Ultimamente ao contratar um link dedicado as operadoras estão disponibilizando apenas 6 endereços de IP validos. Contando que um é usado para o roteador da operadora, sobram apenas cinco. Se você quiser ter um firewall redundante, sobrariam apenas dois e se quiser ter os roteadores redundantes, ai não sobra nenhum IP valido… Porque ? O motivo é que quando dois equipamentos operam de forma redundante, alem de cada um ter um IP da faixa disponibilizada deve existir também um vIP – o IP virtual pelo qual ambos respondem. Sendo que tem seis IPs que podem ser usados em uma rede de 29 bits ( mascara 255.255.255.248 ), três seriam usados pelos dois roteadores e mais três seriam usados pelos firewalls. Acabou a faixa disponibilizada. Todos os serviços deveriam ser publicados através de PAT no vIP dos firewalls. Não pretendo discutir qual firewall será usado. Escolha o da sua preferencia, mas os conceitos de rede são os mesmos.
Cenário 1
Figura 1: Link normal disponibilizado pelas operadoras
Pressupondo que será usado um firewall, esse seria o desenho da rede com firewall e os serviços sendo publicados via PAT/NAT para a Internet. Todos os IPs disponíveis ( cinco no total ) ficariam no firewall que vai fazer o encaminhamento das requisições de acordo com as regras definidas. Os servidores ficam na rede corporativa com endereços inválidos e todo o trabalho de tradução é feito no firewall. Se a maquina do firewall der algum problema, adeus serviços acessados externamente.
Cenário 2
Figura 2 : Equipamentos redundantes
Agora tanto os roteadores, como os firewall contam com redundância O único problema é que existe apenas um único IP que pode ser usado para publicação de serviços que é o vIP. Se for necessário publicar dois servidores com o mesmo serviço, terá que ser usado PAT e não será possível usar a porta padrão. Se um roteador ou firewall apresentar algum problema, o segundo pode assumir os serviços sem causar interrupções para os usuários.
Cenário 3
Figura 3 : Equipamentos redundantes com uma pequena “expansão” da rede
Nesse cenário é introduzida uma rede de interconexão e é feita uma pequena “expansão” da rede válida fornecida pela operadora.
A rede de interconexão : A única coisa que um roteador precisa saber para repassar o trafego é para onde enviar os pacotes para determinada rede de destino. Nesse caso não importa se a rede é valida ou privada ( inválida ). Ele vai ter a rota default, que é o roteador da operadora que fica antes dele e a rede disponibilizada a você, como cliente. Ele estando na mesma faixa de rede que o(s) firewall(s) já é suficiente e ele vai fazer o trabalho dele que é de rotear o trafego.
A rede “expandida” : Os únicos equipamentos que precisam estar fora da rede disponibilizada pela operadora são os firewalls. Isso porque para manter a sincronia e o vIP eles obrigatoriamente devem estar na mesma faixa de rede. Como o vIP será o primeiro IP da faixa disponibilizada e todos os servidores estarão na mesma faixa que a operadora disponibilizou, sendo que o dafault gateway será o vIP dos firewalls, nenhum equipamento vai perceber que tem algo estranho na rede.
Esse cenário pode ser usado tanto em redes com DMZ como em redes que usam NAT/PAT para publicação de serviços. Temos praticamente todas as vantagens necessárias:
-
Redundância dos roteadores – em caso de problemas em um dos equipamentos, o segundo assumiria sem causar quedas nos serviços;
-
Redundância dos firewalls – idem. Em caso de problemas em um dos equipamentos, o segundo assumiria sem causar quedas nos serviços;
-
Segurança – não existe possibilidade fácil de algum equipamento não passar pelo firewall ( intencionalmente ou não ), pois os roteadores estão em uma faixa invalida e quem tentar os usar deveria também estar nessa faixa e todas as faixas invalidas são bloqueadas para trafego na Internet. Sem fazer um NAT de saida, nenhum pacote conseguiria sair.
Este post é apenas uma ideia de que pode ser feito para economizar alguns ( dos já poucos ) IPs que geralmente são oferecidos “gratuitamente” na contratação de um link dedicado. Claro que a configuração em si envolve vários conceitos e equipamentos que devem ser completamente dominados por quem resolver se aventurar e seguir as minhas sugestões acima. Se quiser usar, faça por sua conta e risco, pois além de interrupções na sua rede, alguns problemas não são facilmente diagnosticados por quem não possui a experiencia necessária