Configurar el Balance de Carga del Servidor
La función de balance de carga en el servidor está diseñada para ayudarle a aumentar la escalabilidad y el desempeño de una red de alto tráfico con múltiples servidores. Con el balance de carga en el servidor, puede habilitar el Firebox para que controle la cantidad de sesiones iniciadas en hasta 10 servidores para cada política de firewall que configure. El Firebox controla la carga en base al número de sesiones en uso en cada servidor. El Firebox no mide ni compara el ancho de banda que usa cada servidor.
Usted configura el balance de carga en el servidor como una acción SNAT. El Firebox puede balancear conexiones entre sus servidores con dos algoritmos diferentes.
Cuando se configura el balance de carga en el servidor, es importante saber:
- Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede aplicar NAT Estática.
- Si se aplica el balance de carga en el servidor a una política, no se puede configurar la ruta SD-WAN, el enrutamiento basado en políticas ni otras reglas de NAT en la misma política.
- Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no se produce la sincronización en tiempo real entre los miembros del clúster cuando ocurre un evento de conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en clúster maestro activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor para ver cuáles son los servidores disponibles. Entonces aplica el algoritmo de balance de carga en el servidor a todos los servidores disponibles.
- Si usa el balance de carga en el servidor para las conexiones a un grupo de servidores RDP, debe configurar el firewall en cada servidor RDP para permitir solicitudes ICMP del Firebox.
- Puede configurar una acción SNAT de balance de carga en el servidor para el tráfico enviado a una interfaz externa u opcional de Firebox.
Sondeos del Servidor
Para monitorizar la disponibilidad de los servidores configurados en una acción SNAT de balance de carga en el servidor, el Firebox envía paquetes de sondeo a cada servidor cada 10 segundos. Para una política de TCP, el sondeo es un SYN. Para una política RDP o UDP, el sondeo es un paquete ICMP.
Si el Firebox recibe una respuesta al sondeo, el servidor que respondió se considera activo y disponible para recibir tráfico. Si no se recibe una respuesta, el Firebox espera 10 segundos y envía otro paquete de sondeo a ese servidor. Si el servidor no responde al segundo sondeo, o si responde con un restablecimiento de TCP, el dispositivo se considera inactivo, lo que significa que el Firebox no envía tráfico con balance de carga a ese servidor. Si el servidor envía un paquete ACK de vuelta al Firebox, el Firebox inmediatamente marca el servidor como activo.
El Firebox continúa enviando activamente paquetes de sondeo a todos los servidores con balance de carga, independientemente de si el estado del servidor es activo o inactivo. Cuando el Firebox recibe tráfico manejado por una política que está configurada para el balanceo de carga del servidor, la política envía el tráfico a uno de los servidores con balance de carga que está activo.
Ajustes del Balance de Carga en el Servidor
Método
Cuando configura el balance de carga en el servidor, debe elegir el método de algoritmo que se aplicará.
Operación por Turnos
Si selecciona esta opción, el Firebox distribuye las sesiones entrantes entre los servidores que especifica en la política en orden de operación por turnos. La primera conexión se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente servidor en su política y así sucesivamente.
Conexión menor
Si selecciona esta opción, el Firebox envía cada nueva sesión al servidor en la lista que actualmente tiene la menor cantidad de conexiones abiertas al Firebox. El Firebox no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.
Dirección IP de Origen
Puede configurar opcionalmente una dirección IP de origen en una acción de balance de carga en el servidor. Si no configura una dirección IP de origen en la acción de balance de carga en el servidor, el Firebox no modifica el remitente, ni la dirección IP de origen, del tráfico enviado a estos dispositivos. Mientras que el tráfico se envía directamente desde el Firebox, cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la dirección IP de origen original del tráfico de red.
Cuando agrega una acción SNAT de balance de carga en el servidor, puede elegir especificar una dirección IP de origen en la acción. Entonces, cuando el tráfico que coincide con los parámetros en su acción SNAT de balance de carga en el servidor pasa a través de las políticas que administran el tráfico en su Firebox, la dirección IP de origen se cambia a la dirección IP que usted especifica. La misma dirección IP de origen se utiliza para todos los servidores en la acción de balance de carga en el servidor.
Sticky Connection
Cuando define los parámetros para la acción SNAT, las sticky connections siempre están habilitadas. Una sticky connection es una conexión que continúa usando el mismo servidor durante un período definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones IP de origen y de destino se envíen al mismo servidor durante el período que especifique. Por defecto, el Firebox utiliza la configuración de sticky connections predeterminada de 8 horas. Puede cambiar la configuración a un número diferente de horas. Cuando se recibe una nueva conexión del mismo cliente, el tiempo de expiración de la conexión se extiende.
Peso del Servidor
Puede agregar un número ilimitado de servidores a una acción de balance de carga en el servidor. Cuando configura los ajustes para un miembro del balance de carga, también puede agregar un peso a cada servidor para asegurarse de que sus servidores más potentes reciban la carga más pesada. El peso se refiere a la proporción de carga que el Firebox envía a un servidor. De manera predeterminada, cada servidor tiene un peso de 1. Si asigna un peso de 2 a un servidor, duplica la cantidad de sesiones que el Firebox envía a ese servidor, en comparación con un servidor con un peso de 1.
Traducción de Dirección de Puerto
Cuando configura los ajustes para un miembro de balance de carga, puede habilitar la traducción de direcciones de puerto (PAT). Cuando habilita PAT, puede cambiar el destino del paquete para especificar un host interno distinto y un puerto diferente.
Agregar una Acción SNAT de Balance de Carga en el Servidor
En Fireware Web UI, antes de que pueda configurar una política para usar el balance de carga en el servidor, debe definir los detalles del balance de carga en el servidor en una acción SNAT.
- Seleccione Firewall > SNAT.
Aparece la página SNAT. - Haga clic en Agregar.
Aparece la página Agregar SNAT.
- En el cuadro de texto Nombre, ingrese un nombre para esta acción SNAT.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
- Seleccione Balance de Carga en el Servidor.
- En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que se usará en esta acción de balance de carga en el servidor.
Por ejemplo, puede determinar que el Firebox aplique el balance de carga en el servidor para esta acción a los paquetes recibidos solo en una dirección IP externa. O bien puede hacer que el Firebox aplique el balance de carga en el servidor a paquetes recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera Externa.
- Para especificar la dirección IP de origen para esta acción de balance de carga en el servidor, marque la casilla de selección Establecer IP de origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
- En la lista desplegable Método, seleccione el algoritmo que se usará para el balance de carga en el servidor: Operación por turnos o Conexión mínima.
- Haga clic en Agregar para agregar la dirección IP de un servidor interno a esta acción.
Aparece el cuadro de diálogo Agregar Miembro.
- En el cuadro de texto Dirección IP Interna, ingrese la dirección IP del servidor que desea agregar.
- En el cuadro de texto Peso, ingrese o seleccione el peso de este servidor para el balance de carga.
- Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.
Si usa la acción SNAT de balance de carga en el servidor en una política que permite el tráfico que no tiene puertos (tráfico diferente a TCP o UDP), la configuración de puerto interno no se usa para ese tráfico.
- Haga clic en Aceptar.
El servidor aparece en la lista de Miembros de Balance de Carga del Servidor.
- Para agregar otro servidor a esta acción, haga clic en Agregar y repita los pasos 10 al 14.
- Para establecer sticky connections para sus servidores internos, marque la casilla de selección Habilitar sticky connection. En el cuadro de texto y lista desplegable Habilitar sticky connection, especifique el período de tiempo para la sticky connection.
- Haga clic en Guardar.
En Policy Manager, puede crear una acción SNAT de balance de carga en el servidor y luego agregarla a una política, o puede crear la acción SNAT de balance de carga en el servidor desde dentro de la configuración de la política.
- Seleccione Configuración > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar SNAT.
- En el cuadro de texto Nombre SNAT, ingrese un nombre para esta acción SNAT.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
- Seleccione Balance de Carga en el Servidor.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar NAT de Balance de Carga en el Servidor.
- En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que se usará en esta acción de balance de carga en el servidor.
Por ejemplo, puede determinar que el Firebox aplique el balance de carga en el servidor para esta acción a los paquetes recibidos solo en una dirección IP externa. O bien puede hacer que el Firebox aplique el balance de carga en el servidor a paquetes recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera Externa.
