Está en la página 1de 17

GAS NATURAL

Informe de resultados en Checkpoint HA

O ctu b r e 2 01 6

V ers io n 1 . 0

+ 3 4 ( 91 ) 33 0 9 3 2 2

+3 4 (9 1) 3 3 0 93 02

os c ar .s anc h e z@ d im en s i on d at a.c om

j ua n.s a l as @d im ens i on da t a.c om

Car l os . l u qu e @ dim ens i on d at a.c om


Gas Natural

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 2 de 17
Gas Natural

Table of Contents
1. Introduccin 4
2. Descripcin del entorno de pruebas 5
3. Pruebas inicial en entorno estable 9
4. Pruebas realizadas con el clster estable y una ruta a travs del FW
Backup 10
4.1. Resultados de la prueba 10

5. Pruebas realizadas para replicar un problema en el clster y la r uta a


travs del FW . 12
5.1. Acciones realizadas para replicar la problemtica a analizar 12
5.1.1. Desconectamos la interfaz de sincronismo: los equipos quedan en el
siguiente estado: 12
5.1.2. Una vez revisado el estado del clster, se comprueba el estado de las
interfaces y las MAC asociadas: 13
5.1.3. Una vez revisado el estado del clster, se borran las sesiones
establecidas en ambos FWs: 14
5.2. Resultados de la prueba 14

6. Pruebas realizadas para replicar un problema en el clster y una ruta a


travs del FW de Backup. 15
6.1.1. Introducimos una ruta hacia host (4.4.4.17) en el router intermedio
apuntando a la ip fsica del firewall en Backup (2.2.2.2) 15
6.2. Resultados de la prueba 15

7. Conclusiones 17

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 3 de 17
Gas Natural

1. Introduccin
El objeto de este documento es realizar un plan de pruebas para comprobar cmo se
tramita un trfico enrutado hacia la IP fsica del equipo en Backup de un clster de
Checkpoint cuando se tiene habilitada la opcin Source Data from Virtual MAC.

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 4 de 17
Gas Natural

2. Descripcin del entorno de pruebas


En este apartado se detallan la infraestructura desplegada para realizar las pruebas y
certificar el funcionamiento de los balanceadores F5 con versin 11.5.1 HF8 y los FWs
Checkpoint con versin IPSO 6.2-GA083 y R77.20, el escenario de las pruebas es el
siguiente:

Vlan Mgmt: 10.10.10.0/24


Vlan Cliente: 192.168.50.0/24
Vlan Outside: 2.2.2.0/24
Vlan Inside: 3.3.3.0/24
Vlan Servers: 4.4.4.0/24

.17
Vlan Servers
Vlan 40
4.4.4.0/24

Floating IP
Eth1/1.3 .254
Viprion
10.10.10.5 2200
Eth1/1.1
Floating IP
.254

Vlan Inside
Vlan 30 3.3.3.0/24
.1
.2 .3

Nokia IP2450 Nokia IP2450


10.10.10.1 10.10.10.2

.2 .3
.1 Vlan Outside
Vlan 20 2.2.2.0/24

Vlan Cliente
Vlan 50 192.168.50.0/24

Source
Monitoring
192.168.50.221

Se ha configurado una pareja de firewalls Checkpoint con la misma versin de Sistema


operativo y software de Checkpoint, en ellos se ha configurado un sistema de HA basado en el
protocolo VRRP para ambas interfaces mostradas en el esquema, dicha configuracin est
basada en la que actualmente tienen los equipos de Gas Natural y es la que sigue:

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 5 de 17
Gas Natural

Equipo FW -Terceros-1:

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 6 de 17
Gas Natural

Equipo FW -Terceros-2:

Como se puede observar en la imagen, la opcin Source Data from Virtual MAC est
habilitada y utiliza como MAC .

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 7 de 17
Gas Natural

La poltica a nivel de Checkpoint es muy simple permitiendo el trfico desde la mquina que
sondea a la mquina destino:

Una vez probada la conectividad entre equipos origen y destino comenzamos las pruebas.

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 8 de 17
Gas Natural

3. Pruebas inicial en entorno estable


Inicialmente se han realizado pruebas con el entorno estable y originando el trfico con
la MAC de VRRP para comprobar que el trfico sale del clster con dicha MAC.

Al realizar capturas se observa como el trfico sale del clster con la MAC de VRRP
(00:00:5e:00:01:14), dichas capturas se realizan en el FW que est como Master y en el
equipo F5 adyacente.

Captura realizada en FW Master:

Captura realizada en F5:

RESULTADO: Se observa como el trfico se tramita desde el FW Master, dicho


trfico sale del mismo con la MAC de VRRP.

