Fortigate 1000C asymetryczny routing.

Wiadomość

m00n · #1

Witam
Mam dosyc nietypowy problem przy wdrozeniu dwoch urzadzen UTM Fortigate 1000C.
W sieci zostało wdrożone rozwiązanie multichassis link aggregation (MC-LAG) analogiczne rozwiązanie Cisco to virtual port channel (vPC) na pzelacznikach nexus. Przelaczniki szkieletowe w warstwie drugiej wykorzystuja wlasnie MC-LAG a w warstwie 3 dziala jedno-obszarowy OSPF pomiedzy przelacznikami szkieletowymi a routerem brzegowym na ktorym działa rowniez protokol BGP. Topologia wyglada w ten sposob:

Problem jest taki ze wystepuje asymetryczny routing i mechanizmy UTM nie działają. Firewalle wstawione sa w linki pomiedzy routerem i corami. Czy widzi ktos tu jakies sensowne rozwiazanie ? Wszelkie zmiany w topologi rdzenia moge przeprowadzic. nie upieram tez sie nad trybem transparentnym urzadzen UTM. Czy routing statyczny zalatwil by sprawe ? W sensie ustaelnie nizszego priorytetu dla drugiej trasy i działałyby tylko jako backup. Wszelkie rady mile widziane.
Pozdrawiam

mhuba · #2

Witaj

Czemu nietypowy

jak firewalle są stateful a są, to problem jest bardzo typowy.
W takich miejscach stosuje się firewalle które synchronizują ze sobą tablicę stanów i wtedy problemu nie.
Taką konfiguracje bez problemu można osiągnać na CheckPoincie albo na Cisco ASA w trybie Active/Active.

Poszukaj może i FG ma takie możliwości, kiedyś się zajmowałem tymi klamotami ale nigdy nie było mi dane konfigurować clustra.
Ale widzę że tak jest taka możliwość http://docs-legacy.fortinet.com/fgt/han ... -ha-50.pdf strona 63 masz: Transparent mode active-active HA configuration

A co do innych metod to tak jak piszesz możesz zmusić rtr i sw żeby pracowały w trybie "Active/Passive" i pchały ruch jedną trasą i w razie W przełączyły się na drugą.
I raczej będzie ci tu potrzebny OSPF tylko odpowiednio skonfigurowany albo te trasy statyczne ale z dodatkowymi mechanizmami SLA, tracker.
Ale nawet jeśli ci to zadziała to przełączenie na drugi FW i tak pozrywa ci sesje bo drugi FW jeśli będzie niezależny i tak nie wie o otwartych połączeniach tego pierwszego.

Pozdrawiam
mHuba

m00n · #3

Tak fortigate tez ma takie rozwianie nazywa sie FGSP. Fortigate Session Life Support Protocol. Ale wydaje mi sie ze sluzy to do synchronizacji sesji pomiedzy urzadzeniami podczas awarii jednego z nich. U mnie jest problem asymetrycznego routingu tzn. wychodze jedna sciezka (przechodze przez FG1) wracam druga sciezka przechodze przez FG2 ktory nie ma inforamcji o stanie sesji i ubija polaczenie. Wlaczenie asymetrycznego routingu rozwiazuje problem "ubijania polaczenia" ale mechanizmy UTM nie dzialaja. Ja widze kilka rozwiazan ale wszelkie poprawki mile widizane:

1) Skonfigurowanie Utmów w trybie routera, uruchomienie na nich OSPF-a i niech one pelnia funkcje load balancera.
2) Konfiguracja OSPF, badz tras statycznych tak zeby mimo calkowicie redundantnej topologii trasa byla jednakowa, a druga tylko backupem.
3) Rozmawiajac z inzynierem fortigate-a zaproponowałmi rozwiązanie z VDOM-ami. czyli wirtualnymi domenami w obrebie jednego urzadzenia. Tzn Jeden VDOM routujacy z ospfem, gdzie dopuszczamy routing asymetryczny, a drugi VDOM transparentny gdzie piszemy reguły i uruchamiamy UTM. oba VDOMy polaczone jednym inter vdom linkiem takze stan sesji bedzie zachowany. (Tylko ze wtedy tylko jedne urzadzenie bedzie wykorzystane) a drugie bedzie backupem w szafie

Pozdrawiam

Wolf · #4

mhuba pisze:Witaj

Czemu nietypowy jak firewalle są stateful a są, to problem jest bardzo typowy.
W takich miejscach stosuje się firewalle które synchronizują ze sobą tablicę stanów i wtedy problemu nie.
Taką konfiguracje bez problemu można osiągnać na CheckPoincie albo na Cisco ASA w trybie Active/Active.

