Con SD-WAN, el Firebox puede enrutar dinámicamente el tráfico en función del rendimiento de sus conexiones de red. Para las aplicaciones que son sensibles al rendimiento de la red, como VoIP, RDP y aplicaciones de videoconferencia, SD-WAN puede ayudar a garantizar que esas aplicaciones funcionen bien y estén altamente disponibles.
En este ejemplo, una empresa con tráfico de VoIP entre sitios, desea que los usuarios experimenten llamadas de voz de confianza y de alta calidad a través de una conexión segura. Para lograr estos objetivos, la empresa dedica un enlace MPLS al tráfico de VoIP. Si se producen problemas de red, como pérdida, latencia y oscilación altas en el enlace MPLS, la empresa quiere que el tráfico de VoIP se conmute por error a otra interfaz. Para ayudar a reducir los costos, la empresa quiere usar un túnel de interfaz virtual BOVPN como conexión de respaldo, en lugar de un enlace MPLS secundario.
Este ejemplo de configuración muestra el enrutamiento SD-WAN basado en métricas en una red empresarial, distribuida con conexiones WAN híbridas. Sitio A (Sede) tiene un Firebox. Sitio B (Sucursal) tiene un Firebox o un firewall de terceros.
Para implementar esta configuración, su Firebox debe ejecutar Fireware v12.4 o superior.
Topología de Red
Este diagrama muestra la topología de red para este ejemplo. El firewall en el Sitio B puede ser un Firebox o un firewall de terceros.
Cómo Funciona
Una política VoIP y una acción SD-WAN enrutan el tráfico VoIP a través del enlace MPLS.
El Firebox envía sondas del Monitor de Enlace a hosts remotos, para monitorizar la disponibilidad y el rendimiento de la red del enlace MPLS. Las métricas de rendimiento de la red incluyen pérdida, latencia y oscilación. Puede seleccionar el uso de una o más métricas y puede especificar valores para las métricas.
Si el enlace MPLS no está disponible, o si las métricas exceden los valores que especificó, el tráfico de VoIP conmuta por error a la interfaz virtual BOVPN.
Si el enlace MPLS vuelve a estar disponible, o si las métricas ya no superan los valores que especificó:
- La interfaz MPLS se convierte nuevamente en la interfaz preferida.
- Si selecciona la opción Conmutación por recuperación inmediata en la acción SD-WAN, todo el tráfico de VoIP inmediatamente conmuta por recuperación a la interfaz MPLS.
Configuración
En nuestro ejemplo, asumimos que ambos sitios inician el tráfico de VoIP. Por ejemplo, los dispositivos VoIP en el sitio A inician el tráfico hacia el sitio B. En el sitio B, los dispositivos VoIP inician el tráfico hacia el sitio A. En su red, solo un sitio puede iniciar el tráfico.
En el Firebox en el Sitio A y el firewall en el Sitio B, configure estas interfaces:
- Una interfaz interna configurada para el enlace MPLS
- Un túnel de interfaz virtual (VIF) BOVPN al sitio remoto
Firebox del Sitio A
Configure una interfaz interna para la conexión MPLS. En nuestro ejemplo, esta interfaz se llama MPLS.to.SiteB.
Configure un túnel de interfaz virtual BOVPN para el sitio remoto. En nuestro ejemplo, el nombre de la interfaz es BovpnVif.to.SiteB.
En la configuración de la interfaz virtual BOVPN, debe configurar las direcciones IP virtuales. No puede agregar la interfaz virtual BOVPN al Monitor de Enlace a menos que configure direcciones IP virtuales. Puede especificar cualquier dirección IP virtual que no entre en conflicto con las direcciones IP que ya están en su red.
Después de configurar las interfaces MPLS.to.SiteB y BovpnVif.to.SiteB, debe agregar esas interfaces al Monitor de Enlance.
