Multi-WAN y SD-WAN utilizan el estado de la interfaz en el Firebox:
- Para multi-WAN en modo de conmutación por error, si la interfaz principal está inactiva, el tráfico pasa a una interfaz diferente.
- Para todos los demás modos multi-WAN, si la interfaz principal está inactiva, esa interfaz ya no está disponible como una interfaz multi-WAN.
- En una configuración SD-WAN con más de una interfaz y si la interfaz preferida está inactiva, el tráfico pasa a una interfaz diferente.
La configuración del Monitor de Enlace en Fireware v12.2.1 o inferior aparece en la configuración multi-WAN, y usted debe habilitar multi-WAN para configurar los objetivos del Monitor de Enlace. Puede configurar hasta dos objetivos del Monitor de Enlace para una interfaz. Para configurar objetivos del Monitor de Enlace en Fireware v12.2.1 o inferior, consulte Configurar Monitor de Enlace en Fireware v12.1 a v12.2.1 y Configurar Conmutación por Error del Modem y Monitor de Enlace en Fireware v12.0.2 o inferior en la Base de Conocimiento de WatchGuard.
Interfaces Soportadas
Se pueden agregar estos tipos de interfaces al Monitor de Enlace:
Interfaces externas
Para monitorizar una interfaz externa en Fireware v12.4 o superior debe agregarla manualmente al Monitor de Enlace. Cuando agrega una interfaz externa al Monitor de Enlace, el objetivo es la puerta de enlace predeterminada, que es el siguiente salto después de Firebox. Para obtener datos operativos significativos, le recomendamos que reemplace el destino de la puerta de enlace predeterminada con un destino de Monitor de Enlace diferente que esté más arriba. Para obtener información sobre cómo elegir un objetivo de Monitor de Enlace, consulte Recomendaciones para Objetivos.
Para configurar las rutas SD-WAN basadas en métricas para interfaces externas, debe configurar los objetivos del Monitor de Enlace para esas interfaces.
Si su Firebox tiene solo una interfaz externa, puede agregar la interfaz al Monitor de Enlace en Fireware v12.3 o superior (Web UI) o Fireware v12.4 o superior (Policy Manager y Web UI). No puede habilitar el Monitor de Enlace para una sola interfaz en Fireware v12.2.1 o inferior.
Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por error de multi-WAN provocada por una falla de conexión hacia un host de Monitor de Enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde.
Las interfaces externas incluyen módems.
Interfaces internas (Fireware v12.4 o superior)
Una interfaz interna es una interfaz De Confianza, Opcional o Personalizada. Para monitorizar una interfaz interna, debe agregarla manualmente al Monitor de Enlace.
Cuando se agrega una interfaz interna al Monitor de Enlace, debe agregar una dirección IP del siguiente salto o un objetivo personalizado antes de poder usar la interfaz en una acción SD-WAN. Recomendamos que especifique una dirección IP del siguiente salto. La dirección IP del siguiente salto indica al Firebox cómo enrutar el tráfico del Monitor de Enlace y el tráfico SD-WAN para la interfaz. Si no especifica una dirección IP del siguiente salto, se usa la tabla de enrutamiento para enrutar el tráfico.
Si agrega una dirección IP del siguiente salto, se agrega automáticamente un objetivo de ping a la dirección IP del siguiente salto. Puede mantener este objetivo o agregar un ping personalizado, TCP o DNS a un host diferente.
Si agrega una interfaz interna al Monitor de Enlace, pero no especifica una dirección IP del siguiente salto o un destino personalizado, no puede agregar la interfaz a una acción SD-WAN.
Interfaces virtuales BOVPN (Fireware v12.4 o superior)
Para agregar una interfaz virtual BOVPN al Monitor de Enlace, primero se debe configurar una dirección IP par virtual en los ajustes de interfaz virtual BOVPN. Se debe utilizar una dirección IP par, no una máscara de red. A continuación, debe agregar manualmente la interfaz al Monitor de Enlace.
Cuando agrega una interfaz virtual BOVPN al Monitor de Enlace, el Firebox agrega automáticamente un objetivo de ping a la dirección IP del par. No se puede editar ni eliminar dicho objetivo.
Objetivos Compatibles
El Monitor de Enlace es compatible con estos tipos de objetivos:
- Ping — Envía un ping a una dirección IP o nombre de dominio
- TCP — Envía sondas TCP a una dirección IP o nombre de dominio y un número de puerto
- DNS — Consulta la dirección IP de un servidor DNS para el nombre de dominio especificado (Fireware v12.3 o superior)
Puede configurar hasta tres objetivos del Monitor de Enlace para una interfaz en Fireware v12.3 o superior. Los objetivos pueden ser del mismo tipo o una combinación de tipos. Por ejemplo, puede configurar tres objetivos de ping para una interfaz. O bien puede configurar un objetivo de ping, un objetivo de TCP y un objetivo de DNS para una interfaz.
