Economizando IPs ( IPv4 ) – Parte 1

Ultimamente ao contratar um link dedicado as operadoras estão disponibilizando apenas 6 endereços de IP validos. Contando que um é usado para o roteador da operadora, sobram apenas cinco. Se você quiser ter um firewall redundante, sobrariam apenas dois e se quiser ter os roteadores redundantes, ai não sobra nenhum IP valido… Porque ? O motivo é que quando dois equipamentos operam de forma redundante, alem de cada um ter um IP da faixa disponibilizada deve existir também um vIP – o IP virtual pelo qual ambos respondem. Sendo que tem seis IPs que podem ser usados em uma rede de 29 bits ( mascara 255.255.255.248 ), três seriam usados pelos dois roteadores e mais três seriam usados pelos firewalls. Acabou a faixa disponibilizada. Todos os serviços deveriam ser publicados através de PAT no vIP dos firewalls. Não pretendo discutir qual firewall será usado. Escolha o da sua preferencia, mas os conceitos de rede são os mesmos.

 

Cenário 1

Diagram1

Figura 1: Link normal disponibilizado pelas operadoras

 

Pressupondo que será usado um firewall, esse seria o desenho da rede com firewall e os serviços sendo publicados via PAT/NAT para a Internet. Todos os IPs disponíveis ( cinco no total ) ficariam no firewall que vai fazer o encaminhamento das requisições de acordo com as regras definidas. Os servidores ficam na rede corporativa com endereços inválidos e todo o trabalho de tradução é feito no firewall. Se a maquina do firewall der algum problema, adeus serviços acessados externamente.

 

Cenário 2

Diagram2

Figura 2 : Equipamentos redundantes

 

Agora tanto os roteadores, como os firewall contam com redundância O único problema é que existe apenas um único IP que pode ser usado para publicação de serviços que é o vIP. Se for necessário publicar dois servidores com o mesmo serviço, terá que ser usado PAT e não será possível usar a porta padrão. Se um roteador ou firewall apresentar algum problema, o segundo pode assumir os serviços sem causar interrupções para os usuários.

 

Cenário 3

Diagram3

Figura 3 : Equipamentos redundantes com uma pequena “expansão” da rede

 

Nesse cenário é introduzida uma rede de interconexão e é feita uma pequena “expansão” da rede válida fornecida pela operadora.

 

A rede de interconexão : A única coisa que um roteador precisa saber para repassar o trafego é para onde enviar os pacotes para determinada rede de destino. Nesse caso não importa se a rede é valida ou privada ( inválida ). Ele vai ter a rota default, que é o roteador da operadora que fica antes dele e a rede disponibilizada a você, como cliente. Ele estando na mesma faixa de rede que o(s) firewall(s) já é suficiente e ele vai fazer o trabalho dele que é de rotear o trafego.

 

A rede “expandida” : Os únicos equipamentos que precisam estar fora da rede disponibilizada pela operadora são os firewalls. Isso porque para manter a sincronia e o vIP eles obrigatoriamente devem estar na mesma faixa de rede. Como o vIP será o primeiro IP da faixa disponibilizada e todos os servidores estarão na mesma faixa que a operadora disponibilizou, sendo que o dafault gateway será o vIP dos firewalls, nenhum equipamento vai perceber que tem algo estranho na rede.

 

Esse cenário pode ser usado tanto em redes com DMZ como em redes que usam NAT/PAT para publicação de serviços. Temos praticamente todas as vantagens necessárias:

  • Redundância dos roteadores – em caso de problemas em um dos equipamentos, o segundo assumiria sem causar quedas nos serviços;

  • Redundância dos firewalls – idem. Em caso de problemas em um dos equipamentos, o segundo assumiria sem causar quedas nos serviços;

  • Segurança – não existe possibilidade fácil de algum equipamento não passar pelo firewall ( intencionalmente ou não ), pois os roteadores estão em uma faixa invalida e quem tentar os usar deveria também estar nessa faixa e todas as faixas invalidas são bloqueadas para trafego na Internet. Sem fazer um NAT de saida, nenhum pacote conseguiria sair.

 

Este post é apenas uma ideia de que pode ser feito para economizar alguns ( dos já poucos ) IPs que geralmente são oferecidos “gratuitamente” na contratação de um link dedicado. Claro que a configuração em si envolve vários conceitos e equipamentos que devem ser completamente dominados por quem resolver se aventurar e seguir as minhas sugestões acima. Se quiser usar, faça por sua conta e risco, pois além de interrupções na sua rede, alguns problemas não são facilmente diagnosticados por quem não possui a experiencia necessária