GTM-WCCT8KB9

Redes na Web

  • vgsm@redesnaweb.com
Facebook Instagram Twitter Youtube Telegram
Menu

network

Como Configurar o HA do Fortigate

Por

Salve Rapaziada, voltamos com a programação de escrever artigos pra galera de TI.   O papo de hoje é sobre HA (HIgh Availability) do produto Firewall Fortinet. Aí vem a pergunta, Negão, por que tu escolheu o Fortinet? Porque o site é meu porra, eu escrevo o que quiser kkkk Sacanagem, falando sério,  se você pesquisar o Fortinet é um dos fabricantes mais presentes no mundo todo, ou seja, há muitas empresas que usam, e a demanda por profissionais que precisam conhecer o produto é alta.   Mas deixemos de papo e vamos falar sobre o HA   Vamos dividir esse artigo por tópicos, para vc entender melhor: Por que usar o HA? Em um ambiente empresarial é importante vc ter redundância, seja de equipamento ou links. Se na nossa casa já ficamos putos quando cai a internet, imagina no seu trabalho.   Se vc colocar na ponta do lápis, vais perceber que o valor de investido  em redundância  é muito menor do que um dia de empresa parado. Qual empresa funciona hoje sem dia sem internet?   Por isso, ter redundância  é fundamental em qualquer ambiente corporativo. FGCP QUE MANDA FGCP (FORTIGATE CLUSTER PROTOCOL) é responsável por fazer a configuração do HA. Para configurar o cluster vc tem que fazer as seguintes etapas em cada firewall: 1 –  Criar um GRUPO 2 – Criar o mesmo ID do Grupo 3 – Configurar o Primário e secundário 4 – O Firewall com maior prioridade é eleito 5 – Usa a porta TCP 703 Tipos de HA no Fortigate? 1 – Ativo -Ativo No modo ATIVO-ATIVO  a manipulação e o gerenciamento das sessões de rede são coordenados por todos os dispositivos no cluster, mas com uma distribuição de responsabilidades. No entanto, é importante entender que cada sessão de tráfego é associada a um único dispositivo, mesmo quando vários dispositivos estão processando o tráfego de forma paralela.   VANTAGENS   1.1 – Alta Disponibilidade: Caso um equipamento pare, o outro assume todas as conexões automaticamente, pois já está funcionando, o outro assume rapidamente sem causar interrupções nos serviços críticos, como VPN.   1.2 – Balanceamento de Carga:Uma configuração Ativo-Ativo, ambos os dispositivos processam o tráfego simultaneamente. Isso distribui a carga de trabalho, melhorando o desempenho geral da rede.   1.3 – Eficiência na gestão de tráfego: FortiGate pode distribuir de maneira mais eficiente o tráfego de rede, evitando sobrecarga em um único dispositivo e otimizando a utilização dos recursos de hardware.   1.4- Menor Latência:o HA Ativo-Ativo reduz a latência durante picos de tráfego, garantindo uma experiência de rede mais ágil, especialmente em ambientes de alta demanda, como data centers e redes corporativas de grande porte. 2 – Ativo – Standbye Active-Standby do FortiGate é uma configuração em que um dispositivo está ativo e processa o tráfego enquanto o outro fica em modo de espera (standby), pronto para assumir automaticamente em caso de falha do dispositivo principal. Essa configuração é bastante comum em cenários que buscam garantir a alta disponibilidade, mas sem a necessidade de distribuir o tráfego entre os dispositivos, como no Active-Active. 2.1 Uso Eficiente de Recursos: Ideal para redes de médio porte: O HA Active-Standby é excelente para ambientes onde a confiabilidade e a redundância são necessárias, mas sem a necessidade de balanceamento de carga de tráfego em tempo real. Isso é comum em redes de empresas de pequeno e médio porte, onde o tráfego não é tão intenso a ponto de exigir o uso de múltiplos dispositivos ativos simultaneamente. 2.2 – Alta Disponibilidade Failover rápido e automático: Quando o dispositivo ativo falha, o dispositivo em standby assume imediatamente, garantindo que os serviços e a rede não sejam interrompidos. 2.3 – Menor Custo Inicial: Facilidade de configuração: Comparado com a configuração Active-Active, a configuração Active-Standby é mais simples de configurar e manter, já que não há necessidade de balanceamento de carga ou distribuição de tráfego entre os dispositivos. 3 – Como é feita a elição dos Firewalls Fortinet? 3.1 OVERRIDE DESABILIDATO: Esse é o formato por default,  as etapas da eleição são: 3.1.1 – INTERFACES CONECTADAS: Se todas as interfaces do HA estiverem conectadas, irá para a opção 2. 3.1.2 – MAIOR UPTIME: Ou seja, o Firewall que tiver com maior tempo ligado será o principal. Caso os dois estejam no mesmo horário, quase que impossível, iremos para a opção abaixo. 3.1.3 – PRIORIDADE : Quem tiver a MENOR prioridade será o primário 3.1.4 – SERIAL NUMBER: Se as opções 2 e 3 deram empate, quem tiver o menor serial será o primário 3.2 OVERRIDE HABILIDATO, Esse é o formato que vc precisa configurar no Firewall via CLI, antes de configurar o HA. Há apenas uma mudança na ordem de eleição do primário para secundário: 3.2.1 – INTERFACES CONECTADAS 3.2.2 – PRIORIDADE 3.2.3 – MAIOR UPTIME: 3.2.4 – SERIAL NUMBER: Considerações Finais A configuração HA Ativo-Ativo do FortiGate é ideal para ambientes que exigem alta disponibilidade e desempenho, como grandes empresas, data centers e redes corporativas complexas. Ela garante maior resiliência, reduz a latência e aumenta a capacidade de escalabilidade, tornando-se uma escolha vantajosa em termos de confiabilidade e desempenho

Diferença entre Roteamento Estático e Dinâmico

Por

Diferença entre Roteamento estático e dinâmico. Salve Salve rapaziada, passei um mês sumido, mas hoje deixei a porra da preguiça de lado e vim escrever. O papo de hoje é sobre roteamento estático e dinâmico, antes de te explicar tecnicamente irei fazer uma analogia para que você possa entender. Se você trabalha, ou pretende trabalhar, no ramo de tecnologia, esse tópico vai ser útil pra você. E no dia que isso aparecer no teu colo tu vais lembrar de mim. Imagine que você está planejando uma viagem de carro de São Paulo para o Rio.  Porra Glauco, por que de carro? “O preço das passagens aumentou, a inflação disparou após o covid veio rasgando no mundo inteiro”. Então você segue exatamente aquele planejamento, sem mudanças no percurso,anotando todas as ruas e estradas que você vai seguir até chegar ao seu destino , mesmo se houver trânsito. Isso é um exemplo de roteamento estático. O roteamento estático é necessário você realizar essa configuração manualmente no seu equipamento, pode ser feita em diversos dispositivos: (computador, switch, roteador, Firewall). Por outro lado,você decide viajar com o GPS.Ele monitora o trânsito, verifica se há bloqueios ou congestionamentos, e ajusta o caminho conforme necessário para garantir que você chegue ao seu destino da forma mais rápida e eficiente possível.  O roteamento dinâmico é um exemplo de como funciona um roteamento dinâmico. Acho que deu pra entender né? Não?! Levanta, toma uma água, e lê essa porra de novo. Não irei exibir a configuração de nenhum fabricante, mas a forma como é configurada é padrão em todos os fabricantes. Exemplo: 10.10.10.0 255.255.255.0 192.168.10.254 Onde o 10.10.10.0 é a rede que você deseja alcançar. O 255.255.255.0 é a máscara dessa rede E o 192.168.10.254 é o IP do gateway que conhece essa rede. Bem tranquilo e bem suave, não tem como errar. Agora vamos focar no roteamento dinâmico. No roteamento dinâmico existe um algoritmo que irá realizar o melhor cálculo para chegar até o destino. Assim,  os roteadores aprendem e atualizam as rotas de forma autônoma Eles são essenciais em redes maiores e mais complexas, onde as condições mudam com frequência. Existem três tipos principais de protocolos de roteamento dinâmico: Protocolos de Vetor de Distância: Os roteadores trocam informações sobre a distância (em número de saltos ou “hops”) para cada destino e escolhem a rota com o menor número de saltos. Exemplo: RIP (Routing Information Protocol). Protocolos de Estado de Enlace (Link State): Os roteadores trocam informações sobre o estado dos links (se estão ativos ou não) e criam um “mapa” completo da rede. A partir desse mapa, cada roteador calcula a melhor rota. Exemplo: OSPF (Open Shortest Path First). Protocolos Híbridos: Combinam características dos dois tipos anteriores, buscando um equilíbrio entre a simplicidade dos protocolos de vetor de distância e a eficiência dos protocolos de estado de enlace. Exemplo: EIGRP (Enhanced Interior Gateway Routing Protocol). Além disso, tem outra divisão muito importante. São os protocolos de roteamento IGP e EGP. Essa diferença é definida no âmbito e ao objetivo de cada tipo de protocolo no roteamento de redes. IGP (Interior Gateway Protocol): É utilizado para roteamento dentro de um único sistema autônomo (AS – Autonomous System). Um sistema autônomo é uma rede ou grupo de redes sob uma administração comum, que compartilham a mesma política de roteamento Seu foco é encontrar a melhor rota dentro de uma rede interna, usando métricas específicas, como latência, largura de banda ou número de saltos (hops). Protocolos IGP são usados para garantir eficiência e redundância no tráfego de uma única rede. Exemplos de uso: roteamento interno em empresas, organizações, provedores de internet ou data centers. EGP (Exterior Gateway Protocol): É utilizado para roteamento entre sistemas autônomos diferentes. Serve para trocar informações de roteamento entre grandes redes (ASs) independentes, como entre diferentes provedores de internet. Seu objetivo é compartilhar rotas entre redes externas e garantir que os dados possam ser entregues corretamente entre diferentes sistemas autônomos, mesmo com políticas de roteamento diferentes entre os ASs. A internet é baseada em protocolos EGP para garantir que pacotes possam viajar por diferentes redes ao redor do mundo. Exemplo de uso: roteamento na Internet, onde diferentes ASs precisam se comunicar. Então rapazeda, espero que vocês tenham entendido o artigo. Tamo Junto e é só o começo.

