HOW TO Como fun nciona o Clusster Cooperativo do Firewall Aker Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: os de funcionamentto e instalação na re ede do cliente Princípio Introdução Quando o Firewall Aker funciona em modo cooperativo, todos os particip pantes do cluster divid dem o trabalho de tra atamento dos pacotes s que a ele chegam. Isso é feito para que, do ponto de vista da a topologia da rede níível 3 (IP), o conjunto o seja equivalente a um ma única máquina de maior porte e dispon nibilidade. Para obter esse e efeito de divisão do trabalho, existem m basicamente duas formas de operação: Um firewall recebe todos os pa acotes e redistribui ao os demais Todos os firewalls recebem tod dos os pacotes e ignorram, sem muito proce essamento, aqueles qu ue serão processados pelos demais A primeirra alternativa resulta em um produto de performance pobre (uma ( vez que repassa ar o pacote quase eq quivale a tratá-lo) e fácil instalação. A co oncorrência costuma nomear isso Drop-in firewall cluster. No Firewall Aker, essa opção não é implementad da, uma vez que temos o cluster failover, q que mantém a fácil in nstalação e tem características de perform mance similares. A segund da, embora permita ganhos de performance reais e significativos, não é de instalação o trivial, uma vez que e existe um dificuldade técnica consideráve el em fazer com que,, em uma rede ethern net, duas ou mais máq quinas distintas receba am os mesmos pacote es. Para conseguir isso, o Firewall Aker tem m três modos de opera ação: Unicast Multicast Multicast com IGMP O propós sito desse documento é entender os três modos e suas diferença as, para que se possa fazer o planejamento o e posterior consecuç ção da instalação do produto p no ambiente e do cliente e que tud do isso ocorra sem m maiores surpresas e complicações. c Antes de d chegar a eles,porém, faremos uma peq quena explanação da tecnologia conhecida a como multicasting. Caractterísticas gerais da tecnologia de d multicasting O multica asting difere em determinados aspectos im mportantes de unicasting como técnica de transmissão. t Uma dis stinção pode ser feita entre o tráfego multicasting na camada de d rede IP (que usa endereços e IP) e na ca amada de rede Ethern net (que usa endereço os MAC). Aqui se pres ssupõe que o leitor te em domínio sobre as diferenças entre ess ses tráfegos e que con nhece, em especial, o funcionamento do pro otocolo ARP. Multic casting vs. Uniicasting Em unica asting, os datagramas s transmitidos são des stinados somente para uma única máquina a que tem um endereç ço único. No multicas sting, os dados são tra ansmitidos do mesm mo modo a um único endereço e (isto é, o en ndereço multicast), mas m alcançam todas as s máquinas que perte encem ao grupo identiificado pelo endereço multicast. Desta ma aneira os dados são transmitidos somentte uma vez, e não uma para cada máquiina destino. Essa ope eração, naturalmente, conserva largura de e banda e recursos dos equipamentos de e rede como roteadore es e switches. Multic casting contra Broadcasting Em broad dcasting, os dados sã ão enviados de uma máquina m a todas as outras o dentro de uma rede (LAN ou VLAN), de forma que todas s elas tenham a neces ssidade de usar seus s recursos para proce essar os datagramas. De outra maneira, em m multicasting, as má áquinas que não perte encem ao grupo do m multicast não têm que usar seus recursos,, pois não chegam a receber r os pacotes. Allém disso, o multicastting IP não é restringido a uma única rede, e as máquinas em re edes remotas podem receber os datagram mas IP multicast que se s destinarem a grupos de que elas forem m membros. Dessa forrma, efetivamente, a transmissão de pacottes IP multicast pode ser usada em toda a Internet. Entendendo o Multicast em redes s IP O multica asting IP é definido na RFC 1112 como a transmissão de um da atagrama IP a um gru upo de máquinas iden ntificadas por um únic co endereço IP de des stino. Além desse en ndereço de grupo multicast comum a toda as as máquinas, cada a uma delas tem um m endereço IP unicastt único normal. O grupo multicast pode, então, ser