Recomendaciones para los Objetivos
Para asegurarse de que el tráfico pase a una interfaz diferente cuando se producen problemas de red, recomendamos lo siguiente:
- Configurar al menos dos objetivos de Monitor de Enlace para cada interfaz externa.
- Seleccionar un objetivo efectivo de Monitor de Enlace. En la mayoría de los casos, recomendamos seleccionar un objetivo de Monitor de Enlace que no sea la puerta de enlace predeterminada.
- Seleccione los objetivos que tengan un registro de tiempo de funcionamiento alto, como servidores alojados por el Proveedor de Servicios de Internet (ISP).
- Especifique hosts de Monitor de Enlace diferentes para cada interfaz externa.
Si se habilita el Monitor de Enlace para una interfaz, pero no se configura un objetivo de monitor de enlace personalizado, el Firebox envía pings a la puerta de enlace predeterminada de la interfaz para descubrir el estado de la interfaz. La puerta de enlace predeterminada suele ser el módem o enrutador del Proveedor de Servicios de Internet (ISP). La puerta de enlace predeterminada no es un objetivo confiable por los siguientes motivos:
- Si el equipo del ISP justo detrás del módem no se puede conectar a Internet, pero la puerta de enlace predeterminada sigue respondiendo a un ping, el Firebox no detectará la interfaz como inactiva. Esto ocurre porque la puerta de enlace es la única prueba de conectividad. En algunos modos multi-WAN, esto puede causar mucha pérdida de tráfico, ya que el Firebox continúa enviando paquetes a través de una interfaz inactiva que aparece como activa por que el módem o enrutador conectado responde a un ping.
- Algunos equipos del ISP pueden estar configurados para no responder a un ping.
Recomendaciones para objetivos de ping
- A fin de encontrar un buen objetivo de Monitor de Enlace, se puede ejecutar el comando traceroute (tracert en Windows) a una dirección IP externa. Recomendamos un objetivo de ping en la red ISP que esté dos o tres saltos más allá del módem o enrutador. Es posible que los servidores DNS que proporciona su ISP funcionen bien.
- Si hay un sitio remoto que es esencial para sus operaciones comerciales, como un sitio de procesamiento de tarjeta de crédito o un socio comercial, pregunte al administrador de ese sitio si usted puede monitorizar un dispositivo en el sitio a fin de verificar la conectividad.
- Envíe un ping a una dirección IP, no a un nombre de dominio. Un ping a un nombre de dominio requiere DNS. Un problema del servidor DNS puede generar una indicación de falla falsa de la interfaz.
- Especifique hosts de Monitor de Enlace diferentes para cada interfaz externa. Si utiliza la misma dirección IP o nombre de dominio para todas las interfaces externas, una falla en ese host remoto provoca que fallen todas las interfaces externas.
Recomendaciones para objetivos TCP
- No utilice un objetivo de Monitor de Enlace TCP a menos que la compañía que aloja el objetivo esté de acuerdo. Si utiliza TCP para monitorizar un enlace a un host remoto, la compañía que administra el host remoto podría bloquear el tráfico desde el Firebox. Esto puede ocurrir si la compañía considera las conexiones TCP inactivas como un posible escaneo o ataque.
Si especifica un nombre de dominio para un ping u objetivo de Monitor de Enlace TCP, y la interfaz externa está configurada con una dirección IP estática, debe configurar un servidor DNS. El servidor DNS resuelve el nombre de dominio de su objetivo de Monitor de Enlace. No tiene que configurar un servidor DNS si las interfaces externas están configuradas para DHCP o PPPoE. Para más información, consulte Configurar los Servidores DNS y WINS de Red.
Recomendaciones para Objetivos DNS
- Algunos servidores DNS y equipos ISP bloquean los pings que continúan durante períodos prolongados. Para evitar este problema, puede configurar un objetivo DNS en lugar de un objetivo ping.
Ajustes de Intervalo de Sondeo
Cuando se agregan objetivos de Monitor de Enlace, se debe especificar con qué frecuencia el Firebox intentará sondear los objetivos. El Firebox utiliza el resultado de estos intentos de sondeo para determinar si la interfaz está activa o inactiva. Si se desea medir la pérdida, latencia y la oscilación, el Firebox utiliza los resultados del sondeo para calcular esas medidas.
En Monitor de Enlace, se pueden configurar los siguientes ajustes para cada interfaz:
- Intervalo de Sondeo — Número de segundos entre cada intento de sondeo de ping, TCP o DNS. El valor predeterminado es 5.
- Desactivar Después — Número de sondeos consecutivos fallidos necesarios para considerar una interfaz inactiva. El valor predeterminado es 3.
- Reactivar Después — Número de sondeos consecutivos exitosos necesarios para considerar una interfaz activa. El valor predeterminado es 3.
Estos ajustes se aplican a todos los objetivos de Monitor de Enlace que se configuren para una interfaz. Por ejemplo, si configura un objetivo de ping y un objetivo TCP, y especifica un intervalo de prueba de 5 segundos, ambos objetivos utilizan un intervalo de prueba de 5 segundos.
En ciertos casos, el Firebox no tiene en cuenta los ajustes Intervalo de Sondeo, Desactivar Después De y Reactivar Después De:
- Desconexión o reconexión del enlace físico — Por ejemplo, si el cable de interfaz está desconectado, el Firebox considera inmediatamente que la interfaz está inactiva. Si el cable se vuelve a enchufar, el Firebox considera que la interfaz está activa después de un sondeo exitoso.
- Cambio de la configuración del Monitor de Enlace — Por ejemplo, si cambia la dirección IP de un objetivo del Monitor de Enlace, el Firebox sondea inmediatamente el objetivo y actualiza el estado de la interfaz como activa o inactiva.
Para la desconexión o reconexión del enlace físico, o para un cambio de configuración del Monitor de Enlace, Firebox actualiza el estado de la interfaz solo después de que se haya producido el número especificado de pruebas exitosas o no exitosas en Fireware v12.2 o inferior.
Actualizaciones de Tabla de Enrutamiento para Interfaces Externas
Para interfaces externas, Firebox actualiza su tabla de enrutamiento si cambia la disponibilidad de la interfaz. Solo se actualizan las métricas de ruta para interfaces externas. Las métricas de ruta para interfaces internas (De Confianza, Opcional y Personalizada) e interfaces virtuales BOVPN no se actualizan.
Por ejemplo, para un fallo de enlace lógico, si el objetivo del Monitor de Enlace no responde después del número especificado de pruebas consecutivas fallidas, el Firebox:
- Considera la interfaz inactiva.
- Actualiza la métrica de ruta en la tabla de enrutamiento a 100 para esa interfaz.
- Continúa enviando pruebas del Monitor de Enlace al objetivo.
Si el mismo objetivo comienza a responder nuevamente, Firebox:
- Considera la interfaz activa después del número especificado de pruebas exitosas consecutivas.
- Actualiza las métricas de ruta en la tabla de enrutamiento a la métrica original.
Si Firebox detecta una desconexión de la interfaz física, el proceso de actualización es mucho más rápido:
- Firebox inmediatamente considera la interfaz como inactiva.
- Firebox actualiza inmediatamente las métricas de ruta en la tabla de enrutamiento.
- Si Firebox detecta que la conexión de Ethernet se ha establecido nuevamente, inmediatamente considera la interfaz activa y actualiza la tabla de enrutamiento.
Para una interfaz externa que no participa en multi-WAN, la métrica original es 20. Para una interfaz externa que participa en multi-WAN, la métrica original depende de la configuración multi-WAN.
| Método de Multi-WAN | Métrica Original |
|---|---|
| Tabla de Enrutamiento |
5 |
| Operación por Turnos | 5 |
| Desbordamiento en la Interfaz | 5 |
| Conmutación por Error |
10 |
| Conmutación por Error (interfaz externa secundaria) | 11 |
Para cada interfaz externa secundaria adicional, aumente el valor de la métrica en 1. Por ejemplo, si tiene tres interfaces externas secundarias, las métricas son 11, 12 y 13.
Para obtener más información sobre la tabla de enrutamiento, consulte Leer las Tablas de Enrutamiento de Firebox.
Interfaces Multi-WAN y SD-WAN Sin Monitor de Enlace
Si no agrega interfaces multi-WAN y SD-WAN al Monitor de Enlace, Firebox no puede detectar fallas de enlace lógico para esas interfaces. Sin los objetivos del Monitor de Enlace, la conmutación por error ocurre solo después de una desconexión física, o bien si no se asigna una dirección IP válida a la interfaz (si la interfaz es dinámica). En ciertos casos, esto puede conducir a una interrupción de la red.
Por ejemplo, si desconecta el cable de la interfaz externa preferida, las conexiones se conmutan por error a otra interfaz externa. Esto ocurre porque Firebox detectó una desconexión física.
Sin embargo, si la interfaz preferida no está disponible debido a problemas fuera de su red, la conmutación por error no se produce porque Firebox no ha detectado una falla de enlace lógico. Firebox requiere objetivos del Monitor de Enlace para detectar fallas de enlace lógico. En este caso, puede ocurrir una interrupción de la red porque Firebox continúa enviando tráfico a una interfaz para la que no hay disponibilidad de WAN.
FireCluster
Si tiene un FireCluster Activo/Activo, ambos miembros del clúster envían pruebas del Monitor de Enlace.
Si tiene un FireCluster Activo/Pasivo, solo el miembro del clúster maestro envía pruebas del Monitor de Enlace. Si se produce una conmutación por error, el antiguo clúster principal ya no envía pruebas del Monitor de Enlace. En su lugar, el nuevo clúster principal envía sondas del Monitor de Enlace.
Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por error de multi-WAN provocada por una falla de conexión hacia un host de Monitor de Enlace no desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde.