CERCA
RSS Subscription
Sottoscrivi i nostri RSSper essere sempre
aggiornato sugli ultimi
articoli pubblicati nel sito!
Home Page |
Articoli | Articoli Network Security
Firewall Cisco ASA e Protocollo LACP
News inserita il 15/02/2011
Sai che Cisco System ha da poco rilasciato la versione 8.4 del software Adaptive Security Appliance (ASA)? Hai mai sentito parlare del Link Aggregation Control Protocol (LACP)? Hai mai usato i Firewall Cisco Adaptive Security Appliance (ASA)? Ti piacerebbe usare alcune delle loro funzionalità avanzate? La tua azienda o i tuoi clienti ti richiedono ridondanza e affidabilità dei link ethernet ma non sono dotate di moduli di sicurezza a livello del Core Layer, come ad esempio il modulo FWSM per i Catalyst 6500?
Con il rilascio di Adaptive Security Appliance (ASA) software versione 8.4, è stato finalmente introdotto nei Firewall Cisco ASA serie 5500 il supporto per il Link Aggregation Control Protocol (LACP). L'aggiunta di questa funzionalità va a colmare un divario tecnologico non indifferente, il quale non permetteva in precedenza all'ASA di interagire in modalità avanzata con tutta quella serie di switch ad alte prestazioni dotati della funzionalità IEEE 802.3ad.
Il protocollo LACP appartiene a quella serie di tecniche a livello di data link LY2 della pila ISO/OSI in grado di aggregare più porte fisiche ethernet (fino ad 8 totali) in un'unica porta logica. Tale procedura permette di ottenere alta affidabilità, alta disponibilità e ridondanza sui singoli collegamenti fisici e sulle porte di connessione. Tecniche di hashing e round robin, interne al protocollo, permettono inoltre di ridistribuire statisticamente il traffico eseguendo dinamicamente la scelta di invio dei pacchetti su un canale fisico in base a parametri di IP sorgente, IP destinazione e porta. In tal modo si ottiene la funzionalità di load balancing con il vantaggio di usare contemporaneamente differenti link fisici, senza introdurre pericolosi loop, allargando in ultima analisi la banda passante totale, cosa piuttosto interessante se presenti solo collegamenti FastEthernet a 100 Mbps.
La prima simulazione, presente in figura, prevede l'uso di singolo Cisco ASA 5510 SEC con modulo IPS collegato a uno switch Cisco Catalyst 3750 mediante due cavi sfruttando le interfacce FastEthernet 0/2 e 0/3 del firewall. L'interfaccia logica così creata per la loro gestione aggregata è definita Port-Channel ed è stato scelto di individuarla come trunk veicolando al suo interno vlan tagged (vlan 10 = lan, vlan 20 = dmz), come nella più classica configurazione del "firewall on a stick". Questa scelta permette al firewall di eseguire InterVlan Routing assieme ai controlli, inspection e filtraggio IPS delle due sottoreti senza alcun intervento dei moduli di routing e security da parte del Catalyst 3750.
Una volta sistemate le regole di filtraggio e assegnazione dhcp è risultata immediata la connessione di computer per il test simulando la loro esistenza in sottoreti differenti. Semplice esecuzione di ping e file transfer FTP eseguiti staccando fisicamente i cavi o spegnendo le porte hanno completato la simulazione dimostrando l'alta disponibilità dell'infrastruttura creata.
Con solo due computer in test non è stato però raggiunto un load balancing statistico in quanto una volta calcolato l'hash di ip sorgente / destinatario e determinato il collegamento primario il secondo link è entrato in funzione solo dopo disconnessione del primo. La banda passante totale non è però cambiata.
La successiva simulazione ha lo scopo di introdurre i concetti di alta disponibilità non solo dei collegamenti e delle porte ma anche degli switch. Per tale motivo è stato scelto di utilizzare una configurazione stack con due differenti Catalyst 3750 interconnessi con un cavo di StackWise. Tale modifica permette di gestire i due apparati come se fossero un'unica entità logica.
Nessuna modifica è stata eseguita alle configurazioni del firewall Cisco ASA, è stato semplicemente spostato uno dei due cavi che costituiscono il Port-Channel. In tal modo ne viene attestato sullo switch (a) mentre il secondo è connesso ad una delle porte dello switch (b).
Anche in questo caso sono state eseguite le prove di ping e trasferimento file FTP con distacco a caldo dei collegamenti e spegnimento delle porte, rispettando i parametri di alta disponibilità del collegamento anche per questa configurazione pur mantenendo le identiche limitazioni sulla banda passante dovuto all'uso di soli due computer.
Futuri test verranno creati nei nostri laboratori utilizzando firewall ASA in modalità HA Active/Passive e Active/Active assieme a Catalyst 6500 dotati di modulo VSS per i quali non è più necessario il collegamento stackwise per essere visti come singola unità virtuale.
