISP (en la pgina 67).

Dos interfaces externas

La forma ms fcil de conectarse a dos proveedores de servicios es conectar a cada interfaz de Security Gateway a un ISP diferente a travs de una LAN. El siguiente salto del router est en el lmite de la organizacin o en el ISP.

Una interfaz externa

Si slo una interfaz externa est disponible en el Security Gateway, puede configurar dos subredes en la misma interfaz externa. Ambos enlaces ISP se conectan a la interfaz Security Gateway mismo pero con diferentes siguientes saltos del router, generalmente a travs de un switch.