25 de agosto de 2009

Redundancia de Gateway

Nuestras redes requieren un nivel de disponibilidad cada vez más elevado, y en lo posible descartar completamente la posibilidad de interrupciones de servicio. Es por esto que la redundancia es una herramienta recurrente. Redundancia en el suministro de energía, redundancia en capa 2, redundancia en capa 3, redundancia en el gateway.
En el caso particular del gateway la implementación de gateways redundantes supone un desafío. ¿Cuál es el mecanismo más transparente que asegura la mayor disponibilidad en la salida de la red o subred?

Los mecanismos posibles
La implementación de gateways redundantes supone la implementación de un mecanismo que permita al equipo terminal utilizar el gateway alternativo en caso de ser necesario.
Para esto hay varios mecanismos posibles:
  • ARP Proxy
    Es el mecanismo propio del stack TCP/IP. Cuando la terminal debe enviar un paquete a una dirección IP de destino fuera de la propia red o subred, entonces es el gateway (router) el que responde la solicitud ARP enviando su propia dirección MAC para que la trama sea enviada a su puerto.
    Es poco efectivo desde la perspectiva de administración de recursos pues requiere una solicitud ARP y una entrada en la tabla ARP de la terminal por cada dirección IP de destino.
  • ICMP Redirect
    Función de ICMP que permite a un gateway redirigir el tráfico hacia otro default gateway en caso de que haya descubierto una mejor ruta a través de él.
    No es efectivo en caso de que un default gateway caiga para que sea reemplazado por el otro.
  • Rutas estáticas
    Se pueden definir rutas por defecto estáticamente en cada terminal de modo que al momento de enviar tráfico hacia una red o subred diferente la terminal utilice alternativamente las rutas por defecto configuradas.
    Es poco escalable y difícil de administrar.
  • Rutas dinámicas.
    Se puede correr un protocolo de ruteo en las terminales para que a través del protocolo la terminal aprenda una o varias rutas de salida.
    Es efectivo, pero requiere recursos desde la terminal.
  • Protocolos dinámicos de administración del gateway
    Permiten administrar dinámicamente el gateway de la red o subred, de modo transparente para la terminal. Hay varias opciones disponibles: HSRP, VRRP o GLBP.
Protocolos de administración dinámica del gateway
Son varios los protocolos que permiten administrar dinámicamente la redundancia en el gateway. Todos ellos se centran en la utilización de una dirección IP y una MAC virtuales que definen un "gateway virtual" el que es mantenido merced al intercambio de mensajes de hello entro los diferentes dispositivos que están adheridos al mismo gateway virtual.

HSRP - Hot Standby Router Protocol
  • Protocolo propietario de Cisco
  • Utiliza una IP virtual y define automáticamente una MAC virtual para el clúster.
  • Entre los routers asociados al router virtual define un router activo y otro de backup.
  • No realiza balanceo de tráfico, solo un gateway permanece activo mientras los demás están es espera.
VRRP - Virtual Router Redundancy Protocol
  • Establecido por el RFC 3768
  • Utiliza una IP virtual y define automáticamente una MAC virtual para el clúster.
  • Dentro del clúster elige un router como activo y todos los demás permanecen como routers de backup.
  • No incorpora un mecanismo que permita el balanceo de tráfico entre múltiples gateways.
GLBP - Gateway Load Balancing Protocol
  • Protocolo propietario de Cisco.
  • Utiliza una única IP virtual y múltiples direcciones MAC virtuales (una por cada dispositivo que integra el clúster).
  • Sólo un dispositivo actúa como máster y responde las solicitudes ARP, pero todos permanecen activos y reenvían el tráfico que está dirigido a la dirección MAC virtual que les ha sido asignada.
  • El reenvío de tráfico es realizado por cada uno de los routers del clúster de acuerdo a la dirección MAC virtual a la cual es enviado el tráfico por la terminal.
Recursos disponibles

¿Tenés alguna información o comentario para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

5 comentarios:

  1. Queria agregar otra tecnica, utilizada en los dispositivos PIX o ASA, conocida como FAILOVER. Tiene la misma funcion, la diferencia a las demas es que sincroniza los cambios que se hacen en la configuracion de un equipo. Tambien tiene balanceo de carga. Les paso la info.

    http://www.cisco.com/en/US/docs/security/pix/pix63/configuration/guide/failover.html

    Saludos!

    ResponderBorrar
  2. Y como seria la topologia física? quiero decir, si los utp van a un firewall y se muere, el otro no recivira nada.

    ResponderBorrar
  3. Raúl
    Si entre la LAN y los routers hay un firewall, el default gateway no es ninguno de los routers sino el firewall. La salida a través de los routers se maneja en ese caso por enrutamiento desde el firewall hacia los routes de borde.
    Sugiero revises el otro post sobre redundancia en la salida a Internet para que veas la topología que aplica en este caso.

    ResponderBorrar
  4. Hola como estás? tendrás alguna sugerencia para implementación de redundancia (Routers y Firewalls) de la conexión a Internet, donde los firewalls son terminadores de túneles , es necesario para ello implementar el NAT en el router?

    ResponderBorrar
  5. Annie.
    Lo siento, pero en el blog, como en un libro de texto, sólo expongo tecnologías en general y mejores prácticas.
    Cuando se trata de implementaciones específicas, esto requiere análisis pormenorizado de la misma y compromiso con la solución diseñada.

    ResponderBorrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.