[GTER] Fw Statefull em Rede assimétrica

Cledir Justo cledirjusto.redes at gmail.com
Mon Nov 5 17:15:39 -02 2012


@Douglas,
         Concordo plenamente com vc, nesse cenário não preciso me preocupar
com assimetria. Obrigado vou adicionar na lista de possíveis soluções, como
você disse, é a mais elegante rs

Em 5 de novembro de 2012 16:41, Douglas Fischer
<fischerdouglas at gmail.com>escreveu:

> Cledir,
> passei por um cenário muito parecido.
>
> E cheguei à uma conclusão que creio que você não vai gostar...
>   - Não cabe ao firewall resolver esse problema.
>
> Sugiro que reconsidere sua estratégia de roteamento.
>
> Para dentro
>   O cenário que acho mais elegante é:
>     - Um switch-router como gateway do grosso das Vlans
>     - Uma vlan entre o swtich-router e o firewall(e outros possiveis
> elementos de routing)
>     - Algumas Vlans como DMZ e Guest tendo o próprio firewall como gateway.
>
> Para fora
>   A checkpoint tem um recurso matador que é um dos poucos que a Cisco ainda
> não copiou...
>   Roteamento baseado em origem no firewall.
>   Como é checkpoint... acho que não vais ter problema.
>
>
> Em 5 de novembro de 2012 16:15, Cledir Justo
> <cledirjusto.redes at gmail.com>escreveu:
>
> > Vou explicar um pouco mais o cenário:
> > O firewall é um checkpoint, é necessário ativar o statefull pois está
> > desabilitado, ele é o gateway da rede, possui dezenas de interfaces, se
> > fosse somente na saída de internet seria mais fácil, mas como ele é o
> > gateway de uma rede com inúmeras interfaces, 3 saídas de internet, (já
> foi
> > detectado que estão assimétricas também), precisava de um jeito de
> mapear o
> > tráfego de ida e volta, é inviável fazer tracert em todas as rotas, cada
> > origem possui 200 destinos (modo de dizer), me passou colocar wireshark e
> > verificar, apesar de ser trabalhoso, é o mais viável rsrs
> >
> > Em 5 de novembro de 2012 14:45, Fernando Avelino
> > <fernandossp at gmail.com>escreveu:
> >
> > > Se for utilizar firewall com tráfego assimétrico lembre se de
> > desabilitar o
> > > rpf também, senão vai dropar do msm jeito, firewall sincronizados
> > trabalham
> > > com tráfego assimétrico na boa.
> > >
> > > Em segunda-feira, 5 de novembro de 2012, Henrique de Moraes Holschuh<
> > > henrique.holschuh at ima.sp.gov.br> escreveu:
> > > > On 05-11-2012 14:07, Cledir Justo wrote:
> > > >>
> > > >>  Alguém já passou por uma situação onde você deve adicionar um
> > > >>  firewall statefull em uma grande rede que está assimétrica, alguém
> > > >>  tem uma
> > > >
> > > > Se a firewall permitir, habilite o modo assimétrico nela.
> > > >
> > > > Se não permitir, coloque dois roteadores de borda (esquema
> > ativo-passivo
> > > usando VRRP, etc),
> > > > ou um só roteador de borda (esquema "acende uma vela") para tornar as
> > > coisas simétricas
> > > > do ponto de vista da firewall.
> > > >
> > > > Se a firewall estiver em esquema de alta disponibilidade, vai
> precisar
> > > manter sincronizadas
> > > > as tabelas de estado no cluster de firewall...
> > > >
> > > > --
> > > > Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> > > > IM@ - Informática de Municípios Associados
> > > > Engenharia de Telecomunicações
> > > > TEL +55-19-3755-6555/CEL +55-19-9293-9464
> > > >
> > > > Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> > > > e do custo que você pode evitar.
> > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > > --
> > > Fernando Avelino
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > *Atenciosamente,
> > Cledir Justo
> > **www.multihop.com.br*
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
*Atenciosamente,
Cledir Justo
**www.multihop.com.br*



More information about the gter mailing list