Múltiplas Conexões WAN

Os múltiplos recursos WAN (multi-WAN) do pfSense permitem que um firewall utilize várias conexões com a Internet para obter conectividade mais confiável e maior capacidade de transferência. Antes de prosseguir com uma configuração multi-WAN, o firewall deve ter uma configuração funcional de duas interfaces (LAN e WAN). O pfSense é capaz de lidar com várias interfaces WAN, com várias implantações usando 10-12 WANs em produção. Ele será dimensionado ainda mais do que isso, embora não tenhamos conhecimento de nenhuma instalação que use mais de 12 WANs.

Todas as interfaces do tipo WAN são tratadas de forma idêntica na GUI. Tudo o que pode ser feito com a WAN primária também pode ser feito com uma interface OPT WAN adicional. Não há diferenças significativas entre a WAN primária e as WANs adicionais.

Este capítulo começa cobrindo itens a serem considerados ao implementar qualquer solução multi-WAN e, em seguida, abrange a configuração de várias WANs com o pfSense.

Escolhendo Conectividade da Internet

A escolha ideal da conectividade com a Internet dependerá em grande parte das opções disponíveis em um determinado local, mas há alguns fatores adicionais a serem levados em consideração.

Caminhos dos cabos

Falando da experiência daqueles que viram em primeira mão os efeitos de várias escavadeiras a cabo, bem como de ladrões de cobre nefastos, é muito importante garantir que as opções de conectividade para uma implantação de várias WANs utilizem caminhos de cabeamento diferentes. Em muitos locais, as conexões DSL, bem como quaisquer outras que utilizam pares de cobre, são transportadas em um único cabo sujeito ao mesmo corte de cabo, e outras da mesma rede, como circuitos de fibra, podem percorrer os mesmos pólos ou eletrodutos.

Se uma conexão vier em par de cobre (DSL), escolha uma conexão secundária utilizando um tipo diferente e caminho de cabeamento. As conexões de cabos são normalmente a opção mais amplamente disponível, não sujeita à mesma interrupção dos serviços de cobre. Outras opções incluem serviço de fibra ou wireless fixo que vem em um caminho diferente dos serviços de cobre.

Duas conexões do mesmo tipo não podem ser usadas para fornecer redundância na maioria dos casos. Uma interrupção de ISP ou corte de cabo normalmente derrubará todas as conexões do mesmo tipo. Alguns usuários do pfSense usam várias linhas DSL ou vários modems a cabo, embora a única redundância oferecida normalmente seja isolar um site do modem ou outra falha CPE (Customer Premise Equipment). Considere várias conexões do mesmo provedor como uma solução apenas para largura de banda adicional, pois a redundância que essa implementação oferece é mínima.

Caminhos para a Internet

Outra consideração ao selecionar a conectividade com a Internet para um site é o caminho da própria conexão para a Internet. Para fins de redundância, várias conexões de Internet do mesmo provedor, especialmente do mesmo tipo, não devem ser confiáveis, pois podem falhar ao mesmo tempo.

Com provedores maiores, dois tipos diferentes de conexões, como uma linha Fiber e DSL, geralmente atravessam redes significativamente diferentes até atingir partes centrais da rede. Esses componentes de rede principais são geralmente projetados com alta redundância e quaisquer problemas são resolvidos rapidamente, pois eles têm efeitos generalizados. Portanto, essa conectividade é isolada da maioria dos problemas de ISP, mas, como geralmente utilizam o mesmo caminho de cabos, ela ainda deixa um local vulnerável a interrupções prolongadas de cortes de cabos.

Melhor Redundância, Mais Largura de Banda, Menos Dinheiro

No passado, serviços de telecomunicações de alto nível, como circuitos DS1 ou DS3, eram a opção para ambientes com requisitos de alta disponibilidade. Geralmente, os Acordos de Nível de Serviço (SLA) oferecidos nas conexões DS1 e DS3 eram melhores que outros tipos de conectividade, e esses circuitos eram geralmente vistos como mais confiáveis. No entanto, os usuários finais deixaram esses circuitos para trás, porque são muito lentos ou muito caros para os padrões atuais. Com os recursos multi-WAN no pfSense, um site pode ter mais largura de banda e melhor redundância por menos dinheiro em muitos casos. Os serviços de fibra estão se tornando cada vez mais difundidos, sacudindo esse conceito ao fornecer quantidades extremamente grandes de largura de banda por um custo relativamente baixo, embora esses serviços ainda possam ter um SLA abaixo do desejável para resposta a falhas.

A maioria das organizações que exigem conexões de Internet de alta disponibilidade não deseja depender de DSL, cabo ou outras conexões de Internet de banda larga de “menor categoria”. Embora eles sejam geralmente mais rápidos e mais baratos, o menor SLA é suficiente para fazer com que muitas empresas continuem usando a conectividade DS1 ou DS3. Em áreas onde várias opções de banda larga de baixo custo estão disponíveis, como DSL e cabo, a combinação de pfSense e duas conexões de Internet de baixo custo fornece mais largura de banda e melhor redundância a um custo menor. A chance de duas conexões de banda larga diferentes caírem simultaneamente é significativamente menor do que a chance de uma única interrupção de serviço. A adição de uma linha de cabo ou DSL de backup para complementar uma linha de fibra muito mais rápida garante que a conectividade continuará quando ocorrer uma interrupção na linha de fibra, mesmo que seja uma ocorrência rara.