Configurar el Balance de Carga del Servidor

El balance de carga en el servidor no es compatible con los modelos Firebox T10 o Firebox T15.

La función de balance de carga en el servidor está diseñada para ayudarle a aumentar la escalabilidad y el desempeño de una red de alto tráfico con múltiples servidores. Con el balance de carga en el servidor, puede habilitar el Firebox para que controle la cantidad de sesiones iniciadas en hasta 10 servidores para cada política de firewall que configure. El Firebox controla la carga en base al número de sesiones en uso en cada servidor. El Firebox no mide ni compara el ancho de banda que usa cada servidor.

Usted configura el balance de carga en el servidor como una acción SNAT. El Firebox puede balancear conexiones entre sus servidores con dos algoritmos diferentes.

Cuando se configura el balance de carga en el servidor, es importante saber:

  • Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede aplicar NAT Estática.
  • Si se aplica el balance de carga en el servidor a una política, no se puede configurar la ruta SD-WAN, el enrutamiento basado en políticas ni otras reglas de NAT en la misma política.
  • Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no se produce la sincronización en tiempo real entre los miembros del clúster cuando ocurre un evento de conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en clúster maestro activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor para ver cuáles son los servidores disponibles. Entonces aplica el algoritmo de balance de carga en el servidor a todos los servidores disponibles.
  • Si usa el balance de carga en el servidor para las conexiones a un grupo de servidores RDP, debe configurar el firewall en cada servidor RDP para permitir solicitudes ICMP del Firebox.
  • Puede configurar una acción SNAT de balance de carga en el servidor para el tráfico enviado a una interfaz externa u opcional de Firebox.

Sondeos del Servidor

Para monitorizar la disponibilidad de los servidores configurados en una acción SNAT de balance de carga en el servidor, el Firebox envía paquetes de sondeo a cada servidor cada 10 segundos. Para una política de TCP, el sondeo es un SYN. Para una política RDP o UDP, el sondeo es un paquete ICMP.

Si el Firebox recibe una respuesta al sondeo, el servidor que respondió se considera activo y disponible para recibir tráfico. Si no se recibe una respuesta, el Firebox espera 10 segundos y envía otro paquete de sondeo a ese servidor. Si el servidor no responde al segundo sondeo, o si responde con un restablecimiento de TCP, el dispositivo se considera inactivo, lo que significa que el Firebox no envía tráfico con balance de carga a ese servidor. Si el servidor envía un paquete ACK de vuelta al Firebox, el Firebox inmediatamente marca el servidor como activo.

El Firebox continúa enviando activamente paquetes de sondeo a todos los servidores con balance de carga, independientemente de si el estado del servidor es activo o inactivo. Cuando el Firebox recibe tráfico manejado por una política que está configurada para el balanceo de carga del servidor, la política envía el tráfico a uno de los servidores con balance de carga que está activo.

Ajustes del Balance de Carga en el Servidor

Método

Cuando configura el balance de carga en el servidor, debe elegir el método de algoritmo que se aplicará.

Operación por Turnos

Si selecciona esta opción, el Firebox distribuye las sesiones entrantes entre los servidores que especifica en la política en orden de operación por turnos. La primera conexión se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente servidor en su política y así sucesivamente.

Conexión menor

Si selecciona esta opción, el Firebox envía cada nueva sesión al servidor en la lista que actualmente tiene la menor cantidad de conexiones abiertas al Firebox. El Firebox no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.

Dirección IP de Origen

Puede configurar opcionalmente una dirección IP de origen en una acción de balance de carga en el servidor. Si no configura una dirección IP de origen en la acción de balance de carga en el servidor, el Firebox no modifica el remitente, ni la dirección IP de origen, del tráfico enviado a estos dispositivos. Mientras que el tráfico se envía directamente desde el Firebox, cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la dirección IP de origen original del tráfico de red.

Cuando agrega una acción SNAT de balance de carga en el servidor, puede elegir especificar una dirección IP de origen en la acción. Entonces, cuando el tráfico que coincide con los parámetros en su acción SNAT de balance de carga en el servidor pasa a través de las políticas que administran el tráfico en su Firebox, la dirección IP de origen se cambia a la dirección IP que usted especifica. La misma dirección IP de origen se utiliza para todos los servidores en la acción de balance de carga en el servidor.

Sticky Connection

Cuando define los parámetros para la acción SNAT, las sticky connections siempre están habilitadas. Una sticky connection es una conexión que continúa usando el mismo servidor durante un período definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones IP de origen y de destino se envíen al mismo servidor durante el período que especifique. Por defecto, el Firebox utiliza la configuración de sticky connections predeterminada de 8 horas. Puede cambiar la configuración a un número diferente de horas. Cuando se recibe una nueva conexión del mismo cliente, el tiempo de expiración de la conexión se extiende.

Peso del Servidor

Puede agregar un número ilimitado de servidores a una acción de balance de carga en el servidor. Cuando configura los ajustes para un miembro del balance de carga, también puede agregar un peso a cada servidor para asegurarse de que sus servidores más potentes reciban la carga más pesada. El peso se refiere a la proporción de carga que el Firebox envía a un servidor. De manera predeterminada, cada servidor tiene un peso de 1. Si asigna un peso de 2 a un servidor, duplica la cantidad de sesiones que el Firebox envía a ese servidor, en comparación con un servidor con un peso de 1.

Traducción de Dirección de Puerto

Cuando configura los ajustes para un miembro de balance de carga, puede habilitar la traducción de direcciones de puerto (PAT). Cuando habilita PAT, puede cambiar el destino del paquete para especificar un host interno distinto y un puerto diferente.

Agregar una Acción SNAT de Balance de Carga en el Servidor

En Fireware Web UI, antes de que pueda configurar una política para usar el balance de carga en el servidor, debe definir los detalles del balance de carga en el servidor en una acción SNAT.

En Policy Manager, puede crear una acción SNAT de balance de carga en el servidor y luego agregarla a una política, o puede crear la acción SNAT de balance de carga en el servidor desde dentro de la configuración de la política.

Agregar una Acción SNAT de Balance de Carga en el Servidor a una Política

Antes de definir una acción SNAT de balance de carga en el servidor, puede usarla en una o más políticas.

Editar o Eliminar una Acción SNAT de Balance de Carga en el Servidor

Puede editar una acción SNAT desde la lista acción SNAT.

En Policy Manager, también puede editar una acción SNAT cuando edita una política.

Puede eliminar cualquier acción SNAT que no sea utilizada por una política.

Ver También

Configurar NAT Estática (SNAT)