Temas Relacionados
Configurar Balance de Carga en el Servidor
El balance de carga en el servidor requiere de Fireware con actualización Pro, y no es compatible con los dispositivos Firebox T10, XTM 2 Series y XTM 3 Series.
La función de balance de carga en el servidor está diseñada para ayudarle a aumentar la escalabilidad y el desempeño de una red de alto tráfico con múltiples servidores. Con el balance de carga en el servidor, puede habilitar el Firebox para que controle la cantidad de sesiones iniciadas en hasta 10 servidores para cada política de firewall que configure. El Firebox controla la carga en base al número de sesiones en uso en cada servidor. El dispositivo no mide ni compara el ancho de banda que usa cada servidor.
Usted configura el balance de carga en el servidor como una acción SNAT. El Firebox puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando configura el balance de carga en el servidor, debe elegir el algoritmo que se aplicará.
Operación por turnos
Si selecciona esta opción, el Firebox distribuye las sesiones entrantes entre los servidores que especifica en la política en orden de operación por turnos. La primera conexión se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente servidor en su política y así sucesivamente.
Conexión menor
Si selecciona esta opción, el Firebox envía cada nueva sesión al servidor en la lista que actualmente tiene la menor cantidad de conexiones abiertas al dispositivo. El Firebox no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.
Puede agregar un número ilimitado de servidores a una acción de balance de carga en el servidor. Además, puede agregar un peso a cada servidor para asegurarse de que se le otorgue la carga más pesada a sus servidores más potentes. El peso se refiere a la proporción de carga que el Firebox envía a un servidor. De manera predeterminada, cada servidor tiene un peso de 1. Si asigna un peso de 2 a un servidor, duplica la cantidad de sesiones que el Firebox envía a ese servidor, en comparación con un servidor con un peso de 1.
Puede configurar opcionalmente una dirección IP de origen en una acción de balance de carga en el servidor. Si no configura una dirección IP de origen en la acción de balance de carga en el servidor, el Firebox no modifica el remitente, ni la dirección IP de origen, del tráfico enviado a estos dispositivos. Mientras que el tráfico se envía directamente desde el Firebox, cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la dirección IP de origen original del tráfico de red.
Para monitorear la disponibilidad de los servidores configurados en una acción SNAT de balance de carga en el servidor, el Firebox envía los paquetes TCP SYN a cada servidor. Si un servidor no responde, o si responde con un restablecimiento del TCP, el Firebox no envía tráfico con balance de carga a ese servidor.
Cuando se configura el balance de carga en el servidor, es importante saber:
- Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede aplicar NAT Estática.
- Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamiento basado en políticas ni otras reglas de NAT en la misma política.
- Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no se produce la sincronización en tiempo real entre los miembros del clúster cuando ocurre un evento de conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en clúster principal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor para ver cuáles son los servidores disponibles. Entonces aplica el algoritmo de balance de carga en el servidor a todos los servidores disponibles.
- Si usa el balance de carga en el servidor para las conexiones a un grupo de servidores RDP, debe configurar el firewall en cada servidor RDP para permitir solicitudes ICMP del Firebox.
- Puede configurar una acción SNAT de balance de carga en el servidor para el tráfico enviado a una interfaz externa u opcional de Firebox. La NAT Estática para una interfaz opcional requiere del sistema operativo Fireware v11.8.1 y superior.
Si su dispositivo usa Fireware v11.0 - v11.3.x, los pasos para configurar el Balance de Carga en el Servidor son diferentes. Para obtener más información, consulte Configurar Balance de Carga en el Servidor en la Ayuda de Fireware XTM WatchGuard System Manager v11.3.x.
Cuando agrega una acción SNAT de balance de carga en el servidor, puede elegir especificar una dirección IP de origen en la acción. Entonces, cuando el tráfico que coincide con los parámetros en su acción SNAT de balance de carga en el servidor pasa a través de las políticas que administran el tráfico en su Firebox, la dirección IP de origen se cambia a la dirección IP que usted especifica. La misma dirección IP de origen se utiliza para todos los servidores en la acción de balance de carga en el servidor.