Con il rilascio di Adaptive Security Appliance (ASA) software versione 8.4, è stato finalmente introdotto nei Firewall Cisco ASA serie 5500 il supporto per il Link Aggregation Control Protocol (LACP). L'aggiunta di questa funzionalità va a colmare un divario tecnologico non indifferente, il quale non permetteva in precedenza all'ASA di interagire in modalità avanzata con tutta quella serie di switch ad alte prestazioni dotati della funzionalità IEEE 802.3ad.
Il protocollo LACP appartiene a quella serie di tecniche a livello di data link LY2 della pila ISO/OSI in grado di aggregare più porte fisiche ethernet (fino ad 8 totali) in un'unica porta logica. Tale procedura permette di ottenere alta affidabilità, alta disponibilità e ridondanza sui singoli collegamenti fisici e sulle porte di connessione. Tecniche di hashing e round robin, interne al protocollo, permettono inoltre di ridistribuire statisticamente il traffico eseguendo dinamicamente la scelta di invio dei pacchetti su un canale fisico in base a parametri di IP sorgente, IP destinazione e porta. In tal modo si ottiene la funzionalità di load balancing con il vantaggio di usare contemporaneamente differenti link fisici, senza introdurre pericolosi loop, allargando in ultima analisi la banda passante totale, cosa piuttosto interessante se presenti solo collegamenti FastEthernet a 100 Mbps.
Primo Laboratorio
La prima simulazione, presente in figura, prevede l'uso di singolo Cisco ASA 5510 SEC con modulo IPS collegato a uno switch Cisco Catalyst 3750 mediante due cavi sfruttando le interfacce FastEthernet 0/2 e 0/3 del firewall. L'interfaccia logica così creata per la loro gestione aggregata è definita Port-Channel ed è stato scelto di individuarla come trunk veicolando al suo interno vlan tagged (vlan 10 = lan, vlan 20 = dmz), come nella più classica configurazione del "firewall on a stick". Questa scelta permette al firewall di eseguire InterVlan Routing assieme ai controlli, inspection e filtraggio IPS delle due sottoreti senza alcun intervento dei moduli di routing e security da parte del Catalyst 3750.Una volta sistemate le regole di filtraggio e assegnazione dhcp è risultata immediata la connessione di computer per il test simulando la loro esistenza in sottoreti differenti. Semplice esecuzione di ping e file transfer FTP eseguiti staccando fisicamente i cavi o spegnendo le porte hanno completato la simulazione dimostrando l'alta disponibilità dell'infrastruttura creata.
Con solo due computer in test non è stato però raggiunto un load balancing statistico in quanto una volta calcolato l'hash di ip sorgente / destinatario e determinato il collegamento primario il secondo link è entrato in funzione solo dopo disconnessione del primo. La banda passante totale non è però cambiata.
Secondo Laboratorio
La successiva simulazione ha lo scopo di introdurre i concetti di alta disponibilità non solo dei collegamenti e delle porte ma anche degli switch. Per tale motivo è stato scelto di utilizzare una configurazione stack con due differenti Catalyst 3750 interconnessi con un cavo di StackWise. Tale modifica permette di gestire i due apparati come se fossero un'unica entità logica.Nessuna modifica è stata eseguita alle configurazioni del firewall Cisco ASA, è stato semplicemente spostato uno dei due cavi che costituiscono il Port-Channel. In tal modo ne viene attestato sullo switch (a) mentre il secondo è connesso ad una delle porte dello switch (b).
Anche in questo caso sono state eseguite le prove di ping e trasferimento file FTP con distacco a caldo dei collegamenti e spegnimento delle porte, rispettando i parametri di alta disponibilità del collegamento anche per questa configurazione pur mantenendo le identiche limitazioni sulla banda passante dovuto all'uso di soli due computer.
Articoli correlati
- Novità del nuovo software Cisco ASA Release 8.4
- Firewall Cisco ASA e Protocollo LACP
- I Moduli Cisco AnyConnect Secure Mobility Solution
- Cisco AnyConnect Secure Mobility Solution
- Cisco AnyConnect: sviluppo e prospettive
Conclusioni
In conclusione la novità introdotta da parte di Cisco nella nuova release 8.4 risulta particolarmente interessante per quelle infrastrutture che richiedono ridondanza e affidabilità dei link ethernet ma che non sono dotate di moduli di sicurezza a livello del Core Layer, come ad esempio il modulo FWSM per i Catalyst 6500.Futuri test verranno creati nei nostri laboratori utilizzando firewall ASA in modalità HA Active/Passive e Active/Active assieme a Catalyst 6500 dotati di modulo VSS per i quali non è più necessario il collegamento stackwise per essere visti come singola unità virtuale.
ZANON Ing. Alberto
ZAINA Ing. Carlo
Chiamaci con Skype!
- Corsi e Certificazioni Linux - scopri il nuovo catalogo(13-07-11)
- Corsi di Alta Formazione Finanziati - Consegna domande entro le ore 13:00 del 4 Agosto 2011(04-07-11)
- Iscriviti al canale CNAPONLINE su YouTube(03-07-11)
- CNAPONLINE WebEx Enterprise Site(01-07-11)
- Certificazione Cisco CCENT superata brillantemente(22-06-11)
Segui cnaponline.com nei social:
