viernes, 11 de agosto de 2017

Configuración de servicio de internet dedicado en Firebox WatchGuard sin Router.


Cuando configuramos el direccionamiento en la interfaz ethernet de un Router, no necesitamos configurarle un direccionamiento o gateway adicional, caso contrario cuando configuramos un enlace de internet en una interfaz de en un Firebox WatchGuard, en esta guía se mostrará con poner en funcionamiento un enlace dedicado (Frame-Relay, MPLS) en dispositivos WatchGuard cuando el proveedor nos suministra el servicio de internet a través de VLAN y nos proporciona un direccionamiento IP privado que va de cara al ISP y un direccionamiento IP público (sin Gateway) que va de cara al Firebox ya que no tenemos Router.  

El siguiente ejemplo muestra la configuración de un servicio dedicado Frame-Relay o MPLS en un dispositivo Firewall WatchGuard ajustando este para que haga uso de sus capacidades de capa 3.

Situación
Tenemos el servicio de internet de la empresa a través VLAN sobre MPLS, para su respectiva configuración el proveedor nos suministra un direccionamiento IP privado y un direccionamiento IP público que para su configuración necesitamos un router en el cual se debe configurar la IP privada en una de las interfaces y la dirección IP publica en otra de sus interfaces.

Ejemplo:
Direccionamiento
VLAN sobre MPLS

Privado Vlan X
Publico
192.168.180.0/30
200.200.40.80/28



En este tipo de configuraciones el proveedor de servicios, no suministra Gateway para el segmento de red público el cual es necesario para configurar la interfaz del Firebox Watchguard, entonces de momento pensaríamos que si no tenemos un Router no podremos utilizar el enlace, pero no es así, y aquí la solución:

Los dispositivos Firebox Watchguard puede configurado para que cumplan el rol de dispositivos de capa 3, adicional de su función principal como dispositivo Firewall.

Para ello debemos configurar en la interfaz correspondiente los siguientes parámetros: 


Se debe configurar la interfaz Eth0, o cualquier interfaz seleccionada como miembro de la Vlan (x),  que nos suministra el proveedor de servicio y asignarle una dirección IP disponible del pool de direcciones IP suministrado.

Para utilizar el enlace se debe forzar en las políticas que las peticiones hacia internet con NAT Dinámico con la dirección IP pública que nos suministró el proveedor, en este caso 200.200.40.80 el resto de las direcciones quedan disponibles para otros servicios, esto es debido a que el direccionamiento IP privado que aparece en la gráfica  2 pertenece a una Vlan por lo cual el dispositivo de borde del ISP está preparado para recibir tráfico de esta determinada VLAN (tráfico etiquetado respectivamente).

En enlaces dedicado donde el servicio no se suministre a través de Vlan (por ejemplo: Frame Relay)  no se debe forzar el tráfico hacia ninguna IP pública, esto debido a que el Gateway suministrado por el proveedor estará listo para recibir peticiones de cualquier subred interna de la empresa. 

Configuración:

A nivel de Firebox, a través del Policy Manager, vamos a las siguientes opciones:
Network > Configuración > Vlan


Creamos una nueva Vlan con los parámetros suministrados por el ISP. (La que se muestra es de ejemplo)



Luego nos dirigimos a Interfaces y seleccionamos la interfaz donde conectamos el enlace y la configuramos tipo Vlan. Interface Type= VLAN


Luego tildamos la opción Send and receive tagged traffic for VLANs y seleccionamos la vlan anteriormente creada.

Después procedemos a configurar las IPs públicas suministradas por el ISP como secundarias para ello nos vamos a VLAN y seleccionamos la VLAN creada y procedemos a agregar las IPs secundarias.


Aceptamos y procedemos al último paso, que consiste en dirigirnos a la política de navegación, configuramos el enlace para que sea usado por la política.

Selecionamos las opciones avazadas de esta política y seleccionamos la opción All traffic in this policy > Set source IP luego procedemos a configurar la IP pública asignada.



Una vez hagamos estos pasos guardamos los cambios en el Firebox WatchGuard y la política seleccionada quedara lista para usar el enlace dedicado.

