Contents

Temas Relacionados

Configurar Balance de Carga en el Servidor

El balance de carga en el servidor requiere de Fireware con actualización Pro, y no es compatible con los dispositivos Firebox T10, XTM 2 Series y XTM 3 Series.

La función de balance de carga en el servidor está diseñada para ayudarle a aumentar la escalabilidad y el desempeño de una red de alto tráfico con múltiples servidores. Con el balance de carga en el servidor, puede habilitar el Firebox para que controle la cantidad de sesiones iniciadas en hasta 10 servidores para cada política de firewall que configure. El Firebox controla la carga en base al número de sesiones en uso en cada servidor. El dispositivo no mide ni compara el ancho de banda que usa cada servidor.

Usted configura el balance de carga en el servidor como una acción SNAT. El Firebox puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando configura el balance de carga en el servidor, debe elegir el algoritmo que se aplicará.

Operación por turnos

Si selecciona esta opción, el Firebox distribuye las sesiones entrantes entre los servidores que especifica en la política en orden de operación por turnos. La primera conexión se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente servidor en su política y así sucesivamente.

Conexión menor

Si selecciona esta opción, el Firebox envía cada nueva sesión al servidor en la lista que actualmente tiene la menor cantidad de conexiones abiertas al dispositivo. El Firebox no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.

Puede agregar un número ilimitado de servidores a una acción de balance de carga en el servidor. Además, puede agregar un peso a cada servidor para asegurarse de que se le otorgue la carga más pesada a sus servidores más potentes. El peso se refiere a la proporción de carga que el Firebox envía a un servidor. De manera predeterminada, cada servidor tiene un peso de 1. Si asigna un peso de 2 a un servidor, duplica la cantidad de sesiones que el Firebox envía a ese servidor, en comparación con un servidor con un peso de 1.

Puede configurar opcionalmente una dirección IP de origen en una acción de balance de carga en el servidor. Si no configura una dirección IP de origen en la acción de balance de carga en el servidor, el Firebox no modifica el remitente, ni la dirección IP de origen, del tráfico enviado a estos dispositivos. Mientras que el tráfico se envía directamente desde el Firebox, cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la dirección IP de origen original del tráfico de red.

Para monitorear la disponibilidad de los servidores configurados en una acción SNAT de balance de carga en el servidor, el Firebox envía los paquetes TCP SYN a cada servidor. Si un servidor no responde, o si responde con un restablecimiento del TCP, el Firebox no envía tráfico con balance de carga a ese servidor.

Cuando se configura el balance de carga en el servidor, es importante saber:

  • Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede aplicar NAT Estática.
  • Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamiento basado en políticas ni otras reglas de NAT en la misma política.
  • Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no se produce la sincronización en tiempo real entre los miembros del clúster cuando ocurre un evento de conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en clúster principal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor para ver cuáles son los servidores disponibles. Entonces aplica el algoritmo de balance de carga en el servidor a todos los servidores disponibles.
  • Si usa el balance de carga en el servidor para las conexiones a un grupo de servidores RDP, debe configurar el firewall en cada servidor RDP para permitir solicitudes ICMP del Firebox.
  • Puede configurar una acción SNAT de balance de carga en el servidor para el tráfico enviado a una interfaz externa u opcional de Firebox. La NAT Estática para una interfaz opcional requiere del sistema operativo Fireware v11.8.1 y superior.

Si su dispositivo usa Fireware v11.0 - v11.3.x, los pasos para configurar el Balance de Carga en el Servidor son diferentes. Para obtener más información, consulte Configurar Balance de Carga en el Servidor en la Ayuda de Fireware XTM WatchGuard System Manager v11.3.x.

Cuando agrega una acción SNAT de balance de carga en el servidor, puede elegir especificar una dirección IP de origen en la acción. Entonces, cuando el tráfico que coincide con los parámetros en su acción SNAT de balance de carga en el servidor pasa a través de las políticas que administran el tráfico en su Firebox, la dirección IP de origen se cambia a la dirección IP que usted especifica. La misma dirección IP de origen se utiliza para todos los servidores en la acción de balance de carga en el servidor.

También puede habilitar la traducción de dirección del puerto (PAT) en una acción SNAT de balance de carga en el servidor. Cuando habilita PAT, puede cambiar el destino del paquete para especificar un host interno distinto y un puerto diferente.

Cuando define los parámetros para la acción SNAT, las sticky connections siempre están habilitadas. Una sticky connection es una conexión que continúa usando el mismo servidor durante un período definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones IP de origen y de destino se envíen al mismo servidor durante el período que especifique. Por defecto, el Firebox utiliza la configuración de sticky connections predeterminada de 8 horas. Puede cambiar la configuración a un número diferente de horas. Cuando se recibe una nueva conexión del mismo cliente, el tiempo de expiración de la conexión se extiende.

Agregar una Acción SNAT de Balance de Carga en el Servidor

En Fireware Web UI, antes de que pueda configurar una política para usar el balance de carga en el servidor, debe definir los detalles del balance de carga en el servidor en una acción SNAT.

En Policy Manager, puede crear una acción SNAT de balance de carga en el servidor y luego agregarla a una política, o puede crear la acción SNAT de balance de carga en el servidor desde dentro de la configuración de la política.

Agregar una Acción SNAT de Balance de Carga en el Servidor a una Política

Antes de definir una acción SNAT de balance de carga en el servidor, puede usarla en una o más políticas.

Editar o Eliminar una Acción SNAT de Balance de Carga en el Servidor

Puede editar una acción SNAT desde la lista acción SNAT.

En Policy Manager, también puede editar una acción SNAT cuando edita una política.

Puede eliminar cualquier acción SNAT que no sea utilizada por una política.

Vea también 

Configurar NAT Estática

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica