UNS Training
McAfee Web Gateway
McAfee Email Gateway
McAfee Firewall Enterprise
McAfee Web Gateway
McAfee Email Gateway
McAfee Firewall Enterprise
Blog de McAfee Firewall Enterprise (Sidewinder) en Español
Con D.J. Ashba, guitarista de Guns N' Roses. Los Angeles, California - Feb, 2011.
McAfee Firewall Enterprise (Sidewinder) - Alternate Default Gateway
Hola amigos. En este blog vamos a discutir "Alternate Default Gateway" en el McAfee Firewall Enterprise. MFE v.8 tiene la capacidad de tener coneciones a dos diferentes IPS's en modo Activo/Pasivo. Si el ISP primario (Default Gateway), no esta disponible, el MFE, manda todo el trafico a el secundario (Alternate Default Gateway).
ZONAS Y INTERFACES
Primero, tenemos que configurar otro ZONE para ISP#2.
Tambien recomendo configurar un "ZONE GROUP" que incluye los dos ZONEs externos.
Despues, tenemos que configurar el ip de la tarjeta de rede de ISP#2
ROUTING
Routing se configuar en Network/Routing/Static Routing
El "Default Route" de este MFE es, 111.1.1.99. Vamos a cambiar la configuacion y selecionar: "Use alternate default route".
Tambien tenemos que verificar que el IP de el "Primary default route" esta en la ventana de "Ping address:". El interval default es: 30 segundos y 3 fallas. Si el MFE no puede mandar/recibir un "ping" de el ip de el "Primary default route", el MFE empiesa a mandar todo su trafico a el "Alternate default route".
El ip de el "Alternate default route" (ISP #2), es 192.168.1.1.
El tcpdump verifica que el MFE esta mandando un ping a el "Primary default route" cada 30 segundos.
Verificamos el status de nuestro alternate default route table.
El primario esta activo y el alternate esta en standby.
REGLAS
Por default, las reglas de MFE solo tienen zonas, internal y external. Tenemos que modificar todas estas reglas.
Aqui tenemos un screen-shot de la regla, "Internet-Services". La zona destina es "external".
Si no modifcamos esta regla y el MFE se cambia a el "Alternate default route", no hay regla para que el trafico llega a la "zona alternate" y los coneciones de los usarios estan en modo: "Access Denied".
Tenemos que modifcar la regla. Cambiamos el "Destination Zone" a: ISP1-2(Group)
ALTERNATE TAKEOVER
Desenchufe el cable de electricidad de el ISP#1 Router.
Tenia un ping corriendo desde un notebook en la rede "internal" a un ip en el Internet, 4.2.2.1.
Vemos que se fallio durante la prueba de: "Ping address": Cuando el MFE empeso a mandar el trafico por el "Alternate default route", el ping desde el notebook a el ip 4.2.2.1 funcióno de nuevo.
Imidiatamente, el MFE genera un alama.
En la ventana de "Status", vemos que ISP #1 no esta disponible, y el "Alternate default route" esta activo.
Trafico HTTP en el tcpdump de la interface de "Alternate default route"
DEFAULT TAKEBACK
Cuando el ISP #1 esta disponivle otra vez, el "Status se cambia.
Si deseas regresar a ISP #1, el cambio no es automatico. Se hace por linia de comando:
cf static reset_default
El MFE se regrea a el "Primary default route"
La vercion de este MFE es 8.1.1.p01
Muchas gracias,
- Frank Osgood.
Lista de blogs anteriores
Cursos de McAfee Web Gateway / Enterprise Firewall en Español
Si tienes preguntas o recomendaciones para el blog, o para suscribir a ediciones nuevas, por favor manda un correo a fosgood@unsinc.com.
Gracias.
El Blog-ero:
Hola. Soy Frank Osgood de Universal Network Solucions (UNS). Yo ha trabajado con el firewall de Sidewinder desde 1999. Este blog pertenesa a observaciones que ha tenido con funciones nuevos y tambien con configuraciones avanzados.
Tambien ensenio la clase de certification de Sidewinder 6 y 7. UNS es el ATC de Sidewinder y Webwasher para America Latina(Centro de Entrenamiento Autorizado).
La información en este blog no es sancionada por McAfee / Secure Computing.