Академический Документы
Профессиональный Документы
Культура Документы
Cuenta: 312111326
Cuenta: 30841616
Cuenta: 32211192
Cuenta: 30751471
Fecha: 15/10/2015
En este trabajo, examinamos los tipos de cortes que afectan a las infraestructuras
de TI, y presentar tecnologas de bases de datos Oracle que aborden integralmente
esos cortes. Estas tecnologas, integradas en Arquitectura disponibilidad mxima de
Oracle (MAA), reducir o evitar el tiempo de inactividad no planificado, permiten una
rpida recuperacin de fallos, y reducir al mnimo los tiempos de inactividad
planificados.
Oracle cree que HA abarca una serie de aspectos importantes, adems del objetivo
principal de evitar el tiempo de inactividad. Las dimensiones clave de una
arquitectura integral HA incluye:
Disponibilidad de datos: garantizar el acceso a los datos para evitar la interrupcin
del negocio.
Proteccin de datos: la prevencin de prdida de datos que comprometa la
viabilidad del negocio.
Rendimiento: la entrega de tiempo de respuesta adecuado para las operaciones de
negocios eficientes.
Costo: reducir el despliegue, la gestin y los gastos de apoyo para la conservacin
de los recursos corporativos.
Riesgo: lograr consistentemente los niveles de servicio requeridos durante un largo
perodo de tiempo que el negocio evoluciona sin sorpresas o decepciones costosos.
Exitosa HA comienza con la comprensin de los niveles de servicio requeridos por
la empresa a lo largo de cada una de estas dimensiones. Esta gua las decisiones
importantes en materia de tecnologa y determina el nivel adecuado de inversin en
la arquitectura HA.
Oracle Multitenant, una nueva opcin para Oracle 12c base de datos, ofrece
tecnologa innovadora para la consolidacin de la base de datos y cloud computing.
Las unidades de arquitectura multiusuario abajo los costos de TI, permitiendo una
verdadera arquitectura 'manage-como uno "para la consolidacin y virtualizacin de
la capa de base de datos. La arquitectura multiusuario tambin hace que la alta
disponibilidad extrema un requisito fundamental cuando se aplica la consolidacin
de bases de datos a las aplicaciones crticas de negocio. Por definicin, la
consolidacin de la base de datos es un ejercicio de "poner todos los huevos en una
sola canasta". Cuanto ms xito est en conducir por costo a travs de la
consolidacin, los ms huevos estn en una sola canasta, y cuanto mayor es el
impacto operativo y financiero a la negocio debe producirse un corte de luz.
Dado que todas las aplicaciones no tienen los mismos requisitos de alta
disponibilidad y proteccin de datos, MAA mejores prcticas describen las
arquitecturas estndar diseados para lograr diferentes objetivos de nivel de
servicio. Los detalles figuran en, Oracle MAA Arquitecturas de referencia - La
Fundacin para la base de datos como un servicio.
DRDB es un software que permite hacer rplica de los datos de una particin entre
varias mquinas. Esto permite -a partir de un disco o particin del mismo tamao en
varias mquinas- realizar una rplica del contenido entre ellos de forma automtica
a travs de la red, de modo que en el caso de que una mquina falle, todo el
contenido de esa particin est accesible desde las otras mquinas. Funciona como
un RAID1 entre distintas mquinas sobre red.
Si sobre esta funcionalidad aadimos un gestor de nodos del cluster que los vigile y
dirija las peticiones a aquel que est activo, en caso de que falle el nodo principal, el
gestor dirigir el trfico hacia otro nodo de reserva.
Informacin general
Tungsten Enterprise es una solucin de alta disponibilidad de calidad empresarial
para
alta
disponibilidad
de
bases
de
datos.
Continuent es el proveedor lder de replicacin y clustering para MySQL y Oracle.
Tungsten de Continuent permite rpidamente a las empresas en expansin
gestionar los datos bases de datos abiertas sin tener que migrar los datos o
actualizar las aplicaciones. Tungsten funciona igual de bien en entorno cloud, as
como con los despliegues en CPD propio.
Tungsten funciona con versiones estndar de MySQL desde la 5.0. Es posible
construir clusterscompuestos con MySQL, MySQL Community, MySQL Enterprise,
Maria DB y Percona sin efectuar modificaciones. No es necesario realizar
actualizaciones ni migraciones, y todo se puede conseguir sin tiempos de
inactividad.
Funcionalidades que ofrece:
Tungsten concede licencias a travs de DS Data Systems, que pueden ser anuales
o multianuales.
Tungsten Replicator es la version gratuita del producto, que sustituye a la replicacin
nativa de MySQL ampliando su funcionalidad y topologa.
pgpool
Log shipping
Replicacin
2. Inconvenientes generales:
Inconvenientes:
Configuracin activo-pasivo
Coste elevado
Slo dos nodos
Es necesario un mecanismo para levantar el servicio en el nodo secundario
Requiere/utiliza multipath
HA: DRBD
Ventajas e inconvenientes: los mismos que el disco compartido en red salvo el
coste, no requiere hardware dedicado.
