Configuració de balanceig de càrrega Dual-WAN en routers empresarials

PCHardwarePro » Windows » Configuració de balanceig de càrrega Dual-WAN en routers empresarials

Quan comences a dependre de la teva connexió a Internet per treballar, donar servei a clients o sostenir videovigilància 24/7, un simple tall del teu ISP es pot convertir en un autèntic problema. Per això cada vegada més empreses (i usuaris avançats a casa) aposten per configuracions de balanceig de càrrega i Dual-WAN als seus routers professionals, combinant diverses línies d'Internet per guanyar estabilitat, rendiment i redundància.

En aquest article veuràs, amb tot luxe de detalls, com funciona la configuració de balanceig de càrrega (Dual-WAN) en routers empresarials, quines maneres existeixen (failover, temporitzat, spillover, round-robin…), com es configuren en equips molt habituals (TP-Link, ASUS, D-Link, etc.) i què has de tenir en compte si vols muntar alguna cosa similar a la teva empresa o fins i tot a casa sense tornar-te boig amb les sigles.

Què és el balanceig de càrrega Dual-WAN a routers empresarials

En un router empresarial amb múltiples ports dInternet, Dual-WAN significa que l'equip pot fer servir dues (o més) connexions WAN de forma simultània o alterna. En comptes de dependre d'un únic proveïdor, connectes dues línies (per exemple, fibra + LTE, o dues fibres de diferents ISP) i l'encaminador decideix per quin enllaç envia cada sessió de trànsit.

La majoria de routers professionals moderns permeten alguna cosa més que simplement commutar entre enllaços: integren mecanismes de balanceig de càrrega i respatller d'enllaç. Això es tradueix bàsicament en dues grans funcions:

Balanceig de càrrega (Load Balance): el router reparteix les connexions sortints (sessions) entre totes les WAN disponibles, augmentant l'amplada de banda total utilitzable i reduint la saturació a cada enllaç individual. Si tens dues línies de 300 Mbps, no veuràs 600 Mbps en un únic test de velocitat, però sí que pots aconseguir que diversos usuaris descarreguin i naveguin aprofitant els 600 Mbps globals.

Enllaç de seguretat (Link Backup o Failover): el router utilitza una o diverses WAN principals i en manté d'altres en espera (standby). Només quan detecta que s'ha complert una condició de fallida (com caiguda de línia, pèrdua de ping o un horari establert), activa les WAN de respatller i encamina per elles tot el trànsit nou.

En resum, totes dues funcions serveixen per millorar la resiliència de la xarxa, però amb matisos importants: el balanceig de càrrega aprofita totes les WAN de forma contínua, mentre que l'enllaç de seguretat reserva una part de les WAN i només les fa servir quan es compleixen les regles que hagis configurat.

Maneres de seguretat d'enllaç: temporització i commutació per error

Molts routers empresarials, com els TP-Link de la gamma professional (per exemple TL-R600VPN, TL-R470T, TL-ER7206, etc.), incorporen un mòdul específic de “Link Backup” amb diferents maneres que combinen amb el balanceig de càrrega. Dos dels més útils en entorns reals són el mode de temporització i el mode de commutació per error (failover).

Una cosa clau en aquests equips és que la còpia de seguretat denllaç sol dependre que el balanceig de càrrega estigui habilitat. Als menús de TP-Link veuràs que, si no marques “Habilitar balanceig de càrrega”, el Link Backup directament no funciona o es comporta de forma erràtica.

Mode de temporització en enllaç de seguretat

El mode de temporització està pensat per a casos en què vols utilitzar una WAN en horari laboral i una altra en horari off, sense que se solapin excepte per fallada. Per exemple, una empresa (o un usuari a casa) amb un TL-R600VPN V4 i dos ports WAN connectats a Internet pot voler utilitzar:

WAN1 com a línia “de treball” de dilluns a divendres, de 8:00 a 18:00, i WAN2 com a línia “personal” fora d'aquest horari, potser aprofitant un pla més barat o amb una altra política de trànsit.

