Firewalls redundantes utilizando VRRP
Apesar do firewall ser uma peça fundamental para a segurança em uma rede, quando o mesmo não está disponível, causa prejuízos financeiros e morais para a empresa. O protocolo VRRP tem como objetivo minimizar estes problemas disponibilizando redundância.
Parte 3: Exemplo e verificação
Vamos supor que a interface eth1 (-i eth1) será utilizada para troca de informações de roteamento VRRPD e os roteadores reais serão configurados como membros do grupo identificado como "1" (-v 1). A verificação ocorrerá num intervalo de 60 segundos (-d 60), e o endereço virtual será configurado como 10.1.1.254.
No roteador/firewall primário:
# vrrpd -i eth1 -v 1 -p 255 -d 60 10.1.1.254 -n &
No roteador/firewall backup:
# vrrpd -i eth1 -v 1 -p 1 -d 60 10.1.1.254 -n &
OBS: Aconselho colocar a linha acima, relativo ao roteador/firewall respectivo, no /etc/rc.local, pois levanta automaticamente toda vez que tiver de reiniciar o equipamento.
OBS1: O roteador/firewall será considerado mestre se sua prioridade tiver um valor maior que o outro roteador.
Para verificar seu funcionamento, ping a interface virtual ou até mesmo o endereço multicast:
# ping 224.0.0.18
No roteador/firewall primário:
# vrrpd -i eth1 -v 1 -p 255 -d 60 10.1.1.254 -n &
No roteador/firewall backup:
# vrrpd -i eth1 -v 1 -p 1 -d 60 10.1.1.254 -n &
OBS: Aconselho colocar a linha acima, relativo ao roteador/firewall respectivo, no /etc/rc.local, pois levanta automaticamente toda vez que tiver de reiniciar o equipamento.
OBS1: O roteador/firewall será considerado mestre se sua prioridade tiver um valor maior que o outro roteador.
Verificação
Para verificar seu funcionamento, ping a interface virtual ou até mesmo o endereço multicast:
# ping 224.0.0.18
Eu realizo hoje redundancia de firewall utilizando dois firewalls utilizando o UCARP. Funciona mto bem, não chego a perder 1 pacote que seja.
Vou testar com meu VPS esta VRRP.
Abraço