HA: pgpool
Replicacin
La replicacin es la transmisin de informacin derivada de las modificaciones de
estado, de una base de datos a otra. Todas las operaciones que modifiquen el
estado de la base de datos se transmiten (transformadas o no) a otra base de datos,
que replica las operaciones, de forma que ambas bases de datos tengan la misma
informacin.
La replicacin permite alcanzar objetivos como:
1-Alcances
Se describir en este documento las ventajas y la configuracin de una estructura
de firewall en alta disponibilidad, utilizando herramientas OpenSource.
2 Ventajas
Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas:
Continuidad de servicio frente a fallas de hardware.
Posibilidad de usar hardware standard (PC clone) para funciones crticas.
Permitir actualizaciones de software sin interrupcin del servicio.
Si adems se puede contar con ms de una conexin a internet, puede
continuarse el servicio an frente a una cada de uno de los enlaces.
Firewall stateful. Sincronizacin de estados de conexiones.
Un firewall stateful es aquel que lleva un control de las conexiones establecidas, de
manera que puede determinar si un paquete pertenece o no a una conexin. Si se
determina que pertenece a una conexin, se lo acepta sin necesidad de validarlo
contra las reglas. Esto brinda una notable mejora de performance.
Cuando se quiere establecer una configuracin de alta disponibilidad, es necesario
contar con un mecanismo para que el firewall que est inactivo (backup) tenga
informacin de las conexiones ya establecidas.
Si esto no ocurre, en caso de falla del firewall principal cuando el de backup tome
su lugar cancelar todas las conexiones ya establecidas.
3 Propuesta
La propuesta contemplar los siguientes aspectos:
1 Instalar una estructura de firewall con equipos redundantes.
2 Contar con al menos dos accesos internet,
provistos por distintos proveedores (ISP).
3 Frente a una falla el usuario no debe tener ninguna interrupcin de su conexin.
4 Posibilidad de usar los dos enlaces internet uno como activo y el otro como
backup o tenerlos ambos activos.
4 Implementacin
Para la estructura de firewall redundantes la propuesta es realizarlo con una
instalacin basada en el sistema operativo OpenBSD.
La decisin de usar OpenBSD se basa en varios aspectos:
Como decamos antes, en esta configuracin uno de los equipos se configura como
master y es quien "maneja" la IP virtual de cada interface.
El otro equipo se configura como backup y solo empieza a funcionar ante la falla del
master.
Se utiliza una interface que vincula ambos equipos, que para tener baja latencia y
seguridad suele ser simplemente un cable de red cruzado, es por donde se
transfieren los paquetes de pfsync, para mantener las tablas de estado
sincronizadas.
Cmo se entera el host backup que el host master est activo?
La caracterstica del protocolo carp es que los equipos que son master se anuncian
como activos enviando a intervalos regulares paquetes de datos.
Para usar carp, se necesita configurar en cada interface de cada host un Virtual
Host ID (VHID), una direccin IP virtual y adems dos parmetros que son advbase
y advskew, que controlan cuan frecuentemente se enva un anuncio.
Cuando un host recibe anuncios con un advbase menor al propio, supone que otro
host est actuando como master.
Cuando deja de recibirlos, comienza a enviar los anuncios, indicando que ahora ese
host tiene la funcin de master.
Si se quieren tener varios host backup, se define la prioridad con que deben
actuar como master asignando valores crecientes del parmetro advbase.
Todos los parmetros de configuracin de carp, se asignan con el comando ifconfig
que en este sistema operativo maneja todos los tipos de interfaces tanto sean
reales como virtuales. Esto simplifica muchsimo la configuracin.
Para ms detalles ver: man (8) ifconfig
A modo de ejemplo, veamos la configuracin de la interface con uno de los dos ISP.
En el equipo master:
En el equipo backup:
up syncdev if5
Permitir desde la red interna acceso hacia internet de los puertos de http y
https. Rutear este trfico por el ISP1.
Permitir desde la red interna acceso hacia internet de los puertos de pop3 y
smtp. Rutear este trfico por el ISP2.
No permitir trfico iniciado en internet hacia la red interna.
ext_if2 = "if2"
int_if = "if3"
down: La interface fsica no tiene conexin activa. Para una interface carp,
representa que la interface est como backup.
unknown: No se puede determinar el estado de la conexn fsica. Para una interface
carp esto representa el estado init.
En muchos casos esta informacin no es suficiente. En nuestro caso en particular,
perfectamente podemos tener link hacia el router que nos conecta con un ISP y este
router no tener conexin hacia internet. Se necesita alguna forma externa de
verificar esta conexin.
ifstated permite ejecutar comandos externos y tomar acciones verificando el
status que estos comandos retornen.
Por ejemplo haciendo un ping de unos pocos paquetes hacia un server conocido,
puede indicar si la conexin est activa.
Dentro de ifstated.conf, se pueden definir variables como las siguientes:
carp_up = "carp0.link.up && carp1.link.up"
net = '( "ping q c 1 w 1 192.168.0.1 > /dev/null" every 10 && \
"ping q c 1 w 1 192.168.0.2 > /dev/null" every 10 )'
La variable carp_up, depende de los estados de dos interfaces carp. En este caso
en que sea master en ambas interfaces.