- Para especificar la dirección IP de origen para esta acción de balance de carga en el servidor, marque la casilla de selección Establecer IP de origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
- En la lista desplegable Método, seleccione el algoritmo que se usará para el balance de carga en el servidor: Operación por turnos o Conexión mínima.
- Haga clic en Agregar para agregar la dirección IP de un servidor interno a esta acción.
Aparece el cuadro de diálogo Agregar Servidor.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor que desea agregar.
- En el cuadro de texto Peso, ingrese o seleccione el peso de este servidor para el balance de carga.
- Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.
Si usa la acción SNAT de balance de carga en el servidor en una política que permite el tráfico que no tiene puertos (tráfico diferente a TCP o UDP), la configuración de puerto interno no se usa para ese tráfico.
- Haga clic en Aceptar.
El servidor aparece en la lista Servidores.
- Para agregar otro servidor a esta acción, haga clic en Agregar y repita los pasos 10 al 14.
- Para establecer sticky connections para sus servidores internos, marque la casilla de selección Habilitar sticky connection. En el cuadro de texto y lista desplegable Habilitar sticky connection, especifique el período de tiempo para la sticky connection.
- Haga clic en Aceptar.
Los servidores se agregan a la lista de Miembros SNAT para esta acción.
- Haga clic en Aceptar.
Se agrega la acción SNAT. - Haga clic en Aceptar.
Agregar una Acción SNAT de Balance de Carga en el Servidor a una Política
Antes de definir una acción SNAT de balance de carga en el servidor, puede usarla en una o más políticas.
- Seleccione Firewall > Políticas de Firewall.
- Seleccione una política
O bien agregue una nueva política. - En la lista desplegable Acción, seleccione Editar Política.
- En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Miembro. - En la lista desplegable Tipo de Miembro, seleccione Balance de Carga en el Servidor.
Aparece la lista de las acciones de balance de carga en el servidor.
- Seleccione una acción de balance de carga en el servidor. Haga clic en Aceptar.
Se agrega la acción de balance de carga en el servidor a la sección Hasta de la política. - Haga clic en Guardar.
- Haga doble clic en una política para editarla.
O bien agregue una nueva política. - En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Dirección. - Haga clic en Agregar SNAT.
Aparece el cuadro de diálogo SNAT. Esta lista muestra todas las acciones configuradas de NAT Estática y de Balance de Carga en el Servidor.
- Seleccione una acción de balance de carga en el servidor configurada. Haga clic en Aceptar.
O, para definir una nueva acción de balance de carga en el servidor, haga clic en Agregar y siga los pasos del procedimiento anterior.
La acción de balance de carga en el servidor aparece en el cuadro de diálogo Agregar Dirección.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Dirección.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Política.
Editar o Eliminar una Acción SNAT de Balance de Carga en el Servidor
- Seleccione Firewall > SNAT.
Aparece la página SNAT. - Seleccione una acción SNAT.
- Haga clic en Editar.
Aparece la página Editar SNAT. - Modifique la acción SNAT.
Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que utilizan esa acción SNAT. - Haga clic en Guardar.
- Seleccione Configuración > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Seleccione una acción SNAT.
- Haga clic en Editar.
Aparece la página Editar SNAT. - Modifique la acción SNAT.
Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que utilizan esa acción SNAT. - Haga clic en Aceptar.
En Policy Manager, también puede editar una acción SNAT cuando edita una política.
- Haga doble clic en una política para editarla.
Aparece la casilla de diálogo Editar Propiedades de Políticas con la pestaña Política seleccionada. - En la sección A, seleccione la acción SNAT que desea editar.
- Haga clic en Editar.
Aparece el cuadro de diálogo Editar SNAT. - Modifique la acción SNAT.
Cuando edite una acción SNAT en una política, los cambios que realice se aplican a todas las políticas que utilicen esa acción SNAT. - Haga clic en Aceptar.
Puede eliminar cualquier acción SNAT que no sea utilizada por una política.
- Seleccione Firewall > SNAT.
Aparece la página SNAT. - Seleccione una acción SNAT.
- Haga clic en Eliminar.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Aceptar para confirmar que desea eliminar la acción SNAT.
- Seleccione Configuración > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Seleccione una acción SNAT.
- Haga clic en Eliminar.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Sí para confirmar que desea eliminar la acción SNAT.
- Haga clic en Aceptar.