Auditoria Informtica

Investigacin: Alta disponibilidad

Ingeniero: Juan Carlos Inestroza Lozano
Integrantes del Grupo:
Nelson David Solrzano Lpez

Cuenta: 312111326

Fredy Ral Iras Dubon

Cuenta: 30841616

Vctor Manuel Figueroa Palma

Cuenta: 32211192

Joel David Ferman Prez

Cuenta: 30751471

Fecha: 15/10/2015

Alta disponibilidad (SQL Server)

En este tema se presentan varias soluciones de alta disponibilidad de SQL Server
que mejoran la disponibilidad de los servidores o las bases de datos.Una solucin
de alta disponibilidad enmascara los efectos de un error de hardware o software y
mantiene la disponibilidad de las aplicaciones a fin de minimizar el tiempo de
inactividad que perciben los usuarios.
Para obtener informacin acerca de qu ediciones de SQL Server admiten una
solucin de alta disponibilidad determinada, vea la seccin "Alta disponibilidad
(AlwaysOn)" de Caractersticas compatibles con las ediciones de SQL Server 2014.
En este tema:
Informacin general de las soluciones de alta disponibilidad de SQL Server
Soluciones recomendadas para utilizar SQL Server para proteger datos
Informacin general de las soluciones de alta disponibilidad de SQL Server
SQL Server ofrece varias opciones para crear alta disponibilidad para un servidor o
una base de datos.Entre las opciones de alta disponibilidad figuran las siguientes:
Instancias de clster de conmutacin por error de AlwaysOn
Como parte de la oferta de SQL Server AlwaysOn, las instancias de clster
de conmutacin por error de AlwaysOn aprovechan la funcionalidad de
Clsteres de conmutacin por error de Windows Server (WSFC) para
proporcionar alta disponibilidad local mediante la redundancia en el nivel de
instancias de servidor, unainstancia de clster de conmutacin por
error (FCI).Una FCI es una instancia de SQL Server que se instala a travs
de los nodos de Clsteres de conmutacin por error de Windows Server
(WSFC) y, posiblemente, a travs de varias subredes.En la red, una FCI
aparece como una instancia de SQL Server que se ejecuta en un equipo
individual, pero proporciona la conmutacin por error entre nodos de WSFC si
el nodo actual deja de estar disponible.
Para obtener ms informacin, consulte Instancias de clster de conmutacin
por error de AlwaysOn (SQL Server).
Grupos de disponibilidad AlwaysOn
Grupos de disponibilidad AlwaysOn es una solucin de alta disponibilidad y
recuperacin de desastres de nivel empresarial presentada en SQL Server
2012 que permite maximizar la disponibilidad para una o varias bases de
datos de usuario. Grupos de disponibilidad AlwaysOn necesita que las
instancias de SQL Server se encuentren en nodos de Clsteres de
conmutacin por error de Windows Server (WSFC).Para obtener ms
informacin, consulte Grupos de disponibilidad AlwaysOn (SQL Server).
Una FCI puede aprovechar las ventajas de Grupos de disponibilidad
AlwaysOn para proporcionar recuperacin remota ante desastres en la base de
datos.Para obtener ms informacin, consulte Clster de conmutacin por error y
grupos de disponibilidad de AlwaysOn (SQL Server).

Creacin de reflejo de base de datos

En lugar de Esta caracterstica se quitar en una versin futura de Microsoft
SQL Server. Evite utilizar esta caracterstica en nuevos trabajos de desarrollo
y tenga previsto modificar las aplicaciones que actualmente la utilizan. se
recomienda utilizar Grupos de disponibilidad AlwaysOn.
La creacin de reflejo de la base de datos es una solucin para aumentar la
disponibilidad de la base de datos mediante una conmutacin por error casi
inmediata.La creacin de reflejo de la base de datos puede utilizarse para
mantener una sola base de datos en estado de espera, o base de datos
reflejada, para una base de datos de produccin correspondiente a la que se
conoce como base de datos principal.Para obtener ms informacin,
consulte Creacin de reflejo de la base de datos (SQL Server).
Trasvase de registros
Al igual que Grupos de disponibilidad AlwaysOn y la creacin de reflejo de la
base de datos, el trasvase de registros se aplica en la base de datos.Puede
usar el trasvase de registros para mantener una o varias bases de datos en
estado de espera activa (denominadas bases de datos secundarias) para una
sola base de datos de produccin denominada base de datos principal.Para
obtener ms informacin acerca del trasvase de registros, vea Acerca del
trasvase de registros (SQL Server).
Soluciones recomendadas para utilizar SQL Server para proteger datos
Esta es nuestra recomendacin para proporcionar proteccin de datos en el entorno
de SQL Server:
Para la proteccin de datos en una solucin de disco compartido de otro
fabricante (una SAN), se recomienda utilizar las instancias de clster de
conmutacin por error de AlwaysOn.
Para la proteccin de datos en SQL Server, se recomienda utilizar Grupos de
disponibilidad AlwaysOn.
Si ejecuta una edicin de SQL Server que no admite Grupos de disponibilidad
AlwaysOn, se recomienda el trasvase de registros.Para obtener informacin acerca
de qu ediciones de SQL Server admiten Grupos de disponibilidad AlwaysOn, vea la
seccin "Alta disponibilidad (AlwaysOn)" de Caractersticas compatibles con las
ediciones de SQL Server 2014.

Alta disponiblildad de base de datos Oracle database 12

Introduccin
Las empresas utilizan la tecnologa de la informacin (TI) para obtener ventajas
competitivas, reducir los costos operativos, mejorar la comunicacin con los clientes
y aumentar la visin de gestin en su negocio. Por lo tanto las empresas son cada
vez ms dependiente de su infraestructura de TI y su disponibilidad continua. El
tiempo de inactividad de aplicaciones y la falta de disponibilidad de datos se

traducen directamente en prdida de productividad y de ingresos, clientes

insatisfechos, y el dao a la reputacin corporativa.

Un enfoque bsico para la construccin de una alta disponibilidad (HA)

infraestructura es desplegar los recursos de hardware y software redundantes ya
menudo ociosos suministrados por distintos proveedores. Este enfoque suele ser
caro, pero est a la altura de las expectativas de nivel de servicio debido a la
integracin de los componentes sueltos, las limitaciones tecnolgicas, y la
complejidad administrativa. En contraste, Oracle ofrece a los clientes con las
tecnologas globales e integradas de HA para reducir costos, maximizar su retorno
de la inversin a travs del uso productivo de todos los recursos de HA, y mejorar la
calidad del servicio a los usuarios.

En este trabajo, examinamos los tipos de cortes que afectan a las infraestructuras
de TI, y presentar tecnologas de bases de datos Oracle que aborden integralmente
esos cortes. Estas tecnologas, integradas en Arquitectura disponibilidad mxima de
Oracle (MAA), reducir o evitar el tiempo de inactividad no planificado, permiten una
rpida recuperacin de fallos, y reducir al mnimo los tiempos de inactividad
planificados.

Introducimos nuevas caractersticas 12c base de datos Oracle, incluyendo

aplicaciones Continuidad, Global Data Services y Active Data Guard Lejos de
sincronizacin, que mejoran la recuperacin de aplicaciones, servicios de soporte de
bases de datos globales, y extender la proteccin en los datos de prdida de cero a
una escala global, respectivamente. Describimos mejoras a Oracle el rendimiento
12c de base de datos, funcionalidad y facilidad de uso con las caractersticas de alta
disponibilidad existente incluyendo Real Application Clusters, Automatic Storage
Management, Recovery Manager, Data Guard y Active Data Guard, Oracle Secure
Backup, y redefinicin basada en Edicin. Tambin introducimos nuevas
capacidades innovadoras que revolucionan la proteccin y recuperacin de datos
con la prdida de datos de recuperacin Appliance.

El Desafo de alta disponibilidad

Disear, implementar y administrar una alta disponibilidad (HA), la arquitectura que

logra todos los objetivos de negocio en virtud de las limitaciones del mundo real es
bastante difcil. Muchas de las tecnologas y servicios de diferentes proveedores
ofrecen para proteger su empresa contra la prdida de datos y tiempo de inactividad
- en quin puedes confiar?

Oracle cree que HA abarca una serie de aspectos importantes, adems del objetivo
principal de evitar el tiempo de inactividad. Las dimensiones clave de una
arquitectura integral HA incluye:
Disponibilidad de datos: garantizar el acceso a los datos para evitar la interrupcin
del negocio.
Proteccin de datos: la prevencin de prdida de datos que comprometa la
viabilidad del negocio.
Rendimiento: la entrega de tiempo de respuesta adecuado para las operaciones de
negocios eficientes.
Costo: reducir el despliegue, la gestin y los gastos de apoyo para la conservacin
de los recursos corporativos.
Riesgo: lograr consistentemente los niveles de servicio requeridos durante un largo
perodo de tiempo que el negocio evoluciona sin sorpresas o decepciones costosos.
Exitosa HA comienza con la comprensin de los niveles de servicio requeridos por
la empresa a lo largo de cada una de estas dimensiones. Esta gua las decisiones
importantes en materia de tecnologa y determina el nivel adecuado de inversin en
la arquitectura HA.

Soluciones exitosas HA alcanzar los objetivos de nivel de servicio a lo largo de cada

una de las dimensiones anteriores. Ellos deben ser flexibles porque diferentes
aplicaciones, funciones de negocios y grupos de usuarios tienen diferentes
requisitos de nivel de servicio. Tambin deben ser capaces de adaptarse
rpidamente porque no hay solucin permanente - requisitos evolucionan a medida
que las condiciones de negocio cambio.

Base de Datos Oracle Alta Disponibilidad

Oracle ha estado trabajando duro durante ms de tres dcadas ayudando a resolver

los retos de HA mediante el diseo de capacidades integrales de HA integrados en
la base de datos. Esta innovacin da lugar a soluciones de alta disponibilidad que
dan verdaderas ventajas competitivas a las empresas, ayudando a alcanzar los
objetivos de nivel de servicio para una alta disponibilidad de la manera ms
rentable.

Capacidades de Oracle Database HA abordar la gama completa de interrupciones

planificadas y no planificadas. Oracle construye y ofrece capacidades de alta
disponibilidad de bases de datos conscientes de que estn profundamente
integrados con caractersticas internas bsicas de la base de datos. Esto se traduce
en soluciones rentables que reducen el riesgo de negocio y alcanzar niveles nicos

de proteccin de datos, la disponibilidad, el rendimiento y la rentabilidad de la

inversin. Capacidades de Oracle Database HA son flexibles, lo que le permite
elegir el nivel adecuado de HA, y son adaptables, para apoyar de manera eficiente
sus objetivos de negocio hoy y en el futuro.

Innovacin en la Base de Datos Oracle 12c

Oracle Multitenant, una nueva opcin para Oracle 12c base de datos, ofrece
tecnologa innovadora para la consolidacin de la base de datos y cloud computing.
Las unidades de arquitectura multiusuario abajo los costos de TI, permitiendo una
verdadera arquitectura 'manage-como uno "para la consolidacin y virtualizacin de
la capa de base de datos. La arquitectura multiusuario tambin hace que la alta
disponibilidad extrema un requisito fundamental cuando se aplica la consolidacin
de bases de datos a las aplicaciones crticas de negocio. Por definicin, la
consolidacin de la base de datos es un ejercicio de "poner todos los huevos en una
sola canasta". Cuanto ms xito est en conducir por costo a travs de la
consolidacin, los ms huevos estn en una sola canasta, y cuanto mayor es el
impacto operativo y financiero a la negocio debe producirse un corte de luz.

Las nuevas capacidades de alta disponibilidad (HA) en Oracle 12c de base de

datos estn diseados para proporcionar el nivel extremo de disponibilidad
requerida para la consolidacin de las bases de datos en nubes privadas. Esto
incluye soporte para la arquitectura multiusuario en todas las caractersticas de
Oracle HA, nuevos niveles de redundancia, conmutacin por error transparente de
las operaciones en vuelo, prdida de la proteccin de datos de desastres-cero a
cualquier distancia geogrfica. La arquitectura de Oracle Multitenant representa la
prxima generacin en tecnologa de base de datos y de larga data y Oracle HA
principios de diseo probada con el tiempo estn preparados desde el primer da
para proporcionar la disponibilidad extrema requerida por entornos consolidados.

Ofrecer alta disponibilidad de las aplicaciones integradas

Proporcionar HA y proteccin de datos utilizando grupos de conmutacin por error

en fro o en los bits primas nivel que hacer por las soluciones de almacenamiento
centrada es inadecuada para la proteccin integral y la recuperacin rpida. Oracle
Real Application Clusters (Oracle RAC) permite que una sola base de datos Oracle
para ejecutarse en un clster de servidores de bases de datos en una configuracin
activo-activo. El rendimiento es fcil de escalar a travs de Internetaprovisionamiento de servidores adicionales - los usuarios estn activos en todos
los servidores, y todos los servidores comparten el acceso a la misma base de datos
Oracle. HA se mantiene durante las interrupciones no planificadas y previstas de

mantenimiento por la transicin a los usuarios en el servidor que est fuera de

servicio a otros servidores del clster Oracle RAC que siguen funcionando.

Apagones en ltima instancia, afectan la disponibilidad de una aplicacin y, a

diferencia de las soluciones de almacenamiento centrada en tecnologas Oracle HA
estn diseadas para operar a nivel de objeto de negocio - por ejemplo, la
reparacin de tablas o recuperar transacciones especficas. Soluciones de Oracle
permiten la recuperacin granular y por lo tanto muy eficiente, sin interrupciones en
la disponibilidad de las aplicaciones que utilizan partes no afectadas de la base de
datos. Oracle tambin permite hacer cambios estructurales a una mesa, mientras
que otros estn accediendo y su actualizacin, a travs de la funcin Redefinicin
Online. Aplicacin de continuidad, una nueva capacidad en Oracle 12c base de
datos, mscaras muchos cortes de de los usuarios finales y aplicaciones mediante
la reproduccin de la sesin despus de un servidor o sitio de conmutacin por error
se ha producido, transparente a la aplicacin.

Soluciones Oracle HA van ms all de interrupciones no planificadas. Todos los

tipos de mantenimiento de base de datos se puede realizar ya sea en lnea o en la
moda de laminacin para mnimo o cero tiempo de inactividad. Sistemas de Data
Guard espera sean fcilmente dual propuesto 5 como sistemas de prueba, lo que
reduce el riesgo, asegurando que todos los cambios estn totalmente probados en
una copia exacta de la base de datos de produccin antes de su aplicacin al
entorno de produccin.

Proporcionar una arquitectura integrada y automatizada, y abierto con alto

retorno de la inversin
Caractersticas de alta disponibilidad integradas en la base de datos de Oracle no
requieren integracin o instalaciones separadas. Las actualizaciones a nuevas
versiones se simplifican en gran medida, lo que elimina el proceso doloroso y lento
de la certificacin de la liberacin a travs de tecnologas de mltiples proveedores.
Adems, todas las caractersticas que se pueden gestionar a travs de la interfaz de
administracin de Control Manager Nube Oracle Enterprise unificada. Oracle
construye la automatizacin en cada paso, evitando errores comunes tpicos en
configuraciones manuales. Por ejemplo, los clientes pueden elegir para dejar
automticamente a una base de datos de espera si la base de datos de produccin
se hace fuera de lnea; para eliminar automticamente las copias de seguridad y
archivado para la gestin del espacio eficaz; y reparar automticamente
corrupciones bloques fsicos.

Soluciones Oracle HA son inherentemente activa - evitando componentes ociosos

que slo funcionan cuando se produce un fallo. Todos los nodos de Oracle RAC
estn activos, los sistemas de reserva Data Guard apoyar aplicaciones de slo

lectura, extractos de datos y copias de seguridad incrementales rpidas y Oracle

GoldenGate soporta cargas de trabajo de lectura y escritura con la resolucin de
conflictos distribuidos a travs de copias duplicadas de una base de datos Oracle en
una arquitectura de actualizacin en cualquier lugar . Arquitectura HA activa de
Oracle proporciona un alto retorno de la inversin y al mismo tiempo que minimiza el
riesgo de fracaso. Nunca hay una cuestin de si se va a iniciar y cunto tiempo
tomar despus de que ocurra una falla para reanudar el servicio: todos los
componentes de Oracle HA ya se han iniciado, ya realizar un trabajo til, que
permite la validacin de usuario continua que estn listos para el prime-time.

Oracle Maximum Availability Architecture

Disponibilidad Arquitectura Oracle mxima (MAA) es un conjunto de mejores
modelos de prctica para el uso integrado de Oracle de alta disponibilidad (HA)
tecnologas
Se crean y mantienen MAA mejores prcticas por un equipo de desarrolladores de
Oracle que validan continuamente el uso integrado de bases de datos Oracle
caractersticas de alta disponibilidad. La experiencia del cliente en el mundo real
tambin est integrado en la validacin realizada por el equipo de MAA, lecciones
aprendidas propagacin a otros clientes.
MAA incluye las mejores prcticas para los componentes de infraestructura crtica,
incluyendo servidores, almacenamiento y red, junto con la configuracin y las
mejores prcticas operacionales para las capacidades de Oracle HA desplegados
en l. Recursos MAA (oracle.com/goto/maa~~number=plural) son continuamente
actualizados y ampliados.

Dado que todas las aplicaciones no tienen los mismos requisitos de alta
disponibilidad y proteccin de datos, MAA mejores prcticas describen las
arquitecturas estndar diseados para lograr diferentes objetivos de nivel de
servicio. Los detalles figuran en, Oracle MAA Arquitecturas de referencia - La
Fundacin para la base de datos como un servicio.

Alta Disponibilidad en MySQL/MariaDB

En DS Data Systems trabajamos en dos lneas para alta disponibilidad:

DRBD y Tungsten.

DRDB es un software que permite hacer rplica de los datos de una particin entre
varias mquinas. Esto permite -a partir de un disco o particin del mismo tamao en
varias mquinas- realizar una rplica del contenido entre ellos de forma automtica
a travs de la red, de modo que en el caso de que una mquina falle, todo el
contenido de esa particin est accesible desde las otras mquinas. Funciona como
un RAID1 entre distintas mquinas sobre red.
Si sobre esta funcionalidad aadimos un gestor de nodos del cluster que los vigile y
dirija las peticiones a aquel que est activo, en caso de que falle el nodo principal, el
gestor dirigir el trfico hacia otro nodo de reserva.

Informacin general
Tungsten Enterprise es una solucin de alta disponibilidad de calidad empresarial
para
alta
disponibilidad
de
bases
de
datos.
Continuent es el proveedor lder de replicacin y clustering para MySQL y Oracle.
Tungsten de Continuent permite rpidamente a las empresas en expansin
gestionar los datos bases de datos abiertas sin tener que migrar los datos o
actualizar las aplicaciones. Tungsten funciona igual de bien en entorno cloud, as
como con los despliegues en CPD propio.
Tungsten funciona con versiones estndar de MySQL desde la 5.0. Es posible
construir clusterscompuestos con MySQL, MySQL Community, MySQL Enterprise,
Maria DB y Percona sin efectuar modificaciones. No es necesario realizar
actualizaciones ni migraciones, y todo se puede conseguir sin tiempos de
inactividad.
Funcionalidades que ofrece:

Traspaso automtico. Tungsten reemplaza un servidor de base de datos

cado en segundos.

Multi-Maestro. Permite compartir bases de datos entre varios CPDs o

regiones AWS en tiempo real y gestin del traspaso automtico.

Recuperacin de desastres. Cambio al servidor de reserva con un slo

comando.

Replicacin de Oracle. Permite replicar Oracle-Oracle, Oracle-MySQL,

MySQL-Oracle y MySQL-MySQL.

Sin migracin. Funciona sobre servidores estndar (MySQL Community,

MySQL Enterprise, MariaDB y Percona Server).

Tungsten concede licencias a travs de DS Data Systems, que pueden ser anuales
o multianuales.
Tungsten Replicator es la version gratuita del producto, que sustituye a la replicacin
nativa de MySQL ampliando su funcionalidad y topologa.

Replicacin y Alta Disponibilidad en PostgreSQL

Conceptos bsicos
Disponibilidad: que un sistema est accesible, esto es, que se pueda conectar a l
y operar con normalidad.

 Alta disponibilidad: sistema indisponible un porcentaje muy bajo del tiempo

(tpicamente < 0,05%). Casi siempre requiere que no haya SPOFs.
Clustering: que un conjunto de mquinas individuales formen un sistema
distribuido, esto es, se comporten como un todo. No confundir con el cluster de
PostgreSQL (una instancia)
Replicacin: tcnica que permite transmitir el estado (datos) de un servidor a
otro(s) de manera que todos terminen con una copia del estado. Puede ser:
Sncrona/asncrona
Total/parcial (slo una parte del estado se replica)
Sharding o escalado horizontal: tcnica para dividir una carga de trabajo entre
diversos nodos. Si no es transparente, el sistema no se comporta como un todo.
Consistencia eventual: garanta de una relacin de causalidad en los eventos pero
no que stos se propaguen inmediatamente
Alta Disponibilidad y Capacidad de Recuperacin
Disponibilidad y Capacidad de Recuperacin son dos cosas distintas, Las tablas
eliminadas y actualizaciones errneas son mucho ms comunes de lo que se
piensa, El archivado continuo (PITR, Recuperacin Point in Time) es el mejor
mecanismo para recuperarse de este tipo de fallos.
Las tcnicas de Alta Disponibilidad estn dirigidas a Escenarios de Fallos de
Sistemas o Sitios.
Mecanismos de Alta Disponibilidad
1. Externos a la base de datos:

Almacenamiento compartido en red (SAN)

DRBD
Clustering (a nivel de S.O.)

2. A nivel de base de datos

pgpool
Log shipping
Replicacin

Mecanismos externos a la BB.DD.

1. Ventajas generales:

No tienen impacto (arrastre) sobre la base de datos

Tienen un RTO muy bajo
Tienen un RPO cero

2. Inconvenientes generales:

Slo dos nodos

Configuracin estrictamente activo-pasivo

Distancia LAN
No ofrece funcionalidades adicionales como ayuda al backup, PITR, etc

HA: disco en red compartido (SAN)

Ventajas:

Transparente a la base de datos

Permite un RTO muy bajo

Inconvenientes:

Configuracin activo-pasivo
Coste elevado
Slo dos nodos
Es necesario un mecanismo para levantar el servicio en el nodo secundario
Requiere/utiliza multipath

HA: DRBD
Ventajas e inconvenientes: los mismos que el disco compartido en red salvo el
coste, no requiere hardware dedicado.

Es open source y muy eficiente

Replica los volmenes de disco de forma asncrona, sncrona o semisncrona
Puede dar lugar a configuraciones muy interesantes, como por ejemplo
replicar de un volumen efmero de AWS a un EBS lento (con cuidado)

HA: Clustering a nivel de S.O.

Tcnica casi en desuso

Requiere soporte del S.O.
Permite que dos mquinas se comporten como una nica. Requiere una IP
virtual.
Configuracin activo-pasivo

HA: pgpool

Hace de pooling de conexiones (como pgbouncer)

Si un servidor cae, la conexin con pgpool no, y sirve carga a los dems
Entiende la replicacin (core o Slony) y divide r/w entre los servidores
esclavo(s)/maestro
Permite ejecutar scripts ante eventos de HA
Tiene un modo de HA para no ser SPOF

HA: WAL shipping

WAL shipping es la tcnica para enviar registros de WAL de un servidor maestro de

postgres a otro(s), esclavo(s), de forma que el(los) esclavo(s) estn continuamente
reproduciendo los segmentos de WAL, segn llegan, y por lo tanto contienen una
copia de la base de datos maestra.
Se basa en archivado continuo: cada vez que se rota un fichero de WAL (de
pg_xlog), archivado continuo lo copia al directorio externo (archive_command). Este
fichero externo se copia a la base de datos esclava (el mecanismo es independiente
de la base de datos: NFS, cp, rsync, etc) y sta lo reproduce y aplica los cambios.
Est disponible desde PostgreSQL 8.2.
La rplica est continuamente en modo recuperacin, aplicando los ficheros de WAL
que reciba. Requiere un proceso de copia (sncrono o asncrono) pero externo a la
base de datos.
Hay una ventana de prdida de datos, suma de:

Tiempo de rotacin del fichero de WAL (controlado por checkpoint_timeout,

checkpoint_segments, checkpoint_completion_target).
Tiempo de transmisin/copia del fichero rotado y archivado a la base de datos
esclava.
Es un mecanismo extremadamente sencillo.

Replicacin
La replicacin es la transmisin de informacin derivada de las modificaciones de
estado, de una base de datos a otra. Todas las operaciones que modifiquen el
estado de la base de datos se transmiten (transformadas o no) a otra base de datos,
que replica las operaciones, de forma que ambas bases de datos tengan la misma
informacin.
La replicacin permite alcanzar objetivos como:

Alta disponibilidad (cada del maestro)

Backups calientes (backup con poca o cero recuperacin necesaria)
Disponer de una copia en otro lugar geogrfico Replicacin

Cada operacin DML ejecuta un trigger (accin en respuesta a un evento de la base

de datos) que genera una representacin del cambio (SQL, JSON, formato binario,
etc) y la enva a la base de datos remota. Tpicamente utiliza una cola para
almacenar los cambios, a un ritmo potencialmente diferente del de envo a la base
de datos remota (modelo productor-consumidor): asincrona.
Dado que los triggers se instalan por el software en las tablas, se puede seleccionar
un subconjunto arbitrario de la(s) tabla(s) de la base(s) de datos que se quieren
replicar. Replicacin basada en triggers
Postgres ya dispone de un formato nativo de representacin de los cambios en la
base de datos: el WAL (Write-Ahead Log). Dado que el WAL ya se genera (s o s)
para garantizar la durabilidad de la base de datos, no supone ms overhead.

Postgres adems sabe cmo interpretar estos registros (proceso de recuperacin,

wal writer, checkpoint) por lo que la implementacin es muy sencilla.
Los registros de WAL pueden enviarse a la rplica por ficheros (WAL shipping) o por
la red (streaming) Replicacin basada en WAL
Hot standby permite que una base de datos postgres en modo recuperacin
acepte consultas de slo lectura durante dicho proceso de recuperacin. Disponible
desde PostgreSQL 8.4 Abre la puerta a escalabilidad horizontal de las consultas de
lectura en un esquema de replicacin. No es trivial: qu sucede si mientras una
query larga se ejecuta en un esclavo llega un DML de DROP TABLE? Se puede
retrasar la aplicacin del cambio o cancelar la query. Permite tener esclavos
retrasados para solucionar fallos humanos. Hot standby
Iniciar el esclavo. Se podr comprobar en los logs que comienza primero a
recuperar la base de datos a partir del backup, y que posteriormente entra en un
bucle continuo de esperar a que aparezcan nuevos ficheros WAL y aplicarlos.
Configuracin de WAL shipping (II)
WAL shipping tiene dos inconvenientes:

Hasta que un WAL no rota, no se copiar y procesar al esclavo, por lo que

hay una ventana de potencial prdida de datos.
Requiere interaccin con un mecanismo externo para la copia de los ficheros.

Configuracin de alta disponibilidad de DB2

En este tema se proporciona informacin sobre la alta disponibilidad de DB2.
Cuando est configurada la migracin tras error para los servidores de datos de
TBSM, no significa que DB2 tambin est en migracin tras error. Tambin, es
posible tener establecida la migracin tras error de DB2 sin migracin tras error de
TBSM. En este caso, TBSM puede configurarse para replicacin DB2 utilizando la
plantilla fo_config y no establecer un host de servidor de datos de seguridad, sino
establecer un host de DB2 de seguridad.
La forma recomendada para configurar la migracin tras error para DB2 en un
entorno de TBSM es mediante la utilizacin de Recuperacin tras desastre y alta
disponibilidad (HADR). Esto replica automticamente todos los cambios desde la
base de datos activa a la base de datos en espera, de tal manera que, cuando la
base de datos en espera toma el control, tiene los mismos datos que se estaban en
la base de datos activa. Puede encontrar una descripcin detallada sobre el
procedimiento de configuracin de HADR en el redbook de IBM en:
http://www.redbooks.ibm.com/redbooks/pdfs/sg247363.pdf
Siga estas directrices cuando configure HADR:

Los sistemas primario y en espera deben tener el mismo sistema operativo y

nivel.
Asegrese de que los sistemas primario y en espera tengan el mismo
sistema operativo y nivel.
Credenciales de usuario primario y en espera
Debe asignar el mismo nombre de usuario y contrasea de los propietarios
de instancia en los servidores DB2 primario y secundario.
Notas de captulo de configuracin de HADR
La seccin sobre la configuracin de HADR en la interfaz de usuario se
describe en el captulo configuracin de HADR del redbook.

La configuracin se inicia con la ejecucin de db2cc, pulsando con el

botn derecho del ratn la base de datos de TBSM y seleccionando la
opcin para Recuperacin tras desastre de alta disponibilidad.
Debe configurar HADR de forma independiente en cada base de datos
donde desee migracin tras error. En una instalacin de TBSM normal
hay dos bases de datos: la base de datos de TBSM (que, de forma
predeterminada, contiene toda la configuracin de TBSM) y la base de
datos de TBSMHIST (que, de forma predeterminada, contiene datos
de historial de medidas).
Para la mayora de los pasos restantes, debe poder seguir las
instrucciones que se describen en el redbook. En la pantalla de
nombre Copiar objetos al sistema en espera (p.64), simplemente
puede pulsar Siguiente y no configurar nada.

En la pantalla de nombre "Especificar modo de sincronizacin para

grabacin de registro de estado similar", seleccione "Sncrono
cercano" como el modo de sincronizacin.
En la pantalla de nombre Especifique parmetros de comunicacin de
TCP/IP (p. 65) escriba los nombres de dominio completos en lugar de
direcciones IP o nombres de host abreviados. La captura de pantalla
del redbook (p. 67) no contiene la configuracin de Ventana de igual
en la parte inferior de esta pantalla. Debe establecer este valor
en 60 (no lo deje en 0, que es el valor predeterminado).

El HADR de DB2 no proporciona una toma de control automtica de la

base de datos en espera cuando la base de datos primaria pasa a estar no
disponible. Para habilitar la migracin tras error automtica para DB2, se
debe configurar TSA (Tivoli System Automation). Lea las directrices para
sistemas UNIX y Windows

FIREWALL EN ALTA DISPONIBILIDAD

1-Alcances
Se describir en este documento las ventajas y la configuracin de una estructura
de firewall en alta disponibilidad, utilizando herramientas OpenSource.
2 Ventajas
Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas:
Continuidad de servicio frente a fallas de hardware.
Posibilidad de usar hardware standard (PC clone) para funciones crticas.
Permitir actualizaciones de software sin interrupcin del servicio.
Si adems se puede contar con ms de una conexin a internet, puede
continuarse el servicio an frente a una cada de uno de los enlaces.
Firewall stateful. Sincronizacin de estados de conexiones.
Un firewall stateful es aquel que lleva un control de las conexiones establecidas, de
manera que puede determinar si un paquete pertenece o no a una conexin. Si se
determina que pertenece a una conexin, se lo acepta sin necesidad de validarlo
contra las reglas. Esto brinda una notable mejora de performance.
Cuando se quiere establecer una configuracin de alta disponibilidad, es necesario
contar con un mecanismo para que el firewall que est inactivo (backup) tenga
informacin de las conexiones ya establecidas.
Si esto no ocurre, en caso de falla del firewall principal cuando el de backup tome
su lugar cancelar todas las conexiones ya establecidas.
3 Propuesta
La propuesta contemplar los siguientes aspectos:
1 Instalar una estructura de firewall con equipos redundantes.
2 Contar con al menos dos accesos internet,
provistos por distintos proveedores (ISP).
3 Frente a una falla el usuario no debe tener ninguna interrupcin de su conexin.
4 Posibilidad de usar los dos enlaces internet uno como activo y el otro como
backup o tenerlos ambos activos.
4 Implementacin
Para la estructura de firewall redundantes la propuesta es realizarlo con una
instalacin basada en el sistema operativo OpenBSD.
La decisin de usar OpenBSD se basa en varios aspectos:

Sistemas operativo muy estable y totalmente orientado desde su concepcin

hacia la seguridad.

Software de filtrado de paquetes pf, muy sencillo de usar y con muchas

funcionalidades integradas.
Configuracin de alta disponibilidad usando el protocolo CARP, estabilizada
desde hace varias versiones.
Pseudointerface pfsync que permite configurar un firewall "stateful" en alta
disponibilidad.
Instalacin muy sencilla, que ocupa poco espacio en disco y con
requerimientos de hardware mnimos.

Ampliando los puntos anteriores:

1. OpenBSD es uno de los sistemas operativos ms seguros y bien diseados
disponibles actualmente.
Pese a que las races de este sistema operativo se remontan a los aos 70
en los primeros das de UNIX, OpenBSD ha evolucionado siendo en la
actualidad un sistema con un fuerte desarrollo y muy usado en gran cantidad
de instalaciones. BSD (Berkeley Software Distribution) fue una derivacin del
Unix de AT&T a fines de los aos 70. A partir de BSD a principios de
los aos 90 se derivaron NetBSD y FreeBSD.
Theo de Raadt, que es todava el lider del proyecto, se separ del proyecto
NetBSD en Octubre de 1995 y liber la versin 2.0 de OpenBSD a
mediados de 1997.
El objetivo del proyecto es disponer de un sistema operativo compacto,
muy bien documentado y con extremo cuidado en temas de seguridad.
2. pf es el software de filtrado de paquetes (packet filter) de OpenBSD.
Adems de filtrar trfico TCP/IP puede hacer tambin traslacin de
direcciones (NAT Network Address Traslation), tambien incluye la funcin de
normalizacin de trfico TCP/IP, as como control de ancho de banda.
La sintaxis es muy intuitiva y permite realizar firewall potentes con
archivos de configuracin sencillos.
As como todo el proyecto OpenBSD, tiene una excelente documentacin.
Est disponible en el kernel genrico desde el ao 2001 (versin OpenBSD
3.0) por lo que es muy estable y probado. A travs de los aos se le han
agregado muchas funcionalidades.

3. El propsito de CARP (Common Address Redundancy Protocol) es el de

permitir que varios hosts en el mismo segmento de red, compartan una
direccin IP. CARP es una alternativa gratis a VRRP (Virtual
Router Redundancy Protocol) y HSRP (Hot Standby Router Protocol)
El grupo de hosts que comparte una direccin IP se denomina "grupo de
redundancia".
Dentro de un grupo un host se designa como master y los dems como
backups. El host master es quien responde al trfico dirigido a la direccin

IP compartida. En caso de falla del master, el host backup de mayor prioridad

es quien pasa a tener identidad de master.
4. La interface virtual pfsync expone los cambios en la tabla de estados usada
por pf. Si esta interface virtual se asocia a una interface fsica
estos cambios de estado ser transmitidos a otros hosts, de manera que
todos los hosts de un grupo puedan tener la informacin de la tabla de
estados del host master.
En caso de tener que tomar su lugar las conexiones pueden seguir sin
interrupcin. Esto permite configurar firewalls stateful en alta disponibilidad.
5. La instalacin de OpenBSD que permite
configurar todas estas opciones es muy rpida, ocupa muy poco espacio en
disco y tiene bajos requerimientos de hardware.

Detalles de la implementacin En el siguiente grfico se representan

los esquemas de conexin de una instalacin de un firewall que tiene:

Dos equipos en alta disponibilidad

Dos proveedores de internet
Una zona desprotegida. EXTERNA
Una zona desmilitarizada. DMZ
Una zona protegida. INTERNA
En cada una de las interfaces, cada equipo tiene su propia direccin IP y a su
vez hay una direccin IP de cada interface carp. Esta es la direccin IP que "ven"
los dems equipos conectados.
Esto es:

if1= interface de cada equipo en la red del ISP1.

carp1 = interface del conjunto en la red del ISP1.

if2 = interface de cada equipo en la red del ISP2

carp2 = interface del conjunto en la red del ISP2
if3 = interface de cada equipo en la DMZ
carp3 = interface del conjunto en la DMZ
if4 = interface de cada equipo en la red interna
carp4 = interface del conjunto en la red interna
if5 = interface entre cada equipo

Las interfaces if tienen una IP distinta en cada equipo.

Las interfaces carp tienen una ip nica.

Como decamos antes, en esta configuracin uno de los equipos se configura como
master y es quien "maneja" la IP virtual de cada interface.
El otro equipo se configura como backup y solo empieza a funcionar ante la falla del
master.
Se utiliza una interface que vincula ambos equipos, que para tener baja latencia y
seguridad suele ser simplemente un cable de red cruzado, es por donde se
transfieren los paquetes de pfsync, para mantener las tablas de estado
sincronizadas.
Cmo se entera el host backup que el host master est activo?
La caracterstica del protocolo carp es que los equipos que son master se anuncian
como activos enviando a intervalos regulares paquetes de datos.
Para usar carp, se necesita configurar en cada interface de cada host un Virtual
Host ID (VHID), una direccin IP virtual y adems dos parmetros que son advbase
y advskew, que controlan cuan frecuentemente se enva un anuncio.
Cuando un host recibe anuncios con un advbase menor al propio, supone que otro
host est actuando como master.
Cuando deja de recibirlos, comienza a enviar los anuncios, indicando que ahora ese
host tiene la funcin de master.
Si se quieren tener varios host backup, se define la prioridad con que deben
actuar como master asignando valores crecientes del parmetro advbase.
Todos los parmetros de configuracin de carp, se asignan con el comando ifconfig
que en este sistema operativo maneja todos los tipos de interfaces tanto sean
reales como virtuales. Esto simplifica muchsimo la configuracin.
Para ms detalles ver: man (8) ifconfig
A modo de ejemplo, veamos la configuracin de la interface con uno de los dos ISP.
En el equipo master:

ifconfig if1 201.202.203.204 netmask 255.255.255.0

ifconfig carp1 201.202.203.210 vhid 1 advsbase 0 pass 1234 carpdev if1

En el equipo backup:

ifconfig if1 201.202.203.205 netmask 255.255.255.0

ifconfig carp1 201.202.203.210 vhid 1 advsbase 10 pass 1234 carpdev if1

El significado de los parmetros es el siguiente:

if1: nombre de la interface fsica (ver Nota)

carp1: nombre de la interface virtual
201.202.203.204: direccin IP del host master
201.202.203.205: direccin IP del host backup
201.202.203.210: direccin IP de la interface virtual
vhid: virtual host id
advbase: valor base que determina si el host es master o backup
pass: password que se usa para la autenticacin de los mensajes
carpdev: interface fsica asociada

en OpenBSD a diferencia de Linux el nombre de una interface depende del driver

del kernel que la maneje. O sea la primer interface no ser eth0 siempre, sino que
variar dependiendo de la marca y modelo de la tarjeta de red. (Ejemplo: em0 si
es una tarjeta Intel 10/100/1000, xl0 si es una tarjeta 3COM 3c9xx).
Para que los comandos de configuracin de cada interface se tomen en el boot,
debe existir por cada una de las interfaces un archivo /etc/hostname.if, donde se
deben incluir los parmetros que recibe el comando ifconfig.
Se pueden incluir parmetros adicionales que fijen por ejemplo el modo de
operacin de la interface (100 MB FullDuplex, etc) y tambien ejecutar comandos en
el momento de la inicializacin de la interface.
Para ms detalles ver: man (5) hostname.if
firewall stateful y pfsync
Una de las grandes ventajas de utilizar OpenBSD, es que est resuelto en forma
muy confiable y sencilla el mecanismo para que el o los firewall de backup tengan
conocimiento de los estados establecidos en el firewall master. Esto, como
dijimos antes, permite configurar reglas que generen estado y que en caso de falla
las conexiones establecidas no se vean afectadas. Para esto se usa la pseudointerface pfsync. Puede fcilmente asociarse pfsync con una interface fsica. Para
que los firewall mantengan sincronizadas sus tablas de estado, ser necesario
solamente crear en cada equipo un archivo /etc/hostname.pfsync0, con el siguiente
contenido:
/etc/hostname.pfsync0:

up syncdev if5

if5 es el nombre de la interface que se dedica a esta sincronizacin.

Cmo manejar dos proveedores de internet?

Una alternativa es tener un proveedor principal y otro de backup. Mientras el
proveedor principal est activo se enva el trfico por esta conexin y si se detecta
una falla se comienza a enviar por el de backup.
Otra alternativa es que ambas conexiones estn activas simultneamente. Si bien
es perfectamente posible enviar el mismo tipo de trfico por ambas interfaces, esto
a veces trae inconvenientes con sitios seguros en los cuales se validan
las direcciones IP de origen.
Una alternativa interesante es manejar por cada enlace distintos tipos de trfico.
Por ejemplo, trfico de navegacin (http y https) por un ISP y trfico de mail
y otros protocolos por otro ISP. En caso de falla de cualquiera de los enlaces, se
puede manejar todo el trfico por el restante.
Cmo puede hacerse este ruteo variable?
Todas estas funcionalidades pueden manejarse directamente con pocas reglas del
sistema de filtrado de paquetes pf.
Esta capacidad del filtrado de paquetes de OpenBSD es lo que brinda muchas
posibilidades de implementacin.
Supongamos los siguientes requerimientos:

Permitir desde la red interna acceso hacia internet de los puertos de http y
https. Rutear este trfico por el ISP1.
Permitir desde la red interna acceso hacia internet de los puertos de pop3 y
smtp. Rutear este trfico por el ISP2.
No permitir trfico iniciado en internet hacia la red interna.

Veamos algunas reglas para obtener esta funcionalidad.

# Variables
ext_if1 = "if1"

# interface donde se conecta el ISP1

ext_if2 = "if2"

# interface donde se conecta el ISP2

int_if = "if3"

# interface donde se conecta la red interna

www_ports = "{" 80 443 "}"

mail_ports = "{" 25 110 "}"

# ports permitidos para navegacin

# ports permitidos para mail

# NAT de cualquier server de la red interna con la IP de la interface externa

# correspondiente a cada ISP
nat on $ext_if1 from $int_if:network to any > $ext_if1
nat on $ext_if2 from $int_if:network to any > $ext_if2

# Inicialmente se bloquea todo el trfico de entrada.

block in log
# Pese a que pf puede bloquear tanto el trfico de entrada o de salida, es ms
# simple filtrar en una direccin.
# Elegimos filtrar el trfico de entrada. Una vez que se permite el trfico de entrada
# en una interface, no se bloquea su salida. La opcin keep state, indica que se #
genere un estado para las conexiones (firewall stateful)
pass out keep state

# Aceptamos en la interface interna trfico http y https y se rutea por ISP1

pass in on $int_if routeto ($ext_if1) inet proto tcp from $int_if:network to any port \
$www_ports keep state
# Aceptamos en la interface interna trfico smtp y pop3 y se rutea por ISP2
pass in on $int_if routeto ($ext_if2) inet proto tcp from $int_if:network to any port \
$mail_ports keep state
Se puede observar que con muy pocas reglas (6 en total) se obtiene la
funcionalidad deseada.
Cmo detectar fallas de un ISP y como cambiar las reglas de filtrado?
Para detectar la cada de una conexin se dispone de ifstated. Este daemon puede
monitorear las interfaces y a su vez ejecutar comandos externos para monitorear
conexiones. Depender de cada tipo de conexin como se monitoree. Una vez que
se detect la cada de un ISP, es necesario cambiar las reglas de filtrado para
redireccionar el trfico. Esto nuevamente puede hacerse utilizando una
funcionalidad de pf, que en este caso es el concepto de anchor, que permite
tener reglas definidas que pueden cargarse y descargarse en forma dinmica sin
necesidad de hacerlo con el juego completo de reglas, ya que esto afectara
las conexiones existentes, que se estn cursando por el ISP que no fall.
Veamos esto en ms detalle:
El daemon ifstated puede ejecutar comandos en respuesta a cambios en el estado
de las interfaces. El estado de las interfaces puede determinarse monitoreando el
estado del link o ejecutando comandos externos.
Tiene un archivo de configuracin que es /etc/ifstated.conf
ifstated tiene definidos 3 estados posibles para un link, que son:
up: La interface fsica tiene conexin activa. Para una interface carp, representa que
interface est como master.

down: La interface fsica no tiene conexin activa. Para una interface carp,
representa que la interface est como backup.
unknown: No se puede determinar el estado de la conexn fsica. Para una interface
carp esto representa el estado init.
En muchos casos esta informacin no es suficiente. En nuestro caso en particular,
perfectamente podemos tener link hacia el router que nos conecta con un ISP y este
router no tener conexin hacia internet. Se necesita alguna forma externa de
verificar esta conexin.
ifstated permite ejecutar comandos externos y tomar acciones verificando el
status que estos comandos retornen.
Por ejemplo haciendo un ping de unos pocos paquetes hacia un server conocido,
puede indicar si la conexin est activa.
Dentro de ifstated.conf, se pueden definir variables como las siguientes:
carp_up = "carp0.link.up && carp1.link.up"
net = '( "ping q c 1 w 1 192.168.0.1 > /dev/null" every 10 && \
"ping q c 1 w 1 192.168.0.2 > /dev/null" every 10 )'
La variable carp_up, depende de los estados de dos interfaces carp. En este caso
en que sea master en ambas interfaces.
La variable net, depende de la conectividad con dos IP. Para verificar esto se enva
un ping con una frecuencia de 10 seg (palabra clave every).
Estados en ifstated
ifstated opera con estados y transiciones.
Cada estado tiene una bloque de inicio y un cuerpo.
El bloque de inicio, se utiliza para inicializar el estado y se ejecuta cada vez que se
ingresa en este estado.
El cuerpo del estado solo se ejecuta cuando el estado es el actual y ocurre un
evento.
Las acciones a tomar dentro de un cierto estado normalmente implican uno o ms
sentencias if. Las posibles acciones incluyen ejecutar un comando usando run o
disparar una transicin con setstate.
Como ejemplo mostramos del archivo de configuracin usado en la
implementacin.
# Test de ISP1 e ISP2
ISP1 = '( "/etc/ifstated.scripts/test_isp isp1" every 30 )'
ISP2 = '( "/etc/ifstated.scripts/test_isp isp2" every 30 )'

# Ambos ISP activos

state bothup { init { run "/etc/ifstated.scripts/start" } if (! $ISP1 && $ISP2) setstate
ISP1down if ! $ISP2 && $ISP1 setstate ISP2down if ! ($ISP1 || $ISP2) setstate
bothdown }
# Falla ISP1 state ISP1down { init { run "/etc/ifstated.scripts/isp2" } if ($ISP1
&& $ISP2) setstate bothup if ! ($ISP1 || $ISP2) setstate bothdown if ! $ISP2
&& $ISP1 setstate ISP2down }
# Falla ISP2 state ISP2down { init { run "/etc/ifstated.scripts/isp1" } if ($ISP2
&& $ISP1) setstate bothup if ! ($ISP1 || $ISP2) setstate bothdown if ! $ISP1
&& $ISP2 setstate ISP1down }
# Ambos ISP con falla state bothdown { init { run "/etc/ifstated.scripts/start" } if ($ISP2
&& $ISP1) setstate bothup if ($ISP1 && ! $ISP2) setstate ISP2down if ($ISP2 && !
$ISP1) setstate ISP1down }
En el script test_isp se ejecuta para cada ISP un ping a dos direcciones conocidas.
Previamente se setearon las rutas necesarias.
Con que al menos una de las dos direcciones responda el ping, se considera que
el ISP est activo.
En los scripts isp1 e isp2 se cambian las reglas de pf, de manera de enviar el tipo de
trfico normalmente enviado por el ISP que fall, por el que qued activo.
Para evitar cargar todas las reglas nuevamente, se usa el concepto de anchor que
tiene pf.
Ms all del juego principal de reglas, pf puede cargar reglas adicionales, en puntos
denominados anchors.
Un anchor puede incluir reglas, variables e incluso otros anchor. La ventaja de este
esquema es que las reglas que tiene el anchor pueden estar fijas con anterioridad o
modificarse en forma dinmica, pero en cualquier caso pueden cargarse y
descargarse sin afectar las otras reglas, ni los estados ya establecidos.
Para el ejemplo anterior, podran agregarse 2 anchor luego de las reglas de filtrado,
de manera que quedaran como sigue:
# Aceptamos en la interface interna trfico http y https y se rutea por ISP1
pass in on $int_if routeto ($ext_if1) inet proto tcp from $int_if:network to any port \
$www_ports keep state
# Aceptamos en la interface interna trfico smtp y pop3 y se rutea por ISP2
pass in on $int_if routeto ($ext_if2) inet proto tcp from $int_if:network to any port \
$mail_ports keep state
# Anchor por falla de isp1
anchor isp1

# Anchor por falla de isp2

anchor isp2
En este caso tendramos dos archivos, con las reglas que debe cargar cada anchor.
Por ejemplo:
/etc/anchor.isp1, debera tener el siguiente contenido:
# Variables
ext_if1 = "if1"

# interface donde se conecta el ISP1

ext_if2 = "if2"

# interface donde se conecta el ISP2

int_if = "if3"

# interface donde se conecta la red interna

www_ports = "{" 80 443 "}"

mail_ports = "{" 25 110 "}"

# ports permitidos para navegacin

# ports permitidos para mail

# Aceptamos en la interface interna trfico http y https y se rutea por ISP2

pass in on $int_if routeto ($ext_if2) inet proto tcp from $int_if:network to any port \
$www_ports keep state
/etc/anchor.isp2, debera tener el siguiente contenido:
# Variables
ext_if1 = "if1"

# interface donde se conecta el ISP1

ext_if2 = "if2"

# interface donde se conecta el ISP2

int_if = "if3"

# interface donde se conecta la red interna

www_ports = "{" 80 443 "}" # ports permitidos para navegacin

mail_ports = "{" 25 110 "}" # ports permitidos para mail
# Aceptamos en la interface interna trfico smtp y pop3 y se rutea por ISP1
pass in on $int_if routeto ($ext_if1) inet proto tcp from $int_if:network to any port \
$mail_ports keep state
Un par de observaciones:
En los anchor no se trasladan las definiciones de MACROS (variables) que se
hayan hecho en la regla principal, por lo que debe ser includas en cada definicin.
En pf es la ltima regla que valide la que se toma en cuenta.
De esta manera los archivos /etc/ifstated.scripts/isp1 y /etc/ifstated.scripts/isp2, que
se ejecutan en /etc/ifstated.conf, tendrn las siguientes instrucciones para
cambiar los reglas de filtrado:
isp1: pfctl a isp1 f /etc/anchor.isp1
isp2: pfctl a isp2 f /etc/anchor.isp2

A esto puede ser necesario cambiar rutas o algna otra configuracin asociada con
un dado ISP.
El esquema es muy flexible y el mostrado es solo una de las opciones posibles.
Con este artculo se muestra las posibilidades de implementacin de un firewall
redundante, usando OpenBSD. Como adicional puede configurarse el firewall como
concentrador de VPNs usando IPSec. El sistema operativo tiene soporte
IPSec nativo, usando el daemon isakmpd y el comando de configuracin ipsecctl.
Valga aclarar que tambien puede hacerse que este concentrador funcione en alta
disponibilidad, ya que se dispone del daemon sasyncd que permite mantener la
informacin de las VPNs establecidas en el firewall de backup.
Se recomienda consultar el sitio de OpenBSD (www.openbsd.org) donde se
encontrar excelente documentacin e incluso los manuales de
los respectivos comandos y archivos de configuracin.
Cabe aclarar que todo lo descripto ha sido probado en la prctica y est
funcionando en la actualidad en ms de una organizacin y ha mostrado
sus capacidades reales.

Ccnp switch: alta disponibilidad y redundancia, hsrp,vrrp y

glbp
First Hop Redundancy Protocols:
HSRP, VRRP Y GLBP son protocolos de redundancia de gateway, cuyo propsito es
que si la puerta de enlace de una vlan o red cae, otro switch o router
automticamente asuman el control de dicha puerta de enlace, evitando as una
cada en la red para los equipos que usan esa gateway. El funcionamiento consiste
en que un grupo de switchs, routers sean configurados para que entre ellos
formen un router virtual, con una IP, en cuyo grupo un switch o router asume el
control de principal, si este cae, otro switch o router del grupo asume su control con
la misma IP, por lo que los usuarios cuya puerta de enlace sea esa IP, podrn
continuar comunicndose sin problemas. HSRP, VRRP y GLBP se basan en ofrecer
ese servicio, pero cada uno con caractersticas determinadas.

HSRP (Hot Standby Router Protocol):

HSRP es un protocolo propietario de Cisco. En HSRP un grupo de switch de capa 3
o routers formn uno virtual, con el fin de dar redundancia de puerta de enlace. Los

switchs tienen dos roles, activo, que es el que est actuando como puerta de enlace
activa de los equipos, y standby, que es el que en caso de que el activo caiga, el
standby toma su rol y se convierte en activo. El activo ser el switch que tenga una
prioridad mayor, por defecto todos switchs tienen una prioridad de 100, pero se
puede cambiar. Si varios switchs tienen la misma prioridad, el activo ser el que
tenga una IP mayor configurada en su interfaz.
En standby slo puede haber un switch, que ser el siguiente en mayor prioridad al
activo, o el siguiente en IP ms alta en su interfaz. Cuando el activo cae, el standby
pasa a ser activo, y se recalcula otro standby en el grupo de switchs que forman el
router virtual.
Cuando se usa HSRP y STP a la vez, hay que tener en cuenta que el switch activo
de HSRP sea el mismo que el switch root Bridge de STP, as nos evitamos
problemas de bucles. Esto lo logramos poniendo a ese switch una prioridad HSRP
mayor que la de los dems switchs del grupo.

Para configurarlo seguimos estos pasos

1.- Accedemos a la interfaz (SVI) del switch para el cual queramos dar redundancia
de puerta de enlace, con el comando interface vlan id desde el modo de
configuracin global, por ejemplo, si queremos dar redundancia de gateway a los
equipos pertenecientes a la vlan 10, entraremos a la SVI interface vlan 10
2.- Ponemos una IP a la interfaz con el comando ip addess ip mascaradentro
del modo de configuracin de la SVI. En caso de que los switchs tengan la misma
prioridad, esta IP determinar quien sera el activo y el standby, la IP ms alta el
activo y la segunda ms alta el standby.

3.- Creamos el grupo y la IP para el router virtual con el comando standby num
grupo ip ip router virtual, dentro del modo de configuracin de la SVI. En num
grupo ponemos el nmero de grupo al que pertenece esa interfaz para HSRP. Todos
los switchs que tengan el mismo grupo configurado formarn el router virtual. En ip,
ponemos la IP virtual, esta IP es la que tenemos que configurar a los equipos como
puerta de enlace.
Se pueden configurar varios grupos en un mismo switch. Por ejemplo, el grupo 10
para la vlan 10 y el grupo 20 para la vlan 20.
4.- (OPCIONAL) Establecemos la prioridad del switch para ese grupo de HSRP,
cuanto mas alta sea, mas opciones de que se convierta en activo. Si no
configuramos la prioridad, se queda con el valor por defecto que es 100. Se hace
con el comando standby num grupo priority valor, dentro del modo de
configuracin de la SVI.
5.- (OPCIONAL) Se configura el preempt para el grupo. El preempt indica al switch
que si se incorpora otro switch al grupo, con mayor prioridad que la que tiene el

activo, el nuevo switch pase a ser activo Con el preempt activado se vuelven a
recalcular el switch activo y el standby en caso de que un nuevo switch sea
incorporado al grupo. Si no configuramos preempt, aunque se incorpore un switch
con mayor prioridad al grupo, seguir como activo el que lo est siendo
actualmente, sin preempt la unica forma de recalcular de nuevo el activo y el
standby es que el activo caiga. Para configurarlo se usa el comando standby num
grupo preempt, dentro del modo de configuracin de la SVI.
6.- (OPCIONAL) Podemos agregar autenticacin al grupo con el comandostandby
num grupo authentication password, dentro del modo de configuracin de la
SVI. Cuando no se configura este parmetro, la contrasea usada por defecto entre
los switchs es cisco.
7.- (OPCIONAL) Configurar los intervalos de tiempo con los que los switchs del
grupo se envan los mensajes hello y holdtime. El holdtime es el tiempo que tiene
que pasar para para que un switch de por caido a otro si no ha recibido mensajes
hello en ese tiempo. Si no se configura este comando, por defecto el tiempo de los
mensajes hello es de 3seg y el del holdtime de 10seg. Para configurar los tiempos
se usa el comando standby num grupo timers msec seg para hello msec
seg para holdtime, dentro del modo de configuracin de la SVI. Por ejemplo,
standby 10 timers msec 250 msec 750 establece un tiempo de hello de 250 msec y
un tiempo de holdtime de 750msec para los switchs del grupo 10.
8.- (OPCIONAL) Configurar Tracking. Con el tracking lo que conseguimos es ajustar
automticamente la prioridad del switch en caso de la alguna interfaz (las que
configuremos con track) caiga. Por ejemplo, si un switch que esta como activo, tiene
un enlace a Internet a travs de su Fa0/1, si esta interfaz cae, el switch seguiria
siendo activo pero no dara servicio a Internet porque el enlace esta caido. Lo que
conseguimos con track, es bajar la prioridad del switch en caso de que alguna
interfaz falle, de esta forma y con el ejemplo anterior, si la Fa0/1 cae, la prioridad del
switch baja, y pasara a ser activo otro switch del grupo, que probablemente s tenga
el enlace a Internet activo. Para que el track funcione correctamente tambin
tenemos que tener activada la opcin preempt, para que pueda haber un cambio de
switch activo.
El track se configura con el comando standby num grupo track interfaz num
de decremento de prioridad, dentro del modo de configuracin de la SVI. Por
ejemplo, standby 10 track Fa0/1 50 indica que la prioridad del grupo se debe bajar
en 50 para el grupo 10 si la interfaz fa0/1 falla.

EJEMPLO de configuracin completa para HSRP:

En el ejemplo tenemos dos switchs, con los que configuraremos un router virtual
para los equipos de la vlan 10, El switch A tiene lo configuraremos como activo con
una prioridad de 110 y el switch B como standby con una prioridad de 90. Darn
servicio de gateway redundante a la red 192.168.1.0, as que la IP debe destar
dentro de ese rango.

El switch A que es el activo, a travs de su interfaz Fa0/24 tiene acceso a Internet,

as que si este enlace falla, tenemos que bajar automticamente la prioridad al
switch en 50, de tal forma que el B pase a ser el activo.
La contrasea de autenticacin para el grupo tiene que ser prueba.

---- Configuracin del Switch A ---SwitchA(config)# interface vlan 10 ...Entramos a la configuracion de la interfaz de
la vlan 10 ya que es a los equipos de esta vlan a los que queremos dar un gateway
redundante.
SwitchA(config-if)# ip address 192.168.1.2 255.255.255.0 ...Establecemos una IP
a la interfaz SVI
SwitchA(config-if)# standby 10 ip 192.168.1.1 ...Aadimos el switch al grupo
HSRP 10 e indicamos la IP virtual del grupo, esta IP es la que se tiene que
configurar en los equipos de la vlan 10 como puerta de enlace.
SwitchA(config-if)# standby 10 priority 110 ...Configuramos la prioridad del switch.
SwitchA(config-if)# standby 10 preempt ...Activamos el preempt, necesario para
que si se encuentra otro switch en el grupo con prioridad mayor, pase a ser activo
(en este caso si la interfaz fa0/24 falla se baja en 50 la prioridad, asi que el switch B
pasara a ser activo).
SwitchA(config-if)# standby 10 authentication prueba ...Definimos la
autenticacin
SwitchA(config-if)# standby 10 track fa 0/24 50 ...Configuramos el tracking para la
interfaz 0/25, si falla, se baja en 50 la prioridad del switch.

---- Configuracin del Switch B ---SwitchB(config)# interface vlan 10 ...Entramos a la configuracion de la interfaz de
la vlan 10 ya que es a los equipos de esta vlan a los que queremos dar un gateway
redundante.
SwitchB(config-if)# ip address 192.168.1.3 255.255.255.0 ...Establecemos una IP a
la interfaz SVI

SwitchB(config-if)# standby 10 ip 192.168.1.1 ...Aadimos el switch al grupo HSRP

10 e indicamos la IP virtual del grupo, esta IP es la que se tiene que configurar en
los equipos de la vlan 10 como puerta de enlace.
SwitchB(config-if)# standby 10 priority 90 ...Configuramos la prioridad del switch.
SwitchB(config-if)# standby 10 preempt ...Activamos el preempt, necesario para
que si se encuentra otro switch en el grupo con prioridad mayor, pase a ser activo.
SwitchB(config-if)# standby 10 authentication prueba ...Definimos la
autenticacin

Comando de ayuda para HSRP:

Switch# show standby brief ...Muestra informacion sobre los grupos configurados,
si el switch esta como activo en algun grupo, ip virtual de cada grupo etc
Switch# show standby ...Muestra informacin mas detallada sobre todos los
grupos de HSRP que tengamos configurados en el switch.

VRRP (Virtual Router Redundancy Protocol):

La finalidad de VRRP es la misma que la de HSRP, dar servicio de redundancia de
gateway, con varias diferencias
-

HSRP es propietario de Cisco, VRRP es un IEEE estandar.

En HSRP se pueden configurar 16 grupos como maximo, en VRRP 255.

HSRP usa un switch como activo y otro como standby, VRRP usa un switch
como master, y todos los dems como backups.

Los tiempos de hello y holdtime son mas cortos en VRRP.

VRRP soporta encriptacin en la autenticacin (HMAC/MD5).

Cuando el switch que esta como master cae, uno de los que est en backup toma el
rol de master, para determinar que switch toma el control, se lleva a cabo un calculo
entre todos ellos en los que entran en juego diferentes intervalos de tiempo como el
skew time la prioridad etc (ver pagina 313). En definitiva, todos los switchs
hacen un calculo, y a el que menos tiempo le de, es el primero en enviar paquetes al
resto de switchs, por lo cual se convierte en master.

Los intervalos de tiempo de hello tambin se pueden configurar en VRRP, a

diferencia de HSRP, en VRRP se configuran en el master y los backups aprenden
esos intervalos del master

Pasos para configurar VRRP.

1.- Accedemos a la interfaz (SVI) del switch para el cual queramos dar redundancia
de puerta de enlace, con el comando interface vlan id desde el modo de
configuracin global, por ejemplo, si queremos dar redundancia de gateway a los
equipos pertenecientes a la vlan 10, entraremos a la SVI interface vlan 10
2.- Ponemos una IP a la interfaz con el comando ip addess ip mascaradentro
del modo de configuracin de la SVI.
3.- Habilitamos VVRP en la interfaz con el comando vrrp num grupo ip ip
virtual, dentro del modo de configuracin de la interfaz.
4.- (OPCIONAL) Definimos la prioridad del Switch para ese grupo con el
comandovrrp num grupo priority prioridad, dentro del modo de configuracin
de la interfaz. Si no se configura este comando, la prioridad por defecto es 100 para
todos los switch, en ese caso pasara a ser master el que mayor IP tenga
configurada en su interfaz.
5.- (OPCIONAL) Definimos los intervalos de tiempo de hello. Para ello en en master
lo hacemos con el comando vrrp num grupo timers advertise msec seg y los
backups con el comando vrrp num grupo timers learn, para que lo aprendan del
master.

EJEMPLO de configuracin completo de VRRP.

En el ejemplo tenemos 2 switchs que darn servicio de puerta de enlace redundante

a los equipos de la vlan 1. El switch A tiene que ser el master con una prioridad de
110 y el Switch B el backup con una prioridad de 90. La IP del router virtual tiene
que ser 10.0.2.254.

---- Configuracin en el Switch A ---SwitchA(config)# interface vlan 10 ...Interfaz de la vlan a la cual se le dara puerta
de enlace redundante
SwitchA(config-if)# ip address 10.0.2.1 255.255.255.0 ...Ip de la interfaz de la vlan
10
SwitchA(config-if)# vrrp 10 ip 10.0.2.254 ...Ip virtual para el grupo 10 de vrrp, Es la
IP que se le tiene que configurar a los equipos como puerta de enlace.
SwitchA(config-if)# vrrp 10 priority 110 ...La prioridad del switch para el grupo 10
SwitchA(config-if)# vrrp 10 timers advertise msec 500 ...El intervalo en msec de
envio de mensajes.

---- Configuracin en el Switch B ---SwitchB(config)# interface vlan 10 ...Interfaz de la vlan a la cual se le dara puerta
de enlace redundante
SwitchB(config-if)# ip address 10.0.2.2 255.255.255.0 ...Ip de la interfaz de la vlan
10
SwitchB(config-if)# vrrp 10 ip 10.0.2.254 ...Ip virtual para el grupo 10 de vrrp, Es la
IP que se le tiene que configurar a los equipos como puerta de enlace.
SwitchB(config-if)# vrrp 10 priority 90 ...La prioridad del switch para el grupo 10
SwitchB(config-if)# vrrp 10 timers learn ...Aprender del master los tiempos que
tiene que aplicar para el intercambio de mensajes entre los switchs del grupo.

Comandos de ayuda para VRRP:

Switch# show vrrp interface vlan id vlan ...Muestra todos los detalles de vrrp
para la interface de la vlan seleccionada, estado, ip virtual, mac, prioridad etc

Balanceo de carga en HSRP y VRRP:

HSRP y VRRP dan servicio de puerta de enlace redundante de la misma forma,
ambos crean un router virtual, formado por varios switchs que se integran en el
mismo grupo y con la misma IP virtual. El problema es que ambos protocolo slo
usan uno de esos switchs como activo o master, es decir, todo el trfico pasa por
ese switch, y si cae, se reenvia a otro, que sera el que toma el rol de activo o

master. Por lo tanto, HSRP y VRRP como protocolos en s no ofrencen balanceo de

carga.
Podemos lograr un balanceo de carga en el que participen dos switchs, con HSRP y
VRRP pero tenemos que configurarlo de forma manual, para ello, usamos dos
grupos dentro de la misma interfaz, por ejemplo la interface vlan 10, y configuramos
dos Ips virtuales dentro del mismo rango. Con dos IPS virtuales dentro del mismo
rango, logramos que por ejemplo para una vlan de 100 equipos, 50 equipos salgan
a traves de un switch y los otros 50 a travs del otro. Lo malo es que tenemos que
configurar como puerta de enlace en 50 equipos una ip virtual, y en los otros 50 la
otra IP virtual.
Por ultimo, tenemos que hacer un Switch como activo o master de un grupo (por
ejemplo grupo A), y standby o backup del otro (Grupo B) Y el otro switch a la
inversa, activo o master del grupo B, y standby o backup del grupo A. Para lograr
esto jugamos con las prioridades de ambos switchs en ambos grupos.

Ejemplo de balanceo de carga con VRRP:

Se crean dos grupos (10 y 11) para la vlan 10, con dos ips virtuales dentro de la
misma subred (10.0.0.1 y 10.0.0.2) y se configura un switch para que sea master del
grupo 10 y backup del 11. El otro switch se configura a la inversa, master de 11 y
backup de A. Los clientes se configuran con puertas de enlace de los dos routers
virtuales. Si por ejemplo, El switch B cae, los equipos 3 y 4 podran seguien
teniendo acceso a la red, porque el Switch A se colocara como master del grupo 11
(estaba como backup).

GLBP (Gateway Load Balancing Protocol):

GLBP es otro protocolo de puerta de enlace redundante como HSRP y VRRP, pero
la principal diferencia es que GLBP s ofrece balanceo de carga por s solo entre
varios switchs.
Para lograr esto, a parte de una IP virtual, tambin es necesario una MAC virtual
para cada uno de los switchs del grupo. De esta forma todos tendran la misma IP
virtual pero diferentes MACA los equipos se les configura como puerta de enlace
la IP virtual, y cuando estos hagan un ARP a esa IP (la primera comunicacin que
hacen) se les devuelve una MAC de algn switch miembro del grupo de GLBP, de
esta forma todos los equipos tendrian como puerta de enlace la misma IP, pero no
saldran todos a travs del mismo switch ya que en las respuestas del ARP a cada
equipo se le habr entregado una MAC diferente. Por ejemplo, si tenemos 3 switchs
(A,B y C) formando un grupo de GLBP, los 3 tendrn la misma IP virtual, pero cada
uno una MAC virtual diferente Si tenemos 3 equipos en la vlan, a los 3 se les
configurar la misma IP como puerta de enlace, pero obtendrn diferentes MAC, al
equipo 1 se le dara la MAC del switch A, por lo tanto el equipo 1 se comunicar a
travs de ste switch, a el equipo 2 se le dar la MAC del switch B, por lo tanto se

comunicar a travs del switch B y as sucesivamentelogrando el balanceo de

carga.
Entre los switchs del mismo grupo de GLBP se selecciona a uno como AVG (Active
virtual gateway) y a todos los dems del grupo como AVF (Active virtual forwarder).
El AVG ser el encargado de asignar MACs virtuales a los switchs de su mismo
grupo, y tambin es el encargado de responder a las peticiones ARP de los equipos.
A los equipos que soliciten un ARP se les da una MAC de forma consecutiva, es
decir, si por ejemplo tenemos 3 switchs (A,B y C) y 6 equipos, al primer equipo que
solicite un ARP, se le dar la MAC de A, al segundo la MAC de B, al tercero la MAC
de C, al cuarto la MAC de A, al quinto la MAC de B y al sexto la MAC de C.
Si algn switch cae, su MAC virtual es asignada a otro switch, de tal forma que
algn switch tendra mas de una MAC virtual, de esta manera no hay equipos que
se queden sin red.

Ejemplo de GLBP..

Pasos para configurar GLBP

1.- Acceder a la interfaz SVI en la cual crearemos el grupo GLBP, con el

comando interface vlan id, dentro del modo de configuracin global.
2.- Asignar una IP a la interfaz con el comando ip address ip mascara,dentro
del modo de configuracin de la intefaz.
3.- Aadir la interfaz a blgp, configurando un numero de grupo y la ip virtual, con el
comando glbp num grupo ip virtual, dentro del modo de configuracin de la
intefaz.

4.- (OPCIONAL) Se configura el preempt, para en caso de que algn switch con
mayor prioridad se incorpore al grupo, pueda convertirse en AVG. El preempt se
configur sobre todo cuando tambien se configura el tracking sobre algunas
interfaces, para si estas fallan, se baje la prioridad del switch y otro pueda
convertirse en AVG. Lo hacemos con el comando glbp num grupo
preempt,dentro del modo de configuracin de la intefaz.
4.- (OPCIONAL) Definimos la prioridad del Switch para ese grupo con el
comandoglbp num grupo priority prioridad, dentro del modo de configuracin
de la interfaz. Si no se configura este comando, la prioridad por defecto es 100 para
todos los switch, en ese caso pasara a ser AVG el que mayor IP tenga configurada
en su interfaz.
5.- (OPCIONAL) Definimos los intervalos de tiempo de hello y holdtime. lo hacemos
con el comando glbp num grupo timers msec hello msec holdtime, dentro
del modo de configuracin de la intefaz.
6.- (OPCIONAL) Definimos la autenticacin, con el comando glbp num grupo
authentication md5 keystring password, dentro del modo de configuracin de
la intefaz.
7.- (OPCIONAL) Configurar tracking para si alguna interfaz cae, bajar la prioridad
del switch

EJEMPLO de configuracin completo para GLBP:

En el ejemplo configuramos 2 switchs para que usen GLBP en la vlan 1.

El switch A actuara como AVG con una prioridad de 90, y el switch B como AVF con
una prioridad de 80, la IP virtual que se usa es la 10.88.1.10.
Las MACS virtuales son asignadas por el AVG.
La clave de autenticacion para el grupo tiene que ser prueba.
El tiempo de hello de 200msec y el holdtime de 800msec.
Si se incorpora un switch con mayor prioridad que el AVG, que se convierta en AVG

---- Configuracin en el Switch A ---SwitchA(config)# interface vlan 1 ...Interfaz de la vlan a la cual se le dara puerta de
enlace redundante
SwitchA(config-if)# ip address 10.88.1.1 255.255.255.0 ...Ip de la interfaz de la vlan
1
SwitchA(config-if)# glbp 1 10.88.1.10 ...Ip virtual para el grupo 1 de blgp, Es la IP
que se le tiene que configurar a los equipos como puerta de enlace.
SwitchA(config-if)# glbp 1 priority 90 ...La prioridad del switch para el grupo 1
SwitchA(config-if)# glbp 1 preemtp ...Para si se incorpora un switch con mayor
prioridad, que se convierta en AVG.
SwitchA(config-if)# glbp 1 timers msec 200 msec 800 ...El intervalo en msec de
envio de mensajes hello y el holdtime.
SwitchA(config-if)# glbp 1 authentication md5 keystring prueba ...La
autenticacin a usar entre los switchs miembros del grupo.

---- Configuracin en el Switch B ---SwitchB(config)# interface vlan 1 ...Interfaz de la vlan a la cual se le dara puerta de
enlace redundante
SwitchB(config-if)# ip address 10.88.1.2 255.255.255.0 ...Ip de la interfaz de la vlan
1
SwitchB(config-if)# glbp 1 10.88.1.10 ...Ip virtual para el grupo 1 de blgp, Es la IP
que se le tiene que configurar a los equipos como puerta de enlace.
SwitchB(config-if)# glbp 1 priority 80 ...La prioridad del switch para el grupo 1

SwitchB(config-if)# glbp 1 preemtp ...Para si se incorpora un switch con mayor

prioridad, que se convierta en AVG.
SwitchB(config-if)# glbp 1 timers msec 200 msec 800 ...El intervalo en msec de
envio de mensajes hello y el holdtime.
SwitchB(config-if)# glbp 1 authentication md5 keystring prueba ...La
autenticacin a usar entre los switchs miembros del grupo.

Configuracin del switch para el mdulo de servicios de

firewall (Cisco)
cmo configurar el interruptor de la serie Catalyst 6500 o el router de la serie Cisco
7600 para su uso con el FWSM. Primero, configurar las propiedades bsicas de su
conmutador, incluyendo la asignacin de VLAN a las interfaces, de acuerdo con la
documentacin que se incluye con el interruptor.

Este captulo incluye las siguientes secciones:

Descripcin general Interruptor
Verificacin de la instalacin del mdulo
Asignacin de VLAN al mdulo de servicios de firewall
Adicin de interfaces virtuales conmutados a la MSFC
Personalizacin de la interfaz interna FWSM
Configuracin del switch para conmutacin por error
La gestin de las particiones de arranque Firewall Services Module

Interruptor general

Puede instalar el FWSM en los switches de la serie Catalyst 6500 o los routers de la
serie Cisco 7600. La configuracin de ambas series es idntica, y las series se

denominan genricamente en esta gua como el "interruptor". El interruptor incluye

un interruptor (el motor de supervisor), as como un router (MSFC).

El switch soporta dos modos de software:

El software Cisco IOS en tanto el motor supervisor de switch y el router integrado
MSFC.
El software de sistema operativo del catalizador en el motor de supervisor, y el
software Cisco IOS en el MSFC.

Ambos modos se describen en esta gua.

El FWSM ejecuta su propio sistema operativo.

Consulte "Utilizacin del MSFC" para obtener ms informacin sobre el MSFC.

Para Cisco IOS versin 12.2 (18) SX6 y anteriores, para cada FWSM en un
interruptor, la funcin de reflector SPAN est habilitada. Esta caracterstica permite
que el trfico de multidifusin (y el resto del trfico que requiere el motor de
reescritura central) para ser cambiado cuando viene de la FWSM. La funcin de
reflector SPAN utiliza una sesin SPAN. Para desactivar esta funcin, introduzca el
siguiente comando:

Router (config) # no servicemodule sesin del monitor

Verificacin de la instalacin del mdulo
Para verificar que el interruptor reconoce la FWSM y ha trado en lnea, ver la
informacin del mdulo de acuerdo a su sistema operativo:

El software Cisco IOS

Router> show module [mod-num | all]
The following is sample output from the show module command:
Router> show module
Mod Ports Card Type
Model
Serial No.
--- ----- -------------------------------------- ------------------ ----------1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD0444099Y
2 48 48 port 10/100 mb RJ-45 ethernet
WS-X6248-RJ-45 SAD03475619
3 2 Intrusion Detection System
WS-X6381-IDS
SAD04250KV5
4 6 Firewall Module
WS-SVC-FWM-1
SAD062302U4

Catalyst operating system software

Console> show module [mod-num]

The following is sample output from the show module command:
Console> show module
Mod Slot Ports Module-Type
Model
Sub Status
--- ---- ----- ------------------------- ------------------- --- -----1 1 2 1000BaseX Supervisor
WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC
no ok
4 4 2 Intrusion Detection Syste WS-X6381-IDS
no ok
5 5 6 Firewall Module
WS-SVC-FWM-1
no ok
6 6 8 1000BaseX Ethernet
WS-X6408-GBIC
no ok
El comando show mdulo muestra seis puertos para el FWSM; estos son puertos
internos que se agrupan como un EtherChannel. Vea la seccin "Personalizacin de
la interfaz interna FWSM" para obtener ms informacin.
Asignacin de VLAN para el mdulo de servicios de firewall
En esta seccin se describe cmo asignar VLAN a la FWSM. El FWSM no incluye
interfaces fsicas externas. En su lugar, utiliza interfaces VLAN. Asignacin de VLAN
a la FWSM es similar a la asignacin de una VLAN a un puerto del switch; el FWSM
incluye una interfaz interna al conmutador Mdulo Tela (si existe) o el bus
compartido.
Nota Consulte la documentacin del conmutador para obtener informacin sobre la
adicin de VLAN al switch y asignndolos a cambiar los puertos.
Esta seccin incluye los siguientes temas:
Directrices de VLAN
Asignacin de VLAN a la FWSM en Software Cisco IOS
Asignacin de VLAN a la FWSM en Catalyst Software Sistema Operativo

Directrices de VLAN
Ver las siguientes directrices para el uso de redes VLAN con la FWSM:
Puede utilizar las VLAN privadas con el FWSM. Asignar la VLAN primaria a la
FWSM; el FWSM maneja automticamente el trfico de VLAN secundaria.
No se puede utilizar VLAN reservadas.
No se puede utilizar VLAN 1.

 Si utiliza la conmutacin por error FWSM dentro del mismo chasis del interruptor,
no asigne la VLAN (s) que se reserva para las comunicaciones de conmutacin por
error y con estado a un puerto de switch. Sin embargo, si utiliza la conmutacin por
error entre el chasis, debe incluir las VLAN en el puerto de enlace troncal entre el
chasis.
Si asigna las VLAN a la FWSM antes de aadirlas al interruptor, las VLAN se
almacenan en la base de datos del motor supervisor y se envan a la FWSM tan
pronto como se abonen al conmutador.
Para el software Cisco IOS, si configura las VLAN en la configuracin FWSM, y
luego asignar las VLAN a la FWSM el interruptor, entonces esos VLANs son
llevados administrativamente arriba en la FWSM incluso si estaban configuradas
para ser cerrado.

Asignacin de VLAN a la FWSM en Software Cisco IOS

En el software Cisco IOS, crear hasta 16 grupos de VLAN de firewall, y luego
asignar los grupos a la FWSM. Por ejemplo, puede asignar todas las VLAN a un
grupo, o puede crear un grupo dentro y fuera de un grupo, o puede crear un grupo
para cada cliente. Cada grupo puede contener un nmero ilimitado de VLAN.

No puede asignar la misma VLAN a varios grupos de firewall; Sin embargo, puede
asignar varios grupos de firewall a un FWSM y se puede asignar un solo grupo
cortafuegos para mltiples FWSMs. VLAN que desea asignar a mltiples FWSMs,
por ejemplo, pueden residir en un grupo separado de las VLAN que son nicos para
cada FWSM.
Para asignar VLAN a la FWSM, realice los siguientes pasos:

Paso 1 Para asignar VLANs a un grupo de firewall, ingrese el siguiente comando:

Router (config) # firewall vlan-grupo vlan_range firewall_group
El argumento firewall_group es un entero.

El vlan_range puede ser una o ms VLAN (de 2 a 1000 y de 1025 a 4094)

identificado en una de las siguientes maneras:
Un solo nmero (n)
Una gama (n-x)

Separe los nmeros o rangos por comas. Por ejemplo, introduzca los siguientes
nmeros:

5,7-10,13,45-100

puertos enrutados y puertos WAN consumen VLANs internas, por lo que es posible
que las VLAN en el rango de 1.020-1100 podra estar ya en uso.
Si configura las VLAN en la configuracin FWSM, y luego asignar las VLAN a la
FWSM en el interruptor mediante este procedimiento, entonces esos VLANs son
llevados administrativamente arriba en la FWSM incluso si estaban configuradas
para ser cerrado. Para cerrarlas, introduzca los siguientes comandos en el FWSM
CLI:
nmero de VLAN interfaz
Cerrar

Paso 2 Para asignar los grupos de cortafuegos para la FWSM, introduzca el

siguiente comando:
Router (config) mdulo de firewall # module_number vlan-grupo firewall_group
El firewall_group es uno o ms nmeros de grupo:
Un solo nmero (n)
Una gama (n-x)
Separe los nmeros o rangos por comas. Por ejemplo, introduzca los siguientes
nmeros:
5,7-10
Este ejemplo muestra cmo se puede crear tres grupos de VLAN firewall: uno para
cada FWSM, y que incluye las VLAN asignadas a ambos FWSMs.

Router (config) # firewall vlan-grupo 50 55-57

Router (config) # firewall vlan-grupo 51 70-85
Router (config) # firewall vlan-grupo 52 100
Router (config) # mdulo de firewall 5 vlan-grupo 50,52
Router (config) # mdulo de firewall 8 vlan-grupo 51,52

El siguiente es resultado de ejemplo del comando show vlan firewall-grupo:

Router # show vlan-grupo cortafuegos
VLAN Grupo

----- -----50 55-57

51 70-85
52 100
La siguiente es resultado de ejemplo del comando mdulo espectculo cortafuegos,
que muestra todos los grupos de VLAN:
Router # show mdulo de firewall
Mdulo VLAN grupos
5 50,52
8 51,52
Asignacin de VLAN a la FWSM en Catalyst Software Sistema Operativo

En el software del sistema operativo del catalizador, se asigna una lista de las VLAN
a la FWSM. Puede asignar la misma VLAN a mltiples FWSMs si se desea. La lista
puede contener un nmero ilimitado de VLAN.
Para asignar VLAN a la FWSM, introduzca el siguiente comando:

Consola> (activar) establecer vlan vlan_list-firewall vlan mod_num

El vlan_list puede ser una o ms VLAN (de 2 a 1000 y de 1025 a 4094) identificado
en una de las siguientes maneras:
Un solo nmero (n)
Una gama (n-x)
Separe los nmeros o rangos por comas. Por ejemplo:
5,7-10,13,45-100
Nota puertos enrutados y puertos WAN consumen VLANs internas, por lo que es
posible que las VLAN en el rango de 1.020-1100 podra estar ya en uso.
Este ejemplo muestra una configuracin tpica:
Consola> (activar) establecer vlan 55-57,100 firewall-vlan 5
Consola> (activar) establecer vlan 70-85,100 firewall-vlan 8
La siguiente es resultado de ejemplo del comando-firewall vlan show vlan:
Consola> show vlan firewall-vlan 5
VLAN garantizados por mdulo firewall 5

55-57, 100
Adicin de interfaces virtuales conmutados a la MSFC

Una VLAN definida en el MSFC se llama una interfaz virtual conmutada. Si asigna la
VLAN utilizada para el SVI al FWSM (consulte la seccin "Asignacin de VLAN en el
Mdulo de Servicios de Firewall" seccin), entonces las rutas MSFC entre el FWSM
y otra Capa 3 VLAN.

Esta seccin incluye los siguientes temas:

SVI Informacin general
Configuracin de SVI para el Software Cisco IOS en el motor de Supervisor
Configuracin de SVI para Catalyst Software del sistema operativo en el motor de
Supervisor

SVI Informacin general

Por razones de seguridad, de forma predeterminada, slo un SVI puede existir entre
el MSFC y la FWSM. Por ejemplo, si usted desconfigurar el sistema con mltiples
SVI, podra permitir que accidentalmente el trfico pase alrededor del FWSM
asignando el interior y fuera de las VLAN para el MSFC. (Ver Figura 2-1.)

Figura 2-1 mltiple Configuracin errnea SVI

Sin embargo, puede que tenga que pasar por alto la FWSM en algunos escenarios
de la red. La Figura 2-2 muestra un host IPX en el mismo segmento Ethernet como
hosts IP. Debido a que el FWSM en modo firewall enrutada slo maneja el trfico IP
y deja caer el resto del trfico de protocolo como IPX (modo de cortafuegos
transparente opcionalmente puede permitir que el trfico no-IP), es posible que
desee pasar por alto la FWSM para el trfico IPX. Asegrese de configurar el MSFC
con una lista de acceso que slo permite el trfico IPX pase en VLAN 201.

Figura 2-2 Mltiples SVI para IPX

Para los servidores de seguridad transparentes en el modo de contexto mltiple, es

necesario utilizar mltiples SVI, ya que cada contexto requiere una VLAN nica en
su interfaz externa (Ver Figura 2-3). Tambin puede optar por utilizar mltiples SVI
en modo enrutado por lo que no tiene que compartir una nica VLAN para el interfaz
exterior.

Figura 2-3 Mltiples SVI en Modo Contexto mltiple

Configuracin SVI para el Software Cisco IOS en el motor de Supervisor

Si est ejecutando el software Cisco IOS en el motor de supervisor, lleve a cabo los
siguientes pasos para agregar un SVI a la MSFC:
Paso 1 (Opcional) Para permitir que usted agregue ms de un SVI al FWSM,
introduzca el siguiente comando:
Router (config) # firewall mltiples VLAN interfaces
Paso 2 Para agregar una interfaz VLAN a la MSFC, introduzca el siguiente
comando:
Router (config) # interface vlan vlan_number
Paso 3 Para configurar la direccin IP de la interfaz en el MSFC, introduzca el
siguiente comando:
Router (config-if) # ip direccin de direccin de la mscara
Paso 4 Para habilitar la interfaz, ingrese el siguiente comando:

Router (config-if) # no shutdown

El siguiente ejemplo muestra una configuracin tpica con mltiples SVI:

Router (config) # firewall vlan-grupo 50 55-57

Router (config) # firewall vlan-grupo 51 70-85

Router (config) # mdulo de firewall 8 vlan-grupo de 50 a 51
Router (config) # firewall mltiples VLAN interfaces
Vlan Router (config) # interface 55
Router (config-if) # ip 10.1.1.1 direccin 255.255.255.0
Router (config-if) # no shutdown
Router (config-if) # interface vlan 56
Router (config-if) # ip 10.1.2.1 direccin 255.255.255.0
Router (config-if) # no shutdown
Router (config-if) # end
Router #

El siguiente es resultado de ejemplo del comando show interface:

Router # show interface vlan 55

Vlan55 est para arriba, protocolo de lnea es de hasta
El hardware es EtherSVI, la direccin es 0008.20de.45ca (0008.20de.45ca bia)
Direccin de Internet es 10.1.1.1/24
MTU de 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
fiabilidad 255/255, txload 1/255, 1/255 rxload
La encapsulacin ARPA, loopback not set
Tipo de ARP: ARPA, ARP Tiempo de espera 04:00:00
ltima Nunca entrada, salida 00:00:08, la produccin nunca se cuelgue
ltima limpieza de contadores "show interface" Nunca
Cola de entrada: 0/75/0/0 (tamao / max / gotas / rubores); Total de gotas de
salida: 0
Estrategia de colas: fifo
Cola de salida: 0/40 (tamao / max)
Tasa de entrada de 5 minutos 0 bits / seg, 0 paquetes / seg
Tasa de salida de 5 minutos 0 bits / seg, 0 paquetes / seg
L2 Conmutada: Ucast: 196 pkt, 13328 bytes - MCAST: 4 pkt, 256 bytes

L3 en Switched: Ucast: 0 pkt, 0 bytes - MCAST: 0 pkt, 0 bytes MCAST

L3 fuera conmutada: Ucast: 0 pkt, 0 bytes
0 paquetes de entrada, 0 bytes, 0 sin bfer
Recibido 0 0 emisiones, enanos, gigantes, 0 0 aceleradores
0 errores de entrada, 0 CRC, 0 marco, 0 rebasamiento, 0 ignorados
Salida de 4 paquetes, 256 bytes, 0 insuficiencia de datos
0 errores de salida, 0 interfaz restablece
0 fracasos bfer de salida, 0 buffers de salida cambiados

Configuracin SVI para Catalyst Software del sistema operativo en el motor de

Supervisor

Si est ejecutando Catalizador software del sistema operativo en el motor de

supervisor, lleve a cabo los siguientes pasos para agregar un SVI a la MSFC:

Paso 1 (Opcional) Para permitir que usted agregue ms de un SVI al FWSM,

introduzca el siguiente comando:
Consola> (activar) establece cortafuegos mltiples VLAN interfaces permiten
Para desactivar esta opcin, introduzca el siguiente comando:
Consola> (activar) establece cortafuegos mltiples VLAN interfaces deshabilitan
Paso 2 Para acceder a la interfaz de MSFC, introduzca uno de los siguientes
comandos:
Consola> (activar) consola del switch
o
Consola> (activar) sesin {15 | 16}
Si accede al conmutador mediante Telnet o SSH, debe utilizar el comando sesin.
Paso 3 Para entrar en el modo y el modo de configuracin en el MSFC habilitar,
escriba los siguientes comandos:
Router> enable
Router # configure terminal

Paso 4 Para agregar una interfaz VLAN a la MSFC, introduzca el siguiente

comando:
Router (config) # interface vlan vlan_number
Paso 5 Para configurar la direccin IP de la interfaz en el MSFC, introduzca el
siguiente comando:
Router (config-if) # ip direccin de direccin de la mscara
Paso 6 Para habilitar la interfaz, ingrese el siguiente comando:
Router (config-if) # no shutdown
Paso 7 Para volver al modo EXEC privilegiado, introduzca el siguiente comando:
Router (config-if) # end
Paso 8 Para volver a la CLI interruptor, escriba Ctrl-C tres veces.

El siguiente ejemplo muestra una configuracin tpica:

Consola> (activar) establecer vlan 55-57,70-85 firewall-vlan 8

Consola> (activar) establece cortafuegos mltiples VLAN interfaces permiten
Consola> (activar) consola del switch
Router> enable
Clave: ******
Router # configure terminal
Vlan Router (config) # interface 55
Router (config-if) # ip 10.1.1.1 direccin 255.255.255.0
Router (config-if) # no shutdown
Router (config-if) # interface vlan 56
Router (config-if) # ip 10.1.2.1 direccin 255.255.255.0
Router (config-if) # no shutdown
Router (config-if) # end
Router # ^ C ^ C ^ C
Consola> (activar)
La siguiente es resultado de ejemplo del comando show interface que se introduce
en el smbolo del MSFC:

Router # show interface vlan 55

Vlan55 est para arriba, protocolo de lnea es de hasta
El hardware es EtherSVI, la direccin es 0008.20de.45ca (0008.20de.45ca bia)
Direccin de Internet es 10.1.1.1/24
MTU de 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
fiabilidad 255/255, txload 1/255, 1/255 rxload
La encapsulacin ARPA, loopback not set
Tipo de ARP: ARPA, ARP Tiempo de espera 04:00:00
ltima Nunca entrada, salida 00:00:08, la produccin nunca se cuelgue
ltima limpieza de contadores "show interface" Nunca
Cola de entrada: 0/75/0/0 (tamao / max / gotas / rubores); Total de gotas de
salida: 0
Estrategia de colas: fifo
Cola de salida: 0/40 (tamao / max)
Tasa de entrada de 5 minutos 0 bits / seg, 0 paquetes / seg
Tasa de salida de 5 minutos 0 bits / seg, 0 paquetes / seg
L2 Conmutada: Ucast: 196 pkt, 13328 bytes - MCAST: 4 pkt, 256 bytes
L3 en Switched: Ucast: 0 pkt, 0 bytes - MCAST: 0 pkt, 0 bytes MCAST
L3 fuera conmutada: Ucast: 0 pkt, 0 bytes
0 paquetes de entrada, 0 bytes, 0 sin bfer
Recibido 0 0 emisiones, enanos, gigantes, 0 0 aceleradores
0 errores de entrada, 0 CRC, 0 marco, 0 rebasamiento, 0 ignorados
Salida de 4 paquetes, 256 bytes, 0 insuficiencia de datos
0 errores de salida, 0 interfaz restablece
0 fracasos bfer de salida, 0 buffers de salida cambiados

Personalizacin de la interfaz interna FWSM

La conexin entre el FWSM y el interruptor es un EtherChannel trunking de 6 GB
802.1Q. Este EtherChannel se crea automticamente al instalar el FWSM. En el
lado FWSM, dos PN se conectan con tres interfaces Ethernet Gigabit cada uno, y

estas interfaces comprenden la EtherChannel. El interruptor distribuye el trfico a las

interfaces en el EtherChannel de acuerdo con un algoritmo de distribucin basado
en informacin de la sesin; comparticin de carga no se realiza sobre una base por
paquete, sino ms bien sobre una base de flujo. En algunos casos, el algoritmo
asigna el trfico de forma desigual entre las interfaces y, por lo tanto, entre las dos
NPs. Aparte de no utilizar el potencial de procesamiento completo de la FWSM,
inequidad consistente puede resultar en un comportamiento inesperado cuando se
aplica la gestin de recursos a mltiples contextos. (Consulte la seccin
"Configuracin de una clase" para obtener ms informacin.)

Software Cisco IOS

Router (config) # puerto-canal de carga-equilibrio {dst-ip | dst-mac | dst-port | srcdst-ip |
src-dst-mac | src-dst-port | src-ip | src-mac | src-port}
El valor predeterminado es src-dst-ip.

El software de sistema operativo Catalizador

Consola> (activar) establecer canal del puerto toda la distribucin {ip | mac | sesin
|
ip-vlan-session} [fuente | destino | ambas cosas]
El valor predeterminado es ip ambos.

Configuracin del conmutador de conmutacin por error

Para configurar el interruptor de conmutacin por error, consulte los siguientes

temas:
Asignacin de VLAN al mdulo de servicios de firewall Secundaria
Adicin de un tronco entre un switch Primaria y Secundaria Interruptor
Garantizar la compatibilidad con el modo Firewall Transparente

Asignacin de VLAN a la Secundaria Mdulo Firewall Services

Debido a que ambas unidades requieren el mismo acceso a las redes dentro y
fuera, debe asignar las mismas VLAN a ambos FWSMs en el interruptor (es).
Consulte la seccin "Asignacin de VLAN a la Firewall Services Module" seccin.

Adicin de una troncal entre un interruptor de Primaria y Secundaria del interruptor

Si est utilizando inter-switch de conmutacin por error (consulte la seccin "intra e
Mdulo Inter-Chassis Colocacin"), entonces usted debe configurar una troncal
802.1Q VLAN entre los dos interruptores para llevar a los enlaces de conmutacin
por error y estatales. El tronco debe tener QoS habilitado para que los paquetes de
VLAN de conmutacin por error, que tienen el valor de CoS 5 (prioridad ms alta),
se tratan con mayor prioridad en estos puertos.

Para configurar el EtherChannel y el tronco, consulte la documentacin de su

interruptor.
Garantizar la compatibilidad con el modo Firewall Transparente

Para evitar bucles de conmutacin por error cuando se utiliza en modo transparente,
utilice el software interruptor que soporta el reenvo de BPDU. Vea la seccin
"Compatibilidad de software para interruptores y" para obtener ms informacin
sobre el soporte del interruptor para el modo de cortafuegos transparente.

No habilite LoopGuard a nivel mundial en el interruptor si el FWSM est en modo

transparente. LoopGuard se aplica automticamente a la EtherChannel interna entre
el interruptor y el FWSM, as que despus de una conmutacin por error y
conmutacin por recuperacin, LoopGuard hace que la unidad secundaria a ser
desconectado porque el EtherChannel pasa al estado-err desactivar.

La gestin de las particiones de arranque Firewall Services Module

En esta seccin se describe cmo restablecer la FWSM del interruptor, y la forma de
gestionar las particiones de arranque de la tarjeta de memoria Flash. Esta seccin
incluye los siguientes temas:
Memoria Flash Informacin general
Configuracin de la particin de arranque predeterminado
Restablecimiento de la FWSM o Arrancar desde una particin especfica

Memoria Flash Informacin general

El FWSM tiene una tarjeta de memoria 128-MB Flash que almacena el sistema
operativo, configuraciones, y otros datos. La memoria Flash incluye seis divisiones,
llamada cf: n en Cisco IOS y Catalyst operan comandos de software del sistema:

 Mantenimiento particin (cf: 1): contiene el software de mantenimiento. Utilice el

software de mantenimiento para actualizar o instalar imgenes de aplicaciones si no
puede arrancar en la particin de aplicacin, para restablecer la imagen de
contrasea de la aplicacin, o para mostrar la informacin de volcado.

particin de configuracin de red (cf: 2): contiene la configuracin de red del

software de mantenimiento. El software de mantenimiento requiere la configuracin
IP para que el FWSM puede alcanzar el servidor TFTP para descargar imgenes de
software de aplicacin.

particin volcado (cf: 3) -tiendas la informacin de volcado.

particiones de aplicaciones (cf: 4 y cf: 5) -tiendas la imagen de software de

aplicaciones, configuracin del sistema, y ASDM. De forma predeterminada, Cisco
instala las imgenes en cf: 4. Puede utilizar cf: 5 como una particin de prueba. Por
ejemplo, si desea actualizar su software, puede instalar el nuevo software en cf: 5,
pero mantener el software antiguo como respaldo en caso de que tenga problemas.
Cada particin incluye su propia configuracin de inicio.

particin contexto Seguridad (cf: 6) -64 MB se dedican a esta particin, que

almacena las configuraciones de contexto de seguridad (si se desea) y claves RSA
en un sistema de archivos navegables. Otras particiones no tienen sistemas de
archivos que le permiten realizar tareas comunes, como el listado de archivos. Esta
particin se denomina disco al utilizar el comando de copia.

Configuracin de la particin de arranque predeterminado

Por defecto, las botas FWSM del cf: particin 4 aplicacin. Sin embargo, puede
elegir arrancar desde el cf: 5 particin de aplicacin o en el cf: 1 particin de
mantenimiento. Para cambiar la particin de inicio por defecto, entre el mandato de
su sistema operativo:

El software Cisco IOS

Router (config) # arranque dispositivo de mdulo mod_num cf n
Donde n es 1 (mantenimiento), 4 (aplicacin) o 5 (aplicacin).

El software de sistema operativo Catalizador

Consola> (activar) el dispositivo de arranque conjunto cf n mod_num

Donde n es 1 (mantenimiento), 4 (aplicacin) o 5 (aplicacin).

Para ver la particin de arranque actual, entre el mandato de su sistema operativo:

El software Cisco IOS

Dispositivo Router # show arranque [mod_num]
Por ejemplo:

Router # show dispositivo de arranque

[mod: 1]:
[mod: 2]:
[mod: 3]:
[mod: 4]: cf: 4
[mod: 5]: cf: 4
[mod: 6]:
[mod: 7]: cf: 4
[mod: 8]:
[mod: 9]:
El software de sistema operativo Catalizador

Consola> (activar) muestran el dispositivo de arranque mod_num

Por ejemplo:

Consola> (activar) muestran el dispositivo de arranque 6

Dispositivo de arranque variable = cf: 5
Restablecimiento del FWSM o Arrancar desde una particin especfica

En esta seccin se describe cmo restablecer la FWSM o arrancar desde una

particin especfica. Puede que tenga que reiniciar el FWSM si no se puede llegar a
ella a travs de la CLI o una sesin de Telnet externo. Puede que tenga que
arrancar desde una particin de arranque no predeterminado si es necesario para
acceder a la particin de mantenimiento o si desea arrancar desde una imagen de

software diferente en la particin de aplicacin de copia de seguridad. La particin

de mantenimiento es valiosa para la solucin de problemas.

El proceso de reinicio puede tardar varios minutos.

Para el software Cisco IOS, al restablecer la FWSM, tambin puede optar por
ejecutar una prueba de memoria completa. Cuando los FWSM inicialmente botas,
que slo se ejecuta una prueba de memoria parcial. Una prueba de memoria
completa tarda aproximadamente seis minutos.

Para restablecer el FWSM, consulte la seccin de su sistema operativo:

Restablecimiento de la FWSM en Software Cisco IOS
Restablecimiento de la FWSM en Catalyst Software Sistema Operativo

Para recargar la FWSM cuando se inicia la sesin en el FWSM, introduzca recargar

o reiniciar el sistema. No se puede arrancar desde una particin de arranque no
predeterminado con estos comandos.
Restablecimiento del FWSM en Software Cisco IOS

Para restablecer el FWSM, introduzca el siguiente comando:

Router # mdulo hw-mdulo mod_num restablecer [cf n] [mem-prueba-completo]
El cf: argumento n es la particin, ya sea 1 (mantenimiento), 4 (aplicacin) o 5
(aplicacin). Si no se especifica la particin, se utiliza la particin por defecto
(normalmente cf: 4).
La opcin mem-prueba-plena ejecuta una prueba de memoria completa, que dura
aproximadamente 6 minutos.
Este ejemplo muestra cmo restablecer el FWSM instalada en la ranura 9. Se utiliza
la particin de arranque por defecto.
Router # mdulo-hw mod 9 reinicio
Proceda con recarga del mdulo? [confirm] y
Rearme% emiti para el mdulo 9
Router #
00: 26: 55:% SNMP-5-MODULETRAP: Mdulo 9 [Abajo] Trampa
00: 26: 55: SP: La PC en la ranura 8 est cerrando. Por favor espera ...

Restablecimiento del FWSM en Catalyst Software Sistema Operativo

Para restablecer el FWSM desde la CLI interruptor, introduzca el siguiente comando:

Consola> (activar) restablecer mod_num [cf n]
Donde cf: n es la particin, ya sea 1 (mantenimiento), 4 (aplicacin), o 5 (aplicacin).
Si no se especifica la particin, se utiliza la particin por defecto (normalmente cf: 4).

Filtros de firewall para EX Series Switches Informacin

general (Juniper )
Filtros de cortafuegos proporcionan reglas que definen si se permite, negar, o enviar
paquetes que estn transitando una interfaz en un interruptor de Juniper Networks
EX Series Ethernet desde una direccin de origen a una direccin de destino. Puede
configurar filtros de firewall para determinar si se permite, negar, o el trfico hacia
adelante antes de que entre o salga de un 3 (enrutado) interfaz a la que se aplica el

filtro de firewall de puertos, VLAN, o Capa. Para aplicar un filtro de firewall, primero
debe configurar el filtro y luego aplicarlo a un puerto, VLAN, o Capa de interfaz 3.

Puede aplicar filtros de cortafuegos para las interfaces de red, interfaces Ethernet
agregados (tambin conocidos como grupos de agregacin de enlaces (LAG)),
interfaces de bucle invertido, interfaces de administracin, interfaces de gestin
Ethernet virtuales (EMV), y enrutado interfaces VLAN (RVIS). Para obtener
informacin sobre los conmutadores de la serie EX que apoyan un filtro de firewall
en estas interfaces, consulte Switch Software Serie EX Descripcin de las
caractersticas.

Un filtro de firewall entrada es un filtro que se aplica a los paquetes que estn
entrando en una red. Un filtro de firewall de salida es un filtro que se aplica a los
paquetes que se sale de una red. Puede configurar los filtros del firewall para
someter los paquetes a la filtracin, la clase de servicio (CoS) marcado (agrupacin
de tipos similares de trfico juntos, y el tratamiento de cada tipo de trfico como una
clase con su propio nivel de prioridad de servicio), y polticas de trfico ( control de
la velocidad mxima de trfico enviado o recibido en una interfaz).

En este tema se describe:

Tipos de filtros del cortafuegos

Filtrar Componentes Firewall
Procesamiento Filtro Firewall
Tipos de filtros del cortafuegos

Los siguientes tipos de filtros de firewall son compatibles con los conmutadores de
la Serie EX:

Puerto (Capa 2) Filtros de firewall firewall de filtrado-Port aplican a Capa 2 puertos

de switch. Puede aplicar filtros de firewall puerto en ambas direcciones de entrada y
salida en un puerto fsico.
Filtros de firewall VLAN firewall filtro-VLAN proporcionan control de acceso para los
paquetes que entran en una VLAN, se puentean dentro de una VLAN, o salen de
una VLAN. Puede aplicar filtros de firewall VLAN en ambas direcciones de entrada y
salida en una VLAN. Filtros de firewall VLAN se aplican a todos los paquetes que se
envan o reenvan desde la VLAN.

Router (Capa 3) Filtro-Usted firewall puede aplicar un filtro router firewall en ambas
direcciones de entrada y salida en la capa 3 (encaminar) interfaces y las interfaces
de VLAN enrutados (RVIS). Puede aplicar un filtro de firewall del router en la
direccin entrada en la interfaz de bucle invertido (lo0) tambin. Filtros de firewall
configuradas en las interfaces loopback slo se aplican a los paquetes que se
envan a la CPU motor de enrutamiento para su posterior procesamiento.
Puede aplicar puerto, VLAN, o los filtros de firewall router para IPv4 e IPv6 en el
trfico de estos interruptores:

Interruptor EX2200
Interruptor EX3300
Interruptor EX3200
Interruptor EX4200
Interruptor EX4300
Interruptor EX4500
Interruptor EX6200
Interruptor EX8200
Para obtener informacin sobre los filtros de firewall soportados en diferentes
conmutadores, consulte Soporte Plataforma de filtro Firewall Condiciones del
partido, acciones, y modificadores de accin de Switches serie EX.

Filtrar Componentes Firewall

En un filtro de firewall, primero definir el tipo de direccin familiar (ethernetconmutacin, inet o inet6), y luego definir uno o ms trminos que especifican los
criterios de filtrado (especificados como un acuerdo con las condiciones de los
partidos) y la accin (especificado como acciones o modificadores de accin) a
tomar si se produce una coincidencia.

