Modo Puente

El modo puente es una función que le permite instalar su Firebox entre una red existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, su Firebox procesa y reenvía todo el tráfico de red a otros dispositivos de la puerta de enlace. Cuando el tráfico llega a la puerta de enlace desde Firebox, parece haber sido enviado desde el dispositivo original.

Direcciones IP de sistema y gestión

Puede especificar una dirección IP estática o DHCP.

Si especifica DHCP, su Firebox obtiene una dirección IP del sistema del servidor DHCP configurado en su dispositivo de puerta de enlace. Las computadoras de su red también pueden obtener direcciones DHCP del dispositivo de puerta de enlace. El Firebox utiliza esta dirección IP asignada por DHCP para recibir actualizaciones de firmas para servicios de seguridad y enrutar el tráfico hacia servidores internos DNS, NTP o WebBlocker.

Si especifica DHCP, también debe indicar una dirección IP de administración en un rango de direcciones IP privado. Si el servidor DHCP no asigna una dirección IP del sistema a su Firebox, o si usted no conoce dicha dirección, puede conectarse al Firebox con la dirección IP de administración.

DNSWatch

En Fireware v12.4 o superior, puede habilitar DNSWatch en Modo Puente. La dirección IP de Firebox debe conectarse al servidor DNSWatch. La dirección IP del sistema Firebox es la dirección IP de origen en los paquetes de solicitud DNS enviados al DNS Server DNSWatch.

Cuando inicia sesión en DNSWatch, aparece un Firebox en Modo Puente de la siguiente manera:

  • InterfazPuente Global
  • Red — Dirección IP del Sistema de Firebox

En la configuración DNSWatch en Firebox, puede seleccionar las mismas opciones de aplicación DNSWatch para un Firebox en Modo de Enrutamiento Combinado.

Si habilita la aplicación DNSWatch, Firebox no puede resolver los nombres de host en el dominio local a menos que cree reglas de reenvío de DNS para dominios locales. Para obtener más información sobre las reglas de reenvío, consulte Acerca del Reenvío de DNS.

Para obtener más información sobre DNSWatch, consulte Acerca de DNSWatch de WatchGuard.

Árbol de Expansión

Puede habilitar el Protocolo de Árbol de Expansión en el modo Puente. El Protocolo de Árbol de Expansión está diseñado para prevenir bucles en las redes cuyos enlaces son redundantes entre los conmutadores. Los administradores que gestionan redes que deben contar con alta disponibilidad pueden configurar enlaces redundantes y habilitar el Protocolo de Árbol de Expansión para ayudar a garantizar el tiempo de actividad.

Para obtener información sobre el Protocolo de Árbol de Expansión, consulte Acerca del Protocolo de Árbol de Expansión.

Para habilitar el Protocolo de Árbol de Expansión, consulte el apartado Habilitar Protocolo de Árbol de Expansión.

Funciones Deshabilitadas

En Modo Puente, su Firebox no puede completar algunas funciones que requieren que el dispositivo funcione como puerta de enlace porque el Firebox no maneja la información de Capa 2 o Capa 3.

Estas funciones incluyen:

  • Multi-WAN
  • VLAN (redes virtuales de área local)
  • Puentes de red
  • Conjunto de enlaces
  • Rutas estáticas
  • FireCluster
  • Redes secundarias
  • Servidor DHCP o retransmisión DHCP
  • Conmutación por Error de Módem
  • 1-to-1 NAT, NAT dinámica , o NAT estática (SNAT)
  • Dynamic Routing (OSPF, BGP o RIP)
  • Cualquier tipo de VPN para la cual Firebox sea un endpoint o puerta de enlace
  • Algunas funciones proxy, incluido el Servidor de caché de Internet HTTP
  • Redirección automática de autenticación
  • Administración de un dispositivo AP por el Gateway Wireless Controller
  • Mobile Security
  • Descubrimiento de Red

Si ya ha configurado estas funciones o estos servicios, se desactivarán cuando cambie a modo puente. Para utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.

Más Información

Cuando habilita el modo puente, Firebox agrega automáticamente una entrada de Hosts Relacionados para la puerta de enlace predeterminada configurada en la interfaz 0. Si la dirección IP de la puerta de enlace predeterminada reside en una interfaz diferente, debe cambiar la entrada de Hosts Relacionados a la interfaz correcta.

