Principios técnicos de un Sistema Dual Hot - Standby

Última respuesta ag. 12, 2019 09:05:25 62 1 2 0

Con el rápido desarrollo de servicios como la oficina móvil, las compras en línea, la mensajería instantánea, las finanzas a través de Internet y la educación online, las redes llevan cada vez más servicios y, por lo tanto, cobran mayor importancia. Por lo tanto garantizar la transmisión ininterrumpida de la red es un problema que debe resolverse con urgencia durante el desarrollo de la red.


El modo Sistema Dual Hot - Standby mejora la confiabilidad, ya que se pueden implementar dos firewalls en la salida de una red para garantizar la comunicación entre la intranet e Internet.


¿Por qué implementar un Sistema Dual Hot-Standby?

La figura 1 indica una red tradicional, donde los paquetes intercambiados entre los usuarios de la intranet e Internet son transmitidos a través del Firewall A. 

Si el firewall A está defectuoso, los hosts de la intranet que usan el firewall A como puerta de enlace predeterminada no pueden comunicarse con Internet, lo que afecta la confiabilidad de la comunicación.

FIG1

FIG1: Red tradicional con firewall


Como dispositivo de seguridad, un USG generalmente se encuentra en el punto de conexión de servicio, entre la red a proteger y la red no protegida.

 

Si solo se implementa un USG en el punto de  conexión de servicio, los servicios de red pueden interrumpirse debido a ese  punto de falla, sin importar cuán confiable sea el USG.

 

Para evitar interrupciones en el servicio de red debido a un solo punto de falla, podemos implementar dos firewalls para formar un de Sistema Dual Hot Standby.


Implementación de redundancia para Routers


Para implementar redundancia en una red con routers se emplea  VRRP (Virtual Router Redundancy Protocol).


FIG2

FIG2: Implementación de VRRP (Virtual Router Redundancy Protocol)


Una solución común a un único punto de falla en la red estándar de enrutadores es configurar un mecanismo de protección basado en la conmutación por error(failover) entre enlaces que ejecutan un protocolo de enrutamiento dinámico. Sin embargo, este mecanismo de protección tiene limitaciones. 

Si el protocolo de enrutamiento dinámico no está disponible, los servicios pueden interrumpirse debido a un error de enlace. Para resolver este problema, se introduce otro mecanismo de protección,  el Virtual Router Redundancy Protocol (VRRP). VRRP es un protocolo básico tolerante a fallas. Ofrece un proceso de failover más corto si se compara con los paquetes de difusión que dependen de los protocolos de enrutamiento dinámico, y  proporciona protección de enlace incluso si no hay un protocolo de enrutamiento dinámico disponible.


Para la implementación de VRRP se debe considerar los siguientes elementos:


Grupo VRRP: Un grupo de enrutadores en el mismo dominio de difusión forma un enrutador virtual. 

Todos los enrutadores del grupo proporcionan una dirección IP virtual como dirección de puerta de enlace para la intranet.


Enrutador Maestro (Master router): entre los enrutadores del mismo grupo VRRP, solo un enrutador está activo, el enrutador maestro. 

Solo el enrutador maestro puede reenviar paquetes con la dirección IP virtual como el próximo salto.


Enrutador de respaldo (Backup router): A excepcion del enrutador maestro, todos los demás enrutadores de un grupo VRRP están en el estado de standby.


El enrutador maestro envía periódicamente un paquete "Hello" a los Backup routers en modo multidifusión, y los  enrutadores de respaldo determinan el estado del 

enrutador maestro en función del paquete "Hello" . Debido a que estos paquetes "Hello"   son paquetes de multidifusión, los enrutadores en el grupo VRRP deben estar interconectados 

a través de dispositivos de capa 2. Cuando VRRP está habilitado, los dispositivos ascendentes y descendentes deben tener la función de conmutación de capa 2. De lo contrario, los enrutadores 

de respaldo no pueden recibir los paquetes "Hello" enviados por el enrutador maestro. Si no se cumple el requisito de red, no debemos usar VRRP.


Aplicación de VRRP en redes de firewall de zonas múltiples.


Si varias zonas en los firewalls requieren la función dual hot-standby, debe configurar varios grupos VRRP en cada firewall.


FIG3

FIG3: Implementación de VRRP sobre redes de firewall con zonas múltiples


Como los firewalls USG son firewalls con estado, requieren que los paquetes directo e inverso pasen a través del mismo firewall.

Para cumplir con este requisito, el estado de todos los grupos VRRP en un firewall debe ser el mismo. 

Es decir, todos los grupos VRRP en el firewall maestro deben estar en el estado maestro, de modo que todos los paquetes puedan pasar 

a través del firewall mientras que el otro firewall funciona como el firewall de respaldo.


Defecto de VRRP en aplicaciones de firewall


En el modo tradicional VRRP, el estado del firewall maestro no puede ser consistente con el del firewall de respaldo.


 FIG4

FIG4: Defecto de la implementación de VRRP


Como se muestra en la figura 4, suponga que el estado VRRP de USG A es el mismo que el de USG B. Por lo tanto,

todas las interfaces de USG A están en el estado maestro y todas las interfaces de USG B están en el estado de respaldo.


La PC1 en la zona confiable(Trust zone) accede a la PC2 en la zona desconfiable(Untrust zone). La ruta de reenvío de paquetes es (1) - (2) - (3) - (4). 

El USG A reenvía el paquete de acceso y genera dinámicamente una entrada de sesión. Cuando el paquete inverso de la PC2 llega a USG A a través de (4) - (3), 

coincide con la entrada de la sesión y, por lo tanto, llega a la PC1 a través de (2) - (1). Del mismo modo, PC2 y el servidor en la zona DMZ pueden comunicarse entre sí.


Suponga que el estado VRRP de USG A es diferente del de USG B. Por ejemplo, si la interfaz que conecta a USG B a la zona confiable (Trust zone) está en el estado de respaldo pero 

la interfaz en la zona desconfiable (Untrust zone) está en el estado maestro, PC1 envía un paquete a PC2 a través de USG A, y USG A genera dinámicamente una entrada de sesión.

El paquete inverso de PC2 regresa a través de la ruta de (4) - (9). Sin embargo, USG B no tiene ninguna entrada de sesión para este flujo de datos. 

Si no hay una regla de filtrado de paquetes en USG B para permitir que el paquete pase, USG B descartará el paquete. Como resultado, la sesión se interrumpe.


Causa del problema: 

Los mecanismos de reenvío de paquetes son diferentes:


  • Enrutador: cada paquete se reenvía en función de la tabla de enrutamiento. Después de un cambio de enlace, los paquetes subsiguientes pueden aún reenviarse.


  • Firewall basado en estado: si se permite la entrada del primer paquete, el firewall crea una conexión de sesión quíntuple en consecuencia.  

Los paquetes posteriores (incluidos los paquetes inversos) que coinciden con esta entrada de sesión pueden pasar a través del firewall. Si se produce un cambio de enlace, 

los paquetes posteriores no pueden coincidir con la entrada de la sesión, lo que resulta en la interrupción del servicio.


Tenga en cuenta que si NAT está configurado en un enrutador, se producen problemas similares porque se crea una nueva entrada después de NAT.


Empleo de VRRP en múltiples zonas de respaldo en el Firewall


Para garantizar la coherencia de conmutación de todos los grupos VRRP, el VRRP Group Management Protocol (VGMP) es dearrollado en base a VRRP



FIG5

FIG5: VRRP en firewall con múltiples zonas de respado



Los requisitos para la aplicación de VRRP en firewalls son los siguientes:


1.- Consistencia del estado VRRP

2.- Copia de seguridad del estado de la tabla de sesión


Se pueden agregar múltiples grupos VRRP en un firewall a un grupo VGMP, que administra los grupos VRRP de manera unificada. 

VGMP controla el cambio de estado de los grupos VRRP de manera unificada, asegurando el estado consistente de los grupos VRRP.



Si el grupo VGMP en un firewall está en el estado activo, todos los grupos VRRP en el grupo VGMP están en el estado activo. Este firewall es el firewall activo, y todos los paquetes pasan a través de este firewall. 

En este caso, el grupo VGMP en el otro firewall está en estado de espera, y el firewall es el firewall en espera.


Cada firewall tiene una prioridad de grupo VGMP inicial. Si una interfaz o una placa del firewall está defectuosa, la prioridad del grupo VGMP del firewall disminuye.


La prioridad inicial del grupo VGMP del módulo USG6000 y NGFW es 45000. La prioridad inicial del grupo VGMP del USG9500 depende del número de tarjetas en la unidad de procesamiento de línea (LPU) y 

el número de CPU en la unidad de procesamiento de servicio (SPU).


Al igual que VRRP, el firewall activo VGMP envía regularmente paquetes Hello al firewall en espera VGMP para informar a este último de su estado de ejecución, incluida la prioridad y el estado de los grupos VRRP miembros. 

El estado del miembro se ajusta dinámicamente, de modo que los dos firewalls pueden realizar conmutaciones activas / en espera.


 A diferencia de VRRP, después de que el firewall en espera VGMP recibe un paquete Hello, responde con un mensaje ACK, con su propia prioridad y estado de los grupos VRRP miembros.


 Por defecto, los paquetes de saludo VGMP se envían cada segundo. Si el firewall en espera no recibe ningún paquete Hello del firewall activo después de tres períodos de paquetes Hello, el firewall en espera considera que el par falla 

y luego cambia al estado activo.






  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-8-12 09:05:25 Útil(0) Útil(0)
magnifica descripción sobre este tema, esta funcionalidad es muy útil para asegurar la disponibilidad de nuestra salida salida a Internet en caso de alguna falla. Gracias por compartir esta información. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje