Muchos buscan utilizar dispositivos edge-gateway para algo más que un punto final SD-WAN para una implementación en varios sitios. A continuación se explica cómo utilizar una puerta de enlace SD-WAN SteelConnect de Riverbed como dispositivo NAT para permitir el acceso entrante a los servicios públicos.
Hay muchos casos de uso para SD-WAN en estos días y Riverbed está intentando responderlos con su línea de productos Steel Connect. Cuando lo implementé en nuestra pequeña oficina en Temecula, California, quise utilizar las características de la puerta de enlace Steel Connect SDI-130 como mi único router de borde. Para lograr esto, el gateway no sólo necesitaba actuar como un punto final de túnel para otros sitios, sino que también necesita permitir y controlar el acceso entrante desde Internet a un servidor de correo y web que esté en el sitio. Esto significa que el gateway necesario para soportar NAT. Afortunadamente, sí. En este artículo veremos cómo configurar NAT y habilitar el acceso entrante en la solución SD-WAN de Riverbed conocida como Steel Connect.
Más información sobre redes
Configuración de reglas NAT entrantes
La configuración de la NAT estática en el Steel Connect Manager de Riverbed utiliza una terminología un poco diferente a la que podría estar acostumbrado si procede del mundo Cisco. Normalmente configuraríamos Static NAT junto con un ACL entrante como dos configuraciones separadas en el ASA de Cisco. En la solución de Riverbed configuramos una regla de entrada, pero hay un poco más en la configuración que en la configuración de la regla NAT. El proceso de alto nivel es el siguiente:
- Registre su dispositivo servidor.
- Cree una aplicación de tipo dispositivo para correo electrónico. (En las reglas NAT sólo se pueden utilizar aplicaciones de tipo dispositivo.)
- Cree la regla NAT entrante.
Registre su servidor
En mi topología demo, tengo un Apple Mac Mini ejecutando la aplicación servidor. La aplicación servidor tiene varios servicios que podrían estar habilitados, sin embargo, en este caso hemos habilitado la aplicación servidor de correo electrónico. Una vez que esté en su lugar, lo que supongo que ya ha hecho, necesita registrar el servidor dentro del Steel Connect Manager para que se pueda seleccionar en la regla NAT.
Crear una aplicación de tipo de dispositivo
El siguiente paso sería crear una aplicación de tipo dispositivo. Esta es una aplicación personalizada que utilizará para definir los puertos entrantes permitidos. En la solución de Riverbed no se escriben instrucciones ACL para controlar el acceso entrante. Todo se bloquea hasta que se añade una regla para permitirlo.
Comience por navegar a la lista de aplicaciones personalizadas:
Y luego agregue la nueva aplicación personalizada.
Tenga en cuenta que debe especificar el tipo de aplicación como «dispositivo» y la opción de limitar el número de puertos. Esto le permite introducir una lista de puertos separados por comas. Puede acceder a esta opción en el menú desplegable que se encuentra por defecto en «Todos los protocolos y puertos». Además, debe seleccionar el dispositivo servidor que registró.
Definir la regla NAT
Ahora que tiene todo en su sitio, puede crear la regla NAT. La creación de la regla NAT también crea una entrada ACL entrante para permitir el tráfico entrante.
Empiece por navegar a Reglas>Reglas entrantes (NAT.
A continuación, seleccione el pulsador Nueva regla de entrada.
Al crear la nueva regla de entrada, seleccionará la Aplicación que creó, el enlace ascendente, el modo (DNAT), y podrá verificar los puertos que deben rellenarse automáticamente.
En este punto usted debe tener una regla de NAT entrante que permita el correo electrónico a su servidor. Hay algunas cosas que deberán tenerse en cuenta fuera de esta configuración, como la configuración de DNS para el dominio de correo electrónico, los registros MX, etc. Suponiendo que todo esto esté en su sitio, está listo para utilizar el acceso entrante a la puerta de enlace Steel Connect de Riverbed mediante NAT.
Por lo tanto, para verificar un poco de esta configuración, puede consultar primero su servidor Apple para asegurarse de que está configurado correctamente para permitir la conectividad de correo entrante.
Por último, envíe un mensaje de prueba y tendremos conectividad entrante a través de la solución SD-WAN de Riverbed.
Pensamientos finales
Esta configuración fue un poco complicada, pero sobre todo porque estaba usando el servidor de Apple para hacer pruebas. Si se hubiera utilizado el intercambio, esto habría sido mucho más sencillo, ya que los puertos están bien documentados. Apple publica una lista de puertos que se utilizan, pero no está bien desglosada. En cualquier caso, el objetivo es demostrar claramente que puede utilizar una solución SD-WAN de Riverbed como puerta de enlace principal de su red y permitir el acceso entrante a los servicios.
Noticias técnicas que puede utilizar en el boletín informativo
Entregamos las mejores noticias de tecnología empresarial sobre las empresas, las personas y los productos que revolucionan el planeta. Entregado diariamente
Inscríbase hoy
:
Introducción a Firewall sin complicaciones
Cómo registrar un módulo ASA SFR en el Centro de Gestión de FirePOWE
R
Cómo añadir un AirPort Express a un AirPort Extreme para ampliar las redes inalámbrica
s
Cómo añadir la opción VPN L2TP a NetworkManager en Linux