Cuando configuramos el direccionamiento en la interfaz ethernet de un Router, no necesitamos configurarle un direccionamiento o gateway adicional, caso contrario cuando configuramos un enlace de internet en una
interfaz de en un Firebox WatchGuard, en esta guía se mostrará con poner en
funcionamiento un enlace dedicado (Frame-Relay, MPLS) en dispositivos WatchGuard
cuando el proveedor nos suministra el servicio de internet a través de VLAN y
nos proporciona un direccionamiento IP privado que va de cara al ISP y un
direccionamiento IP público (sin Gateway)
que va de cara al Firebox ya que no tenemos Router.
El siguiente ejemplo muestra la configuración de un
servicio dedicado Frame-Relay o MPLS en un dispositivo Firewall WatchGuard
ajustando este para que haga uso de sus capacidades de capa 3.
Situación
Tenemos el servicio de internet de la empresa a través VLAN sobre MPLS,
para su respectiva configuración el proveedor nos suministra un direccionamiento IP
privado y un direccionamiento IP público que para su configuración necesitamos
un router en el cual se debe configurar la IP privada en una de las interfaces
y la dirección IP publica en otra de sus interfaces.
Ejemplo:
Direccionamiento
VLAN sobre MPLS
Privado Vlan X
|
Publico
|
192.168.180.0/30
|
200.200.40.80/28
|
En este tipo de configuraciones el
proveedor de servicios, no suministra Gateway para el segmento de red público
el cual es necesario para configurar la interfaz del Firebox Watchguard,
entonces de momento pensaríamos que si no tenemos un Router no podremos utilizar
el enlace, pero no es así, y aquí la solución:
Para ello debemos configurar en la interfaz correspondiente los
siguientes parámetros:
Se debe configurar la interfaz Eth0, o cualquier interfaz
seleccionada como miembro de la Vlan (x), que nos suministra el proveedor de servicio y
asignarle una dirección IP disponible del pool de direcciones IP suministrado.
Para utilizar el enlace se debe forzar en las políticas que
las peticiones hacia internet con NAT Dinámico con la dirección IP pública que nos suministró
el proveedor, en este caso 200.200.40.80 el resto de las direcciones quedan disponibles
para otros servicios, esto es debido a que el direccionamiento IP privado que
aparece en la gráfica 2 pertenece a una
Vlan por lo cual el dispositivo de borde del ISP está preparado para recibir
tráfico de esta determinada VLAN (tráfico etiquetado respectivamente).
En
enlaces dedicado donde el servicio no se suministre a través de Vlan (por
ejemplo: Frame Relay) no se debe forzar
el tráfico hacia ninguna IP pública, esto debido a que el Gateway suministrado
por el proveedor estará listo para recibir peticiones de cualquier subred
interna de la empresa.
Configuración:
A nivel
de Firebox, a través del Policy Manager, vamos a las siguientes opciones:
Network
> Configuración > Vlan
Creamos
una nueva Vlan con los parámetros suministrados por el ISP. (La que se muestra es de ejemplo)
Luego nos dirigimos a Interfaces y seleccionamos la interfaz donde
conectamos el enlace y la configuramos tipo Vlan. Interface Type= VLAN
Luego tildamos la opción Send
and receive tagged traffic for VLANs y seleccionamos la vlan anteriormente
creada.
Después
procedemos a configurar las IPs públicas suministradas por el ISP como
secundarias para ello nos vamos a VLAN y seleccionamos la VLAN creada y procedemos
a agregar las IPs secundarias.
Aceptamos
y procedemos al último paso, que consiste en dirigirnos a la política de
navegación, configuramos el enlace para que sea usado por la política.
Selecionamos
las opciones avazadas de esta política y seleccionamos la opción All traffic in
this policy > Set source IP luego procedemos a configurar la IP pública
asignada.
Una vez
hagamos estos pasos guardamos los cambios en el Firebox WatchGuard y la política seleccionada quedara
lista para usar el enlace dedicado.
Observación: Es importante tener en cuenta que con
esta configuración el Failover no funcionará debido a que la política está
forzada para que envié el tráfico a una dirección IP específica, en este caso el enlace
dedicado. Para darle acceso a internet a los usuarios de esta política por otro enlace se debe reconfigurar la política para no forzar el tráfico por la dirección IP configurada.
Diferencias entre MPLS y Frame Relay
MPLS
|
Frame-Relay
|
MPLS es un protocolo que utiliza etiquetas de
paquetes para priorizar paquetes de red y para optimizar el rendimiento de la
red.
Si tiene aplicaciones sensibles a
la calidad de servicio (QoS) como VoIP, videoconferencia, SAP, Oracle, Citrix
u otras aplicaciones en tiempo real que se ejecuten en su WAN, debería
considerar MPLS.
|
|
Carlos Palomo.
Analista II/ Desarrollo de Proyectos.
Servicios de Proyectos y Consultoría SGSI 0526
Analista II/ Desarrollo de Proyectos.
Servicios de Proyectos y Consultoría SGSI 0526
No hay comentarios:
Publicar un comentario