Firewalls e roteamento de borda - roteamento estático vs dinâmico

Navegue suas respostas
6

Topologia de fronteira para grandes empresas http://www.freeimagehosting.net/uploads/d24ede3b2f.png

Digamos que você tenha uma empresa com uma pequena presença na Internet na forma de um servidor DNS, um servidor da Web e um servidor VPN, todos na DMZ (nesse caso, um par invisível de switches conectados diretamente a os firewalls). Existem também 20.000 nós dentro da rede corporativa, espalhados por vários edifícios, com muitos roteadores e vlans e outros. A empresa está cheia de pessoas muito importantes, muito ocupadas, que gostam de poder acessar o Facebook sem demora ... Tudo é feito; o DMZ tem NATs simétricos estáticos e todos os outros compartilham endereços IP de saída de um conjunto reservado para essa finalidade.

A borda é um par de roteadores conectados uns aos outros e os firewalls através de um par de switches gig ethernet, e para os ISPs via metro ethernet e estão conectados aos ISPs via metro ethernet. Os roteadores de fronteira trocam rotas com os ISPs via eBGP e entre si via iBGP. A rede interna possui diversas rotas para qualquer ponto da rede e usa um protocolo de roteamento dinâmico para gerenciar o failover e a distribuição de rotas.

Os firewalls estão conectados ao núcleo corporativo por meio de um par de roteadores no datacenter.

Minha pergunta é esta:

Rotas estáticas ou protocolos de roteamento dinâmico?

  • rotas estáticas:

    Cada conjunto de dispositivos tem rotas estáticas e usa alguns mecanismos como VRRP ou HSRP para gerenciar o failover L2 < - > L3. Os firewalls apontariam para o endereço virtual para os roteadores de borda para a rota padrão da empresa, os roteadores internos apontariam para o endereço virtual dos firewalls para sua rota padrão e os firewalls apontariam para o endereço virtual dos roteadores internos para 10.0 .0.0 / 8.

  • roteamento dinâmico:

    Use o iBGP entre os firewalls e os roteadores de borda e o OSPF / EIGRP entre o firewall e os roteadores internos.

Eu vi que as pessoas usam o modelo de rota estática muito mais frequentemente do que o modelo de roteamento dinâmico. Minha pergunta é - por quê?

Quais são as melhores práticas para esse tipo de topologia? Ou isso é apenas uma questão religiosa?

    
por chris 11.12.2009 / 07:09

3 respostas

1

Coloque os roteadores externos no par HSRP / VRRP. Obter um AS. Comece a fazer o BGP com seus ISPs.

Então, em qualquer lugar dentro do seu ambiente, os caminhos serão estáticos. Você só precisa ter o failover, e isso é o que é conseguido com VRRP / HSRP e firewalls na configuração A / A ou A / S.

As alternativas são mais confusas e / ou menos robustas:

  • A dinâmica é uma complicação desnecessária.
  • A saída estática nos firewalls tornaria difícil / inflexível / impossível usar os dois uplinks simultaneamente.
  • A redundância de entrada será um mundo de dor sem kludges como PePLink / Ecessa / EdgeXOS.
por 11.12.2009 / 09:57
1

Nota: todos os itens abaixo presumem que você tenha um único site, com dois circuitos ISP. Por favor, deixe-me saber se esse não é o caso.

Para o roteamento entre seu núcleo corporativo e sua DMZ, parece que o roteamento estático é perfeitamente apropriado; rota padrão apontando para os firewalls, uma rota para suas sub-redes internas (10.0.0.0/8, a partir dos sons dela), de volta para seus roteadores principais. (Embora exista uma escola de pensamento que diz que a Internet não deve ser roteada de sua rede principal; mais sobre isso em um adendo no final.) Dito isso, se você resumir nitidamente, não haveria muita sobrecarga na execução do OSPF, EIGRP ou mesmo EBGP entre o seu núcleo e o seu DMZ. Geralmente é a preferência pessoal do engenheiro.

Em relação ao roteamento entre sua DMZ e seus provedores, há dois aspectos:

  1. Como seus ISPs são direcionados para você
  2. Como você viaja para a internet através dos seus ISPs

Em relação a (1): você tem espaço de endereço independente do provedor, permitindo que seu servidor VPN e servidor web sejam apresentados por ambos os provedores? Supondo que este seja o caso, sugiro que executar o EBGP para seus provedores não seja uma má ideia - ele permite que você influencie qual ISP é o preferido para o seu tráfego de entrada, através do uso de vários atributos do BGP. Se seus servidores estiverem em um espaço de endereço específico do provedor, não haverá benefício em dinamicamente anunciar rotas para seus ISPs; eles podem também estaticamente encaminhar para você.

Em relação a (2): uma rota estática padrão para um endereço HSRP / VRRP em seus roteadores de borda funcionará; você pode usar o rastreamento de objetos (em plataformas Cisco) para determinar a 'integridade' do circuito ISP conectado localmente em cada roteador, talvez fazendo ping de um IP bem conhecido. Se o objeto rastreado for desativado, o roteador poderá ser configurado para diminuir sua prioridade de HSRP / VRRP, com falha do tráfego para o outro link.

Dito isso, o uso de um padrão é muito claro, e não permite que você faça uso de peerings diretos que seu ISP possa ter com grandes provedores de conteúdo (por exemplo, akamai, BBC, etc). Se isso puder ser útil, o peering da EBGP permitirá que você obtenha mais visibilidade da conectividade de seus ISPs. Muitos oferecem comunidades padrão que permitem que você aceite rotas de 'clientes', o que significa que você tem rotas específicas para qualquer cliente diretamente conectado do seu ISP, mas não precisa manter uma cópia da tabela BGP completa da Internet.

Um aparte: olhando para a sua descrição, parece que uma infraestrutura que pode estar faltando é um proxy da internet. Há muito a ser dito por não permitir que seus hosts internos sejam encaminhados diretamente para a Internet; se a maioria do tráfego de saída for apenas navegação na Web, instalando um (ou dois, para failover) proxy em sua DMZ, você poderá remover a necessidade de sua rede interna ter uma rota padrão para a DMZ. Basta encaminhar para as sub-redes DMZ (onde o proxy reside) e ter acesso à Internet limitado à sua DMZ. Alguns benefícios:

  1. Controle centralizado de políticas; Ele permite que você restrinja o acesso a sites considerados por pessoas de gerenciamento / segurança como inadequados ou de alto risco.
  2. Limita a capacidade de qualquer malware que faz com que as estações de trabalho dos usuários toquem em "telefone de casa". Qualquer coisa que tente encaminhar diretamente para endereços da Internet não será capaz de se conectar; qualquer coisa que tente usar o proxy terá que usar apenas as portas permitidas (80/443), e se você assinar um bom provedor de lista negra, seu proxy poderá reduzir ainda mais sua exposição.

Grande pergunta. :)

    
por 11.12.2009 / 14:42
0

A abordagem estática permite um controle mais refinado sobre como o tráfego é roteado para seus dois ISPs. Você pode ter roteamento assimétrico dependendo da velocidade de seus ISPs ou dependendo de quais serviços você deseja acessar.

A replicação / failover é bastante simples de configurar, já que a maioria dos firewall / appliances oferecem procedimentos muito simples (pelo menos na Cisco).

    
por 11.12.2009 / 09:32

Tags

Nginx: Otimizando o tempo de resposta do servidor para um site HTTP em cache Montando diretórios iniciais do usuário Linux no servidor CIFS