cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 

Cluster de ASA (versão 9.x)

A versão 9.0 do ASA traz um novo feature, muito requisitado em ambientes de Data Center. Trata-se do Cluster de Firewalls. O documento seguinte mostra como funciona esse novo recurso.

O que é suportado?

Um cluster pode ser compost de até 8 membros idênticos e está disponível apenas para o modelo ASA 5585-X, versão de software 9.x.

Todos os modos do firewall são suportados (single/multi context, transparent/router/mixed mode). No entanto as configurações relativas ao cluster devem ser consistentes em todos os contextos.

Encaminhamento e balanceamento de tráfego para o Cluster

O tráfego que sai de um nó da rede será enviado a um dos membros do cluster. O balanceamento do tráfego é feito de uma das seguintes maneiras:

  • ECLB (Equal Cost Load Balancing) ou Etherchannel
  • PBR (Policy Based Routing)
  • ECMP (L3 Equal Cost MultiPath)

A utilização de etherchannel é o método mais recomendado.

Cluster Back Plane

1. Cada membro do cluster deve ter uma interface dedidaca ao Cluster Control Link, que forma o Cluster Back Plane;

2. Este link é utilizado para redirecionamento de tráfego assimétrico, espelhar informação de estado de conexões (state information) entre membros, compartilhar informações para redundância e manutenção do cluster;

3. A comunicação entre os membros do cluster, através do Cluster Control Link, é estabelecida pelo Cluster Control Protocol (CCP), proprietário Cisco.

Cluster Control Link (Cluster Back Plane)ASA cluster backplane.png

Como funciona o encaminhamento de tráfego pelo cluster?

1. O fluxo do tráfego (data path) é organizado de maneira que os pacotes de uma sessão sejam sempre encaminhados pelo mesmo membro do cluster para assegurar consistência das inspeções de protocolos (Protocol Inspection). Por esta razão, o fluxo assimétrico através do cluster é suportado;

2. É eleito um Master para o cluster e os demais membros são Slaves no cluster. O Master replica a configuração para os Slaves do cluster e também concentra logs e informações de console de todos os membros do cluster;

3. O Cluster Control Lik é utilizado para monitorar a carga de tráfego de cada membro e, se necessário, atrubuir fluxos a outros membros de forma a distribuir igualmente a carga no cluster.

4. Para cada conexão há 3 funções exercidas pelos membros:

Owner: membro que inicialmente recebe a conexão e é o responsevel pelo encaminhamento do tráfego desta sessão;

Director: eleito pelo Owner de uma conexão, para o qual replica as informações da conexão. Ele serve como um backup das informações do Owner e é consultado sempre que um Forwarder recebe tráfego de uma conexão da qual não tem informações

Forwarder: qualquer membro que receba um pacote de uma conexão da qual não seja o Owner. O Forwarder consulta o Director pelo Owner da conexão e redireciona o tráfego ao mesmo (através do Cluster Control Link).

Exemplo de tráfego assimétrico:

Encaminhamento de tráfego assimétrico

ASA cluster forward.png

1. Cliente envia TCP SYN para o servidor;

Um dos membros recebe o SYN, se torna o Owner da conexão. Encaminha o tráfego, elege um Director para a conexão e replica a informação da conexão (state) para o mesmo;

Devido ao algoritmo de balanceamento do etherchannel, o SYN/ACK é chega a outro membro do cluster. Este é um Forwarder, pois não é o responsável por esta conexão;

2. O Forwarder consulta o Director (buscando o Owner);

3. O Director indica quem é o Owner;

4. O Forwarder redireciona o pacote ao Owner;

O Owner encaminha o SYN/ACK ao cliente.

E se o Owner falhar?

No caso de falha do Owner:

1. O tráfego será, eventualmente, encaminhado à outro membro do cluster , um Forwarder;

2. O Forwarder consulta o Director, buscando pelo Owner (que falhou). O Director, então, elege um novo Owner para a conexão (que é o mesmo membro que recebeu o tráfego do antigo Owner) e atualiza o mesmo com as informações da conexão;

3. O novo Owner encaminha o tráfego.

615
Apresentações
20
Útil
0
Comentários