La variable net, depende de la conectividad con dos IP. Para verificar esto se enva
un ping con una frecuencia de 10 seg (palabra clave every).
Estados en ifstated
ifstated opera con estados y transiciones.
Cada estado tiene una bloque de inicio y un cuerpo.
El bloque de inicio, se utiliza para inicializar el estado y se ejecuta cada vez que se
ingresa en este estado.
El cuerpo del estado solo se ejecuta cuando el estado es el actual y ocurre un
evento.
Las acciones a tomar dentro de un cierto estado normalmente implican uno o ms
sentencias if. Las posibles acciones incluyen ejecutar un comando usando run o
disparar una transicin con setstate.
Como ejemplo mostramos del archivo de configuracin usado en la
implementacin.
# Test de ISP1 e ISP2
ISP1 = '( "/etc/ifstated.scripts/test_isp isp1" every 30 )'
ISP2 = '( "/etc/ifstated.scripts/test_isp isp2" every 30 )'
ext_if2 = "if2"
int_if = "if3"
ext_if2 = "if2"
int_if = "if3"
A esto puede ser necesario cambiar rutas o algna otra configuracin asociada con
un dado ISP.
El esquema es muy flexible y el mostrado es solo una de las opciones posibles.
Con este artculo se muestra las posibilidades de implementacin de un firewall
redundante, usando OpenBSD. Como adicional puede configurarse el firewall como
concentrador de VPNs usando IPSec. El sistema operativo tiene soporte
IPSec nativo, usando el daemon isakmpd y el comando de configuracin ipsecctl.
Valga aclarar que tambien puede hacerse que este concentrador funcione en alta
disponibilidad, ya que se dispone del daemon sasyncd que permite mantener la
informacin de las VPNs establecidas en el firewall de backup.
Se recomienda consultar el sitio de OpenBSD (www.openbsd.org) donde se
encontrar excelente documentacin e incluso los manuales de
los respectivos comandos y archivos de configuracin.
Cabe aclarar que todo lo descripto ha sido probado en la prctica y est
funcionando en la actualidad en ms de una organizacin y ha mostrado
sus capacidades reales.
switchs tienen dos roles, activo, que es el que est actuando como puerta de enlace
activa de los equipos, y standby, que es el que en caso de que el activo caiga, el
standby toma su rol y se convierte en activo. El activo ser el switch que tenga una
prioridad mayor, por defecto todos switchs tienen una prioridad de 100, pero se
puede cambiar. Si varios switchs tienen la misma prioridad, el activo ser el que
tenga una IP mayor configurada en su interfaz.
En standby slo puede haber un switch, que ser el siguiente en mayor prioridad al
activo, o el siguiente en IP ms alta en su interfaz. Cuando el activo cae, el standby
pasa a ser activo, y se recalcula otro standby en el grupo de switchs que forman el
router virtual.
Cuando se usa HSRP y STP a la vez, hay que tener en cuenta que el switch activo
de HSRP sea el mismo que el switch root Bridge de STP, as nos evitamos
problemas de bucles. Esto lo logramos poniendo a ese switch una prioridad HSRP
mayor que la de los dems switchs del grupo.
3.- Creamos el grupo y la IP para el router virtual con el comando standby num
grupo ip ip router virtual, dentro del modo de configuracin de la SVI. En num
grupo ponemos el nmero de grupo al que pertenece esa interfaz para HSRP. Todos
los switchs que tengan el mismo grupo configurado formarn el router virtual. En ip,
ponemos la IP virtual, esta IP es la que tenemos que configurar a los equipos como
puerta de enlace.
Se pueden configurar varios grupos en un mismo switch. Por ejemplo, el grupo 10
para la vlan 10 y el grupo 20 para la vlan 20.
4.- (OPCIONAL) Establecemos la prioridad del switch para ese grupo de HSRP,
cuanto mas alta sea, mas opciones de que se convierta en activo. Si no
configuramos la prioridad, se queda con el valor por defecto que es 100. Se hace
con el comando standby num grupo priority valor, dentro del modo de
configuracin de la SVI.
5.- (OPCIONAL) Se configura el preempt para el grupo. El preempt indica al switch
que si se incorpora otro switch al grupo, con mayor prioridad que la que tiene el
activo, el nuevo switch pase a ser activo Con el preempt activado se vuelven a
recalcular el switch activo y el standby en caso de que un nuevo switch sea
incorporado al grupo. Si no configuramos preempt, aunque se incorpore un switch
con mayor prioridad al grupo, seguir como activo el que lo est siendo
actualmente, sin preempt la unica forma de recalcular de nuevo el activo y el
standby es que el activo caiga. Para configurarlo se usa el comando standby num
grupo preempt, dentro del modo de configuracin de la SVI.
6.- (OPCIONAL) Podemos agregar autenticacin al grupo con el comandostandby
num grupo authentication password, dentro del modo de configuracin de la
SVI. Cuando no se configura este parmetro, la contrasea usada por defecto entre
los switchs es cisco.
7.- (OPCIONAL) Configurar los intervalos de tiempo con los que los switchs del
grupo se envan los mensajes hello y holdtime. El holdtime es el tiempo que tiene
que pasar para para que un switch de por caido a otro si no ha recibido mensajes
hello en ese tiempo. Si no se configura este comando, por defecto el tiempo de los
mensajes hello es de 3seg y el del holdtime de 10seg. Para configurar los tiempos
se usa el comando standby num grupo timers msec seg para hello msec
seg para holdtime, dentro del modo de configuracin de la SVI. Por ejemplo,
standby 10 timers msec 250 msec 750 establece un tiempo de hello de 250 msec y
un tiempo de holdtime de 750msec para los switchs del grupo 10.
8.- (OPCIONAL) Configurar Tracking. Con el tracking lo que conseguimos es ajustar
automticamente la prioridad del switch en caso de la alguna interfaz (las que
configuremos con track) caiga. Por ejemplo, si un switch que esta como activo, tiene
un enlace a Internet a travs de su Fa0/1, si esta interfaz cae, el switch seguiria
siendo activo pero no dara servicio a Internet porque el enlace esta caido. Lo que
conseguimos con track, es bajar la prioridad del switch en caso de que alguna
interfaz falle, de esta forma y con el ejemplo anterior, si la Fa0/1 cae, la prioridad del
switch baja, y pasara a ser activo otro switch del grupo, que probablemente s tenga
el enlace a Internet activo. Para que el track funcione correctamente tambin
tenemos que tener activada la opcin preempt, para que pueda haber un cambio de
switch activo.
El track se configura con el comando standby num grupo track interfaz num
de decremento de prioridad, dentro del modo de configuracin de la SVI. Por
ejemplo, standby 10 track Fa0/1 50 indica que la prioridad del grupo se debe bajar
en 50 para el grupo 10 si la interfaz fa0/1 falla.
---- Configuracin del Switch A ---SwitchA(config)# interface vlan 10 ...Entramos a la configuracion de la interfaz de
la vlan 10 ya que es a los equipos de esta vlan a los que queremos dar un gateway
redundante.
SwitchA(config-if)# ip address 192.168.1.2 255.255.255.0 ...Establecemos una IP
a la interfaz SVI
SwitchA(config-if)# standby 10 ip 192.168.1.1 ...Aadimos el switch al grupo
HSRP 10 e indicamos la IP virtual del grupo, esta IP es la que se tiene que
configurar en los equipos de la vlan 10 como puerta de enlace.
SwitchA(config-if)# standby 10 priority 110 ...Configuramos la prioridad del switch.
SwitchA(config-if)# standby 10 preempt ...Activamos el preempt, necesario para
que si se encuentra otro switch en el grupo con prioridad mayor, pase a ser activo
(en este caso si la interfaz fa0/24 falla se baja en 50 la prioridad, asi que el switch B
pasara a ser activo).
SwitchA(config-if)# standby 10 authentication prueba ...Definimos la
autenticacin
SwitchA(config-if)# standby 10 track fa 0/24 50 ...Configuramos el tracking para la
interfaz 0/25, si falla, se baja en 50 la prioridad del switch.
---- Configuracin del Switch B ---SwitchB(config)# interface vlan 10 ...Entramos a la configuracion de la interfaz de
la vlan 10 ya que es a los equipos de esta vlan a los que queremos dar un gateway
redundante.
SwitchB(config-if)# ip address 192.168.1.3 255.255.255.0 ...Establecemos una IP a
la interfaz SVI
HSRP usa un switch como activo y otro como standby, VRRP usa un switch
como master, y todos los dems como backups.
---- Configuracin en el Switch A ---SwitchA(config)# interface vlan 10 ...Interfaz de la vlan a la cual se le dara puerta
de enlace redundante
SwitchA(config-if)# ip address 10.0.2.1 255.255.255.0 ...Ip de la interfaz de la vlan
10
SwitchA(config-if)# vrrp 10 ip 10.0.2.254 ...Ip virtual para el grupo 10 de vrrp, Es la
IP que se le tiene que configurar a los equipos como puerta de enlace.
SwitchA(config-if)# vrrp 10 priority 110 ...La prioridad del switch para el grupo 10
SwitchA(config-if)# vrrp 10 timers advertise msec 500 ...El intervalo en msec de
envio de mensajes.
---- Configuracin en el Switch B ---SwitchB(config)# interface vlan 10 ...Interfaz de la vlan a la cual se le dara puerta
de enlace redundante
SwitchB(config-if)# ip address 10.0.2.2 255.255.255.0 ...Ip de la interfaz de la vlan
10
SwitchB(config-if)# vrrp 10 ip 10.0.2.254 ...Ip virtual para el grupo 10 de vrrp, Es la
IP que se le tiene que configurar a los equipos como puerta de enlace.