Observación: Es importante tener en cuenta que con esta configuración el Failover no funcionará debido a que la política está forzada para que envié el tráfico a una dirección IP específica, en este caso el enlace dedicado. Para darle acceso a internet a los usuarios de esta política por otro enlace se debe reconfigurar la política para no forzar el tráfico por la dirección IP configurada. 


Diferencias entre MPLS y Frame Relay

MPLS
Frame-Relay
MPLS es un protocolo que utiliza etiquetas de paquetes para priorizar paquetes de red y para optimizar el rendimiento de la red.
Si tiene aplicaciones sensibles a la calidad de servicio (QoS) como VoIP, videoconferencia, SAP, Oracle, Citrix u otras aplicaciones en tiempo real que se ejecuten en su WAN, debería considerar MPLS.
  • MPLS es una tecnología de redes privadas similar al concepto de Frame Relay en que se entrega en la "nube".
  • La principal diferencia con MPLS es que puede comprar calidad de servicio para aplicaciones a través de su WAN.
  • Durante el proceso de aprovisionamiento, el transportista le entrevistará para determinar qué aplicaciones son importantes para su negocio, y luego construirá una plantilla de QoS para atender estas aplicaciones en su WAN.
  • Estas aplicaciones tendrán prioridad sobre todo el resto del tráfico en tiempos de máxima carga. Aunque MPLS puede no ser la solución de menor costo, es la ÚNICA tecnología que soportará QoS.
  • Para aplicaciones como Citrix, SAP, Oracle, Siebel, Peoplesoft, VoIP y Video, el rendimiento que utiliza las capacidades de QoS de MPLS puede mejorar drásticamente la calidad y la productividad.
  • Si una aplicación funciona bien en un Frame Relay, funcionará mejor con MPLS. Si una aplicación no funciona adecuadamente en su VPN de Internet, si el problema es pérdida de paquetes o latencia, MPLS será la solución.

  • Puede ser implementado en software (por ejemplo en un encaminador), y por tanto puede ser mucho más barato.
  • Está orientado a conexiones, como la mayoría de las WAN’s.
  • Puede "empaquetar" tramas de datos de cualquier protocolo de longitud variable.
  • La "carga del protocolo" (overhead) de Frame Relay es menor de un 5%.
  • Ahorro en los costes de telecomunicaciones: Con el servicio Frame Relay los usuarios podrán transportar simultáneamente, compartiendo los mismos recursos de red, el tráfico perteneciente a múltiples comunicaciones y aplicaciones, y hacia diferentes destinos.
  • Solución Compacta de Red: Según las necesidades del cliente, tras un estudio personalizado de las características del mismo, Telefónica Transmisión de Datos realiza el diseño de la red de comunicaciones Frame Relay.
  • Tecnología punta y altas prestaciones: Frame Relay proporciona alta capacidad de transmisión de datos por la utilización de nodos de red de alta tecnología y bajos retardos como consecuencia de la construcción de red (backbone) sobre enlaces a 34 Mbps. y de los criterios de encaminamiento de la Red de Datos, orientados a minimizar el número de nodos de tránsito.
  • Flexibilidad del servicio: Frame Relay es la solución adaptable a las necesidades cambiantes, ya que se basa en circuitos virtuales permanentes (CVP), que es el concepto de Red Pública de Datos, equivalente al circuito punto a punto en una red privada. Sobre una interfaz de acceso a la red se pueden establecer simultáneamente múltiples circuitos virtuales permanentes distintos, lo que permite una fácil incorporación de nuevas sedes a la red de cliente.
  • Servicio normalizado: Frame Relay es un servicio normalizado según los estándares y recomendaciones de UIT -T, ANSI y Frame Relay Forum, con lo que queda garantizada la interoperabilidad con cualquier otro producto Frame Relay asimismo normalizado.
  • Sólo ha sido definido para velocidades de hasta 1,544/2,048 Mbps.
  • No soporta aplicaciones sensibles al tiempo, al menos de forma estándar.
  • No garantiza la entrega de los datos.




Carlos Palomo.
Analista II/ Desarrollo de Proyectos.
Servicios de Proyectos y Consultoría SGSI 0526

No hay comentarios:

Publicar un comentario