Als routers TP-Link el procés típic és:

1. Definir el rang horari. Al menú de “Preferències > Rang de temps” es crea un interval amb els dies de la setmana i les hores en què s'ha d'activar la WAN de seguretat. Aquest rang serà el disparador perquè el router decideixi quina de les WAN ha d'estar activa a cada moment.

2. Activar el balanceig de càrrega. Vas a “Transmissió > Balanceig de càrrega > Configuració bàsica” i marques “Habilitar balanceig de càrrega”. Sense aquesta casella, el Link Backup no entra en joc encara que ho tinguis configurat.

3. Seleccionar WAN principal i WAN de seguretat. A “Transmissió > Balanceig de càrrega > Enllaç de seguretat” defineixes quin port és la WAN principal (per exemple WAN1) i quina actua com a WAN secundària (WAN2). A més, en equips amb més d'una WAN marcada com a principal, pots ajustar el comportament davant de fallades mitjançant opcions com:

• Failover (habilitar respatller quan falla alguna WAN principal): si hi ha diverses WAN principals i cau una, el router activa la WAN de respatller.
• Commutació per error total (quan fallen totes les WAN principals): només es recorre a les WAN de respatller si es detecta caiguda de totes les WAN que hagis definit com a principals.

Un peculiar detall d'aquesta manera: durant l'interval de temps configurat la WAN “secundària” passa a estar en línia i la principal es queda offline. Fora del període, s'inverteix la relació. Això et permet, per exemple, tenir un enllaç residencial barat (o un LTE pagat per trànsit) com a suport fora d'horaris laborals.

Convé saber també que, si es produeix una fallada a la WAN que estava “online” en aquell moment, les WAN marcades com a offline romanen offline; no és una manera pensada per failover pur i dur, sinó per alternar línies en funció de l'hora.

Mode de commutació per error (failover) en enllaç de seguretat

El mode de commutació per error s'enfoca a minimitzar al màxim les interrupcions del servei. El cas típic descrit per TP-Link és un client amb un TL-R600VPN V4 i dos WAN:

WAN1: fibra o cable de quota fixa mensual, de bona qualitat i amb cost predictible. WAN2: connexió LTE o banda ampla mòbil que es factura per volum de dades consumit.

L'habitual en aquesta situació és fer servir sempre WAN1 per a tot i només saltar automàticament a WAN2 quan es detecti que WAN1 no té connectivitat. Així es guanya fiabilitat sense disparar la factura de dades mòbils.

Als routers de TP-Link el procediment sol ser:

1. Activar balanceig de càrrega. Igual que abans, s'entra a “Transmissió > Balanceig de càrrega > Configuració bàsica” i es marca “Habilitar balanceig de càrrega”. Sense això, el failover no arrenca.

2. Marcar la prioritat de les WAN. A “Transmissió > Balanceig de càrrega > Enllaç de seguretat” es defineix WAN1 com a “Primary WAN” i WAN2 com a “Secondary WAN”. En condicions normals, tot el trànsit nou s'envia per WAN1. Quan la funció de monitorització detecta que WAN1 està offline, el router aixeca WAN2 i redirigeix ​​per ella les noves sessions.

3. Configurar la detecció en línia. A “Transmissió > Balanceig de càrrega > Detecció en línia” s'ajusta com sabrà el router si una WAN està realment activa. Les maneres habituals són:

• Automàtic: el router utilitza consultes DNS (DNS lookup) cap a la porta d'enllaç del port WAN o cap a un servidor DNS per verificar connectivitat.
• Manual: l'administrador especifica adreces IP per fer ping i/o dominis per llançar resolucions DNS, amb llindars de temps i nombre d'intents per declarar la WAN caiguda.

La idea és utilitzar IPs o dominis molt estables, com DNS públics coneguts, per evitar falsos positius. Si aquests pings/consultes comencen a fallar, el router marca aquesta WAN com a inactiva i fa la commutació a la WAN de seguretat.

Casos d'ús domèstics: redundància tipus empresa a casa

Tots aquests conceptes no es queden només al món corporatiu; hi ha molts usuaris que ja han replicat una mini infraestructura empresarial a casa seva per fugir dels clàssics talls de lISP i millorar la cobertura Wi-Fi.

Un exemple real força il·lustratiu és el d'un programador a Xile que, fart dels problemes del proveïdor principal (VTR), va decidir muntar una xarxa domèstica amb failover i millor Wi-Fi sense tenir grans coneixements de xarxes. Tenia:

• Connexió principal de VTR (cable, no fibra, amb rendiment irregular).
• Connexió secundària de WOM, una banda ampla mòbil 4G amb un petit hotspot sense port RJ45.

Els seus problemes eren els clàssics: talls constants que llençaven reunions, classes online dels seus fills i partides de videojocs, ia més una cobertura Wi-Fi pèssima en una de les habitacions malgrat l'ús de repetidors.

La solució que va dissenyar va ser posar a casa una cosa molt semblant a una xarxa d'oficina:

• Un router 4G LTE amb ranura per a SIM (D-Link 4G N300 LTE) per convertir la connexió de WOM a Ethernet.
• Un router / load balancer professional TP-Link TL-R470T per gestionar les dues WAN i fer el failover.
• Un canviar PoE (TP-Link TL-SF1005P) per distribuir la xarxa cablejada.
• Un punt d'accés (AP) professional (TP-Link EAP225) per donar Wi-Fi de qualitat a tota la casa.

Aquest tipus de topologia, molt típica ja en pimes, permet separar clarament funcions: un equip per a cada capa (WAN, switching, Wi-Fi). La clau va estar a configurar bé cada dispositiu i els rangs IP per evitar conflictes i doble NAT innecessari.

Configuració de la connexió LTE com a WAN secundària

El primer pas va ser preparar l'encaminador 4G N300 LTE per convertir la connexió mòbil en una WAN “normal” per Ethernet. Per això:

Va canviar la IP LAN per defecte al router LTE a alguna cosa com 192.168.1.254/24, des del menú “Settings > LAN”, per no trepitjar el rang del futur balancejador i minimitzar conflictes.

Després va configurar la connexió de dades mòbils amb els paràmetres específics de l'ISP (WOM), una cosa crítica perquè molts APN publicats a Internet estan pensats per a mòbils i no per a routers BAM. En aquest cas:

• APN: “datacard”
• IP Versió: IPv4
• Mode APN: Manual
• NAT activat perquè el router lliuri adreces privades a la LAN

A més, com que no volia que aquest equip fes de punt d'accés sense fil, va deshabilitar la Wi-Fi a “Settings > Wi-Fi”, mantenint les antenes només per a la recepció 4G. L'accés d'administració es va restringir a la interfície Ethernet.

Finalment, va connectar el port LAN1 del router LTE al port WAN2 del balancejador TL-R470T mitjançant un cable Ethernet. D'aquesta manera, el router professional veu la connexió 4G com si fos un altre mòdem qualsevol.

Configurant el router load balancer TP-Link TL-R470T

El router TP-Link TL-R470T va actuar com a autèntic cor del sistema, gestionant les dues WAN i la LAN. Perquè tot encaixés correctament, es van realitzar diversos ajustaments bàsics:

1. Canvi d'IP LAN per defecte. A “Network > LAN” es va fixar una IP com a 192.168.2.1, amb la seva màscara 255.255.255.0. Això evita les típiques col·lisions d'IP quan cada mòdem/router utilitza el rang 192.168.0.xo 192.168.1.x.

2. Configuració dels ports WAN. A “Network > WAN” es va seleccionar “WAN Mode: 2” per utilitzar dos ports WAN. A la pestanya “WAN2” es va connectar a la xarxa LTE (ja enllaçada per cable) i es va prémer “Connect” per validar la connexió. A la pestanya “WAN1” es va connectar per Ethernet al mòdem de l'ISP principal (VTR) i també es va verificar la connectivitat.

Una cosa fonamental que es va comprovar és que cada ISP estava en un segment diferent (per exemple, VTR treballant a 192.168.0.xi WOM a 192.168.1.x). Si tots dos hubs d'accés comparteixen el mateix rang, els encaminadors empresarials solen exhibir comportaments impredictibles.

3. Activació de load balancing i failover (Link Backup). Amb les dues WAN ja funcionant, es va entrar a “Transmission > Load Balancing > Basic Settings” per marcar “Enable Load Balancing”. A continuació, a la pestanya “Link Backup” es va afegir una regla amb:

• Primary WAN: WAN1
• Secondary WAN: WAN2
• Mode: Failover (Enable backup link when any primary WAN fails)
• Status: Enable

Amb això, el router utilitza sempre WAN1 i, en cas de fallada, aixeca automàticament WAN2 després de detectar la caiguda mitjançant els mecanismes de monitorització esmentats abans.

La prova típica per comprovar que tot està ben muntat és llançar un ping continu (per exemple ping -ta un domini), forçar la desconnexió física de WAN1 i observar com després d'uns quants paquets perduts la connexió torna a fluir, aquesta vegada usant l'enllaç de seguretat.

Switch i punt d'accés: estenent la xarxa cablejada i Wi-Fi

Resolt el tema de les WAN, a aquest usuari li seguia faltant una cosa essencial: la distribució interna de la xarxa. Per fer-ho, va utilitzar un switch PoE i un punt d'accés professional.

Va configurar el TP-Link TL-SF1005P connectant un cable des del port WAN3 del balancejador (en mode LAN) a un port LAN del switch. Com que el mode WAN del TL-R470T estava fixat en 2, els ports restants del router es podien utilitzar com a ports LAN clàssics.

Des del switch:

• Port LAN1 al port principal del punt daccés TP-Link EAP225.
• Port LAN2 al PC de treball via Ethernet.

L'EAP225 s'alimenta via PoE, així que es va encendre automàticament quan es va connectar el cable. Al panell de configuració de l'AP, una vegada va accedir a la seva interfície, va definir les SSID Wi-Fi, les bandes (2,4 GHz i/o 5 GHz) i la clau, creant xarxes sense fil més estables i potents que les d'un router domèstic estàndard.

Amb tot això va guanyar dues coses de cop: una xarxa cablejada neta, apta per a la feina, i una Wi-Fi unificada per a tota la casa, tot penjant del mateix nucli Dual-WAN.

Dual-WAN a routers domèstics avançats: ASUS i altres

Molts routers Wi-Fi residencials de gamma mitjana/alta també han incorporat funcions de Dual-WAN, especialment marques com ASUS. Encara que no són tan flexibles com els equips purament “empresarials”, poden ser més que suficients a llars exigents o petites oficines.

A l'ecosistema ASUS, el Dual-WAN permet barrejar diferents tipus d'enllaços: WAN per port Ethernet clàssic, USB amb mòdem 3G/4G, o fins i tot una LAN reconfigurada com a WAN secundària. Des de la interfície web (Web GUI) es configuren dues maneres principals: commutació per error (failover) i balanceig de càrrega.

Dual-WAN en mode commutació per error a ASUS

El funcionament és similar al failover vist a TP-Link. El router monitoritza de forma constant l'estat de la WAN principal manant peticions DNS o pings, i si detecta que ha perdut connectivitat, canvia el trànsit cap a la segona WAN.

El resum de passos per configurar una manera típica seria:

• Entrar a la interfície web de l'encaminador (IP LAN o http://www.asusrouter.com).
• Anar a “WAN > Dual WAN” i activar l'opció “Activar Dual WAN”.
• triar WAN principal i WAN secundària entre les opcions disponibles (WAN, USB, Ethernet LAN). No es pot seleccionar dues vegades el mateix tipus.
• A “Mode Dual WAN” seleccioneu “Commutació per error”.
• Desar (Aplicar) i revisar al mapa de xarxa que la secundària apareix com a “Hot-Standby” o “Cold-Standby”.

ASUS a més permet activar una funció de “failback” perquè, quan el router detecti que la WAN principal ha recuperat la connectivitat, torneu automàticament de la WAN secundària a la principal, evitant estar usant lenllaç de respatller més car o més limitat més temps del necessari.

Dual-WAN en mode balanceig de càrrega a ASUS

En el mode de balanceig, el router reparteix les sessions entre les dues WAN, usant algoritmes interns i permetent fins i tot assignar dispositius concrets a una o altra WAN mitjançant regles d'encaminament.

La interfície permet triar-ne una proporció de repartiment (per exemple 3:1). Si el vostre WAN principal és de 200 Mbps i la secundària de 100 Mbps, pots configurar 3:1 perquè el router assigni aproximadament 3 de cada 4 noves descàrregues a la WAN principal i 1 de cada 4 a la secundària, optimitzant recursos i rendiment.

Això sí, ASUS adverteix que aquest balanceig es fa per sessió, no sumant amples de banda per a una sola connexió. És a dir, una única descàrrega no veurà 300 Mbps, sinó la velocitat de la WAN que tingui assignada en aquell moment.

Hi ha algunes limitacions importants a tenir en compte:

• DDNS, servidors virtuals i reenviament de ports solen estar lligats a la WAN principal. Si actives dual-WAN en mode balanceig, aquestes funcions poden deixar de funcionar correctament, de manera que ASUS recomana utilitzar el mode de commutació per error si necessites accés remot estable.
• Dual WAN i agregació WAN no poden estar activades alhora. Si n'habilites una es desactiva l'altra automàticament.
• Actualment el Dual-WAN a molts models ASUS només se suporta sobre IPv4.

Balanceig de càrrega WAN a routers empresarials D-Link

A la gamma professional de D-Link, com el DSR-1000AC, trobem també dos ports Gigabit per a WAN, pensats precisament per a escenaris empresarials multienllaç. En aquests equips es distingeixen clarament dues grans maneres per a la part WAN: Auto-Rollover i Load Balance.

A la configuració inicial, el primer és definir bé els paràmetres de cada WAN (DHCP, IP estàtica, PPPoE, L2TP, PPTP, VLAN tag, DNS, MTU, velocitat del port, etc.). Aquest pas és crucial perquè després els mecanismes de balanceig i failover funcionin correctament.

Quan tots dos enllaços estan operatius, s'entra a “Network / Internet / WAN Mode” on es tria:

• Auto-Rollover: equivalent al failover. Un enllaç actua com a principal i l'altre entra en funcionament només quan es detecta que el primer ha caigut.
• Saldo de càrrega: el trànsit es reparteix entre múltiples WAN segons l'algoritme configurat (Round Robin o Spillover).

A Auto-Rollover pots seleccionar quina és la WAN primària i quina la secundària, a més de configurar com comprovarà el router si la WAN està “up”: usant els servidors DNS de l'operador, DNS personalitzats o pings a adreces IP concretes.

En el mode Load Balance, D-Link permet escollir entre:

• Round-Robin: reparteix les sessions de manera més o menys equitativa entre totes les WAN actives. Per exemple, si hi ha 12 equips connectats, 6 podrien sortir principalment per la WAN1 i 6 per la WAN2, depenent del patró de connexions.
• Desbordament: utilitza una WAN com a principal fins que la seva càrrega aconsegueix un llindar definit; a partir d'aquí comença a desviar trànsit a l'altra WAN.

A Spillover es configuren paràmetres com:

• Load tolerance: percentatge de l'amplada de banda màxim a partir del qual es comença a utilitzar el segon enllaç (per exemple, 80%).
• Amplada de banda màxima: velocitat real de la connexió (en bps, Kbps o Mbps) perquè el càlcul de càrrega sigui correcte.

També es pot monitoritzar l'estat de les WAN en funció de DNS de la pròpia WAN, DNS personalitzats o pings a IP públiques, igual que en les maneres de failover.

Balanceig de càrrega, Round-Robin i Protocol Binding en altres routers

Altres fabricants, com alguns models de routers multi-WAN orientats a pimes, implementen esquemes molt similars de Load Balancing amb algorismes de Round-Robin i Spillover, afegint a més funcions com el “Protocol Binding”.

En una configuració típica de Load Balancing:

• S'entra al menú “Network > WAN Mode” i es tria “Load Balancing”.
• A “Load Balancing Setup” se selecciona “Round Robin” o “Spillover”.
• A “WAN health check” es defineix com es comprovarà l'estat de cada enllaç (usant DNS de la pròpia WAN, DNS personalitzats o pings a IP públiques).

