Hola, buen día:
Soy novato en esto, poseo un Fortigate 80C, en el, tengo 2 conexiones de internet, uno simétrico, que tiene 2 Mb, y el otro asimétrico con 6 mb, estoy enviando todo el tráfico, por el de 6, pero quisiera repartir el tráfico, es decir:
Quiero que todo mi tráfico de salida sea por el simétrico y el de entrada por el de 6, es esto posible?
Si lo es, Cómo lo hago?
Saludos,
Gracias.
Tráfico de salida y de entrada.
Re: Tráfico de salida y de entrada.
hola, a que le llamas trafico de salida y entrada?
salida el de navegacion...
entrada los servicios publicados de tu servers?
saludos.
salida el de navegacion...
entrada los servicios publicados de tu servers?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
Kurai_Fuyu
- Mensajes: 3
- Registrado: 13 Mar 2015, 20:28
Re: Tráfico de salida y de entrada.
Maneje algo como esto:
Los Usuarios Internos, generan dos tipos de tráfico cuando navegan en Internet:
Primero: Generan Tráfico de Salida cuando quieren ingresar a un sitio Web en Internet, lo llamaremos INTERNA-INTERNET.
Segundo: Cuando la web ubicada en internet le devuelve la página al navegador del usuario, el tráfico generado recibe el nombre de INTERNET-RETORNO
ESCENARIO #2:
Los Usuarios Internet que desean ingresar a nuestro sitio Web, también generan 2 tipos de tráfico.
Primero: Tráfico que se genera cuando el usuario quiere ingresar a nuestra propia Web, lo llamaremos INTERNET-WEB
Segundo: Cuando nuestra Web le devuelve la página solicitada el tráfico generado se llama WEB-RETORNO Por tanto; el tráfico total está compuesta por:
TRAFICO DE ENTRADA=(INTERNET-RETORNO)+(INTERNET-WEB...
TRAFICO DE SALIDA =(INTERNA-INTERNET)+(WEB-RETORN0)
Me explico?
Los Usuarios Internos, generan dos tipos de tráfico cuando navegan en Internet:
Primero: Generan Tráfico de Salida cuando quieren ingresar a un sitio Web en Internet, lo llamaremos INTERNA-INTERNET.
Segundo: Cuando la web ubicada en internet le devuelve la página al navegador del usuario, el tráfico generado recibe el nombre de INTERNET-RETORNO
ESCENARIO #2:
Los Usuarios Internet que desean ingresar a nuestro sitio Web, también generan 2 tipos de tráfico.
Primero: Tráfico que se genera cuando el usuario quiere ingresar a nuestra propia Web, lo llamaremos INTERNET-WEB
Segundo: Cuando nuestra Web le devuelve la página solicitada el tráfico generado se llama WEB-RETORNO Por tanto; el tráfico total está compuesta por:
TRAFICO DE ENTRADA=(INTERNET-RETORNO)+(INTERNET-WEB...
TRAFICO DE SALIDA =(INTERNA-INTERNET)+(WEB-RETORN0)
Me explico?
Re: Tráfico de salida y de entrada.
Buenas, como va?
Si, te explicas perfecto. Si tu perspectiva es desde el Firewall, es cierto, por una interfaz entran los paquetes, por otra sale, pero en el caso de los fortigate no aplica, voy a intentar explicarlo:
Los fortigate generan una sesion interna con validez unicamente local por cada paquete que recibe (doy el nombre de paquete a cada tipo de trafico, independiente de la PDU a la que se refiera) y para saber que hacer con ese trafico, busca en su tabla de politicas una coincidencia. Al encontrarla, ya no busca otra politica.
Que quiere decir? que vos creas una politica permitiendo o denegando el trafico desde una interfaz a la otra, por ejemplo, de interna a internet, requiere una unica politica, no dos.
Esto simplifica el escenario, porque en vez de pensar en que tenes cuatro tipos de trafico, de hecho tenes dos unicamente:
1) la salida a internet, que seria desde Interna hacia Internet y requiere de una unica politica
2) entrada desde Internet, que seria las personas que consultan tu sitio web, es decir, Internet hacia Interna.
Se entiende este punto?
Volvamos a la pregunta original.
Queres haceer que el trafico de salida (aclaro: Interna hacia Internet) balancee la carga entre los dos enlaces de igual forma? es decir, y simplificando, tenes dos usuarios y queres que de forma dinamica y automatica, cada usuario navegue usando un enlace distinto? bueno, eso se hace mediante rutas de igual peso, distancia, metrica (que sera la misma si son dos default routes estaticas) y prioridad.
Para saber como hacer, necesitaria conocer tu config, pero supongamos que tenes dos enlaces a Internet, conectados en WAN1 el de 2 Mbps y en la WAN2 el de 6. y supongamos que tenes lo que llamas INTERNA en la interfaz internal.
Entonces, lo que yo haria para simplificar el manejo de politicas, seria crear una zona agrupando a las dos interfaces (esto solo funciona si no tenes politicas o alguna otra config asociada a las interfaces)
Crear la zona, por CLI claro:
config system zone
edit Internet
set interface "wan1" "wan2"
next
end
luego, creo la politica de navegacion hacia afuera:
config firewall policy
edit 1
set srcintf internal
set dstintf Internet
set srcaddr all
set dstaddr all
set service any (all en fortios 5)
set schedule always
set action accept
set nat enable
next
end
y por ultimo revisaria que los dos enlaces tengan las rutas como corresponden, para eso tiras el siguiente comando:
get router info routing-table all
y revisas las primeras rutas que corresponden a las default routes: 0.0.0.0/0.0.0.0, ambas tienen que estar asi masomenos:
S* 0.0.0.0/0 [10/0] via 200.200.200.200, wan1
[10/0] via 181.181.181.181, wan2
Si tienen algun otro valor entre corchetes, corresponden al peso y prioridad. para ajustarlas las rutas tienen que estar masomenos asi:
config router static
edit 1
set blackhole disable
set comment "Internet 2 Mbps"
set device "wan1"
set distance 10
set dst 0.0.0.0 0.0.0.0
set dynamic-gateway disable
set gateway 200.200.200.200
set priority 0
set weight 0
next
edit 2
set blackhole disable
set comment "Internet 6 Mbps"
set device "wan2"
set distance 10
set dst 0.0.0.0 0.0.0.0
set dynamic-gateway disable
set gateway 181.181.181.181
set priority 0
set weight 0
next
end
El tema con esto, es que todo depende de tu configuracion y topologia, no hay una unica respuesta o modo de hacerlo, lo que propongo es una parte muuuy simplificada de esto.
Igualmente, esto solucionaria la navegacion a Internet
Falta como ingresan a tu sitio web.
En ese caso, imagino que ya tenes un VIP y ya esta publicada, pero aun si no lo tuvieras, te recuerdo que cuando uno publica un servicio a internet, lo hace a travez de un socket, es decir, de una IP y un puerto UDP/TCP, por ejemplo 200.200.200.201:80
Para hacer un balanceo de carga ahi hay que jugar con los DNS, pero es una explicacion un poco mas larga todavia.
Incluso si queres balancear carga entre dos servidores fisicos y publicar una unica IP a Internet, tambien es posible hacerlo con Fortigate, pero al igual que arriba, la explicacion seria bastante larga como para escribirla y que no sea eso lo que necesitas.
Ojala ayude algo de esto.
Saludos!
Si, te explicas perfecto. Si tu perspectiva es desde el Firewall, es cierto, por una interfaz entran los paquetes, por otra sale, pero en el caso de los fortigate no aplica, voy a intentar explicarlo:
Los fortigate generan una sesion interna con validez unicamente local por cada paquete que recibe (doy el nombre de paquete a cada tipo de trafico, independiente de la PDU a la que se refiera) y para saber que hacer con ese trafico, busca en su tabla de politicas una coincidencia. Al encontrarla, ya no busca otra politica.
Que quiere decir? que vos creas una politica permitiendo o denegando el trafico desde una interfaz a la otra, por ejemplo, de interna a internet, requiere una unica politica, no dos.
Esto simplifica el escenario, porque en vez de pensar en que tenes cuatro tipos de trafico, de hecho tenes dos unicamente:
1) la salida a internet, que seria desde Interna hacia Internet y requiere de una unica politica
2) entrada desde Internet, que seria las personas que consultan tu sitio web, es decir, Internet hacia Interna.
Se entiende este punto?
Volvamos a la pregunta original.
Queres haceer que el trafico de salida (aclaro: Interna hacia Internet) balancee la carga entre los dos enlaces de igual forma? es decir, y simplificando, tenes dos usuarios y queres que de forma dinamica y automatica, cada usuario navegue usando un enlace distinto? bueno, eso se hace mediante rutas de igual peso, distancia, metrica (que sera la misma si son dos default routes estaticas) y prioridad.
Para saber como hacer, necesitaria conocer tu config, pero supongamos que tenes dos enlaces a Internet, conectados en WAN1 el de 2 Mbps y en la WAN2 el de 6. y supongamos que tenes lo que llamas INTERNA en la interfaz internal.
Entonces, lo que yo haria para simplificar el manejo de politicas, seria crear una zona agrupando a las dos interfaces (esto solo funciona si no tenes politicas o alguna otra config asociada a las interfaces)
Crear la zona, por CLI claro:
config system zone
edit Internet
set interface "wan1" "wan2"
next
end
luego, creo la politica de navegacion hacia afuera:
config firewall policy
edit 1
set srcintf internal
set dstintf Internet
set srcaddr all
set dstaddr all
set service any (all en fortios 5)
set schedule always
set action accept
set nat enable
next
end
y por ultimo revisaria que los dos enlaces tengan las rutas como corresponden, para eso tiras el siguiente comando:
get router info routing-table all
y revisas las primeras rutas que corresponden a las default routes: 0.0.0.0/0.0.0.0, ambas tienen que estar asi masomenos:
S* 0.0.0.0/0 [10/0] via 200.200.200.200, wan1
[10/0] via 181.181.181.181, wan2
Si tienen algun otro valor entre corchetes, corresponden al peso y prioridad. para ajustarlas las rutas tienen que estar masomenos asi:
config router static
edit 1
set blackhole disable
set comment "Internet 2 Mbps"
set device "wan1"
set distance 10
set dst 0.0.0.0 0.0.0.0
set dynamic-gateway disable
set gateway 200.200.200.200
set priority 0
set weight 0
next
edit 2
set blackhole disable
set comment "Internet 6 Mbps"
set device "wan2"
set distance 10
set dst 0.0.0.0 0.0.0.0
set dynamic-gateway disable
set gateway 181.181.181.181
set priority 0
set weight 0
next
end
El tema con esto, es que todo depende de tu configuracion y topologia, no hay una unica respuesta o modo de hacerlo, lo que propongo es una parte muuuy simplificada de esto.
Igualmente, esto solucionaria la navegacion a Internet
Falta como ingresan a tu sitio web.
En ese caso, imagino que ya tenes un VIP y ya esta publicada, pero aun si no lo tuvieras, te recuerdo que cuando uno publica un servicio a internet, lo hace a travez de un socket, es decir, de una IP y un puerto UDP/TCP, por ejemplo 200.200.200.201:80
Para hacer un balanceo de carga ahi hay que jugar con los DNS, pero es una explicacion un poco mas larga todavia.
Incluso si queres balancear carga entre dos servidores fisicos y publicar una unica IP a Internet, tambien es posible hacerlo con Fortigate, pero al igual que arriba, la explicacion seria bastante larga como para escribirla y que no sea eso lo que necesitas.
Ojala ayude algo de esto.
Saludos!
-
Kurai_Fuyu
- Mensajes: 3
- Registrado: 13 Mar 2015, 20:28
Re: Tráfico de salida y de entrada.
Gracias por tu respuesta iescudero:
Me dijeron que lo explicará de esta forma:
Tengo dos accesos a internet, uno sincrono (2Mbps, wan 2) y el otro asincrono (6Mbps, wan1), por los cuales salen mis usuarios, sin embargo la velocidad en el regreso de los datos es más lenta.
En una configuración anterior, la velocidad de descarga máxima era de 1.5 Mbps y de carga era de 1.3 Mbps (Son velocidades medias de todos los usuarios).
Configuré mis 2 wan's con la misma distancia y prioridad (desde la ficha "Router" --> "Ruta estática"), arrojando la velocidad de descarga 3.3 Mbps y 0.5 Mbps (Son velocidades medias de todos los usuarios).
Me dijeron que lo explicará de esta forma:
Tengo dos accesos a internet, uno sincrono (2Mbps, wan 2) y el otro asincrono (6Mbps, wan1), por los cuales salen mis usuarios, sin embargo la velocidad en el regreso de los datos es más lenta.
En una configuración anterior, la velocidad de descarga máxima era de 1.5 Mbps y de carga era de 1.3 Mbps (Son velocidades medias de todos los usuarios).
Configuré mis 2 wan's con la misma distancia y prioridad (desde la ficha "Router" --> "Ruta estática"), arrojando la velocidad de descarga 3.3 Mbps y 0.5 Mbps (Son velocidades medias de todos los usuarios).