También puede habilitar la traducción de dirección del puerto (PAT) en una acción SNAT de balance de carga en el servidor. Cuando habilita PAT, puede cambiar el destino del paquete para especificar un host interno distinto y un puerto diferente.
Cuando define los parámetros para la acción SNAT, las sticky connections siempre están habilitadas. Una sticky connection es una conexión que continúa usando el mismo servidor durante un período definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones IP de origen y de destino se envíen al mismo servidor durante el período que especifique. Por defecto, el Firebox utiliza la configuración de sticky connections predeterminada de 8 horas. Puede cambiar la configuración a un número diferente de horas. Cuando se recibe una nueva conexión del mismo cliente, el tiempo de expiración de la conexión se extiende.
Agregar una Acción SNAT de Balance de Carga en el Servidor
En Fireware Web UI, antes de que pueda configurar una política para usar el balance de carga en el servidor, debe definir los detalles del balance de carga en el servidor en una acción SNAT.
- Seleccione Firewall > SNAT.
Aparece la página SNAT. - Haga clic en Agregar.
Aparece la página Agregar SNAT.
- En el cuadro de texto Nombre, ingrese un nombre para esta acción SNAT.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
- Seleccione Balance de Carga en el Servidor.
- En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que se usará en esta acción de balance de carga en el servidor.
Por ejemplo, puede determinar que el Firebox aplique el balance de carga en el servidor para esta acción a los paquetes recibidos solo en una dirección IP externa. O bien, puede hacer que el Firebox aplique el balance de carga en el servidor a paquetes recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera Externa.
- Para especificar la dirección IP de origen para esta acción de balance de carga en el servidor, marque la casilla de selección Establecer IP de origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
- En la lista desplegable Método, seleccione el algoritmo que se usará para el balance de carga en el servidor: Operación por turnos o Conexión mínima.
- Haga clic en Agregar para agregar la dirección IP de un servidor interno a esta acción.
Aparece el cuadro de diálogo Agregar miembro.
- En el cuadro de texto Dirección IP Interna, ingrese la dirección IP del servidor que desea agregar.
- En el cuadro de texto Peso, ingrese o seleccione el peso de este servidor para el balance de carga.
- Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.
Si usa la acción SNAT de balance de carga en el servidor en una política que permite el tráfico que no tiene puertos (tráfico diferente a TCP o UDP), la configuración de puerto interno no se usa para ese tráfico.
- Haga clic en Aceptar.
El servidor aparece en la lista de Miembros de Balance de Carga del Servidor.
- Para agregar otro servidor a esta acción, haga clic en Agregar y repita los pasos 10 al 14.
- Para establecer sticky connections para sus servidores internos, marque la casilla de selección Habilitar sticky connection. En el cuadro de texto y lista desplegable Habilitar sticky connection, especifique el período de tiempo para la sticky connection.
- Haga clic en Guardar.
En Policy Manager, puede crear una acción SNAT de balance de carga en el servidor y luego agregarla a una política, o puede crear la acción SNAT de balance de carga en el servidor desde dentro de la configuración de la política.
- Seleccione Configuración > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar SNAT.
- En el cuadro de texto Nombre SNAT, ingrese un nombre para esta acción SNAT.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
- Seleccione Balance de Carga en el Servidor.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar NAT de Balance de Carga en el Servidor.
- En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que se usará en esta acción de balance de carga en el servidor.
Por ejemplo, puede determinar que el Firebox aplique el balance de carga en el servidor para esta acción a los paquetes recibidos solo en una dirección IP externa. O bien, puede hacer que el Firebox aplique el balance de carga en el servidor a paquetes recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera Externa.
- Para especificar la dirección IP de origen para esta acción de balance de carga en el servidor, marque la casilla de selección Establecer IP de origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
- En la lista desplegable Método, seleccione el algoritmo que se usará para el balance de carga en el servidor: Operación por Turnos o Conexión mínima.
- Haga clic en Agregar para agregar la dirección IP de un servidor interno a esta acción.
