{"id":13,"date":"2014-12-30T11:37:40","date_gmt":"2014-12-30T13:37:40","guid":{"rendered":"http:\/\/www.tonev.pro.br\/?p=13"},"modified":"2017-07-26T20:58:37","modified_gmt":"2017-07-26T23:58:37","slug":"economizando-ips-ipv4-parte-1","status":"publish","type":"post","link":"https:\/\/www.tonev.pro.br\/?p=13","title":{"rendered":"Economizando IPs ( IPv4 ) – Parte 1"},"content":{"rendered":"

Ultimamente ao contratar um link dedicado as operadoras est\u00e3o disponibilizando apenas 6 endere\u00e7os de IP validos. Contando que um \u00e9 usado para o roteador da operadora, sobram apenas cinco. Se voc\u00ea quiser ter um firewall redundante, sobrariam apenas dois e se quiser ter os roteadores redundantes, ai n\u00e3o sobra nenhum IP valido… Porque ? O motivo \u00e9 que quando dois equipamentos operam de forma redundante, alem de cada um ter um IP da faixa disponibilizada deve existir tamb\u00e9m um vIP – o IP virtual pelo qual ambos respondem. Sendo que tem seis IPs que podem ser usados em uma rede de 29 bits ( mascara 255.255.255.248 ), tr\u00eas seriam usados pelos dois roteadores e mais tr\u00eas seriam usados pelos firewalls. Acabou a faixa disponibilizada. Todos os servi\u00e7os deveriam ser publicados atrav\u00e9s de PAT no vIP dos firewalls. N\u00e3o pretendo discutir qual firewall ser\u00e1 usado. Escolha o da sua preferencia, mas os conceitos de rede s\u00e3o os mesmos.<\/p>\n

 <\/p>\n

Cen\u00e1rio 1<\/span>
\n<\/strong><\/p>\n

\"Diagram1\"<\/a><\/p>\n

Figura 1: Link normal disponibilizado pelas operadoras<\/p>\n

 <\/p>\n

Pressupondo que ser\u00e1 usado um firewall, esse seria o desenho da rede com firewall e os servi\u00e7os sendo publicados via PAT\/NAT para a Internet. Todos os IPs dispon\u00edveis ( cinco no total ) ficariam no firewall que vai fazer o encaminhamento das requisi\u00e7\u00f5es de acordo com as regras definidas. Os servidores ficam na rede corporativa com endere\u00e7os inv\u00e1lidos e todo o trabalho de tradu\u00e7\u00e3o \u00e9 feito no firewall. Se a maquina do firewall der algum problema, adeus servi\u00e7os acessados externamente.<\/p>\n

 <\/p>\n

Cen\u00e1rio 2<\/span>
\n<\/strong><\/p>\n

\"Diagram2\"<\/a><\/p>\n

Figura 2 : Equipamentos redundantes<\/p>\n

 <\/p>\n

Agora tanto os roteadores, como os firewall contam com redund\u00e2ncia O \u00fanico problema \u00e9 que existe apenas um \u00fanico IP que pode ser usado para publica\u00e7\u00e3o de servi\u00e7os que \u00e9 o vIP. Se for necess\u00e1rio publicar dois servidores com o mesmo servi\u00e7o, ter\u00e1 que ser usado PAT e n\u00e3o ser\u00e1 poss\u00edvel usar a porta padr\u00e3o. Se um roteador ou firewall apresentar algum problema, o segundo pode assumir os servi\u00e7os sem causar interrup\u00e7\u00f5es para os usu\u00e1rios.<\/p>\n

 <\/p>\n

Cen\u00e1rio 3<\/span><\/strong><\/p>\n

\"Diagram3\"<\/a><\/p>\n

Figura 3 : Equipamentos redundantes com uma pequena “expans\u00e3o” da rede<\/p>\n

 <\/p>\n

Nesse cen\u00e1rio \u00e9 introduzida uma rede de interconex\u00e3o e \u00e9 feita uma pequena “expans\u00e3o” da rede v\u00e1lida fornecida pela operadora.<\/p>\n

 <\/p>\n

A rede de interconex\u00e3o<\/span><\/strong> : A \u00fanica coisa que um roteador precisa saber para repassar o trafego \u00e9 para onde enviar os pacotes para determinada rede de destino. Nesse caso n\u00e3o importa se a rede \u00e9 valida ou privada ( inv\u00e1lida ). Ele vai ter a rota default, que \u00e9 o roteador da operadora que fica antes dele e a rede disponibilizada a voc\u00ea, como cliente. Ele estando na mesma faixa de rede que o(s) firewall(s) j\u00e1 \u00e9 suficiente e ele vai fazer o trabalho dele que \u00e9 de rotear o trafego.<\/span><\/p>\n

 <\/p>\n

A rede “expandida”<\/span><\/strong> : Os \u00fanicos equipamentos que precisam estar fora da rede disponibilizada pela operadora s\u00e3o os firewalls. Isso porque para manter a sincronia e o vIP eles obrigatoriamente devem estar na mesma faixa de rede. Como o vIP ser\u00e1 o primeiro IP da faixa disponibilizada e todos os servidores estar\u00e3o na mesma faixa que a operadora disponibilizou, sendo que o dafault gateway ser\u00e1 o vIP dos firewalls, nenhum equipamento vai perceber que tem algo estranho na rede.<\/span><\/p>\n

 <\/p>\n

Esse cen\u00e1rio pode ser usado tanto em redes com DMZ como em redes que usam NAT\/PAT para publica\u00e7\u00e3o de servi\u00e7os. Temos praticamente todas as vantagens necess\u00e1rias:<\/p>\n