Arquitectura VPN de Sucursal Híbrida (Malla Parcial)
Archivos de configuración de ejemplo creados con — WSM v11.10.1
Revisado — 23/01/2018
Caso de Uso
En este ejemplo de configuración, una organización tiene múltiples ubicaciones de diferentes tamaños y quiere conectar las redes en cada sitio. Tienen varios sitios que alojan recursos de red compartidos utilizados por toda la organización. También tienen pequeñas oficinas, que necesitan conectarse a los recursos de red compartidos. La organización quiere conectividad directa entre los sitios que alojan recursos de red compartidos. También quieren que las conexiones de las oficinas pequeñas converjan en una ubicación central confiable. La organización podría tener recursos distribuidos entre múltiples sitios o procesos de negocio que se adaptan a una arquitectura VPN híbrida.
Este ejemplo de configuración se proporciona como una guía. Ajustes adicionales a la configuración pueden ser necesarios, o más apropiados, para su entorno de red.
Descripción de la Solución
En una configuración VPN híbrida, también conocida como malla parcial, algunos sitios están interconectados directamente entre sí (una configuración de malla), mientras que otros sitios se conectan a una ubicación central (concentrador y remoto).
Malla Entre Sitios Primarios
En esta solución, los sitios que alojan recursos de red compartidos se consideran sitios primarios. Las conexiones VPN entre los sitios primarios se configuran como una malla, lo que significa que todos estos sitios tienen conexiones VPN directas entre sí. Esta configuración depende en gran medida de la confiabilidad de los sitios primarios que alojan recursos de red únicos, ya que los usuarios deben tener conectividad confiable con estos recursos. Si la organización agrega ubicaciones remotas adicionales, podría ser necesario ampliar la capacidad de un sitio primario. Esta configuración proporciona adaptabilidad para los sitios primarios, ya que una falla en un solo sitio impacta únicamente a los servicios que dependen directamente de éste.
Concentrador y Remoto Entre Sitios Secundarios y un Concentrador Central
En esta solución, las oficinas pequeñas se consideran sitios secundarios. Las conexiones VPN a los sitios secundarios se configuran como concentrador y remoto. Uno de los sitios primarios, el sitio Coubicación, es el concentrador central para la conectividad de VPN a las oficinas pequeñas. El concentrador central utiliza la conmutación de túneles para enrutar el tráfico VPN entre cada sitio secundario y todos los otros sitios. Las oficinas pequeñas dependen en gran medida de la confiabilidad del concentrador central, ya que es un posible punto único de falla para los túneles VPN de estos sitios secundarios. Si la organización agrega ubicaciones remotas adicionales, podría ser necesario ampliar la capacidad del concentrador central.
Si la mayoría de los recursos de red compartidos están ubicados en una sola ubicación, una arquitectura VPN centralizada (concentrador y remoto) podría ser una mejor solución. Si los recursos de red compartidos están dispersos principalmente entre los sitios remotos, una arquitectura VPN descentralizada (malla completa) podría ser una mejor solución.
Cómo Funciona
El Firebox en cada sitio primario establece una conexión VPN a un Firebox cada dos sitios primarios. El Firebox en el concentrador central (Coubicación) actúa como la puerta de enlace primaria para los túneles VPN de todos los sitios secundarios. La ubicación central recibe todos los datos transferidos de los sitios secundarios. Si la ubicación central recibe una conexión que no está prevista para un recurso en la ubicación central, el dispositivo en la ubicación central redirige el tráfico al túnel para el destino. Esto también se conoce como conmutación de túneles.
Requisitos
Conectividad confiable
Si bien este es un diseño tolerante a las fallas, los sitios que alojan recursos exclusivos de su ubicación deben tener una conectividad confiable apropiada para los recursos que alojan.
Una ubicación central confiable
La ubicación central maneja el agregado de todas las conexiones VPN. Todo el tráfico VPN de las oficinas pequeñas depende de la disponibilidad de este sitio.
Ancho de banda suficiente
Los túneles conmutados requieren ancho de banda en el origen, el destino y la ubicación central. Como se muestra en el diagrama anterior, la Oficina Pequeña que recibe tráfico de la Sede Central utiliza el ancho de banda ascendente en la Sede Central, el ancho de banda descendente y ascendente en Colo y el ancho de banda descendente en la Oficina Pequeña. Debido al cifrado y a la sobrecarga de encapsulado, el ancho de banda VPN se mide a menos de la velocidad de enlace.
Un Firebox apropiado para cada ubicación
Las capacidades del Firebox varían según el modelo. Para las configuraciones de VPN, debe considerar la velocidad de VPN y la capacidad del túnel de cada modelo. El entorno de red, las opciones de configuración y otros factores también pueden ayudarlo a determinar el modelo más apropiado para cada sitio.
La velocidad de VPN es la cantidad de datos que pasan a través de la VPN por segundo. La ubicación central procesa dos veces el tráfico conmutado.
El número de túneles VPN está determinado por el número de redes conectadas (según se configure en las rutas de túneles). Para las oficinas, esto es generalmente el número de redes locales multiplicadas por el número de redes remotas. Para la ubicación central, esta es la suma total del número de túneles en todas las demás ubicaciones.
Para obtener más información sobre la velocidad de VPN y la capacidad de túneles VPN de sucursal disponibles para cada modelo de Firebox, consulte las hojas de datos del producto: http://www.watchguard.com/products/resources/datasheets.asp.
Ejemplos de Configuración
Para ilustrar este caso de uso, presentamos un ejemplo de una organización que tiene cuatro ubicaciones: una instalación de coubicación (Colo), una oficina corporativa (Corp), un centro de distribución (Dist) y una oficina pequeña (RMT). También puede ampliar esta solución para servir a oficinas, centros de distribución y oficinas pequeñas adicionales.
Topología
Las direcciones IP para los sitios en esta configuración:
| Colo | Corp | Dist | RMT | |
|---|---|---|---|---|
| Dirección IP de la interfaz externa | 192.0.2.8/24 | 198.51.100.8/24 | 203.0.113.9/24 | DHCP |
| Dirección IP de la puerta de enlace predeterminada | 192.0.2.1 | 198.51.100.1 | 203.0.113.1 | DHCP |
| Red privada asignada al sitio | 172.16.0.0/16 | 10.8.0.0/16 | 10.9.0.0/16 | 10.192.1.0/24 |
| Red no enrutada asignada al sitio | N/D | N/D | 192.168.9.0/24 | 192.168.192.0/24 |
Archivos de Configuración de Ejemplo
Para su referencia, hemos incluido archivos de configuración de ejemplo con este documento. Para ver los detalles de los archivos de configuración de ejemplo, puede abrirlos con Policy Manager. Hay cuatro archivos de configuración de ejemplo, uno para cada ubicación en el ejemplo.
| Nombre de Archivo de Configuración | Descripción |
|---|---|
| Hybrid-Colo.xml | Ubicación central para las VPN, la instalación de coubicación |
| Hybrid-Corp.xml | Una oficina corporativa |
| Hybrid-Dist.xml | Un centro de distribución |
| Hybrid-RMT.xml | Una oficina pequeña |
Explicación de la Configuración
Los archivos de configuración de ejemplo contienen puertas de enlace de sucursal y túneles de sucursal definidos para las conexiones VPN entre cada sitio. Cada sitio tiene tres puertas de enlace VPN de sucursal y tres túneles VPN de sucursal configurados.
Para ver las puertas de enlace VPN de la sucursal:
- Inicie el Policy Manager para el Firebox.
- Seleccione VPN > Puertas de Enlace de Sucursal.
Para ver los túneles VPN de sucursal:
- Inicie el Policy Manager para el Firebox.
- Seleccione VPN > Túneles de Sucursal.
Configuración en el Sitio de Coubicación (Colo)
Configuración en la Red Corporativa de la Sede (Corp)
Configuración en el Centro de Distribución (Dist)
Configuración en la Oficina Pequeña (RMT)
En los archivos de configuración de ejemplo, cada túnel se nombra para representar las redes locales y remotas que administra. El identificador entre paréntesis es la puerta de enlace utilizada por el túnel. El Colo tiene tres puertas de enlace (una para cada uno de los otros sitios primarios y otra para el sitio secundario), los sitios primarios tienen dos puertas de enlace (una para cada uno de los otros sitios primarios), y los sitios secundarios tienen solo una puerta de enlace (el Colo).
Las rutas del túnel se han definido para usar las subredes asignadas a cada sitio, no las redes individuales definidas dentro del sitio. En esta configuración, la oficina pequeña (RMT) solo requiere tres rutas de túnel (no seis rutas de túnel) para llegar a las redes de confianza y opcionales en cada uno de los otros sitios. Todas las redes nuevas en esta asignación establecidas en cada sitio se enrutan a través de la VPN de sucursal existente.
Por ejemplo, las rutas del túnel Colo a RMT y RMT a Colo usan la dirección IP de subred 172.16.0.0/16 como la dirección de la red Colo. Esto permite que estos túneles manejen todo el tráfico entre la red de oficina pequeña (RMT) y las redes de confianza (172.16.1.0) y opcionales (172.16.2.0) de Colo.
Cuando observe las rutas del túnel, recuerde que los pares local-remoto se definen en relación con las dos redes extremo para el tráfico del túnel. En algunos casos, la dirección local en una ruta de túnel VPN es la dirección de una red en otro sitio conectado. Por ejemplo, en la configuración Colo, la ruta del túnel Corp a RMT usa la dirección IP de red de la red de confianza en Corp como local, aunque no se encuentre físicamente en el sitio Colo.
Este diagrama muestra todas las direcciones IP locales y remotas de las rutas del túnel que están configuradas entre cada ubicación.
Conmutación de Túneles en Acción
Ahora podemos usar la configuración de ejemplo para seguir la ruta que toma un paquete cuando un usuario en una ubicación establece una conexión a un recurso en una ubicación diferente a través de túneles conmutados.
Un usuario en la oficina pequeña (10.192.0.100) intenta conectarse a un recurso en la oficina corporativa (10.8.240.80). El paquete llega primero al Firebox RMT en la oficina pequeña. El Firebox RMT determina que el destino del paquete está disponible a través del túnel RMT a Corp a la puerta de enlace Colo.
El Firebox RMT envía este paquete a través del túnel RMT a Corp (Colo).
El Firebox Colo recibe este tráfico identificado como parte de su túnel Corp a RMT (RMT) en su configuración local. La dirección IP de red local en esta ruta de túnel en el archivo de configuración Colo es local del sitio de Corp, no del sitio Colo.
El Firebox Colo determina que el destino del paquete descifrado está disponible a través del túnel RMT a Corp (Corp) a la puerta de enlace Corp.
El Firebox Colo conmuta el tráfico del túnel Corp a RMT (RMT) al túnel RMT a Corp (Corp).
El Firebox Corp recibe este tráfico identificado como parte de su túnel Corp a RMT (Colo) y entrega el paquete descifrado a su destino, un servidor en la red local de la oficina corporativa.
Conclusión
Esta configuración de ejemplo muestra cómo configurar una topología de red VPN de malla parcial. En este ejemplo de configuración, cada sitio primario tiene una conexión VPN directa cada dos sitios primarios. En la topología de malla parcial, un sitio primario actúa como un concentrador central para realizar la conmutación de túneles del tráfico VPN entre sitios primarios y sitios secundarios que se conectan directamente al sitio central.
Este tipo de configuración puede ser una buena opción para una organización que tiene recursos distribuidos entre varios sitios, o procesos comerciales que se ajustan a una arquitectura híbrida. La configuración descrita aquí puede ampliarse para soportar sitios primarios o secundarios adicionales.
Este ejemplo de configuración también muestra cómo usar direcciones IP de subred en la configuración de ruta del túnel para reducir el número de túneles que debe configurar para conectar redes privadas en cada sitio.
Para obtener más información acerca de cómo configurar las VPN de sucursal, consulte la Ayuda de Fireware.