Definitivamente la nueva configuración SD-WAN de WatchGuard para los dispositivos Firebox M y T series es de lo mejor, un cambio realmente impresionante y que amerita una correcta interpretación, aplicación y monitoreo para ser aprovechado al máximo.
Cabe destacar que esta nueva opción no esta disponible para los dispositivos Firebox XTM, en los que se aplican configuraciones MultiWan basada en sus cuatro componentes: Failover, Round Robind, Routing Table y Overflow, en pruebas efectuadas con varios proveedores de acceso de Internet, durante más de 30 días que ameritaron, estudio, análisis, adecuaciones y mediciones podemos garantizar que SD-WAN traerá grandes beneficios para las redes empresariales que cuenten con más de un acceso de Internet en sus redes en los próximos años.
Manos a la obra, comencemos:
Antes que nada es preciso conocer conceptos básicos para iniciar:
SD-WAN: Wan definida por software
- Jitter: Variación en el retraso de entrega de paquetes, medida en milisegundos.
- Latencia: Retraso en la entrega de paquetes, medido en milisegundos.
- Perdida: Porcentaje de paquetes perdidos.
La WAN definida por software (SD-WAN) es una solución de enrutamiento basada en software que distribuye automáticamente el tráfico de red a través de múltiples conexiones WAN según las políticas que usted defina. SD-WAN está incluido en el Firebox. Firebox supervisa sus conexiones WAN, captura datos de rendimiento casi en tiempo real y utiliza estos datos para tomar decisiones de enrutamiento. Por ejemplo, si una conexión WAN se congestiona, Firebox envía automáticamente el tráfico a través de una conexión WAN diferente.
- Para usar el enrutamiento SD-WAN basado en métricas, primero configure los destinos del monitor de enlace para interfaces externas
- Configurar una acción SD-WAN
- Configurar una política para usar la acción SD-WAN.
Procedimos entonces a integrar nuestras pruebas de monitoreo con un dispositivo Firebox WatchGuard M400 con Fireware SO 12.3.1 para establecer acciones SD-WAN
Proveedores de acceso: NetUno, Conex Telecom, Patriacell y Movistar
Este punto es de vital importancia pues establecer destinos de monitoreo y los resultados al momento del censado dependerán los elementos de salud del enlace, por ejemplo: se procederán a medir: latencia, jitter y perdida de paquetes con respecto a los objetivos de monitoreo, máximo 3. Pero solo uno de los objetivos traerá los resultados.
 |
| Agregando objetivos de monitoreo, recuerde: solo uno de los objetivos comprobarán latencia, jitter y pérdida de paquetes. |
Usted decide los intervalos de prueba, sugerimos cambiar cada cierto tiempo los objetivos de monitoreo pues podría ser bloqueado por múltiples conexiones dado el destino, Cabe resaltar que para obtener resultados de medición de cada enlace aplicar un mismo objetivo de monitoreo a cada uno puede ser de mayor utilidad que configurar objetivos diferentes, es comparar peras con peras los resultados de cada enlace.
Una vez configurados los objetivos de monitoreo, es prudente medir resultados para luego efectuar configuraciones de acción SD-WAN a las políticas, pueden ser pasadas 24 o 48 horas, en nuestro caso esperamos mediciones/ resultados basados en 72 horas. Esto lo puede visualizar a través de la administración del Firebox vía WEB-UI o a través del WatchGuard System Manager, veámos a través de ambos:
Para calcular la pérdida, la latencia y la fluctuación de fase, Firebox usa los 100 resultados más recientes de la sonda de los objetivos del monitor de enlace. Los resultados de la sonda se almacenan en grupos de 10. Cuando se llenan 10 grupos con 10 resultados de la sonda, se borran los resultados de la sonda del grupo más antiguo y se almacenan 10 resultados nuevos.
 |
| Fíjese que en la parte superir derecha esta el menú desplegable donde usted selecciona el tiempo en el que se mostrarán los resultados. |
Ahora, veamos los resultados a través del WSM (muestra los resultados en tiempo real):
 |
| Fíjese que Movistar para estas pruebas muestra 100% de paquetes pérdidos, dadas fallas presentadas de la conexión en estas pruebas, NetUno 0%, Conex Telecom y Patriacell con apenas 1% de paquetes pérdidos. Recuerde que al hacer click con el botón derecho usted selecciona la medida que requiera verificar: jitter, pérdida de paquetes o latencia. |
Ahora, hay que poner los diversos escenarios sobre la mesa, conocer la anatomía de las aplicaciones de uso diario, el correo electrónico, la central PBX que puede estar hosteada en la nube, en fin, lo neurálgico de las operaciones de la organización para de esta forma garantizar calidad de las conexiones y continuidad operativa.
Indiscutiblemente es fundamental contar con una correcta aplicación de políticas en sus Firebox, con mucho sentido lógico y coherencia para tener éxito en este despliegue, muchas personas se toman a la ligera el establecer políticas en sus dispositivos Firebox WatchGuard, más no es así, es una constante de mejoras y dinámica que de acuerdo a los requerimientos de la organización se deben chequear constantemente, definitivamente no es recomendable tomarse a la ligera o a lo deportivo la aplicación de políticas en sus equipos Firewalls.
Al aplicar configuración SD-WAN en sus políticas, hay aspectos a considerar tales como:
Al aplicar configuración SD-WAN en sus políticas, hay aspectos a considerar tales como:
- ¿Que acción tomará el Firebox de acuerdo a los criterios establecidos cuando el enlace principal seleccionado tenga un porcentaje de 20% de paquetes pérdidos? -por ejemplo-
- ¿Aplicar conmutación por error?
- Al reestablecer sus valores como óptimos en base a la latencia, jitter y perdida de paquetes ¿Aplicará failback? (es decir que se reestablezcan las conexiones por su enlace de internet principal determinado)
Pruebas en base a escenarios:
Caso 1: Central telefónica de la organización hosteada en la nube,
Caso 2: Correo electrónico de la organización (correo corporativo) hosteado en Office 365.
Caso 1: Central telefónica de la organización hosteada en la nube,
Caso 2: Correo electrónico de la organización (correo corporativo) hosteado en Office 365.
En el caso 1, los resultados fueron bastantes precisos, ya que el acceso a Internet predeterminado fue Patriacell, con contingencia Conex telecom, al presentarse pérdida de paquetes en un porcentaje mayor o igual a 10% de paquetes, aplica el failover, configuración failback gradual ya que aplica corte inmediato en las llamadas telefónicas de los usuarios, por ende, se presentarán afectación de servicios.
Resultados: exitosos.
En el caso 2 decidimos crear una regla tipo granular hacía los destinos de correo entrante y saliente de office 365, separando de la política de navegación de Internet de los distintos grupos de usuarios para de esta forma discernir el tráfico, pues el correo electrónico es de vital funcionamiento en la organización
Los patrones tomados han sido jitter y latencia de los accesos ISP seleccionados para las acciones SD-WAN con failover en cuanto sean alcanzados los umbrales correspondiente (recuerde que estos valores son expresados en milisegundos) mientras mayor sea la variación del jitter entonces la comunicación con los servidores de correo será más lenta para el envío y recepción de correos.
Recuerde que mientras mayor sea la latencia y el jitter entonces mayor promedio de perdida de paquetes presentará en enlace seleccionado.
Ya para finalizar es recomendable establecer un seguimiento de los resultados y cambio de objetivos de monitoreo periódicamente, esperando haberles aportado y estamos a la orden.
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
