En este esquema de red la configuración de red es muy similar al anterior (Esquemas de red para nuestras implementaciones de Lync Server (Parte III)), pero tenemos una configuración algo diferente en lo que se refire a los routers. Además, he añadido una capa de complejidad añadiendo varios switchs, en los que configuraremos varias VLAN. La idea de las VLAN nos permitirá definir diferentes subredes IP (una por VLAN) y además nos pemitirá aislar la red de servidores, estaciones de trabajo y elementos de red a nuestro antojo. Además, cuando la red empieza a tener cierto volumen de dispostivos es bueno que configuremos diferentes VLAN para aislar la red y además optimizar los dominios de broadcast (pulsar en la imagen para verla a tamaño real)
Como vemos en este esquema tenemos una VLAN para servidores, varias para las estaciones de trabajo, la red inalámbrica y los teléfonos IP para Lync. Además, tenemos dos configuraciones interesantes en cuanto a la VLAN como son la VLAN 15 que se utilizará con una subred 172.26.0.0/28 para las interfaces externas del Reverse-Proxy y EDGE y que será en donde publiquemos los disintos servicios. Y además, tenemos la VLAN 20 para la subred 172.26.1.0/29 para las interfaces internas del Reverse-Proxy y EDGE. Esta configuración es diferente al de los otros esquemas, porque la separación de las subredes se ha hecho a nivel de VLAN, por lo que no será suficiente con que alguien cambie la IP de su equipo para estar en otra subred y tener acceso a la subred comentada, puesto que esto se define a nivel de switch.
Todos los switchs son de Capa 3 y que utilizaremos para el ruteo entre las VLANs, cada switch tendrá la primera dirección IP del rango en la que se encuentre para hacer de gateway de los equipos o servidores. La única excepción es entre el switch central y el switch que tiene configurada las VLANs para las estaciones de trabajo, porque se ha configurado una VLAN 30 para conectar ambos switchs y que el Switch de las estaciones de trabajo utilizará como default gateway para que todo el tráfico que no conoce se lo envíe al switch que tiene directamente conectado. El switch central tiene también como default gateway la IP 192.168.200.1, que es la VIP que se ha configurado entre los dos routers configurados con HSRP (o GLBP en función de lo que queráis hacer), porque este swtich será el primer salto que tendrán los esquipos para conectar con internet. Pensad que el switch central es el único que tenemos conectado fisicamente con el Switch más cercano a los routers, por lo que es el único "camino" para llegar a internet (hasta los routers), y como cada switch tiene una serie de VLANs con su correspondiente IP. Cada IP que tiene configurada el switch en cada VLAN es la IP que los equipos tienen como Default Gateway. Si podemos utilizar un protocolo de enrutamiento (RIP, OSPF, EIGRP, etc..) podemos configurar de forma automática el enrutamiento entre todas las VLAN del switch vecino, porque cada switch tiene el conocimiento suficiente para interconectar a nivel IP todas las subredes. Pero bueno, esta configuración es básica en cualquier red con VLAN, pero aquí lo interesantes es definir ciertas ACL en las VLAN 15 Y 20 para filtrar el tráfico hacia y desde las interfaces que queremos proteger y publicar a la red del Reverse-Proxy y EDGE.
En la interface LAN del EDGE y Reverse-Proxy NO TENEMOS QUE CONFIGURAR DEFAULT GATEWAY y sí en la interface WAN, por lo que como deben tener acceso a la redes internas vía la interface LAN, debemos crear las diferentes rutas estáticas en cada servidor para poder tener acceso a las distintas subredes internas. Aquí dejar claro, que a través de la interface WAN no se pueden comunicar con nadie más que con Internet (hacia y desde), por lo que debemos configurar los diferentes filtrados en la VLAN 15 para evitar el acceso entre VLAN. Las rutas estáticas comentadas son las siguientes:
El EDGE tiene que tener acceso a todas las redes internas en donde tengamos usuarios con Lync que quieren conectarse con usuarios externas, y el Reverse-Proxy solo necesita tener acceso a la red de servidores y si queremos solo al Exchange, Front-END y Office Web App. En el ejemplo, os expongo la ruta estática hacia toda la subred IP de la VLAN de servidores. Como podéis apreciar el Default Gateway siempre es el switch al que están directamente conectados, puesto que tiene la subred IP del mismo rango y además la tabla de enrutamiento configurada para hacer el ruteo correspondiente. El valor que he puesto en la ruta estática if N, el valor de N se corresponde con la interface en la que tenemos configurada la IP interna del servidor Reveser-Proxy o EDGE, esto ya lo he comentado en los siguientes artículos:
En este esquema de red lo que tenemos que tener en cuenta, son las rutas estáticas a crear porque si o si es algo obligatorio con este escenario. El resto es más o menos similar a los tres artículos anteriores, la configuración de los routers también está en Alta Disponibilidad, saliendo a internet por la VLAN 10 que conectará con la VIP 192.168.200.1 y que tendrá como activo para la salida a Internet de los equipos internos el router 1 y como pasivo el router 2. La peculariedad aquí, es que ambos routers tienen dos grupos de Alta Disponibilidad (HSRP) por lo que tenemos dos VIP, y la segunda 172.26.0.1 tendrá como activo el router 2 por donde publicaremos los servicios del EDGE (todos por los puertos estandar ya que tenemos tres IPs Públicas en el Router 2 y 1 IP Pública en el Router 1.
