Firewalls redundantes utilizando VRRP
Apesar do firewall ser uma peça fundamental para a segurança em uma rede, quando o mesmo não está disponível, causa prejuízos financeiros e morais para a empresa. O protocolo VRRP tem como objetivo minimizar estes problemas disponibilizando redundância.
Parte 2: Configuração do VRRP
O tráfego gerado pelo VRRPD não é intenso, pois diferentemente de uma comunicação broadcast, os roteadores VRRP trocam informações dentro de um domínio multicast. Portanto, faremos algumas verificações e ajustes na configuração de rede.
a) Para verificar se a interface está configurada para trabalhar com multicast:
# ip link show eth1
2: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:12:3f:fd:66:43 brd ff:ff:ff:ff:ff:ff
Supondo que a interface de rede que contém o endereçamento para comunicação com os demais roteadores reais seja a eth1.
b) Caso seja necessário ativar a opção MULTICAST à interface de rede.
# ip link set dev eth1 multicast on
c) Executando o daemon VRRPD.
As opções do vrrpd são:
vrrpd <opções> <ip_virtual> &
a) Para verificar se a interface está configurada para trabalhar com multicast:
# ip link show eth1
2: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:12:3f:fd:66:43 brd ff:ff:ff:ff:ff:ff
Supondo que a interface de rede que contém o endereçamento para comunicação com os demais roteadores reais seja a eth1.
b) Caso seja necessário ativar a opção MULTICAST à interface de rede.
# ip link set dev eth1 multicast on
c) Executando o daemon VRRPD.
As opções do vrrpd são:
- -i: identificação da interface de rede
- -v: identificação do "servidor virtual" (1-255)
- -p: prioridade no "servidor virtual" (1-255)
- -d: intervalo de verificação (em segundos)
vrrpd <opções> <ip_virtual> &
Eu realizo hoje redundancia de firewall utilizando dois firewalls utilizando o UCARP. Funciona mto bem, não chego a perder 1 pacote que seja.
Vou testar com meu VPS esta VRRP.
Abraço