SwitchB(config-if)# vrrp 10 priority 90 ...La prioridad del switch para el grupo 10
SwitchB(config-if)# vrrp 10 timers learn ...Aprender del master los tiempos que
tiene que aplicar para el intercambio de mensajes entre los switchs del grupo.
Switch# show vrrp interface vlan id vlan ...Muestra todos los detalles de vrrp
para la interface de la vlan seleccionada, estado, ip virtual, mac, prioridad etc
Se crean dos grupos (10 y 11) para la vlan 10, con dos ips virtuales dentro de la
misma subred (10.0.0.1 y 10.0.0.2) y se configura un switch para que sea master del
grupo 10 y backup del 11. El otro switch se configura a la inversa, master de 11 y
backup de A. Los clientes se configuran con puertas de enlace de los dos routers
virtuales. Si por ejemplo, El switch B cae, los equipos 3 y 4 podran seguien
teniendo acceso a la red, porque el Switch A se colocara como master del grupo 11
(estaba como backup).
Ejemplo de GLBP..
4.- (OPCIONAL) Se configura el preempt, para en caso de que algn switch con
mayor prioridad se incorpore al grupo, pueda convertirse en AVG. El preempt se
configur sobre todo cuando tambien se configura el tracking sobre algunas
interfaces, para si estas fallan, se baje la prioridad del switch y otro pueda
convertirse en AVG. Lo hacemos con el comando glbp num grupo
preempt,dentro del modo de configuracin de la intefaz.
4.- (OPCIONAL) Definimos la prioridad del Switch para ese grupo con el
comandoglbp num grupo priority prioridad, dentro del modo de configuracin
de la interfaz. Si no se configura este comando, la prioridad por defecto es 100 para
todos los switch, en ese caso pasara a ser AVG el que mayor IP tenga configurada
en su interfaz.
5.- (OPCIONAL) Definimos los intervalos de tiempo de hello y holdtime. lo hacemos
con el comando glbp num grupo timers msec hello msec holdtime, dentro
del modo de configuracin de la intefaz.
6.- (OPCIONAL) Definimos la autenticacin, con el comando glbp num grupo
authentication md5 keystring password, dentro del modo de configuracin de
la intefaz.
7.- (OPCIONAL) Configurar tracking para si alguna interfaz cae, bajar la prioridad
del switch
---- Configuracin en el Switch A ---SwitchA(config)# interface vlan 1 ...Interfaz de la vlan a la cual se le dara puerta de
enlace redundante
SwitchA(config-if)# ip address 10.88.1.1 255.255.255.0 ...Ip de la interfaz de la vlan
1
SwitchA(config-if)# glbp 1 10.88.1.10 ...Ip virtual para el grupo 1 de blgp, Es la IP
que se le tiene que configurar a los equipos como puerta de enlace.
SwitchA(config-if)# glbp 1 priority 90 ...La prioridad del switch para el grupo 1
SwitchA(config-if)# glbp 1 preemtp ...Para si se incorpora un switch con mayor
prioridad, que se convierta en AVG.
SwitchA(config-if)# glbp 1 timers msec 200 msec 800 ...El intervalo en msec de
envio de mensajes hello y el holdtime.
SwitchA(config-if)# glbp 1 authentication md5 keystring prueba ...La
autenticacin a usar entre los switchs miembros del grupo.
---- Configuracin en el Switch B ---SwitchB(config)# interface vlan 1 ...Interfaz de la vlan a la cual se le dara puerta de
enlace redundante
SwitchB(config-if)# ip address 10.88.1.2 255.255.255.0 ...Ip de la interfaz de la vlan
1
SwitchB(config-if)# glbp 1 10.88.1.10 ...Ip virtual para el grupo 1 de blgp, Es la IP
que se le tiene que configurar a los equipos como puerta de enlace.
SwitchB(config-if)# glbp 1 priority 80 ...La prioridad del switch para el grupo 1
Interruptor general
Puede instalar el FWSM en los switches de la serie Catalyst 6500 o los routers de la
serie Cisco 7600. La configuracin de ambas series es idntica, y las series se
Para Cisco IOS versin 12.2 (18) SX6 y anteriores, para cada FWSM en un
interruptor, la funcin de reflector SPAN est habilitada. Esta caracterstica permite
que el trfico de multidifusin (y el resto del trfico que requiere el motor de
reescritura central) para ser cambiado cuando viene de la FWSM. La funcin de
reflector SPAN utiliza una sesin SPAN. Para desactivar esta funcin, introduzca el
siguiente comando:
Directrices de VLAN
Ver las siguientes directrices para el uso de redes VLAN con la FWSM:
Puede utilizar las VLAN privadas con el FWSM. Asignar la VLAN primaria a la
FWSM; el FWSM maneja automticamente el trfico de VLAN secundaria.
No se puede utilizar VLAN reservadas.
No se puede utilizar VLAN 1.
Si utiliza la conmutacin por error FWSM dentro del mismo chasis del interruptor,
no asigne la VLAN (s) que se reserva para las comunicaciones de conmutacin por
error y con estado a un puerto de switch. Sin embargo, si utiliza la conmutacin por
error entre el chasis, debe incluir las VLAN en el puerto de enlace troncal entre el
chasis.
Si asigna las VLAN a la FWSM antes de aadirlas al interruptor, las VLAN se
almacenan en la base de datos del motor supervisor y se envan a la FWSM tan
pronto como se abonen al conmutador.
Para el software Cisco IOS, si configura las VLAN en la configuracin FWSM, y
luego asignar las VLAN a la FWSM el interruptor, entonces esos VLANs son
llevados administrativamente arriba en la FWSM incluso si estaban configuradas
para ser cerrado.
No puede asignar la misma VLAN a varios grupos de firewall; Sin embargo, puede
asignar varios grupos de firewall a un FWSM y se puede asignar un solo grupo
cortafuegos para mltiples FWSMs. VLAN que desea asignar a mltiples FWSMs,
por ejemplo, pueden residir en un grupo separado de las VLAN que son nicos para
cada FWSM.
Para asignar VLAN a la FWSM, realice los siguientes pasos:
Separe los nmeros o rangos por comas. Por ejemplo, introduzca los siguientes
nmeros:
5,7-10,13,45-100
puertos enrutados y puertos WAN consumen VLANs internas, por lo que es posible
que las VLAN en el rango de 1.020-1100 podra estar ya en uso.
Si configura las VLAN en la configuracin FWSM, y luego asignar las VLAN a la
FWSM en el interruptor mediante este procedimiento, entonces esos VLANs son
llevados administrativamente arriba en la FWSM incluso si estaban configuradas
para ser cerrado. Para cerrarlas, introduzca los siguientes comandos en el FWSM
CLI:
nmero de VLAN interfaz
Cerrar
En el software del sistema operativo del catalizador, se asigna una lista de las VLAN
a la FWSM. Puede asignar la misma VLAN a mltiples FWSMs si se desea. La lista
puede contener un nmero ilimitado de VLAN.
Para asignar VLAN a la FWSM, introduzca el siguiente comando:
55-57, 100
Adicin de interfaces virtuales conmutados a la MSFC
Una VLAN definida en el MSFC se llama una interfaz virtual conmutada. Si asigna la
VLAN utilizada para el SVI al FWSM (consulte la seccin "Asignacin de VLAN en el
Mdulo de Servicios de Firewall" seccin), entonces las rutas MSFC entre el FWSM
y otra Capa 3 VLAN.
Sin embargo, puede que tenga que pasar por alto la FWSM en algunos escenarios
de la red. La Figura 2-2 muestra un host IPX en el mismo segmento Ethernet como
hosts IP. Debido a que el FWSM en modo firewall enrutada slo maneja el trfico IP
y deja caer el resto del trfico de protocolo como IPX (modo de cortafuegos
transparente opcionalmente puede permitir que el trfico no-IP), es posible que
desee pasar por alto la FWSM para el trfico IPX. Asegrese de configurar el MSFC
con una lista de acceso que slo permite el trfico IPX pase en VLAN 201.
Si est ejecutando el software Cisco IOS en el motor de supervisor, lleve a cabo los
siguientes pasos para agregar un SVI a la MSFC:
Paso 1 (Opcional) Para permitir que usted agregue ms de un SVI al FWSM,
introduzca el siguiente comando:
Router (config) # firewall mltiples VLAN interfaces
Paso 2 Para agregar una interfaz VLAN a la MSFC, introduzca el siguiente
comando:
Router (config) # interface vlan vlan_number
Paso 3 Para configurar la direccin IP de la interfaz en el MSFC, introduzca el
siguiente comando:
Router (config-if) # ip direccin de direccin de la mscara
Paso 4 Para habilitar la interfaz, ingrese el siguiente comando:
Consola> (activar) establecer canal del puerto toda la distribucin {ip | mac | sesin
|
ip-vlan-session} [fuente | destino | ambas cosas]
El valor predeterminado es ip ambos.
Para evitar bucles de conmutacin por error cuando se utiliza en modo transparente,
utilice el software interruptor que soporta el reenvo de BPDU. Vea la seccin
"Compatibilidad de software para interruptores y" para obtener ms informacin
sobre el soporte del interruptor para el modo de cortafuegos transparente.
filtro de firewall de puertos, VLAN, o Capa. Para aplicar un filtro de firewall, primero
debe configurar el filtro y luego aplicarlo a un puerto, VLAN, o Capa de interfaz 3.
Puede aplicar filtros de cortafuegos para las interfaces de red, interfaces Ethernet
agregados (tambin conocidos como grupos de agregacin de enlaces (LAG)),
interfaces de bucle invertido, interfaces de administracin, interfaces de gestin
Ethernet virtuales (EMV), y enrutado interfaces VLAN (RVIS). Para obtener
informacin sobre los conmutadores de la serie EX que apoyan un filtro de firewall
en estas interfaces, consulte Switch Software Serie EX Descripcin de las
caractersticas.
Un filtro de firewall entrada es un filtro que se aplica a los paquetes que estn
entrando en una red. Un filtro de firewall de salida es un filtro que se aplica a los
paquetes que se sale de una red. Puede configurar los filtros del firewall para
someter los paquetes a la filtracin, la clase de servicio (CoS) marcado (agrupacin
de tipos similares de trfico juntos, y el tratamiento de cada tipo de trfico como una
clase con su propio nivel de prioridad de servicio), y polticas de trfico ( control de
la velocidad mxima de trfico enviado o recibido en una interfaz).
Los siguientes tipos de filtros de firewall son compatibles con los conmutadores de
la Serie EX:
Router (Capa 3) Filtro-Usted firewall puede aplicar un filtro router firewall en ambas
direcciones de entrada y salida en la capa 3 (encaminar) interfaces y las interfaces
de VLAN enrutados (RVIS). Puede aplicar un filtro de firewall del router en la
direccin entrada en la interfaz de bucle invertido (lo0) tambin. Filtros de firewall
configuradas en las interfaces loopback slo se aplican a los paquetes que se
envan a la CPU motor de enrutamiento para su posterior procesamiento.
Puede aplicar puerto, VLAN, o los filtros de firewall router para IPv4 e IPv6 en el
trfico de estos interruptores:
Interruptor EX2200
Interruptor EX3300
Interruptor EX3200
Interruptor EX4200
Interruptor EX4300
Interruptor EX4500
Interruptor EX6200
Interruptor EX8200
Para obtener informacin sobre los filtros de firewall soportados en diferentes
conmutadores, consulte Soporte Plataforma de filtro Firewall Condiciones del
partido, acciones, y modificadores de accin de Switches serie EX.
El nmero mximo de trminos permitidos por filtro de firewall para switches serie
EX es:
En los interruptores EX3300, si agrega y elimina los filtros con un gran nmero de
trminos (del orden de 1.000 o ms) en la misma operacin de confirmacin, no se
instalan todos los filtros. Debe aadir filtros en un solo comprometen el
funcionamiento y eliminar filtros en una operacin separada comprometerse.
7042 para EX3200 y EX4200 interruptores-asignada por la asignacin dinmica de
contenido ternario memoria direccionable (TCAM) para filtros de firewall.
En switches EX4300, el siguiente nmero mximo de trminos son compatibles para
el ingreso y el trfico de salida, para contribuyentes de firewall configuradas en un
puerto, VLAN y la interfaz de Capa 3:
Para el trfico de entrada:
3500 trminos para filtros de firewall configuradas en un puerto
3500 trminos para filtros de firewall configuradas en una VLAN
7000 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para
el trfico IPv4
3500 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para
el trfico IPv6
Para el trfico de salida:
512 trminos para filtros de firewall configuradas en un puerto
256 trminos para filtros de firewall configuradas en una VLAN
512 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para el
trfico IPv4
512 trminos para filtros de cortafuegos configurados en la Capa 3 interfaces para el
trfico IPv6
FORTINET
Fortinet fue fundada en el ao 2000 por Ken Xie, visionario y previo fundador y CEO
de NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilizacin de
un Circuito Integrado de Aplicacin Especfica (ASIC) para acelerar el proceso
Firewall. De este modo lanz al mercado un lineal de equipos de alto rendimiento
que mediante aceleracin hardware permita realizar un control sobre el trfico de
las redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado.
Ken Xie, con objeto de seguir avanzando en su visin propia de la seguridad en las
comunicaciones, abandon NetScreen y fund Fortinet. Su proyecto consista en
Alta Disponibilidad
La capacidad de trabajar en cluster de alta disponibilidad (HA) dota a los equipos
FortiGate de redundancia ante fallos. Adems el cluster puede configurarse en
modo activo-activo haciendo balanceo de carga del trfico o en modo activo/pasivo
en la que un nico equipo procesa el trfico de la red y es monitorizado por los
dems para sustituirle en caso de cada.
Los equipos FortiGate pueden ser configurados en cluster, proporcionando
escenarios de alta disponibilidad mediante la utilizacin de varios equipos
redundantes entre s, empleando un protocolo especfico para la sincronizacin del
cluster.
El cluster puede estar formado hasta por 32 equipos
La funcionalidad de Alta Disponibilidad est soportada por todas las plataformas
FortiGate a partir del equipo FortiGate50B inclusive
Cada miembro del cluster debe ser del mismo modelo hardware as como tener
instalada la misma versin del Sistema Operativo.
La funcionalidad de Alta Disponibilidad est soportada tanto en modo router como
en modo transparente.
HA Heartbeat Los miembros del cluster se comunican entre ellos a travs de un
protocolo propietario denominado HA heartbeat. Este protocolo se utiliza para:
Sincronizar la configuracin entre los equipos.
Sincronizar la tabla de sesiones activas tanto de firewall como de VPN.
Informar a los otros miembros del cluster del estado del equipo y sus enlaces.
Los interfaces empleados para el intercambio de informacin entre los equipos del
cluster son definidos por el administrador del equipo, sin necesidad de que sean
enlaces dedicados a esta funcin y permitiendo que dichos enlaces sean empleados
para transmitir trfico de produccin.