constituíd do de um número arb bitrário máquinas em redes diferentes. O número n de constituinttes de um grupo pode e variar continuamente, porque as máquin nas podem ingressarr ou abandonar o grup po em qualquer mome ento. Além disso, cada a máquina pode perte encer a diversos grupo os simultaneamente. Os enderreços IP multicast sã ão endereços da clas sse D. São identificad dos pelo primeiro nib ble 1110. Na notação o decimal pontuada, são os endereços 22 24.0.0.0 a 239.255.255.255. Há determin nados endereços multticast especiais: • 224.0.0.0 nunca a é atribuído. • 224.0.0.1 é atrib buído ao grupo perma anente de todas as má áquinas da rede local. • 224.0.0.2 é atrib buído a todos os rotea adores multicast da re ede local. • 224.x.x.x são en ndereços de grupos da a rede local Nota: Não há nenhum endereç ço multicast que cubra a todas as máquinas conectadas c à Internett. Nota: Os endereços IP multica ast não podem ser usa ados como endereços de origem. Um enderreço multicast de orige em implica o forjamen nto do endereço IP (sp poofing). Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Firewall Aker 6.0 1.0 01/0 09/11 02/0 08/06 1 de 3 HOW TO Como fun nciona o Clusster Cooperativo do Firewall Aker Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: Os grupo os multicast podem se er permanentes ou tra ansientes. Os grupos permanentes p têm endereços IP administrattivamente atribuídos p por organizações de gerência da Internet, e os endereços trans sientes podem ser atriibuídos dinamicamentte do pool dos endereços multicast não reservados para grupos permanentes. O ende ereço IP de um grupo o permanente persisttirá mesmo se o grup po vier a ficar sem nenhum n membro. Os grupos transientes ce essam de existir assim que tiverem seu número n de constituin ntes é zerado. Nesse momento, m o endereço o multicast do grupo é liberado para ser reu utilizado. Nota:Veja a por favor, http://ww ww.iana.org/assignme ents/multicast-address ses para uma lista dos s endereços registado os com a IANA O protocolo IGMP Internet Group Management Protocol P O IGMP é uma parte integral do IP, assim como o ICMP. No IGMP as mensagens são encapsuladas em datagramas IP. IGMP é usad do entre máquinas e roteadores r multicastt e entre roteadores multicast e outros ro oteadores multicast. Ele serve para mante er os roteadores mullticast atualizados quanto aos membros dos d grupos multicastt em um rede local. Usando U o IGMP, as máquinas situadas em uma LAN podem info ormar os roteadores que q querem poder rec ceber mensagens mu ulticast das redes extternas. Mensa agens IGMP Os rotead dores multicast usam m IGMP periodicamente para descobrir quaiis grupos multicast tê êm membros nas rede es locais a ele conecttadas. Isto é realizado o emitindo mensage ens de membership query q ao endereço 224.0.0.1, que, por definição, d atingirá tod das as máquinas loca ais. As máquinas locais que recebem a mensagem m responde em emitindo outro do tipo de mensagem, o membership report a todos os roteadores multicast da rede loca al. Uma máq quina entrando em um u grupo do qual não fazia parte anteriormente deve mandarr imediatamente uma mensagem do tipo membership report e não ficar esperand do uma mensagem de e membership query. Quando ela quiser sa air de um grupo deterrminado, ela deve, im mediatamente também m, enviar a todos os roteadores r multicastt da rede local (224.0 0.0.2) uma mensagem m do tipo leave repo ort. Cada roteador qu ue receber essa mens sagem deverá enviar uma mensagem do tipo group specific query, q para determina ar se ainda existem máquinas no grupo em questão. Multica asting em redes s Ethernet Até agora a, nós discutimos com mo o multicasting é ex xecutado na camada de d rede e como os endereços multicast IP diferem d de outros tipo os de endereços IP. Além A disso, nós deve emos também distinguir o multicasting na camada de link onde as estações são ide entificadas por seu endereço MAC. As carracterísticas de multic casting em oposição a unicasting também se aplicam a este nív vel. Em redes s Ethernet (como defiinido na norma IEEE 802.3), todo o MAC que q tem o bit menos significativo do byte mais significativo com m valor `1`, significa ando que o primeiro byte é um número im mpar, é um endereço multicast. Assim, porr o exemplo, 01:00:00:00:00:00 e 89:aa:b bb:cc:dd:ee são ambo os os endereços MAC multicast, enquanto o 06:00:00:00:00:00 e fe:fe:fe:fe:fe:fe nã ão são. As placas de rede que tiverem um m endereço MAC multticast definido recebe erão o tráfego destina ado a esse endereço o juntamente com o trráfego unicast normal. Nota: Um m subconjunto especíífico de endereços MA AC multicast é reserv vado para correspond der aos endereços mu ulticast IP. Dessa form rma, os endereços Eth hernet de 01:00:5e e:00:00:00 a 01:00:5 5e:7f:ff:ff corresponde em a endereços IP multicast. m Para se dete erminar o endereço MAC M correspondente a um endereço IP detterminado, basta collocar o prefixo 01:00:5e:00 seguido dos 23 3 últimos bits do endereço IP multicast. Ass sim, por exemplo, tem mos as seguintes corre espondencias: • 224.4.5.6 corres sponde a 01:00:5e:04 4:05:06 • 230.128.1.1 corrresponde a 01:00:5e::70:1:1 Pode-se notar n que cada endere eço Ethernet multicas st corresponde a 32 diiferentes endereços IP P multicast. Multica ast com o Firewall Aker em clus ster cooperativo o Após disttinguir entre o multica asting na camada de rede e o multicasting g na camada de link, nós podemos agora verificar como o Firew wall Aker usa essa técnica para atingir o objetivo de, em um rede Ethernet, todos s os componentes do cluster receberem os mesmos pacotes. Examinaremos E também como o cluster pode fazer o mesmo utilizando u endereços multicast. m Quando se s usa a tecnologia de cluster cooperativo Aker, todos os comp ponentes do cluster co ompartilham de um IP unicast comum. Estte endereço IP compa artilhado é chamado o de IP virtual e é usa ado para todo o tráfe ego que não se destin na a um membro esp pecífico do cluster, caso em que os endere eços IP reais são utilizados. Em especial, os endereços virtuais s comuns a todos os componentes c do cluste er são usados como gateways g das rotas qu ue apontam para o clu uster. Devido a esses endereços IP virtuaiis compartilhados, o cluster c é visto por tod dos os outros disposittivos da rede como uma única máquina mais m poderosa que cad da nó individual. Todo o o tráfego dirigido a esses endereços virttuais é distribuído de acordo com os pesos s pré configurados enttre os componentes do d cluster. Dessa form ma, cada fluxo de dad dos IP será tratado por p apenas um membrro do cluster e ignorad do pelos demais. Obviamente, além desse ende ereço IP virtual, todos s os membros do cluster precisam também m compartilhar algum m endereço MAC, de fforma que todos eles tenham a chance de decidir se devem ou não tratar cada um m dos pacotes. Para esse endereço multicast, existem basicamente três alternativas para se escolher esse e endereço MAC, e a escolha dependerá das características dos equipamentos de rede conectados ao cluster. Essa escolha a pode ser feita diferrentemente para cada a uma das interfaces s do cluster, após uma análise detalhada dos equipamentos de rede r presentes no clie ente, suas características e o direito de acesso aos mesmos para a alterar as configura ações. MAC Unicast U Um MAC comum unicast pode e ser usado em todos s os membros do clus ster, se ele for conec ctado a HUBs ou switches que permitam e enviar um único frame com um destino unicast u a pontos múltiplos. m Desta maneira os dispositivos de rede enviarão os mes smos pacotes a cada um dos firewall que compõem c o cluster. E Esta modalidade é recomendada sempre que q os dispositivos de e rede suportarem a conexão c de dispositivo os com o mesmo end dereço MAC em portas s diferentes e o envio o dos pacotes destinad dos a esse endereço o para todas as porta as em questão. Os HUBs H verdadeiros (não os HUB-switches) fazem f assim por pad drão, mas os switches não. Apenas alguns modelos específico os são capazes de fa azer isso e devem se er especificamente configurados para tal. A vantagem de usar esse modo é que apenas os swirches diretamente conectados ao cluster precisarrão suportar essa cara acterística, e não os de emais da mesma LAN (ou VLAN), que não precisarão p ser, portan nto, reconfigurados. Nota:Ao contrário dos endereç ços MAC multicast, pode haver somente um m endereço MAC unicast definido para cada interface de rede. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Firewall Aker 6.0 1.0 01/0 09/11 02/0 08/06 2 de 3 HOW TO Como fun nciona o Clusster Cooperativo do Firewall Aker Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: Nota: O cluster c escolherá auto omaticamente o enderreço MAC de um de se eus componentes e o replicará r para os dem mais MAC Multicast M Caso não o seja possível encontrar um switch capaz de d enviar pacotes unic cast a mais de um destino, o Firewall Aker pode atribuir um end dereço MAC multicast a todos os membros s do cluster. A maior parte dos switches su uporta esse modo de operação, mas ele terá a desvantagem de obrigar a configuraçã ão de todos os switch hes da LAN (ou VLAN N) conectada ao clustter. Por padrão, os sw witches enviam os pa acotes ethernet com destinos multicast pa ara todas as portas. E Em redes pequenas, isso não é problema a, mas, em redes ma aiores, isso éum fatorr impeditivo se os sw witches não puderem ser configurados para a restringir o tráfego o multicast destinado ao cluster apenas às à portas específicas onde ele se conecta.. Em alguns switches s, essa configuração é possível, e deve-se e ter certeza que isso o é verdade para tod dos os que tiverem presentes p na LAN (ou VLAN) conectada ao cluster. c Nota: Alg guns equipamentos de e rede, notadamente roteadores CISCO não são capazes de aprrender o MAC multicas st em uma resposta A ARP enviada pelo clus ster. Nesse caso, serrá necessário colocarr essas entradas esttaticamente na config guração dos mesmos s. Isso será necessário para todos os ro oteadores com essa deficiência conectados ao cluster Nota: O cluster c escolherá auto omaticamente o enderreço MAC de um de se eus componentes e tro ocara seu prefixo 00 por p 03, de forma a torrná-lo um endereço multicast, m e o replicarrá para os demais MAC multicast m com IGMP O protoco olo IGMP pode ser usado em combinação com c o MAC multicast para evitar que os sw witches distribuam os s pacotes destinados a ao cluster para todas as portas. Nesse mo odo, todos os switche es conectados à mesm ma VLAN do cluster de everão ter a caracteríística IGMP Snooping habilitada. Alguns modelos ainda exigem que exista um rotea ador IGMP na rede e alguns ainda podem opcionalmente assum mir esse papel. Nesse modo de operação, cada componente do cluster emitirá perio odicamente uma men nsagem do tipo memb bership report com de estino ao grupo multic cast IP préconfigurado o declarando-se comp ponente do mesmo. C Com isso, os switches aprendem quais porrtas devem receber o tráfego multicast e o efeito de flooding estará interrompido. Nenhum tráfego IP multicast com exceção das mensagens m IGMP será á gerado na rede. O endereço IP multicast será apenas usado o para gerar mensag gens IGMP destinada as a fazerem os switch hes aprenderem quais s portas devem receber o tráfego Ethernet multicast. Nota: Da mesma forma que em m Multicast sem IGMP P, alguns equipamento os de rede precisarão ter entradas ARP acre escentadas estaticame ente, em especial os roteadores r CISCO Nota: O endereço e multicast MA AC será calculado a pa artir do endereço IP multicast m configurado no n cluster Nota: Alg guns roteadores usan ndo protocolos de red dundância de roteadorres tais como HSRP ou o VRRP estão escuta ando todo o tráfego m multicast, inclusive aq quele que, como o destinado d ao cluster, não n diz respeito a ess ses protocolos. Dessa forma, Os pacotes multicasting podem serr re-enviados à rede. P Para impedir isto, voc cê pode ou configura arar o roteadores parra enviar esse este trráfego somente para as portas do clusterr de roteadores ou definir d uma ACL (Acce ess Control List do ro outer) que bloqueie todos os pacotes ethe ernet com o endereço MAC destino igual ao o do cluster. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Firewall Aker 6.0 1.0 01/0 09/11 02/0 08/06 3 de 3