El nmero mximo de trminos permitidos por filtro de firewall para switches serie
EX es:

512 para los conmutadores EX2200

1436 para los conmutadores EX3300

En los interruptores EX3300, si agrega y elimina los filtros con un gran nmero de
trminos (del orden de 1.000 o ms) en la misma operacin de confirmacin, no se
instalan todos los filtros. Debe aadir filtros en un solo comprometen el
funcionamiento y eliminar filtros en una operacin separada comprometerse.
7042 para EX3200 y EX4200 interruptores-asignada por la asignacin dinmica de
contenido ternario memoria direccionable (TCAM) para filtros de firewall.
En switches EX4300, el siguiente nmero mximo de trminos son compatibles para
el ingreso y el trfico de salida, para contribuyentes de firewall configuradas en un
puerto, VLAN y la interfaz de Capa 3:
Para el trfico de entrada:
3500 trminos para filtros de firewall configuradas en un puerto
3500 trminos para filtros de firewall configuradas en una VLAN
7000 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para
el trfico IPv4
3500 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para
el trfico IPv6
Para el trfico de salida:
512 trminos para filtros de firewall configuradas en un puerto
256 trminos para filtros de firewall configuradas en una VLAN
512 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para el
trfico IPv4
512 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para el
trfico IPv6

Nota: Puede configurar el nmero mximo de trminos slo cuando se configura un

tipo de filtro de cortafuegos (puerto, VLAN, o router (Capa 3) Filtro firewall) en el
interruptor, y cuando el control de tormentas no est habilitado en cualquier interfaz
en el interruptor .
1,200 para EX4500 y EX4550 interruptores
1.400 para los conmutadores EX6200
32.768 para los conmutadores EX8200

Nota: La asignacin dinmica en la demanda del TCAM espacio compartido en el

EX8200 interruptores se logra mediante la asignacin de bloques de espacio libre
para firewall filtros. Filtros del cortafuegos se clasifican en dos grupos diferentes.
Filtros de puerto y VLAN se agrupan juntos (el umbral de memoria para esta piscina
es 22K) mientras que los filtros de firewall del router se renen por separado (el

umbral de esta piscina es de 32K). La asignacin ocurre basado en el tipo de

piscina filtro. Bloques de espacio libres pueden ser compartidos slo entre los filtros
de firewall que pertenecen al mismo tipo de piscina filtro. Se genera un mensaje de
error cuando intenta configurar un filtro de firewall ms all del umbral TCAM.
Cada trmino se compone de los siguientes componentes:
Partido condiciones Especifique los valores o los campos que el paquete debe
contener. Se pueden definir varias condiciones de los partidos, incluyendo el campo
de la direccin IP de origen, el campo de direccin IP de destino, Transmission
Control Protocol (TCP) o User Datagram Protocol (UDP) Campo puerto de origen,
campo de protocolo IP, Internet Control Message Protocol (ICMP) tipo de paquete,
banderas TCP e interfaces.
Accin: especifica qu hacer si un paquete coincide con las condiciones del partido.
Las posibles acciones son para aceptar o descartar el paquete o enviar el paquete a
una interfaz de enrutamiento virtual especfico. Adems, los paquetes se pueden
contar para recopilar informacin estadstica. Si no se especifica ninguna accin
durante un plazo, la accin predeterminada es aceptar el paquete.
Accin modificador: especifica una o ms acciones para el interruptor si un paquete
coincide con las condiciones del partido. Puede especificar modificadores de accin,
tales como conteo, espejo, lmite de velocidad, y clasificar los paquetes.
Procesamiento Filtro Firewall
El orden de los trminos dentro de una configuracin de filtro cortafuegos es
importante. Los paquetes son probados contra cada trmino en el orden en que los
trminos se enumeran en la configuracin del filtro de cortafuegos. Para obtener
informacin sobre los paquetes de filtros de proceso cmo firewall, consulte
Descripcin de cmo se evalan los filtros del cortafuegos.

FORTINET
Fortinet fue fundada en el ao 2000 por Ken Xie, visionario y previo fundador y CEO
de NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilizacin de
un Circuito Integrado de Aplicacin Especfica (ASIC) para acelerar el proceso
Firewall. De este modo lanz al mercado un lineal de equipos de alto rendimiento
que mediante aceleracin hardware permita realizar un control sobre el trfico de
las redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado.
Ken Xie, con objeto de seguir avanzando en su visin propia de la seguridad en las
comunicaciones, abandon NetScreen y fund Fortinet. Su proyecto consista en

dar un enorme paso ms en la seguridad en tiempo real, integrando antivirus,

filtrado de contenido, tecnologa IDP (Intrusion Detection and Prevention) y Antispam
en un solo dispositivo, junto con el firewall y servidor VPN, y acelerando esta
Proteccin Completa de Contenidos mediante un nuevo ASIC, FortiASIC, que
permite romper la barrera del procesado de contenidos en tiempo real.
La compaa est formada en la actualidad por ms de 1100 empleados, y tiene su
sede central en Sunny Valley, California. Sus centros de soporte tcnico, desarrollo y
delegaciones comerciales estn distribuidos por todo el mundo, estando presentes
en Australia, Norte Amrica (US, Canad), Sudamrica, Europa (Austria, Francia,
Alemania, UK, Suecia, Italia, Blgica, Holanda, Repblica Checa, Polonia, Suiza y
Espaa), Asia (India, Filipinas, China, Japn, Corea, Singapur, Taiwn e Indonesia)
y Oriente Medio (UAE/Dubai). El centro de soporte y formacin europeo est situado
en el Centro Tecnolgico Sophia-Antipolis, cercano a Niza (Francia).
El equipo de direccin de Fortinet
(http://www.fortinet.com/aboutus/management.html) est formado por un grupo
altamente experimentado en el mundo de la seguridad, con un gran nmero de
premios y distinciones que as lo reconocen.
El primer equipo FortiGate fue lanzado al mercado en el ao 2002 y hoy en da
Fortinet cuenta con una base instalada de ms de 450.000 equipos en todo el
mundo.
Algunas de las caractersticas ms destacables de Fortinet son las siguientes:
Presencia mundial de sus centros de operacin, ventas y soporte
Sede central en Sunnyvale, California
Ms de 75.000 clientes en todo el mundo con ms de 450.000 equipos instalados
Ms de 40 oficinas en Amrica, Asia y EMEA, con sede central europea en
SophiaAntipolis (Francia)
Pioneros en la utilizacin de Circuitos Integrados de Aplicacin Especfica para
acelerar los procesos de seguridad hasta el nivel de aplicacin
nico modo de ofrecer Proteccin Completa en Tiempo Real
Lderes en el mercado UTM (Unified Threat Management) segn IDC desde el
2003 hasta el 2009 Seguridad Integral en Tiempo Real 5 08/09, FortiOS 4.0
Tecnologas certificadas ICSA (6 certificaciones), NSS (UTM), ISO 9001:2000,
Common Criteria EAL4+ y FIPS-2.
Robusto apoyo financiero
Fortinet es la compaa de seguridad de ms rpido crecimiento en la historia.
Desde su entrada en el mercado, anualmente ha duplicado su penetracin en el
mismo as como sus beneficios, con una inversin en I+D+I constante.

Alta Disponibilidad
La capacidad de trabajar en cluster de alta disponibilidad (HA) dota a los equipos
FortiGate de redundancia ante fallos. Adems el cluster puede configurarse en
modo activo-activo haciendo balanceo de carga del trfico o en modo activo/pasivo
en la que un nico equipo procesa el trfico de la red y es monitorizado por los
dems para sustituirle en caso de cada.
Los equipos FortiGate pueden ser configurados en cluster, proporcionando
escenarios de alta disponibilidad mediante la utilizacin de varios equipos
redundantes entre s, empleando un protocolo especfico para la sincronizacin del
cluster.
El cluster puede estar formado hasta por 32 equipos
La funcionalidad de Alta Disponibilidad est soportada por todas las plataformas
FortiGate a partir del equipo FortiGate50B inclusive
Cada miembro del cluster debe ser del mismo modelo hardware as como tener
instalada la misma versin del Sistema Operativo.
La funcionalidad de Alta Disponibilidad est soportada tanto en modo router como
en modo transparente.
HA Heartbeat Los miembros del cluster se comunican entre ellos a travs de un
protocolo propietario denominado HA heartbeat. Este protocolo se utiliza para:
Sincronizar la configuracin entre los equipos.
Sincronizar la tabla de sesiones activas tanto de firewall como de VPN.
Informar a los otros miembros del cluster del estado del equipo y sus enlaces.
Los interfaces empleados para el intercambio de informacin entre los equipos del
cluster son definidos por el administrador del equipo, sin necesidad de que sean
enlaces dedicados a esta funcin y permitiendo que dichos enlaces sean empleados
para transmitir trfico de produccin.
Es recomendable que los interfaces empleados para la transmisin de esta
informacin sean configurados en modo redundante, es decir, que el administrador
defina varios enlaces para realizar esta funcin, de modo que si alguno fallara la
informacin pasara a transmitirse de forma automtica por otro enlace al que se le
haya asignado esta tarea.
Dado que los equipos que forman parte del cluster se intercambian informacin
sobre las sesiones Firewall y VPN activas, la cada de un equipo o un enlace no
afecta a estas sesiones, realizndose una proteccin ante fallos completamente
transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar
con objeto de determinar cuando debe cambiarse el equipo que acta como activo
en el cluster.
Modos Activo-Activo y Activo-Pasivo

Los equipos configurados en alta disponibilidad pueden trabajar en modo activoactivo o en modo activo-pasivo. Ambos modos de funcionamiento son soportados
tanto en modo transparente como en modo router.

Un cluster activo-pasivo consiste en un equipo FortiGate primario que procesa todo

el trfico y uno o ms equipos subordinados que estn conectados a la red y al
equipo primario, pero no procesan trfico alguno.
El modo activo-activo permite balancear la carga de trfico entre las diferentes
unidades que componen el cluster. Cada FortiGate procesa activamente las
conexiones existentes y monitoriza el estado de los otros nodos del cluster. El nodo
primario procesa el trfico y redistribuye el trfico entre los diferentes equipos que
forman parte del cluster.

Windows Server 2012: Cluster Network Load Balancing NLB (Equilibrio o Balance
de Carga)
En general cuando se habla de Cluster la gran mayora lo asocia a uno de los dos
tipos de cluster que pueden crearse, casi todos los asocian a Failover Cluster
Pero existe otro tipo de cluster, el llamado Cluster Network Load Balancing, que
tiene diferente funcionalidad aunque en ambos casos se trate de varios servidores
actuando como si fueran uno solo
Hagamos primero una muy breve introduccin a las diferencias entre ambos tipos
de Cluster.
En un Failover Cluster, en general cualquier servidor integrante (Nodo) puede
cumplir determinada funcin de acuerdo a la configuracin, pero debemos tener en

cuenta que esa determinada funcin es llevada a cabo por un nico nodo por vez.
Esto es, la funcionalidad se mover a otro nodo, slo ante la falla del nodo que la
tiene, o voluntariamente si lo hace un administrador.
Luego un Failover Cluster provee disponibilidad, pero hay otra caracterstica muy
importante que podemos necesitar, como es la escalabilidad. Esto supone que por
ejemplo si aumenta la carga sobre una funcin, que la misma se reparta
equitativamente y simultneamente entre los Nodos del Cluster
Justamente la escalabilidad es una de las caractersticas de un Cluster Network
Load Balancing (NLB), ya que en este caso los nodos se reparten la carga
Comparando uno con otro un Cluster NLB tiene algunas ventajas e inconvenientes
respecto a un Failover Cluster
Como ventajas, podemos para nombrar slo algunas:

El ms importante de todos: escalabilidad de acuerdo a la carga

As como podemos agregar nodos por demanda, tambin se pueden quitar

Tambin tenemos disponibilidad, porque ante la falla de un nodo, otro

tomar su lugar automticamente y se balancear la carga

Menos hardware, ya que podemos hacerlo con servidores con una nica
conexin de red

Los nodos no deben ser exactamente iguales

La configuracin es mucho ms sencilla

Pero, siempre hay algo, los nodos se comunican entre ellos slo para notificarse si
estn disponibles, no comparten la configuracin ni propia de ni de la funcionalidad
que pongamos en alta disponibilidad, ni siquiera los datos de esta ltima
Luego, por esto ltimo, lo hace candidato ideal para aplicaciones que no requieran
sesiones
En la gran mayora de los casos, su uso es con Internet Information Services
Si el contenido de las pginas web es esttico, y cambia poco, podremos
mantenerlo sincronizado manualmente, pero si cambia mucho o si necesita acceder
a bases de datos, tambin tenemos una solucin
Esto que el Cluster NLB estn configurado como un front-end donde acceden los
usuarios, y luego estos nodos busquen la informacin en un back-end dentro de la
red interna, para presentarle a los clientes

La idea de esta demostracin es demostrar el funcionamiento en forma lo ms

sencilla posible, por lo cual usar la misma infraestructura que vengo usando en
todas las demostraciones, los nodos tendrn una nica placa de red, y la aplicacin
ser simplemente una pgina web http
Las 3 mquinas que usar tienen la siguiente configuracin:

DC1.root.guillermod.com.ar
Controlador de Dominio
Direccin IP: 192.168.1.201/24

NLB1.root.guillermod.com.ar
Servidor Miembro del Dominio
Direccin IP: 192.168.1.121/24

NLB2.root.guillermod.com.ar
Servidor Miembro del Dominio
Direccin IP: 192.168.1.122/24

El Cluster NLB que crearemos, tendr la siguiente configuracin

NLB.root.guillermod.com.ar
Direccin IP: 192.168.1.200/24
Funcionalidad: servidor web

La nica configuracin adicional que he hecho en ambos futuros nodos fue

agregar el rol Web server componente de Web server (IIS) con todos los
componentes por omisin, o sea, un simple servidor web :-)
Al verificar la funcionalidad, al final de la nota, voy a querer conocer qu nodo est
atendiendo el pedido he hecho una modificacin es modificar el archivo
C:\InetPub\wwwroot\iis.png en cada nodo para que me muestre de dnde est
sirviendo, uno para NLB1 y otro diferente para NLB2

Ahora vamos a instalar la funcionalidad, es un Feature, Network Load Balancing.

Mostrar las pantallas en NLB1, pero recordar que lo debemos hacer en ambos
nodos NLB1 y NLB2

Hay una configuracin que debemos hacer manualmente en nuestro servidor DNS,
porque el Cluster NLB no se registra automticamente
As que en DC1, abrimos la consola DNS, y de acuerdo a lo planteado al principio
de la nota, creamos manualmente un registro de tipo A correspondiente a
nlb.root.guillermod.com.ar con la direccin IP 192.168.1.200

Volviendo a uno de nuestros nodos, comenzar a crear el Cluster NLB, har todo
desde NLB1 ya que puedo agregar a NLB2 remotamente
Para esto abrimos la consola Network Load Balancing Manager desde el men
Tools de Server Manager

Y con botn derecho comenzamos el asistente, como muestran las siguientes

capturas de pantalla

Y con botn derecho, comenzamos el asistente para la creacin del Cluster

Colocamos el nombe del primer nodo, y con el botn correspondiente nos

conectamos. Verifiquemos que resuelva a la direccin IP correcta y continuamos

Indicamos la direccin que utilizar el Cluster

Indicamos el nombre con el que ser accesible el Cluster, en este caso

nlb.root.guillermod.com.ar y el modo de operacin
Al estar utilizando nodos con una nica placa de red, no podemos utilizar el modo
Unicast, para esto deberamos tener dos conexiones de red en cada nodo
Para quien le interese una muy buena descripcin de cada uno de los modos de
operacin, sus ventajas e inconvenientes, le recomiendo visitar el siguente enlace
Selecting the Unicast or Multicast Method of Distributing Incoming Requests

Seguimos adelante. Vemos que, por omisin, el cluster tratar de balancear las
conexiones a todos los puertos (0 a 65535) que no es lo que deseamos, slo acceso
HTTP (TCP-80), as que ingresamos con el botn Edit, y ponemos 80 tanto en inicio
como en fin

Y finalizamos

Quedando as

Comenzaremos ahora agregando al otro nodo (NLB2), siguiendo el asistente tal

como muestran las siguientes capturas de pantalla

Demorar unos instantes hasta agregarlo y ver que est todo bien

Comencemos a probar :-)

Voy a DC1, abro el explorador y me conectar a nlb.root.guillermod.com.ar

Vemos que estamos accediendo a NLB2

Cerremos el explorador y volvamos a NLB1

Detengamos el servicio en NLB2

Y ahora volvamos a DC1 e ingresemos nuevamente al sitio. Podremos observar que

al estar detenido NLB2, nos atiende NLB1. Comentario por el uso de cacheo de
pginas del IE, seguramente se deber hacer un refresh de la pgina (F5) para
que se actualize

Volvamos a poner en funcionamiento a NLB2

Demorar unos instantes

Si queremos probar el balance de carga deberemos disponer de otra mquina ms.

En mi caso usar un cliente W8 que es parte del dominio
Como la conexin de DC1 se hizo sobre NLB1, ahora al cliente lo conecta a NLB2

Recordemos que esto es slo una demostracin para que nos familiaricemos y
podamos hacer una prueba con un Cluster NLB; en ambiente productivo
influencian otros factores que no son los aplicables a un ambiente de pruebas