Agregar una Dirección IP de Secondary Network
Cuando configura una interfaz de Firebox, puede agregar direcciones IP de secondary network a la interfaz. Cada dirección IP que agregue puede estar en la misma subred o en una subred diferente desde la dirección IP primaria de la interfaz.
Cuando agrega una red secundaria, crea una dirección IP específica en la que el Firebox escucha las solicitudes. El Firebox también es parte de la subred especificada en esa dirección IP.
Dirección IP de red secundaria en la misma subred
Para una interfaz interna, puede usar una dirección IP secundaria en la misma subred si un host interno debe usar esa dirección IP como su puerta de enlace predeterminada.
Para una interfaz externa, una razón común para usar una dirección IP secundaria en la misma subred es cuando quiere dirigir el tráfico a varios servidores internos. Cuando el tráfico saliente, como el tráfico desde un servidor SMTP, parece provenir de la misma dirección IP secundaria, use la opción de NAT dinámica basada en la política Establecer IP de origen en una política saliente.
Para ver un ejemplo de este tipo de configuración, consulte el ejemplo de configuración Usar NAT para Acceso Público a Servidores con Direcciones IP Privadas, disponible en https://www.watchguard.com/help/configuration-examples/.
Para más información acerca de NAT dinámica basada en política, consulte Configurar NAT Dinámica Basada en Políticas.
Dirección IP de red secundaria en otra subred
Si la dirección IP secundaria se encuentra en una subred diferente de la dirección IP principal de la interfaz, le indica al Firebox que hay más de una red en la interfaz Firebox. Cuando se agrega una secondary network en una subred diferente, Firebox crea una ruta desde una dirección IP en la secondary network para la dirección IP de la interfaz Firebox.
Para una interfaz externa, use una secondary network en una subred diferente si su ISP le da varias direcciones IP en diferentes subredes y la puerta de enlace de ISP puede dirigir el tráfico desde y hacia las diferentes subredes.
Para una interfaz de confianza u opcional, defina una Secondary Network en una subred diferente cuando quiera conectar la interfaz a más de una red interna. En la siguiente sección se describe un ejemplo.
Si configura un Firebox en modo directo, cada interfaz utiliza la misma dirección IP primaria. Sin embargo, probablemente use un conjunto de direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a la interfaz de confianza de Firebox.
Cuando configura una dirección IP de red secundaria en una subred diferente, la nueva subred es parte de la misma red lógica que la subred original. Firebox no puede aplicar políticas de firewall al tráfico enviado entre diferentes computadoras en la misma red lógica.
Para poder configurar una dirección IP de secondary network para una interfaz, Firebox debe usar una configuración de red enrutada o directa. Puede agregar direcciones IP de secondary network a una interfaz externa de Firebox incluso si esa interfaz externa está configurada para obtener su dirección IP primaria a través de PPPoE o DHCP.
No puede eliminar una red secundaria si está especificada en los ajustes de la puerta de enlace para una configuración de interfaz virtual BOVPN o BOVPN.
Aquí se muestran algunos ejemplos de situaciones en las que las redes secundarias pueden resultar útiles:
Consolidación de Red
Si desea eliminar un enrutador de su red, puede agregar la dirección IP del enrutador como una dirección IP secundaria en el firewall cuando el enrutador se apague. Cualquier host o enrutador que todavía envíe tráfico a la dirección IP del enrutador anterior, enviaría tráfico al firewall.
Migración de Redes
Las direcciones secundarias pueden ayudarlo a evitar una interrupción de la red si desea migrar su red de confianza de una subred a otra. Por ejemplo, si actualmente usa 192.168.1.1/24 como la dirección IP de la interfaz principal y cambia la dirección IP de la interfaz a 10.0.10.1/24, esto podría causar una interrupción de la red mientras los dispositivos que usan DHCP obtienen una dirección IP en la nueva subred. Además, los dispositivos que usan una dirección IP estática no se pueden conectar hasta que los reconfigure con una dirección IP en la nueva subred. Para evitar la interrupción, agregue la dirección IP anterior como red secundaria para que, de ese modo, los dispositivos aún puedan usar direcciones IP en la subred anterior durante la migración.
Cuando configura una red secundaria, los dispositivos que usan DHCP obtienen una dirección IP en la nueva subred cuando renuevan su concesión DHCP, sin sufrir una interrupción. Los dispositivos que usan una dirección IP estática pueden continuar usando la subred anterior hasta que tengan tiempo de actualizar sus direcciones IP. Una vez que todos los dispositivos se hayan migrado a la nueva subred, puede eliminar la dirección IP secundaria de la interfaz.
Es posible que desee migrar a un rango de red local diferente en los siguientes casos:
- Hereda una red que utiliza las redes 192.168.0.1/24 o 192.168.1.1/24. Debido a que estos rangos de red entran en conflicto con muchos rangos de redes domésticas, los usuarios de su VPN móvil no pueden acceder a los recursos locales de su red.
- Tiene dos sitios con el mismo rango de red local y desea conectar los sitios con una BOVPN.
NAT Estática a Varios Servidores
Si su Firebox usa una dirección IP externa estática, puede agregar una dirección IP de red secundaria. Luego puede configurar reglas de NAT estática para enviar tráfico a los dispositivos apropiados en esa red.
Por ejemplo, configure una red secundaria externa con una segunda dirección IP pública si tiene dos servidores web públicos y desea configurar una regla de NAT estática para cada servidor.
Configurar una Secondary Network
Use estos pasos para agregar una Secondary Network. En este ejemplo, la Secondary Network está en una interfaz de confianza.
Para definir una dirección de secondary network, debe tener una dirección IP sin usar en la secondary network para asignar a la interfaz de Firebox.
- Seleccione Red > Interfaces.
Aparece la página de Interfaces de Red. - Seleccione la interfaz para la secondary network y haga clic en Editar.
- Seleccione la pestaña Secondary.
- Ingrese una dirección IP de host no asignada en la notación diagonal desde la secondary network. Haga clic en Agregar. Repita este paso para agregar secondary networks adicionales.
Cuando agrega una dirección IP en la notación diagonal, solo agrega esa única dirección IP. No está agregando toda la subred de la red como red secundaria.
- Haga clic en Guardar.
- Seleccione Red > Configuración.
Aparece el cuadro de diálogo Configuración de Red. - Seleccione la interfaz para la secondary network y haga clic en Configurar.
Aparece el cuadro de diálogo Configuración de interfaz. - Seleccione la pestaña Secondary.
- Haga clic en Agregar. Ingrese una dirección IP de host no asignada de la secondary network.
Cuando agrega una dirección IP en la notación diagonal, solo agrega esa única dirección IP. No está agregando toda la subred de la red como red secundaria.
- Haga clic en Aceptar.
- Haga clic nuevamente en Aceptar.
Asegúrese de agregar las direcciones de secondary network cuidadosamente. Firebox no le indica si ha configurado una dirección IP que pudiera causar un conflicto de dirección IP. Recomendamos no agregar una subred como secondary network en una interfaz que forme parte de una red más grande en una interfaz diferente. Si hace esto, Firebox puede identificar este tráfico como ataques de suplantación de paquetes a una red que espera que exista en otra interfaz, y la red puede comenzar a funcional mal. Firebox podría no fijar un ARP a la misma red en varias interfaces (con excepción del modo directo, las interfaces con puente y VLAN con puente).
Ver También
Migrar a un Nuevo Rango de Red Local
Acerca de las Interfaces y los Modos de Red