Para obtener más información sobre Hosts Relacionados, consulte Configurar Hosts Relacionados.

Cuando está en Modo Puente con la aplicación DNSWatch habilitada, Firebox no puede resolver DNS Servers locales. Si habilita DNSWatch, debe crear reglas de reenvío DNS para dominios locales. Consulte Acerca del Reenvío de DNS para obtener más información sobre cómo configurar las reglas de reenvío.

Cuando se activa el modo puente, se desactiva cualquier interfaz con un puente de red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe cambiar a modo de enrutamiento combinado o directo y configurar la interfaz como externa, opcional o de confianza y luego volver al modo puente. Las funciones inalámbricas en dispositivos Firebox inalámbricos funcionan correctamente en modo puente.

La pantalla LCD de un dispositivo XTM en modo puente muestra la dirección IP de las interfaces puenteadas como 0.0.0.0. Es de esperar este comportamiento.

Para utilizar un puente de red en una máquina virtual FireboxV o XTMv en ESXi, debe habilitar el modo promiscuo en el conmutador virtual adjunto (vSwitch) en VMware. No puede utilizar un puente de red en un FireboxV o en una máquina virtual XTMv en Hyper-V, ya que los conmutadores virtuales de Hyper-V no son compatibles con el modo promiscuo.

Habilitar el Modo Puente (IP Estática)

  1. Seleccione Red > Interfaces.

    Aparece la página de Interfaces de Red.
  2. En Configurar Interfaces en la lista desplegable, seleccione Modo Puente.

Screen shot of the Network Interfaces page, with bridge mode settings

  1. Si no se le solicita que deshabilite las interfaces, haga clic en para deshabilitar las interfaces, o No para regresar a su configuración anterior.
  2. Haga clic en Configurar.
  3. Seleccione IP Estática.
  4. En el cuadro de texto Dirección IP, ingrese la dirección IP de su Firebox en la notación diagonal.
    Para más información acerca de la notación diagonal, consulte Acerca de la Notación Diagonal.
  5. En el cuadro de texto, ingrese la dirección IP de la Puerta de enlace que recibe todo el tráfico de red del dispositivo.

Screen shot of the System IP address settings in Bridge Mode

  1. Haga clic en Guardar.
  1. Seleccione Red > Configuración.
    Aparece la ventana Configuración de Red.
  2. En Configurar Interfaces en la lista desplegable, seleccione Modo Puente.

Screen shot of the Network Configuration dialog box, Transparent Bridge Mode

  1. Si no se le solicita que deshabilite las interfaces, haga clic en para deshabilitar las interfaces, o No para regresar a su configuración anterior.
  2. Haga clic en Configurar
    Aparece la ventana Propiedades del modo Puente.
  3. Seleccione Usar IP estática.

Screen shot of static IP settings in Bridge mode

  1. En el cuadro de texto Dirección IP, ingrese la dirección IP de su Firebox en la notación diagonal.
    Para obtener más información sobre la notación diagonal, consulte el apartado Acerca de la Notación Diagonal.
  2. En el cuadro de texto Puerta de Enlace Predeterminada, ingrese la dirección IP de la puerta de enlace que recibe todo el tráfico de red desde el dispositivo.
  3. Haga clic en Aceptar.

Habilitar el Modo Puente (DHCP)

Antes de guardar los cambios en la configuración descrita en esta sección, asegúrese de registrar la dirección IP de gestión para conectarse más tarde al Firebox.

  1. Seleccione Red > Interfaces.
    Aparece la página Interfaces.
  2. En Configurar Interfaces en la lista desplegable, seleccione Modo Puente.
  3. Si no se le solicita que deshabilite las interfaces, haga clic en para deshabilitar las interfaces, o No para regresar a su configuración anterior.
  4. Haga clic en Configurar
    Aparece la ventana Propiedades del modo Puente.
  5. De la lista desplegable del Modo de Configuración, seleccione DHCP.
  6. En la sección Dirección de Gestión, en el cuadro de texto Dirección IP, ingrese una dirección IP en un rango privado. ¡Consejo!

Screen shot of DHCP settings in Bridge mode

  1. Haga clic en Atrás.
  2. Haga clic en Guardar. Aparece un cuadro de diálogo que le indica que debe registrar su Firebox con la nueva dirección IP de gestión después de continuar.