En la configuración del Monitor de Enlace para la interfazMPLS.to.SiteB:
- Recomendamos que especifique una dirección IP del siguiente salto. En nuestro ejemplo, especificamos 10.0.2.2, que es el lado local del enrutador MPLS. El siguiente salto le dice al Firebox dónde enrutar el tráfico SD-WAN que usa esta interfaz. Si no especifica un próximo salto, debe agregar una ruta estática en la página Red > Rutas. Para obtener más información, consulte la sección Rutas Estáticas .
- Agregue un objetivo del Monitor de Enlace a un host en el sitio remoto. En nuestro ejemplo, el objetivo del Monitor de Enlace es la interfaz MPLS en el firewall del Sitio B. La dirección IP es 10.50.2.1.
Cuando agrega una interfaz virtual BOVPN al Monitor de Enlace, el Firebox agrega automáticamente un objetivo de ping a la dirección IP del par. No se puede editar ni eliminar dicho objetivo.
Después de configurar los objetivos del Monitor de Enlace, agregue una acción SD-WAN. En la acción, agregue interfaces, configure métricas y seleccione una opción de conmutación por recuperación.
En nuestro ejemplo, agregamos las interfaces MPLS.to.SiteB y BovpnVif.to.SiteB a una acción SD-WAN, llamada SDWAN.action.MPLS-VIF.
Para enrutar el tráfico en función de las métricas, debe seleccionar una o más de estas métricas:
- Pérdida
- Latencia
- Oscilación
En nuestro ejemplo, mantenemos las selecciones y valores predeterminados. Para determinar qué métricas y valores configurar, le recomendamos que consulte a su proveedor de VoIP. Proporcionamos estas pautas generales, pero es posible que deba configurar diferentes métricas y valores en su red:
| Medida de SD-WAN | Bueno | Rendimiento Impactado | Rendimiento Significativamente Impactado | Efectivamente Caído |
|---|---|---|---|---|
| Pérdida | <1% | 1–2% | 2–5% | >5% |
| Latencia | <100 ms | 100–200 ms | 200–400 ms | >400 ms |
| Oscilación | <20 ms | 20–50 ms | 50–100 ms | >100 ms |
A continuación, especifique una opción de conmutación por recuperación. Si desea que las conexiones siempre vuelvan a la interfaz MPLS, seleccione Conmutación por Recuperación Inmediata. De lo contrario, seleccione Sin Conmutación por Recuperación. Para el tráfico VoIP, le recomendamos que no seleccione Conmutación por Recuperación Gradual.
Si configura SD-WAN en Fireboxes en ambos sitios, deben coincidir las acciones SD-WAN. Por ejemplo, si selecciona Oscilaciones en el Firebox del Sitio A y especifica 15 ms, también debe seleccionar Oscilaciones en el Firebox del Sitio B y especificar 15 ms.
Configure una política que permita conexiones VoIP salientes, desde la red local en el Sitio A, 10.0.1.0/24, a la red local en el Sitio B, 10.0.50.0/24.
Para determinar qué puertos incluir en la política, consulte la documentación de su proveedor de VoIP. En nuestro ejemplo, la política SIP-ALG permite UDP y TCP salientes en el puerto 5060.
En la política, seleccione la acción SD-WAN que creó. La acción SD-WAN enruta el tráfico a través del enlace MPLS.
Si el Sitio B inicia el tráfico VoIP al Sitio A, configure otra política en el Firebox del Sitio A para permitir ese tráfico entrante. Por ejemplo, configure una política SIP-ALG para permitir el tráfico VoIP desde la red local en el Sitio B, 10.0.50.0/24, a la red local en el Sitio A, 10.0.1.0/24. No necesita especificar una acción SD-WAN en esta política.
Diferentes factores determinan si se recomiendan o requieren rutas estáticas:
- Sitios que inician tráfico — Si ambos sitios tienen Fireboxes configurados con acciones SD-WAN, en la mayoría de los casos no necesita agregar una ruta estática en un Firebox que inicia el tráfico.
- Sitios que reciben tráfico — Recomendamos que agregue rutas estáticas en un Firebox en un sitio que recibe tráfico. Firebox utiliza la ruta estática para enviar el tráfico de respuesta al sitio que inició el tráfico.
