un FirewallEl Uso Simultneo de Las Dos WAN sobre Un Firewall Introduccin El firewall por defecto slo se trabaja con

una WAN para navegar a Internet. No obstante, el firewall cuenta con Fail-Over para ocupar las 2 WAN, sin embargo, este mtodo sigue siendo una conexin a Internet en el momento y la otra como respaldo de la primaria; es una solucin con redundancia. En alguna ocasin se requiere utilizar mltiple salida a Internet (WAN) sobre un firewall simultneamente para que diferentes grupos de los hosts tengan su propio ancho de banda de la salida. En este documento se mostrar un ejemplo de implementarse 2 salidas a Internet simultneamente en un DFL-800. Objetivo Se implementar un DFL-800 con 2 salidas WAN a Internet. Los hosts LAN normalmente tendr la nica salida a Internet por WAN1 y solo un grupo especifico de LAN tendr la salida a Internet por WAN2. A continuacin se muestra la topologa de la implementacin. Topologa: Junio, 2007 Departamento Ingeniera D-Link Latn Amrica Nota: 1. WAN1 y WAN2 tienen distintas IP de las redes internas de la empresa, las cuales utilizan diferentes Gateway para la salida a Internet. 2. La versin del Firmware de DFL-800 es 2.11.02 o superior. Configuracin de Firewall Paso 1: Modifique los objetos wan2_ip, wan2net y cree el gateway wan2gw, el DNS wan2dns y el grupo especfico lanseg2. Paso 2: Modifique las interfaces WAN1 y WAN2 para corresponder la topologa de este documento. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica - WAN1: Habilite DHCP Client y deshabilite Add default route if default gateway is specified. - WAN2: Deshabilite Add default route if default gateway is specified. Paso 3: Agregue manualmente una ruta en main de Routing Tables. Esta tabla de enrutamiento main es para WAN1. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica Paso 4: Cree la segunda tabla de enrutamiento to-wan2 para WAN2. Paso 5: Cree 4 rutas como se muestran en la siguiente imagen. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica

Paso 6: Cree 2 reglas de enrutamiento para WAN2. La primera es para que el grupo especfico de LAN vaya por la tabla de enrutamiento WAN2, es decir, salga por la interfaz WAN2. La segunda es para que la IP WAN2 responda ICMP (PING). Junio, 2007 Departamento Ingeniera D-Link Latn Amrica Paso 7: Finalmente, Cree una regla IP para que permita la navegacin y haciendo NAT por WAN2. Paso 8: Guarde y active la configuracin. Resultados Obtenidos PC1 se obtuvo la respuesta PING desde Internet. La siguiente imagen se muestra la respuesta, IP de PC1 e IP pblica que se estuvo saliendo a Internet. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica Al igual a PC1, PC2 tambin se obtuvo la Respuesta PING desde Internet. La siguiente imagen se muestra la respuesta, IP de PC2 e IP pblica que se estuvo saliendo a Internet. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica Complemento A continuacin se muestran las configuraciones complementarias cuando ambas WAN utilizan las IP de mismo segmento y tienen el mismo Gateway para la navegacin. Paso 1: Modifique wan1_ip, wan1net, wan2_ip y wan2net, luego agregue dns01, dns02, wan1_gw y wan2_gw respectivamente. Paso 2: Modifique las interfaces WAN1 y WAN2 para corresponder la topologa de este documento. - WAN1: Deshabilite Add default route if default gateway is specified. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica La parte WAN2 es igual a la configuracin que se mostr en la seccin Configuracin. Desde Paso 3 a 6 son iguales a las configuraciones que se mostraron en la seccin Configuracin. Paso 7: Despus de crear una regla para permitir y natear el trfico de LAN a WAN2, se requiere agregar una regla de acceso para que la interfaz WAN2 acepte el uso de Gateway WAN1, pues que la idea original de nuestro firewall es ocupar ambas WAN con diferente segmento de IP y, si ambas WAN tienen el mismo segmento de IP, se requerir esta regla complementaria para llevar al cabo. Paso 8: Guarde y active la configuracin. Junio, 2007 Departamento Ingeniera D-Link Latn Amrica