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 9 de 17
Gas Natural

4. Pruebas realizadas con el clster estable y una ruta a travs


del FW Backup
Para realizar las pruebas, se aade una ruta a host en el router previo al clster de FWs
que apunta al equipo FW Backup en esa Vlan de interconexi n:

4.1. Resultados de la prueba

Resultado: Se observa que el trfico funciona correctamente.

En las capturas realizadas en la Vlan de interconexin con el Router se observa como


el trfico es dirigido al FW en Backup :

MAC Router: 00:15:c6:dc:68:45

MAC Checkpoint Master: 00:00:5e:00:01:0a

MAC Checkpoint Backup: 00:a0:8e:bd:5d:50

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 10 de 17
Gas Natural

En las capturas realizadas en la Vlan de interconexin con el F5 se observa como el


trfico es originado con la VLAN del FW en Backup (FW-TERCEROS-1) y la vuelta la
tramita el FW Master (FW-TERCEROS-2):

Se comprende un poco ms claro si observamos la captura realizada desde el F5

MAC F5: 02:23:e9:f5:4c:49

MAC Checkpoint Master: 00:00:5e:00:01:14

MAC Checkpoint Backup: 00:a0:8e:bd:5d:56

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 11 de 17
Gas Natural

5. Pruebas realizadas para replicar un problema en el clster y


la ruta a travs del FW.

5.1. Acciones realizadas para replicar la problemtica a analizar


Inicialmente el clster de firewalls se encontraba en Activo-Activo.

5.1.1. Desconectamos la interfaz de sincronismo: los equipos quedan en el


siguiente estado:

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 12 de 17
Gas Natural

5.1.2. Una vez revisado el estado del clster, se comprueba el estado de las
interfaces y las MAC asociadas:

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 13 de 17
Gas Natural

5.1.3. Una vez revisado el estado del clster, se borran las sesiones establecidas
en ambos FWs:

5.2. Resultados de la prueba


Resultado: Dado que el trafico est dirigido a la IP de VRRP y el clster se
mantiene en Master-Backup, el trfico es tramitado nicamente por el equipo
Master y sigue funcionando con normalidad.

Estas son las capturas realizadas en el equipo Master (en ambas interfaces inside -
outside) y en el equipo F5 adyacente.

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 14 de 17
Gas Natural

6. Pruebas realizadas para replicar un problema en el clster y


una ruta a travs del FW de Backup.
6.1.1. Introducimos una ruta hacia host (4.4.4.17) en el router intermedio
apuntando a la ip fsica del firewall en Backup (2.2.2.2)

6.2. Resultados de la prueba

Se realiza un ping continuo desde la mquina origen (192.168.50.221 ) a la mquina


destino (4.4.4.17) realizando una conmutacin de los firewalls.

Resultado: Se observa que la conectividad se corta

Haciendo un anlisis de la situacin revisamos los equipos y observamos que el equipo


en Backup state sigue recibe el trfico y haciendo forwarding con su MAC f sica.

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 15 de 17
Gas Natural

En el equipo que est como Master observamos el trfico de ida y el de vuelta.

El tcpdump realizado en el F5 confirma nuestras sospechas ya que se observa como el


trfico de ida es enviado desde la MAC del equipo Standby y la vuelta a la MAC virtual
del clster:

MAC F5: 02:23:e9:f5:4c:49

MAC Checkpoint Master: 00:00:5e:00:01:14

MAC Checkpoint Backup: 00:a0:8e:bd:5d:56

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 16 de 17
Gas Natural

7. Conclusiones

Dados los resultados obtenidos podemos afirmar las siguientes conclusiones:

1. Con el clster establecido y sincronizado el trfico funcionar sin importar el firewall


que tramite la peticin.

2. Si se obliga a tramitar el trfico al nodo del clster que est en Backup, el trfico
saliente de ste ser originado con su MAC fsica.

3. Si se pierde la sincronizacin y el clster no est estable, el trfico funcionar siempre


y cuando el trfico de ida y vuelta transcurra por el firewall Master.

4. En caso de que haya una ruta que obligue a pasar el tr fico de ida por el firewall en
Backup y el clster no sea estable ni est sincronizadas las sesiones, el trfico ser
dropeado por el firewall en Master ya que no tiene una sesin establecida para tramitar
el trfico de vuelta.

5. En ningn caso el equipo en Backup originar trfico con la MAC de VRRP.

6. A pesar de que el clster est establecido y sincronizado, NO debera haber rutas


apuntando al equipo en Backup ya que en caso de cada del nodo el trfico se perdera
de cualquier forma.

Subject to contract and confidential to Gas Natural and Dimension Data Pgina 17 de 17