Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Filter Load Balancing
Filter Load Balancing
El sistema operático del Switch Alteon incluye capacidades de filtrado en la capa 2(MAC) ,
capa3(IP) y capa 4(TCP/UDP).
El filtrado son una serie de reglas que son aplicadas en el trafico antes que cualquier otra
acción.
Filtrado puede no ser aplicado o ser aplicado por puerto o ser aplicado por vlan.
Con el filtrado los administradores pueden controlar el trafico a través del switch y procesos
basados en reglas.
Los filtros pueden ser configurados para permitir o denegar de capa 2-capa7: MAC address, IP
Cada filtro puede ser puesto ejecutando acciones de filtrado basadas en una combinación de
las siguientes opciones de filtro.
Deny- Descarta los frames que encajan con el perfil del filtro.Esto puede ser usado para
construir perfiles de seguridad básicos
Redir- Redirecciona frames que encajan con el perfil de filtrado por ejemplo
redireccionamiento de la cache del servidor
Nat-Esto puede ser usado para mapear la dirección ip fuente o de destino y la información de
puerto de una red privada a /desde las direcciones ip y puertos de red especificados
Uso de filtrado-Filter Usage
Usando el criterio de filtrado tu podrias crear un filtrado único que bloquee el trafico externo
de telnet a tu servidor excepto desde una dirección ip de confianza.
Otro filtro podría advetirte si el acceso a FTP es llevado a cabo desde una dirección ip
especifica.
Otro filtro podría redirigir todo el trafico de correo entrante a un servidor donde podría ser
analizado para buscar spam.
Deben configurarse filtros globales y ello es posible para uno o mas parametros a ser
chequeados.
Pueden existir hasta 2048 filtros. Asigna los filtros localmente por puerto físico.
Cuando multiples filtros son asignados en un puerto el numero de filtro determina el orden de
precedencia.El filtro con el numero mas bajo es chequeado primero
Cuando el trafico pasa por el puerto del switch si el filtro concuerda con uno definido la acción
configurada tiene lugar a cabo y el resto de filtros son ignorados.
Antes de configurar filtros debería ser habilitado en cualquier puerto dado un filtro por
defecto. Este filtro por defecto manejara cualquier trafico no cubierto por cualquier otro filtro.
Todos los criterios en el filtro por defecto deben abarcar el mayor rango posible (any).
Ips Fuente e Ips de destino
Tu puedes especificar un rango de direcciones ip para filtrar las direcciones ip fuente y de
destino para el trafico. Cuando un rango de direcciones ip es necesario las direcciónes ip
fuente o la direcciónes ip de destino definen las direcciones ip del rango deseado.
Ejemplo de filtrado
En este ejemplo observamos como todo el trafico http necesita ser enviado a un servidor de
proxy transparente. Para ello podríamos crear un filtro para interceptar el trafico http y
redirigirlo al servidor de proxy.
-Primero crea un servidor real y entonces crea un grupo y añadelo o añadelo a un grupo
previamente creado.
-habilita el balanceo (se puede permitir o denegar en este paso aunque con esta acción
configurada no tiene sentido)
Comparación de SLB
Aquí podemos ver la diferencia entre un balanceo de carga con VIP y un balanceo de carga con
filtrado usando como acción de filtrado la redirección.
A continuación vamos a ver dos caso de acciones de filtrado NAT(ver primeros puntos donde
se explican las acciones de filtrado)
Configuración estática PIP:
El hecho de hacer nat como es el caso de usar un proxy es una acción de filtrado para
configurarlo en un puerto o un rango o una vlan para configurar pip lo hacemos como en la
imagen:
Este puede ser otro caso de acción de filtrado, la insercción de una ip de proxy puede ser
habiltada sobre un servicio virtual o un proxy cuando un paquete abandona el switch por un
puerto o por una vlan.
En este caso si el criterio del filtro(opción de filtrado ip, mac etcc..) concuerda con el paquete
la source ip es reemplazada con la IP del proxy
Podemos ver en la imagen de arriba como se configura el filtro para hacer el nat con el proxy.
Podemos crear un filtro en Alteon que redirigira las peticiones http a https de manera que
cuando los clientes envían una petición http a la virtual IP se redirigirán al servicio https
En este caso el filtrado examinaría el servicio peticionado por el cliente y al ver que es http lo
redirecciona a https que es el servicio que la VIP soporta o para el que esta configurado.
Para configurar elementos de capa 7 vamos a usar la interfaz de línea de comandos para ello
iremos al menú de configuracion de load balancing luego escribremos “slb”, esto nos llevara a
“Server Loadbalance Recourse” a continuación necesitamos añadir un string(que será el
recurso) asi que escribiremos addstr.
Como queremos aplicar esto a un string de cabecera necesitamos seleccionar “yes” para
configurar “HHTP header string”
Si estuviésemos usando valores de string de cabecera para load balancing a continuación los
pondríamos como no es nuestro caso saltaremos este paso y diremos que no “n”
A continuación añadimos nuestro string , date cuenta que especificamos el header seguido por
dos puntos y entonces entramos el nombre de host seguido por dos puntos tambien,
finalmente especificamos el puerto en este caso 443 porque queremos redirigir a HTTPS.
De otro forma si ya lo salvamos podemos ir al menude configuracion de slb para ver los strings
y sus ids.
Configurando filtros
Ahora que hemos creado nuestros strings en el apartado anterior y tenemos nuestros IDS
vamos a configurar los filtros.Para hacer esto vamos al menú de configuracion slb y
configuramos el filtro 1 , habilitamos el filtro y especificamos la acción de filtrado que en
nuestro caso será redirección, tambien necesitamos especificar la versión de ip , protocolo y
puerto de destino.
Por ultimo necesitamos habilitar el filtro sobre el puerto, en nuestro caso notostros queremos
aplicar el filtro que acabamos de crear en el puerto 1, por tanto habilitamos el filtro y lo
añadimos al puerto.
Traza de Informacion
Podemos usar wireshark o hhtpfox para asegurarnos que el filtro esta siendo aplicado
Caso de uso redirección transparente
Redirección de aplicaciones
SLB Transparente