L'opció de Protocol Binding és especialment interessant: permet associar certs serveis o fluxos a una WAN específica. Per exemple, podries voler que tot el trànsit de VoIP surti per la WAN1 mentre que les descàrregues pesades vagin per WAN2.

Una regla de Protocol Binding sol incloure:

• servei: servei predefinit (HTTP, HTTPS, VoIP, etc.) o personalitzat, que es pot configurar a l'apartat de tallafocs.
• Gateway local: WAN concreta que vols assignar a aquest trànsit.
• Xarxa font: hosts de la LAN per als quals s'aplica la regla (una IP individual, un rang o tota la xarxa interna).
• Xarxa de destinació: destinació a què apunta el servei (qualsevol IP, un rang concret, etc.).

Amb aquesta combinació, pots granularitzar força com s'utilitza cada enllaç, mantenint crítica l'estabilitat d'alguns serveis mentre aprofites el segon enllaç per al trànsit menys sensible.

Disseny de topologies Dual-WAN a casa: failover, càrrega i CCTV

Molta gent es planteja portar aquestes idees a la xarxa domèstica amb objectius clars: commutació automàtica davant de caiguda d'un ISP, ús simultani de dues línies i, si es pot, una mica d'agregació de velocitat. Un cas molt representatiu és un usuari que volia assegurar un 100% de disponibilitat per a teletreball i monitorització de CCTV.

La seva situació inicial era simple: un sol ISP amb encaminador personal connectat al mòdem de l'operador, doble NAT (perquè el mòdem no estava en mode bridge) i un únic punt de fallada. La intenció era subscriure's a un segon ISP i utilitzar un router multi-WAN com el TP-Link ER7206, penjant-ne el seu router Wi-Fi (per exemple un Archer AX23) en mode AP o router principal.

La topologia proposada era una cosa així: ISP1 i ISP2 connectats a l'ER7206 pels seus ports WAN, i de l'ER7206 cap al router Wi-Fi de malla, configurat com a punt d'accés, per donar cobertura a tota la casa amb diversos nodes mesh.

Els dubtes giraven al voltant de:

• Si l'ER7206 manejaria bé l'entorn amb doble o fins i tot triple NAT en no poder posar els mòdems en mode bridge.
• Si compensava posar l'Archer AX23 en mode AP i així evitar triple NAT, sacrificant algunes funcions com QoS integrades al mateix Archer.
• Si el “Link Backup” per defecte seria suficient perquè els fluxos de CCTV no s'estiguessin caient i aixecant constantment en un failover mal afinat.
• Si hi ha problemes per accedir a les càmeres localment des d'un PC connectat a l'ER7206 mentre les càmeres estaven penjades de l'AX23.

En aquests escenaris, la recomanació típica és centralitzar tota la lògica de routing al router multi-WAN (ER7206) i fer servir la resta d'equips com a punts d'accés o switches ximples, reduint el nombre de capes de NAT. Amb una bona configuració de rutes internes i VLANs, és perfectament possible continuar accedint al CCTV local des de qualsevol equip de la xarxa interna, encara que estigui “penjat” d'un altre dispositiu sempre que estigui al mateix segment de xarxa o hi hagi rutes adequades.

Pel que fa al failover, triar bé els paràmetres de monitorització de les WAN i els temps de commutació és clau perquè les càmeres de vigilància no perdin sessió contínuament. En molts casos, per a sistemes crítics de CCTV s'opta per failover pur sense balanceig de càrrega, mantenint així un comportament més predictible de cara als fluxos de vídeo.

Les configuracions de balanceig de càrrega Dual-WAN en routers empresarials, combinades amb modes de failover i eines com el Protocol Binding, permeten dissenyar xarxes molt sòlides tant per a empreses com per a usuaris avançats a casa. Entendre la diferència entre fer servir totes les WAN simultàniament o reservar-ne unes com a respatller, saber com es detecten les caigudes d'enllaç i planificar bé els rangs d'IP, NAT i topologia interna són els ingredients que marquen la diferència entre una xarxa que simplement “funciona” i una altra que aguanta sense pestanyar talls d'ISP, pics de trànsit i necessitats d'accés.