Como fun HOW T nciona o Clus do Firewall O ster Coopera Aker tivo

Propaganda
HOW TO Como fun
nciona o Clusster Cooperativo do Firewall Aker Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
os de funcionamentto e instalação na re
ede do cliente
Princípio
Introdução
Quando o Firewall Aker funciona em modo cooperativo, todos os particip
pantes do cluster divid
dem o trabalho de tra
atamento dos pacotes
s que a ele chegam. Isso é feito
para que, do ponto de vista da
a topologia da rede níível 3 (IP), o conjunto
o seja equivalente a um
ma única máquina de maior porte e dispon
nibilidade. Para obter esse
e
efeito
de divisão do trabalho, existem
m basicamente duas formas de operação:
Um firewall recebe todos os pa
acotes e redistribui ao
os demais
Todos os firewalls recebem tod
dos os pacotes e ignorram, sem muito proce
essamento, aqueles qu
ue serão processados pelos demais
A primeirra alternativa resulta em um produto de performance pobre (uma
(
vez que repassa
ar o pacote quase eq
quivale a tratá-lo) e fácil instalação. A co
oncorrência
costuma nomear isso Drop-in firewall cluster. No Firewall Aker, essa opção não é implementad
da, uma vez que temos o cluster failover, q
que mantém a fácil in
nstalação e
tem características de perform
mance similares.
A segund
da, embora permita ganhos de performance reais e significativos, não é de instalação
o trivial, uma vez que
e existe um dificuldade técnica consideráve
el em fazer
com que,, em uma rede ethern
net, duas ou mais máq
quinas distintas receba
am os mesmos pacote
es. Para conseguir isso, o Firewall Aker tem
m três modos de opera
ação:
Unicast
Multicast
Multicast com IGMP
O propós
sito desse documento é entender os três modos e suas diferença
as, para que se possa fazer o planejamento
o e posterior consecuç
ção da instalação do produto
p
no
ambiente
e do cliente e que tud
do isso ocorra sem m
maiores surpresas e complicações.
c
Antes de
d chegar a eles,porém, faremos uma peq
quena explanação da tecnologia
conhecida
a como multicasting.
Caractterísticas gerais da tecnologia de
d multicasting
O multica
asting difere em determinados aspectos im
mportantes de unicasting como técnica de transmissão.
t
Uma dis
stinção pode ser feita entre o tráfego multicasting na
camada de
d rede IP (que usa endereços
e
IP) e na ca
amada de rede Ethern
net (que usa endereço
os MAC). Aqui se pres
ssupõe que o leitor te
em domínio sobre as diferenças
entre ess
ses tráfegos e que con
nhece, em especial, o funcionamento do pro
otocolo ARP.
Multic
casting vs. Uniicasting
Em unica
asting, os datagramas
s transmitidos são des
stinados somente para uma única máquina
a que tem um endereç
ço único. No multicas
sting, os dados são tra
ansmitidos
do mesm
mo modo a um único endereço
e
(isto é, o en
ndereço multicast), mas
m
alcançam todas as
s máquinas que perte
encem ao grupo identiificado pelo endereço multicast.
Desta ma
aneira os dados são transmitidos somentte uma vez, e não uma para cada máquiina destino. Essa ope
eração, naturalmente, conserva largura de
e banda e
recursos dos equipamentos de
e rede como roteadore
es e switches.
Multic
casting contra Broadcasting
Em broad
dcasting, os dados sã
ão enviados de uma máquina
m
a todas as outras
o
dentro de uma rede (LAN ou VLAN), de forma que todas
s elas tenham a neces
ssidade de
usar seus
s recursos para proce
essar os datagramas. De outra maneira, em
m multicasting, as má
áquinas que não perte
encem ao grupo do m
multicast não têm que usar seus
recursos,, pois não chegam a receber
r
os pacotes. Allém disso, o multicastting IP não é restringido a uma única rede, e as máquinas em re
edes remotas podem receber os
datagram
mas IP multicast que se
s destinarem a grupos de que elas forem
m membros. Dessa forrma, efetivamente, a transmissão de pacottes IP multicast pode ser usada
em toda a Internet.
Entendendo o Multicast em redes
s IP
O multica
asting IP é definido na RFC 1112 como a transmissão de um da
atagrama IP a um gru
upo de máquinas iden
ntificadas por um únic
co endereço IP de des
stino. Além
desse en
ndereço de grupo multicast comum a toda
as as máquinas, cada
a uma delas tem um
m endereço IP unicastt único normal. O grupo multicast pode, então, ser
constituíd
do de um número arb
bitrário máquinas em redes diferentes. O número
n
de constituinttes de um grupo pode
e variar continuamente, porque as máquin
nas podem
ingressarr ou abandonar o grup
po em qualquer mome
ento. Além disso, cada
a máquina pode perte
encer a diversos grupo
os simultaneamente.
Os enderreços IP multicast sã
ão endereços da clas
sse D. São identificad
dos pelo primeiro nib
ble 1110. Na notação
o decimal pontuada, são os endereços 22
24.0.0.0 a
239.255.255.255. Há determin
nados endereços multticast especiais:
•
224.0.0.0 nunca
a é atribuído.
•
224.0.0.1 é atrib
buído ao grupo perma
anente de todas as má
áquinas da rede local.
•
224.0.0.2 é atrib
buído a todos os rotea
adores multicast da re
ede local.
•
224.x.x.x são en
ndereços de grupos da
a rede local
Nota: Não há nenhum endereç
ço multicast que cubra
a todas as máquinas conectadas
c
à Internett.
Nota: Os endereços IP multica
ast não podem ser usa
ados como endereços de origem. Um enderreço multicast de orige
em implica o forjamen
nto do endereço IP (sp
poofing).
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Firewall Aker
6.0
1.0
01/0
09/11
02/0
08/06
1 de 3
HOW TO Como fun
nciona o Clusster Cooperativo do Firewall Aker Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
Os grupo
os multicast podem se
er permanentes ou tra
ansientes. Os grupos permanentes
p
têm endereços IP administrattivamente atribuídos p
por organizações de gerência da
Internet, e os endereços trans
sientes podem ser atriibuídos dinamicamentte do pool dos endereços multicast não reservados para grupos permanentes. O ende
ereço IP de
um grupo
o permanente persisttirá mesmo se o grup
po vier a ficar sem nenhum
n
membro. Os grupos transientes ce
essam de existir assim que tiverem seu número
n
de
constituin
ntes é zerado. Nesse momento,
m
o endereço
o multicast do grupo é liberado para ser reu
utilizado.
Nota:Veja
a por favor, http://ww
ww.iana.org/assignme
ents/multicast-address
ses para uma lista dos
s endereços registado
os com a IANA
O protocolo IGMP
Internet Group Management Protocol
P
O IGMP é uma parte integral do IP, assim como o ICMP. No IGMP as mensagens são encapsuladas em datagramas IP. IGMP é usad
do entre máquinas e roteadores
r
multicastt e entre roteadores multicast e outros ro
oteadores multicast. Ele serve para mante
er os roteadores mullticast atualizados quanto aos membros dos
d
grupos
multicastt em um rede local. Usando
U
o IGMP, as máquinas situadas em uma LAN podem info
ormar os roteadores que
q
querem poder rec
ceber mensagens mu
ulticast das
redes extternas.
Mensa
agens IGMP
Os rotead
dores multicast usam
m IGMP periodicamente para descobrir quaiis grupos multicast tê
êm membros nas rede
es locais a ele conecttadas. Isto é realizado
o emitindo
mensage
ens de membership query
q
ao endereço 224.0.0.1, que, por definição,
d
atingirá tod
das as máquinas loca
ais. As máquinas locais que recebem a mensagem
m
responde
em emitindo outro do tipo de mensagem, o membership report a todos os roteadores multicast da rede loca
al.
Uma máq
quina entrando em um
u grupo do qual não fazia parte anteriormente deve mandarr imediatamente uma mensagem do tipo membership report e não ficar
esperand
do uma mensagem de
e membership query. Quando ela quiser sa
air de um grupo deterrminado, ela deve, im
mediatamente também
m, enviar a todos os roteadores
r
multicastt da rede local (224.0
0.0.2) uma mensagem
m do tipo leave repo
ort. Cada roteador qu
ue receber essa mens
sagem deverá enviar uma mensagem do tipo group
specific query,
q
para determina
ar se ainda existem máquinas no grupo em questão.
Multica
asting em redes
s Ethernet
Até agora
a, nós discutimos com
mo o multicasting é ex
xecutado na camada de
d rede e como os endereços multicast IP diferem
d
de outros tipo
os de endereços IP. Além
A
disso,
nós deve
emos também distinguir o multicasting na camada de link onde as estações são ide
entificadas por seu endereço MAC. As carracterísticas de multic
casting em
oposição a unicasting também se aplicam a este nív
vel.
Em redes
s Ethernet (como defiinido na norma IEEE 802.3), todo o MAC que
q
tem o bit menos significativo do byte mais significativo com
m valor `1`, significa
ando que o
primeiro byte é um número im
mpar, é um endereço multicast. Assim, porr o exemplo, 01:00:00:00:00:00 e 89:aa:b
bb:cc:dd:ee são ambo
os os endereços MAC multicast,
enquanto
o 06:00:00:00:00:00 e fe:fe:fe:fe:fe:fe nã
ão são. As placas de rede que tiverem um
m endereço MAC multticast definido recebe
erão o tráfego destina
ado a esse
endereço
o juntamente com o trráfego unicast normal.
Nota: Um
m subconjunto especíífico de endereços MA
AC multicast é reserv
vado para correspond
der aos endereços mu
ulticast IP. Dessa form
rma, os endereços Eth
hernet de
01:00:5e
e:00:00:00 a 01:00:5
5e:7f:ff:ff corresponde
em a endereços IP multicast.
m
Para se dete
erminar o endereço MAC
M
correspondente a um endereço IP detterminado,
basta collocar o prefixo 01:00:5e:00 seguido dos 23
3 últimos bits do endereço IP multicast. Ass
sim, por exemplo, tem
mos as seguintes corre
espondencias:
•
224.4.5.6 corres
sponde a 01:00:5e:04
4:05:06
•
230.128.1.1 corrresponde a 01:00:5e::70:1:1
Pode-se notar
n
que cada endere
eço Ethernet multicas
st corresponde a 32 diiferentes endereços IP
P multicast.
Multica
ast com o Firewall Aker em clus
ster cooperativo
o
Após disttinguir entre o multica
asting na camada de rede e o multicasting
g na camada de link, nós podemos agora verificar como o Firew
wall Aker usa essa técnica para
atingir o objetivo de, em um rede Ethernet, todos
s os componentes do cluster receberem os mesmos pacotes. Examinaremos
E
também como o cluster pode fazer o
mesmo utilizando
u
endereços multicast.
m
Quando se
s usa a tecnologia de cluster cooperativo Aker, todos os comp
ponentes do cluster co
ompartilham de um IP unicast comum. Estte endereço IP compa
artilhado é
chamado
o de IP virtual e é usa
ado para todo o tráfe
ego que não se destin
na a um membro esp
pecífico do cluster, caso em que os endere
eços IP reais são utilizados. Em
especial, os endereços virtuais
s comuns a todos os componentes
c
do cluste
er são usados como gateways
g
das rotas qu
ue apontam para o clu
uster. Devido a esses endereços
IP virtuaiis compartilhados, o cluster
c
é visto por tod
dos os outros disposittivos da rede como uma única máquina mais
m
poderosa que cad
da nó individual. Todo
o o tráfego
dirigido a esses endereços virttuais é distribuído de acordo com os pesos
s pré configurados enttre os componentes do
d cluster. Dessa form
ma, cada fluxo de dad
dos IP será
tratado por
p apenas um membrro do cluster e ignorad
do pelos demais.
Obviamente, além desse ende
ereço IP virtual, todos
s os membros do cluster precisam também
m compartilhar algum
m endereço MAC, de fforma que todos eles tenham a
chance de decidir se devem ou não tratar cada um
m dos pacotes. Para esse endereço multicast, existem basicamente três alternativas para se escolher esse
e endereço
MAC, e a escolha dependerá das características dos equipamentos de rede conectados ao cluster. Essa escolha
a pode ser feita diferrentemente para cada
a uma das
interfaces
s do cluster, após uma análise detalhada dos equipamentos de rede
r
presentes no clie
ente, suas características e o direito de acesso aos mesmos para
a alterar as
configura
ações.
MAC Unicast
U
Um MAC comum unicast pode
e ser usado em todos
s os membros do clus
ster, se ele for conec
ctado a HUBs ou switches que permitam e
enviar um único frame com um
destino unicast
u
a
pontos múltiplos.
m
Desta maneira os dispositivos de rede enviarão os mes
smos pacotes a cada um dos firewall que compõem
c
o cluster. E
Esta modalidade é recomendada
sempre que
q
os dispositivos de
e rede suportarem a conexão
c
de dispositivo
os com o mesmo end
dereço MAC em portas
s diferentes e o envio
o dos pacotes destinad
dos a esse
endereço
o para todas as porta
as em questão. Os HUBs
H
verdadeiros (não os HUB-switches) fazem
f
assim por pad
drão, mas os switches não. Apenas alguns modelos
específico
os são capazes de fa
azer isso e devem se
er especificamente configurados para tal. A vantagem de usar esse modo é que apenas os swirches diretamente
conectados ao cluster precisarrão suportar essa cara
acterística, e não os de
emais da mesma LAN (ou VLAN), que não precisarão
p
ser, portan
nto, reconfigurados.
Nota:Ao contrário dos endereç
ços MAC multicast, pode haver somente um
m endereço MAC unicast definido para cada interface de rede.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Firewall Aker
6.0
1.0
01/0
09/11
02/0
08/06
2 de 3
HOW TO Como fun
nciona o Clusster Cooperativo do Firewall Aker Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
Nota: O cluster
c
escolherá auto
omaticamente o enderreço MAC de um de se
eus componentes e o replicará
r
para os dem
mais
MAC Multicast
M
Caso não
o seja possível encontrar um switch capaz de
d enviar pacotes unic
cast a mais de um destino, o Firewall Aker pode atribuir um end
dereço MAC multicast a todos os
membros
s do cluster. A maior parte dos switches su
uporta esse modo de operação, mas ele terá a desvantagem de obrigar a configuraçã
ão de todos os switch
hes da LAN
(ou VLAN
N) conectada ao clustter. Por padrão, os sw
witches enviam os pa
acotes ethernet com destinos multicast pa
ara todas as portas. E
Em redes pequenas, isso não é
problema
a, mas, em redes ma
aiores, isso éum fatorr impeditivo se os sw
witches não puderem ser configurados para
a restringir o tráfego
o multicast destinado ao cluster
apenas às
à portas específicas onde ele se conecta.. Em alguns switches
s, essa configuração é possível, e deve-se
e ter certeza que isso
o é verdade para tod
dos os que
tiverem presentes
p
na LAN (ou VLAN) conectada ao cluster.
c
Nota: Alg
guns equipamentos de
e rede, notadamente roteadores CISCO não são capazes de aprrender o MAC multicas
st em uma resposta A
ARP enviada pelo clus
ster. Nesse
caso, serrá necessário colocarr essas entradas esttaticamente na config
guração dos mesmos
s. Isso será necessário para todos os ro
oteadores com essa deficiência
conectados ao cluster
Nota: O cluster
c
escolherá auto
omaticamente o enderreço MAC de um de se
eus componentes e tro
ocara seu prefixo 00 por
p 03, de forma a torrná-lo um endereço multicast,
m
e
o replicarrá para os demais
MAC multicast
m
com IGMP
O protoco
olo IGMP pode ser usado em combinação com
c
o MAC multicast para evitar que os sw
witches distribuam os
s pacotes destinados a
ao cluster para todas as portas.
Nesse mo
odo, todos os switche
es conectados à mesm
ma VLAN do cluster de
everão ter a caracteríística IGMP Snooping habilitada. Alguns modelos ainda exigem que exista
um rotea
ador IGMP na rede e alguns ainda podem opcionalmente assum
mir esse papel. Nesse modo de operação, cada componente do cluster emitirá perio
odicamente
uma men
nsagem do tipo memb
bership report com de
estino ao grupo multic
cast IP préconfigurado
o declarando-se comp
ponente do mesmo. C
Com isso, os switches aprendem
quais porrtas devem receber o tráfego multicast e o efeito de flooding estará interrompido.
Nenhum tráfego IP multicast com exceção das mensagens
m
IGMP será
á gerado na rede. O endereço IP multicast será apenas usado
o para gerar mensag
gens IGMP
destinada
as a fazerem os switch
hes aprenderem quais
s portas devem receber o tráfego Ethernet multicast.
Nota: Da mesma forma que em
m Multicast sem IGMP
P, alguns equipamento
os de rede precisarão ter entradas ARP acre
escentadas estaticame
ente, em especial os roteadores
r
CISCO
Nota: O endereço
e
multicast MA
AC será calculado a pa
artir do endereço IP multicast
m
configurado no
n cluster
Nota: Alg
guns roteadores usan
ndo protocolos de red
dundância de roteadorres tais como HSRP ou
o VRRP estão escuta
ando todo o tráfego m
multicast, inclusive aq
quele que,
como o destinado
d
ao cluster, não
n
diz respeito a ess
ses protocolos. Dessa forma, Os pacotes multicasting podem serr re-enviados à rede. P
Para impedir isto, voc
cê pode ou
configura
arar o roteadores parra enviar esse este trráfego somente para as portas do clusterr de roteadores ou definir
d
uma ACL (Acce
ess Control List do ro
outer) que
bloqueie todos os pacotes ethe
ernet com o endereço MAC destino igual ao
o do cluster.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Firewall Aker
6.0
1.0
01/0
09/11
02/0
08/06
3 de 3
Download