En nuestro ejemplo, ambos sitios inician el tráfico VoIP. En su red, si el Sitio B no inicia el tráfico VoIP al Sitio A, no necesita agregar una ruta estática en el Firebox en el Sitio A.
Debe agregar una ruta estática, si no especificó una dirección IP de siguiente salto para una interfaz interna. Si no existe una ruta válida, Firebox elimina el tráfico.
Configuración de la ruta estática
En nuestro ejemplo, los dispositivos de VoIP en el Sitio B también inician el tráfico al Sitio A. Para enrutar el tráfico de respuesta de regreso al Sitio B, le recomendamos que agregue rutas estáticas al Firebox del Sitio A. En nuestro ejemplo, agregamos estas rutas estáticas:
10.0.50.0/24 vía MPLS.to.SiteB métrica 1
10.0.50.0/24 vía bvpn1 métrica 50
Dado que la interfaz MPLS tiene una métrica de ruta más baja, es la interfaz preferida en la tabla de enrutamiento. Sin embargo, la prioridad de la interfaz SD-WAN tiene prioridad sobre las métricas de la tabla de enrutamiento. Por ejemplo, si la interfaz MPLS aparece en primer lugar en la acción SD-WAN, es la interfaz principal. También es la interfaz preferida si está disponible y tiene métricas de rendimiento que no superan los valores que especificó.
Protección de Réplica IP
Si habilita la configuración global Soltar Ataques de Suplantación de Paquetes, el Firebox monitorea el tráfico entrante en las interfaces internas y externas para detectar ataques de suplantación de IP. Cuando llega el tráfico entrante, el Firebox determina la dirección IP y la interfaz de origen. Firebox utiliza la dirección IP de origen para buscar la tabla de enrutamiento y verifica si la interfaz en los resultados de enrutamiento coincide con la interfaz entrante.
Si en las interfaces internas no coincide, el Firebox considera que el tráfico entrante es un ataque de suplantación de IP. Firebox elimina el tráfico entrante. Por ejemplo, la acción SD-WAN envía tráfico desde el Sitio B al Sitio A a través del enlace MPLS. Sin embargo, debido a que la métrica para el enlace MPLS es más alta que la métrica para la interfaz virtual BOVPN, la selección de ruta para el tráfico de respuesta no coincide con la interfaz utilizada por el tráfico entrante:
10.0.50.0/24 vía MPLS.to.SiteB métrica 50
10.0.50.0/24 vía bvpn1 métrica 1
En este caso, Firebox inicia la protección contra réplica de IP y no envía el tráfico de respuesta al Sitio B.
Si Firebox determina que el tráfico no es un ataque de suplantación de IP, Firebox envía tráfico de respuesta a través de la misma interfaz que la interfaz entrante.
La protección de réplica de IP se aplica a las interfaces internas y externas, pero no se aplica a las interfaces virtuales BOVPN. En nuestro ejemplo:
- Si SD-WAN inicia el tráfico del Sitio B al sitio A a través del enlace MPLS, y la ruta preferida en la tabla de enrutamiento del Sitio A es la interfaz virtual BOVPN, el Firebox activa la protección contra réplica de IP.
- Si SD-WAN inicia el tráfico del sitio B al Sitio A a través del enlace MPLS, y la ruta preferida en la tabla de enrutamiento del Sitio A es el enlace MPLS, Firebox activa la protección contra réplica de IP.
- Si SD-WAN inicia el tráfico del Sitio B al Sitio A a través del enlace de interfaz virtual BOVPN, y la ruta preferida es el enlace MPLS, Firebox no activa la protección contra réplica de IP.
Sitio B Firewall (Firebox o Dispositivo de Terceros)
El dispositivo en el Sitio B puede ser un Firebox o un dispositivo de terceros. En nuestro ejemplo, mostramos una configuración de Firebox.
Configure una interfaz interna para la conexión MPLS. En nuestro ejemplo, el nombre de la interfaz es MPLS.to.SiteA.
Configure un túnel de interfaz virtual BOVPN para el sitio remoto. En nuestro ejemplo, el nombre de la interfaz es BovpnVif.to.SiteA.
En la configuración de la interfaz virtual BOVPN, debe configurar las direcciones IP virtuales. No puede agregar la interfaz virtual BOVPN al Monitor de Enlace a menos que configure direcciones IP virtuales. Puede especificar cualquier dirección IP virtual que no entre en conflicto con las direcciones IP que ya están en su red.
Después de configurar las interfaces MPLS.to.SiteA y BovpnVif.to.SiteA, debe agregar esas interfaces al Monitor de Enlace.
Cuando agrega una interfaz virtual BOVPN al Monitor de Enlace, el Firebox agrega automáticamente un objetivo de ping a la dirección IP del par. No se puede editar ni eliminar dicho objetivo.
En la configuración del Monitor de Enlace para la interfaz MPLS.to.SiteA :
- Recomendamos que especifique una dirección IP del siguiente salto. En nuestro ejemplo, especificamos 10.50.2.2, que es el lado local del enrutador MPLS. El siguiente salto le dice al Firebox dónde enrutar el tráfico SD-WAN que usa esta interfaz. Si no especifica un próximo salto, debe agregar una ruta estática en la página Red > Rutas. Para obtener más información, consulte la sección Rutas Estáticas .
- Agregue un objetivo del Monitor de Enlace al equipo en el sitio remoto. En nuestro ejemplo, el objetivo del Monitor de Enlace es la interfaz MPLS en el Firebox del Sitio A. La dirección IP es 10.0.2.1.
Si el dispositivo del Sitio B es un Firebox y el Sitio B inicia el tráfico VoIP al Sitio A, puede configurar SD-WAN basada en métrica en el Sitio B.
En nuestro ejemplo, nosotros:
- Agregamos una acción SD-WAN llamada SDWAN.action.MPLS-VIF.
- Agregamos las interfaces MPLS.to.SiteA y BovpnVif.to.SiteA a la acción.
- Mantenemos las métricas y los valores predeterminados.
- Seleccionamos Conmutación por Recuperación Inmediata.
Si configura SD-WAN en Fireboxes en ambos sitios, deben coincidir las acciones SD-WAN. Por ejemplo, si selecciona Oscilaciones en el Firebox del Sitio A y especifica 15 ms, también debe seleccionar Oscilaciones en el Firebox del Sitio B y especificar 15 ms.
Configure una política para permitir el tráfico entrante VoIP desde la red local en el Sitio A, 10.0.1.0/24, a la red local en el Sitio B, 10.0.50.0/24. No necesita especificar una acción SD-WAN en esta política.
Si el Sitio B inicia el tráfico VoIP al Sitio A, configure otra política en el Firebox del Sitio B para enrutar ese tráfico saliente con SD-WAN. Por ejemplo, configure una política SIP-ALG para permitir el tráfico VoIP desde la red local en el Sitio B, 10.0.50.0/24, a la red local en el Sitio A, 10.0.1.0/24. En la pestaña SD-WAN de la política, seleccione la acción SD-WAN creada.
En nuestro ejemplo, los dispositivos de VoIP en el Sitio A inician el tráfico al Sitio B. Para enrutar el tráfico de respuesta al Sitio A, le recomendamos que agregue rutas estáticas en el Firebox del Sitio B. En nuestro ejemplo, agregamos estas rutas estáticas:
10.0.1.0/24 vía MPLS.to.SiteB métrica 1
10.0.1.0/24 vía bvpn1 métrica 50
Para obtener información detallada sobre rutas estáticas y protección contra réplica de IP, consulte la información de Rutas Estáticas para el Sitio A.
Ver También
Monitoreo SD-WAN, Estado y Conmutación por Recuperación Manual(Firebox System Manager)
Estado SD-WAN y Conmutación por Recuperación Manual (Web UI)