Es recomendable que los interfaces empleados para la transmisin de esta
informacin sean configurados en modo redundante, es decir, que el administrador
defina varios enlaces para realizar esta funcin, de modo que si alguno fallara la
informacin pasara a transmitirse de forma automtica por otro enlace al que se le
haya asignado esta tarea.
Dado que los equipos que forman parte del cluster se intercambian informacin
sobre las sesiones Firewall y VPN activas, la cada de un equipo o un enlace no
afecta a estas sesiones, realizndose una proteccin ante fallos completamente
transparente.
El administrador puede definir aquellos interfaces cuyo estado quiere monitorizar
con objeto de determinar cuando debe cambiarse el equipo que acta como activo
en el cluster.
Modos Activo-Activo y Activo-Pasivo
Los equipos configurados en alta disponibilidad pueden trabajar en modo activoactivo o en modo activo-pasivo. Ambos modos de funcionamiento son soportados
tanto en modo transparente como en modo router.
Windows Server 2012: Cluster Network Load Balancing NLB (Equilibrio o Balance
de Carga)
En general cuando se habla de Cluster la gran mayora lo asocia a uno de los dos
tipos de cluster que pueden crearse, casi todos los asocian a Failover Cluster
Pero existe otro tipo de cluster, el llamado Cluster Network Load Balancing, que
tiene diferente funcionalidad aunque en ambos casos se trate de varios servidores
actuando como si fueran uno solo
Hagamos primero una muy breve introduccin a las diferencias entre ambos tipos
de Cluster.
En un Failover Cluster, en general cualquier servidor integrante (Nodo) puede
cumplir determinada funcin de acuerdo a la configuracin, pero debemos tener en
cuenta que esa determinada funcin es llevada a cabo por un nico nodo por vez.
Esto es, la funcionalidad se mover a otro nodo, slo ante la falla del nodo que la
tiene, o voluntariamente si lo hace un administrador.
Luego un Failover Cluster provee disponibilidad, pero hay otra caracterstica muy
importante que podemos necesitar, como es la escalabilidad. Esto supone que por
ejemplo si aumenta la carga sobre una funcin, que la misma se reparta
equitativamente y simultneamente entre los Nodos del Cluster
Justamente la escalabilidad es una de las caractersticas de un Cluster Network
Load Balancing (NLB), ya que en este caso los nodos se reparten la carga
Comparando uno con otro un Cluster NLB tiene algunas ventajas e inconvenientes
respecto a un Failover Cluster
Como ventajas, podemos para nombrar slo algunas:
Menos hardware, ya que podemos hacerlo con servidores con una nica
conexin de red
Pero, siempre hay algo, los nodos se comunican entre ellos slo para notificarse si
estn disponibles, no comparten la configuracin ni propia de ni de la funcionalidad
que pongamos en alta disponibilidad, ni siquiera los datos de esta ltima
Luego, por esto ltimo, lo hace candidato ideal para aplicaciones que no requieran
sesiones
En la gran mayora de los casos, su uso es con Internet Information Services
Si el contenido de las pginas web es esttico, y cambia poco, podremos
mantenerlo sincronizado manualmente, pero si cambia mucho o si necesita acceder
a bases de datos, tambin tenemos una solucin
Esto que el Cluster NLB estn configurado como un front-end donde acceden los
usuarios, y luego estos nodos busquen la informacin en un back-end dentro de la
red interna, para presentarle a los clientes
DC1.root.guillermod.com.ar
Controlador de Dominio
Direccin IP: 192.168.1.201/24
NLB1.root.guillermod.com.ar
Servidor Miembro del Dominio
Direccin IP: 192.168.1.121/24
NLB2.root.guillermod.com.ar
Servidor Miembro del Dominio
Direccin IP: 192.168.1.122/24
NLB.root.guillermod.com.ar
Direccin IP: 192.168.1.200/24
Funcionalidad: servidor web
Hay una configuracin que debemos hacer manualmente en nuestro servidor DNS,
porque el Cluster NLB no se registra automticamente
As que en DC1, abrimos la consola DNS, y de acuerdo a lo planteado al principio
de la nota, creamos manualmente un registro de tipo A correspondiente a
nlb.root.guillermod.com.ar con la direccin IP 192.168.1.200
Volviendo a uno de nuestros nodos, comenzar a crear el Cluster NLB, har todo
desde NLB1 ya que puedo agregar a NLB2 remotamente
Para esto abrimos la consola Network Load Balancing Manager desde el men
Tools de Server Manager
Seguimos adelante. Vemos que, por omisin, el cluster tratar de balancear las
conexiones a todos los puertos (0 a 65535) que no es lo que deseamos, slo acceso
HTTP (TCP-80), as que ingresamos con el botn Edit, y ponemos 80 tanto en inicio
como en fin
Y finalizamos
Quedando as
Demorar unos instantes hasta agregarlo y ver que est todo bien
Recordemos que esto es slo una demostracin para que nos familiaricemos y
podamos hacer una prueba con un Cluster NLB; en ambiente productivo
influencian otros factores que no son los aplicables a un ambiente de pruebas