Screen shot of warning dialog box for Management IP address

  1. Haga clic en para continuar.
  2. Para registrarse en su Firebox, ingrese la dirección IP del sistema asignada por DHCP o la dirección IP de administración que especificó.
  1. Seleccione Red > Configuración.
    Aparece la ventana Configuración de Red.
  2. En Configurar Interfaces en la lista desplegable, seleccione Modo Puente.
  3. Si no se le solicita que deshabilite las interfaces, haga clic en para deshabilitar las interfaces, o No para regresar a su configuración anterior.
  4. Haga clic en Configurar.
    Aparece la ventana Propiedades del modo Puente.
  5. Seleccione Usar Cliente DHCP.
  6. Para IP del Host, deje seleccionada la opción predeterminada, es decir, Obtener automáticamente una dirección IP.
  7. En la sección Dirección de Gestión, en el cuadro de texto Dirección IP, ingrese una dirección IP en un rango privado. ¡Consejo!

Screen shot of DHCP settings in Bridge mode

  1. Haga clic en Aceptar.
  2. Para registrarse en su Firebox después de guardar la configuración, ingrese la dirección IP del sistema asignada por DHCP o la dirección IP de administración que especificó.

Cuando habilita el modo puente, Firebox agrega automáticamente una entrada de Hosts Relacionados para la puerta de enlace predeterminada configurada en la interfaz 0. La Asignación Automática de Host debería funcionar para la mayoría de las redes. Si la dirección IP de la puerta de enlace predeterminada reside en una interfaz diferente, debe cambiar la entrada de Hosts Relacionados a la interfaz correcta.

Habilitar el Protocolo de Árbol de Expansión

Puede habilitar el Protocolo de Árbol de Expansión. Para cambiar la configuración del Protocolo de Árbol de Expansión, debe usar la Command Line Interface de Fireware (CLI). Para obtener más información sobre la configuración del Protocolo de Árbol de Expansión, consulte Configurar los Ajustes del Protocolo de Árbol de Expansión en la CLI.

Para habilitar el Protocolo de Árbol de Expansión desde la Web UI:

  1. Seleccione Red > Interfaces.
    Aparece la página Configuración de Red.
  2. Seleccione Protocolos de Puente.
  3. Seleccione Habilitar el Protocolo de Árbol de Expansión.

Screen shot of Spanning Tree Protocol settings in Bridge mode

  1. Haga clic en Aceptar.

Para habilitar el Protocolo de Árbol de Expansión desde Policy Manager:

  1. Seleccione Red > Configuración.
    Aparece la ventana Configuración de Red.
  2. Seleccione Protocolos de Puente.
  3. Seleccione Habilitar el Protocolo de Árbol de Expansión.

Screen shot of Spanning Tree Protocol in Bridge Mode

  1. Haga clic en Aceptar.

Permitir Acceso a Administración desde una VLAN

Cuando configura un Firebox en modo Puente, no puede configurar VLAN en el Firebox. Sin embargo, el Firebox puede pasar tráfico etiquetado de VLAN entre puentes o conmutadores 802.1Q. De manera opcional, puede configurar Firebox para ser gestionado desde una VLAN que tenga una etiqueta de VLAN especificada.

Para habilitar gestión desde una VLAN para un dispositivo en modo puente, desde Fireware Web UI:

  1. Seleccione Red > Interfaces.

    Aparece la página de Interfaces de Red.
  2. Seleccione la casilla de selección Permitir la etiqueta de VLAN para acceso a administración.
  3. Ingrese o seleccione la ID de la VLAN que desea que pueda conectarse al dispositivo para acceso a administración.

Para habilitar la gestión desde una VLAN para un dispositivo en modo puente, desde Policy Manager:

  1. Haga clic en Configuración de red.
    O seleccione Red > Configuración.
    Aparece la ventana Configuración de Red.
  2. Seleccione la casilla de selección Permitir la etiqueta de VLAN para acceso a administración.
  3. Ingrese o seleccione la ID de la VLAN que desea que pueda conectarse al dispositivo para acceso a administración.

Ver También

Acerca de los Puentes LAN

Modo Directo

Acerca del Protocolo de Árbol de Expansión