Como Balancear Tráfico Entre Varios Enlaces en FWs Palo Alto (ECMP)

ECMP

Equal Cost Multipath da soporte a rutas con “mismo coste” yendo al mismo destino. Se pueden configurar un máximo de 4 rutas con mismo coste.

Sin ECMP, si existen múltiples rutas con mismo costo al mismo destino, el router virtual elige una de la tabla de enrutamiento y la añade a la tabla de reenvío; no usará ninguna de las otras rutas a menos que la ruta escogida caiga.

El balanceo ECMP se realiza a nivel de sesión, no a nivel de paquete. El equal-cost path es elegido al momento de iniciar una nueva sesión en el firewall.

CONFIGURANDO ECMP

Tomamos como ejemplo el diagrama de arriba donde tenemos las siguientes interfaces configuradas:

Interfaces

Nota: las interfaces de los ISP de este ejemplo están en zonas diferentes, pero el ECMP puede configurarse para interfaces en la misma zona también.

1. Configurar las rutas “Equal-Cost”

Abrimos el virtual router en uso y modificamos las rutas estáticas de los ISP para que tengan la misma métrica:

Router

2. Configurar políticas de NAT

Verificamos que existan las políticas de NAT configuradas para cada proveedor con su respectivo source translation.

NAT

Nota: En el caso de que los proveedores se encuentren en la misma zona, debes crear una política de NAT para cada uno y su respectiva interfaz destino.

3. Configurar políticas de seguridad

Debemos verificar que la política de seguridad aplique para las zonas correctas, en este caso debemos agregar las 2 zonas de cada proveedor.

security

4. Habilitar ECMP en el firewall

Ahora debemos habilitar ECMP en el virtual router, yendo a la sección Router Settings > ECMP. Damos clic en enable, en Max Path colocamos la cantidad de enlaces o rutas ECMP (máx 4).

Dar clic en Enable Symmetric Return si deseamos que los paquetes de respuesta salgan por la misma interfaz que recibió la solicitud.

Por último elegimos un método de balanceo:

  • IP Modulo o IP Hash: Promueven el stickiness de las sesiones, es decir, intentarán mantener las sesiones en una misma interfaz basandose en origen y destino.
  • Balanced Round Robin: Distribuye las sesiones equitativamente, favorenciendo el balanceo de tráfico sobre el stickiness.
  • Weigthed Round Robin: Similar al Round Robin pero permite asignar pesos a cada enlace, por si estos tienen diferentes anchos de banda. Por ejemplo: Asignamos un peso de 100 al enlace A con 100 Mbps y asignamos un peso de 60 al enlace B con 60 Mbps. Esto asegura evitar sobrecargar un enlace cuando estos no tienen la misma capacidad.

Como Balancear Tráfico Entre Varios Enlaces en FWs Palo Alto (ECMP)

https://infosec.run/2020/09/01/como-balancear-tráfico-entre-varios-isp-en-fws-palo-alto-ecmp/

Author

Jaime Moscoso

Posted on

2020-09-01

Updated on

2023-04-28

Licensed under

Comentarios