ASA Clustering

Adaptive Security Appliance (ASA) – Clustering

A partir da versão 9.0 de software do ASA ele passou a suportar a funcionalidade de Firewall Clustering. Isso permite que dependendo do hardware, podemos utilizar até 16 devices para trabalhar em modo de cluster, isso permite que quando configurado em modo de cluster eles apareçam como um único dispositivo. As vantagens é que agora, pode se aproveitar todas as vantagens dos protocolos como vPC e VSS para transporte de tráfego e balanceamento de carga entre todos os dispositivos em uma configuração active/active. Ao contrário do antigo modo de uso active/standby ou active/active com modo multi-contexto, onde um dispositivo estava sempre em standby e não realmente passando o tráfego entre ele.

  • Multiple Context Mode: Um ASA pode ser configurado para operar como vários contextos virtuais, cada um deles atuarão como firewalls independentes.
  • Transparent Mode: Um ASA pode ser configurado para funcionar como um firewall transparente, que se tornam efetivamente como uma bridge entre duas interfaces. Firewalls em modo transparente permite ser ligado numa rede existente, sem necessidade de qualquer.

Arquitetura do Cluster utilizando Cisco ASA

Diferente do modo de cluster tradicional do ASA, a arquitetura de Clustering ela é construída da seguinte maneira, um membro do cluster é eleito Master e os outros dispositivos são Slaves. A primeira unidade a entrar no domínio do cluster ou com base em um valor de prioridade se tornará a unidade Master. O dispositivo Master é responsável por toda a gerencia da configuração, gerenciamento do dispositivo ele também possui o VIP do cluster. Um ponto importante é que um novo Master somente é eleito se haver problemas com o Master atual.

Os dispositivos do cluster utilizam uma comunicação chamado de Cluster Control Link ou (CCL), este link é utilizado para o backplane do cluster. Cada dispositivo deve ter pelo menos uma interface de hardware dedicada para a configuração deste link, a recomendação é que seja utilizado em port-channel e a largura de banda para o CCL seja próxima a quantidade de tráfego que passar pelo cluster, por exemplo, se chegar um tráfego em torno de 12 a 14Gbps por caixa no cluster, então é preciso que o link trabalhe com algo em torno de 14 Gbps. Neste caso, seria preciso configurar 2 interfaces de 10G em um port-channel.

Modos de interface suportados

  • Layer 2 Mode

O modo de interface Spanned EtherChannel é o método recomendado pela Cisco para configurar interfaces do Cluster para switches adjacentes na camada de agregação. Esse método usa o LACP para fornecer uma solução ECMP de camada 2.

  • Layer 3 Mode

O modo de interface individual requer que cada interface do ASA tenha um endereço IP exclusivo atribuído a ele. Nos switches ou roteadores, é preciso utilizar PBR ou um algum protocolo de roteamento dinâmico para fornecer a solução ECMP. Esta é a solução menos recomendada pela Cisco.

Gerencia de conexões do ASA

Quando uma nova conexão é direcionada a um membro do cluster via balanceamento de carga, essa unidade possui ambas as direções da conexão. Se quaisquer pacotes de conexão chegarem a uma unidade diferente, eles serão encaminhados para a unidade Owner por meio Control Cluster Link. Se o fluxo de dados inverso chega a uma unidade diferente, ele é redirecionado de volta para a unidade original, via o Forwarder.

  • Owner – Quando o trafego é iniciado ele passa pela primeira unidade do cluster esta unidade é chamada de owner da conexão ele mantém o estado da sessão.
  • Diretor – Essa unidade controla as solicitações de consulta dos Fowarders e também mantém o estado de conexão para servir como backup se o Owner falhar. Os Diretors são escolhidos com base no hash dos endereços IP SRC/DST e as portas TCP enviadas por um Owner.
  • Forwarder – Uma unidade de Forwarder passa pacotes para o Owner. Ele pode olha o cookie SYN para determinar o fluxo Owner.

 

clusterASA

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s