En el switch en el que tenemos conectados los routers, hemos configurado dos puertos en el switch como troncales, en donde solo permitimos transportar tráfico de las VLAN 10 y 15. Esto es así, porque solo tenemos una interface Internet en los routers en esta ocasión, pero que si podemos configurarlos como Router-On-Stick (
http://www.cisco.com/c/en/us/support/docs/lan-switching/inter-vlan-routing/14976-50.html) y así configurar una subred IP en cada subinterface. Aquí mucho cuidado, recordad que debéis configurar una ACL aplicada de entrada en la subinterface para evitar que ambas subredes internas puedan tener conectividad entre ellas. Pensad que la subred 172.26.0.0/29 es para crear una "DMZ vía VLAN" para las interfaces Externas del Reverse-Proxy y EGE. La subred 192.168.200.0/28 será para ofrecer conectividad a Internet a las subredes internas, puesto que por debajo tenemos el switch central que tiene acceso a esta VLAN y tiene la posibilidad de enrutar todo el tráfico que no "conozca" hacia este gateway, que se corresponderá con el Router 1 que hemos configurado como activo para este grupo de HSRP, y en el caso de que el Router 1 no está disponible los usuarios no tendrán problema de acceso a internet porque entrará como activo el Router 2. En este caso, lo que no funcionaría serían los acceso al Exchange, Office Web App y el cliente Lync móvil. Esto es así, porque las publicaciones y registros DNS apuntan a la IP que gestiona el Router 1. Pero lo que si seguimos mantenimiento sería la conexión desde el exterior de los usuarios de Lync, las Federaciones, etc… porque el router 2 estaría activo. Si el Router 2 no está disponible, las conexiones de Lync desde el exterior no funcionarían pero si los servicios Web de Lync. En este caso aún teniendo los servicios web de Lync activos, no podemos hacer mucho, porque no podemos iniciar sesión con el cliente Lync de escritorio, ni los teléfonos IP que tengamos fuera de la red pero si en el cliente móvil. Pero claro, el cliente móvil cuando queremos utilizarlo para llamar por VoIP no podremos, porque todo el tráfico RTP va por el EDGE además de otra características.
Como vemos, aunque el escenario cambie y aumente la complejidad de la red, las diferencias a nivel de Lync con mínimas y que os expongo en los siguientes puntos (siempre relacionándolo con los 4 esquemas vistos hasta la fecha):
-
Debemos cambiar los puertos estándar de los sevicios del EDGE
-
Crear rutas estáticas en el EDGE y Reverse-Proxy si tenemos varias subredes internaces en la red o si estamos en una subred diferente a la de los equipos con Lync
El resto de configuraciones van siempre ligadas a la red:
-
Configuración VLAN
-
Configuración HSRP o GLBP
-
Configuración DMZ
-
Configuración Router on a Stick
-
Configuración dos IPs Privadas en las interfaces LAN de los routers
Como vési es cuestión de ir adaptando las configuraciones en función de los elementos con los que contamos, no os quedéis con las direcciones IP y configuraciones de Alta Disponibilidad, porque cada uno podrá configurar lo que quiera. Yo simplemente lo expongo por tener una referencia, pero cada uno configurará lo que quiera/necesite.
Espero que os sea de utilidad!!!
Leave a Reply