Z ciekawości zapytam, jak proponujesz wykorzystać ASA w trybie A/A (myśląc o active/active mam na myśli failover, a nie cluster) w środowisku z asymetrycznym routingiem? ASA w trybie Active/Active to tylko multicontext, więc dla przykładu jeśli sesja TCP jest zainicjowana pierwszym kontekstem, a SYN/ACK wraca drugim, to taka sesja TCP się nawiąże? Pozatym trzeba by się postarać żeby doprowadzić do takiej sytuacji bo analogiczne interfejsy muszą należeć do tego samego segmentu L2, więc ramki powinny i tak przejść w obie strony przez aktywną ASA.

Pozatym w powyższym problemie chodzi nie tylko o stanowy firewalling, ale pewnie także także szereg mechanizmów UTM które Forti oferuje...

mhuba · #5

Wolf pisze: Z ciekawości zapytam, jak proponujesz wykorzystać ASA w trybie A/A (myśląc o active/active mam na myśli failover, a nie cluster) w środowisku z asymetrycznym routingiem? ASA w trybie Active/Active to tylko multicontext, więc dla przykładu jeśli sesja TCP jest zainicjowana pierwszym kontekstem, a SYN/ACK wraca drugim, to taka sesja TCP się nawiąże? Pozatym trzeba by się postarać żeby doprowadzić do takiej sytuacji bo analogiczne interfejsy muszą należeć do tego samego segmentu L2, więc ramki powinny i tak przejść w obie strony przez aktywną ASA.

Pozatym w powyższym problemie chodzi nie tylko o stanowy firewalling, ale pewnie także także szereg mechanizmów UTM które Forti oferuje...

Chodzi mi o taka konfiguracje w której synchronizują się stany.
Tak jak napisałem powyżej:

"W takich miejscach stosuje się firewalle które synchronizują ze sobą tablicę stanów i wtedy problemu nie."

Pozdrawiam
Hubert

mhuba · #6

m00n pisze:Tak fortigate tez ma takie rozwianie nazywa sie FGSP. Fortigate Session Life Support Protocol. Ale wydaje mi sie ze sluzy to do synchronizacji sesji pomiedzy urzadzeniami podczas awarii jednego z nich. U mnie jest problem asymetrycznego routingu tzn. wychodze jedna sciezka (przechodze przez FG1) wracam druga sciezka przechodze przez FG2 ktory nie ma inforamcji o stanie sesji i ubija polaczenie. Wlaczenie asymetrycznego routingu rozwiazuje problem "ubijania polaczenia" ale mechanizmy UTM nie dzialaja. Ja widze kilka rozwiazan ale wszelkie poprawki mile widizane:

1) Skonfigurowanie Utmów w trybie routera, uruchomienie na nich OSPF-a i niech one pelnia funkcje load balancera.
2) Konfiguracja OSPF, badz tras statycznych tak zeby mimo calkowicie redundantnej topologii trasa byla jednakowa, a druga tylko backupem.
3) Rozmawiajac z inzynierem fortigate-a zaproponowałmi rozwiązanie z VDOM-ami. czyli wirtualnymi domenami w obrebie jednego urzadzenia. Tzn Jeden VDOM routujacy z ospfem, gdzie dopuszczamy routing asymetryczny, a drugi VDOM transparentny gdzie piszemy reguły i uruchamiamy UTM. oba VDOMy polaczone jednym inter vdom linkiem takze stan sesji bedzie zachowany. (Tylko ze wtedy tylko jedne urzadzenie bedzie wykorzystane) a drugie bedzie backupem w szafie

Pozdrawiam

Dlaczego nie chcesz uruchomić tych FG w trybie cluster?

1) Zadziała ale i tak ci ubije sesje jak się przełączy na backup
2) Jak powyżej
3) Pomysl rewelacja, masz 2 klaoty ktore potrafia działać jako HA a jeden będzie w szafie

To jak juz myslisz zeby jednego wyslac do szafy to po co ci te wszystkie historie z VDOM?

mHuba

Wolf · #7

mhuba pisze: Chodzi mi o taka konfiguracje w której synchronizują się stany.
Tak jak napisałem powyżej:

"W takich miejscach stosuje się firewalle które synchronizują ze sobą tablicę stanów i wtedy problemu nie."

Pozdrawiam
Hubert

A doczytałem teraz jeszcze że asa od wersj 7.0 ma funkcjonalność "asr-groups" właśnie na potrzeby adresowania asymetrii w ruchu... jakoś tego nie wyłapałem do tej pory. Może dlatego że staram się unikać tego typu sytuacji ;]

mhuba · #8

Za bardzo nie wiem o co tu chodzi.
Jeśli chodzi o asymetryczny routing to chyba rozwiązanie jest banalne?
Ale nawet jeśli to zostanie rozwiązane to i tak sesje zostaną ubite przy przełączeniu routingu co jest chyba nie do zaakceptowania?

Chyba po to kupiłeś te dwa FG żeby mieć jakieś rozwiązanie wysokiej dostępności?
Jeśli tak to wykorzystaj mechanizmy HA które są dostępne na tym urządzeniu a nie teraz myślisz jak by tu jednego grata wysłać na emeryturę.
Oczywiście może rozwiązać problem asymetrii najlepiej przez odpowiednie skonfigurowanie OSPF ale dalej będziesz miał problem przy przełączeniu.

Cluster rozwiązuje ci jeszcze jeden zasadniczy problem. Problem zachowania spojności konfiguracji.
Nawet jeśli zwalczysz ten asymetryczny routing

to i tak zachowanie spojności, pamiętanie że trzeba dokonfigurować drugiego FG.
Później zastanawiać się czy nie zrobiłeś żadnego błędu. Zastanawianie się dlaczego przy przełączeniu to nie działa etc.
Cluster daje ci jeden interface do zmian i mechanizmy załatwiają za ciebie zachowanie spójności.
Nawet jak wywalisz jednego do szafy to i tak przy wstawianiu musisz zadbać o dokonfigurowanie wszystkiego często tylko przez wgranie konfiguracji z backup.
No chyba że backup pójdzie wcześniej w maliny razem z pracującym FG

Pozdrawiam
mHuba

m00n · #9

Hej
Wrzucenie jednego fortigate w tryb pasive/pasive

w szafie to ostatecznosc, nie chce tego robic chyba ze nie ebd emial innego wyjscia. Poczatkowo byl taki zamysl od samego pocztaku ze maja dzialac w klastrze. Ale oczywiscie wyszlo pare kwaitkow po drodze. Wedlug tej dokumentacji
http://docs-legacy.fortinet.com/fgt/han ... -ha-50.pdf
Wogole nie rozumie dlaczego przed fg i za fg sa przelaczniki. U mnie ograniczeniem jest
topologia bo jest to stricte warstwa 3 i liczba interfejsow 10G. Dla mnie logiczne HA wyglada w ten sposob ze UTM-y wstawiam pomiedzi linki l3 pomiedzy core switche i router brzegowy. Do tego daje polaczenie pomiedzy samymi UTMi, na jednym jeden mgmt ip na drugim drugi mgmt ip i wspolny virtualny ip do zarzadzania klastrem.
Pomyslalem ze zrobie OSPF z jedna sciezka aktywna a druga backupowa, a do tego synchronizacja sesji w razie awarii poprzez FGSP.
http://docs-legacy.fortinet.com/fos50hl ... 139.1.html

Jest to rowneiz rozwiazanie HA, synchronizuje config, synchronizuje informacje o stanie sesji, nie jest tylko zarzadzalne z jednego ip.

mhuba · #10

m00n pisze: Wogole nie rozumie dlaczego przed fg i za fg sa przelaczniki.

No muszą być, fw muszą się widzieć w warstwie 2.
Często działa tam jakiś protokół typu VRRP lub coś bardziej wyrafinowanego.
A w twojej konfiguracji widzą się tylko od strony Core a od strony RTR już pewnie nie.
Choć możesz to jakoś próbować obejść np. przez powrót z tymi interfajesami podłączonymi do rtr z powrotem do core (jeśli nie masz budżetu na sw a na core masz wolne 10Gb) i wtedy rtr podłączasz do Core + trochę zabawy z VLANami.

m00n pisze: Pomyslalem ze zrobie OSPF z jedna sciezka aktywna a druga backupowa, a do tego synchronizacja sesji w razie awarii poprzez FGSP.
http://docs-legacy.fortinet.com/fos50hl ... 139.1.html

Jest to rowneiz rozwiazanie HA, synchronizuje config, synchronizuje informacje o stanie sesji, nie jest tylko zarzadzalne z jednego ip.

Próbuj.

donkoyote · #11

Tak przy okazji, w FortiGate, w trybie HA Active-Pasive można spokojnie rozłożyć (ręcznie) obciążenie na dwa urządzenia - korzystając z VDOM i Virtual Cluster. Przynajmniej jedno się nie kurzy nadaremno.

mhuba · #12

Chyba HA Active-Active? Co to za Active-Pasive jak oba działają?

Pozdrawiam
mHuba

donkoyote · #13

Część VDOM na jednym, część na drugim. Zresztą, konfiguracja stosowana i skuteczna, dająca możliwość rozkładu obciążenia wg własnych założeń - sprawdza się.