Aparece el cuadro de diálogo Agregar Servidor.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor que desea agregar.
- En el cuadro de texto Peso, ingrese o seleccione el peso de este servidor para el balance de carga.
- Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.
Si usa la acción SNAT de balance de carga en el servidor en una política que permite el tráfico que no tiene puertos (tráfico diferente a TCP o UDP), la configuración de puerto interno no se usa para ese tráfico.
- Haga clic en Aceptar.
El servidor aparece en la lista Servidores.
- Para agregar otro servidor a esta acción, haga clic en Agregar y repita los pasos 10 al 14.
- Para establecer sticky connections para sus servidores internos, marque la casilla de selección Habilitar sticky connection. En el cuadro de texto y lista desplegable Habilitar sticky connection, especifique el período de tiempo para la sticky connection.
- Haga clic en Aceptar.
Los servidores se agregan a la lista de Miembros SNAT para esta acción.
- Haga clic en Aceptar.
Se agrega la acción SNAT. - Haga clic en Aceptar.
Agregar una Acción SNAT de Balance de Carga en el Servidor a una Política
Antes de definir una acción SNAT de balance de carga en el servidor, puede usarla en una o más políticas.
- Seleccione Firewall > Políticas de Firewall.
- Seleccione una política.
O bien, agregue una nueva política. - En la lista desplegable Acción, seleccione Editar Política.
- En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar miembro. - En la lista desplegable Tipo de Miembro, seleccione Balance de Carga en el Servidor.
Aparece la lista de las acciones de balance de carga en el servidor.
- Seleccione una acción de balance de carga en el servidor. Haga clic en Aceptar.
Se agrega la acción de balance de carga en el servidor a la sección Hasta de la política. - Haga clic en Guardar.
- Haga doble clic en una política para editarla.
O bien, agregue una nueva política. - En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar dirección. - Haga clic en Agregar SNAT.
Aparece el cuadro de diálogo SNAT. Esta lista muestra todas las acciones configuradas de NAT Estática y de Balance de Carga en el Servidor.
- Seleccione una acción de balance de carga en el servidor configurada. Haga clic en Aceptar.
O, para definir una nueva acción de balance de carga en el servidor, haga clic en Agregar y siga los pasos del procedimiento anterior.
La acción de balance de carga en el servidor aparece en el cuadro de diálogo Agregar Dirección.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar dirección.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de política.
Editar o Eliminar una Acción SNAT de Balance de Carga en el Servidor
Puede editar una acción SNAT desde la lista acción SNAT.
- Seleccione Firewall > SNAT.
La página SNAT aparece. - Seleccione una acción SNAT.
- Haga clic en Editar.
La página Editar SNAT aparece. - Modificar la acción SNAT.
Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que usan esa acción SNAT. - Haga clic en Guardar.
- Seleccione Configurar > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Seleccione una acción SNAT.
- Haga clic en Editar.
La página Editar SNAT aparece. - Modificar la acción SNAT.
Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que usan esa acción SNAT. - Haga clic en Aceptar.
En Policy Manager, también puede editar una acción SNAT cuando edita una política.
- Haga doble clic en una política para editarla.
Aparece el cuadro de diálogo Editar Propiedades de Política, con la pestaña Política seleccionada. - En la seccion Hacia, seleccione la acción SNAT que desea editar.
- Haga clic en Editar.
El cuadro de diálogo Editar SNAT aparece. - Modificar la acción SNAT.
Cuando edita una acción SNAT en una política, los cambios se aplican a todas las políticas que usan esa acción SNAT. - Haga clic en Aceptar.
Puede eliminar cualquier acción SNAT que no sea utilizada por una política.
- Seleccione Firewall > SNAT.
La página SNAT aparece. - Seleccione una acción SNAT.
- Haga clic en Eliminar.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Aceptar para confirmar que desea eliminar la acción SNAT.
- Seleccione Configurar > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Seleccione una acción SNAT.
- Haga clic en Eliminar.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Sí para confirmar que desea eliminar la acción SNAT.
- Haga clic en Aceptar.