O que é o Túnel GRE?

Por

Fala rapazeada, se você está buscando evoluir profissionalmente, então você ta no site certo. Na publicação de hoje iremos explicar o que é o túnnel GRE, suas vantagens. Generic Routing Encapsulation (GRE) é um dos mecanismos de tunelamento disponíveis que usa o IP como protocolo de transporte e pode ser usado para transportar muitos protocolos de passageiros diferentes. O tunelamento fornece um mecanismo para transportar pacotes de um protocolo dentro de outro protocolo. O protocolo que é transportado é chamado de protocolo de passageiro, e o protocolo que é usado para transportar o protocolo de passageiro é chamado de protocolo de transporte. Os túneis comportam-se como ligações virtuais ponto-a-ponto que têm dois pontos finais identificados pelos endereços de origem e de destino do túnel. Endereços de origem e de destino do túnel em cada ponto final Pontos Importantes Sobrecarga: Como o GRE é um protocolo de encapsulamento, é uma prática recomendada ajustar a unidade máxima de transferência (mtu) para 1400 bytes e o tamanho máximo do segmento (mss) para 1360 bytes. Uma configuração de 1400 é uma prática comum e garantirá que a fragmentação desnecessária de pacotes fragmentação desnecessária de pacotes seja reduzida ao mínimo. Segurança: Nativamente, o GRE não fornece qualquer tipo de encriptação. Exemplo de Configuração

Como funciona o Spanning Tree Protocol?

Por

STP – Spanning Tree Protocol  O protocolo Spanning Tree Protocol (STP) é uma protocolo usada em redes de computadores(camada 2) para evitar loops, que são ciclos infinitos de tráfego que podem sobrecarregar a rede, bloqueio e  problemas nas portas. Vou te explicar isso de uma forma simples:  Imagine que tu tens que fazer uma viagem de carro de São Paulo para o Rio de Janeiro. O caminho mais curto (Root Port) vai demorar um pouco mais de 5 horas. Conforme a imagem abaixo.   Porém, antes de pegar a estrada, tu ficaste sabendo, pelo noticiário (BPDU) que houve um problema na estrada do Rio de Janeiro, e agora terá que pegar o caminho mais longo, passando por Minas Gerais. Assim, a viagem vai ficar mais demorada, entretanto, nós iremos conseguir chegar ao destino. Abaixo está o novo trajeto o STP (Spanning Three) surgiu com o intuíto de evitar loops em cada de enlace”Camada 2″ e  levar o tráfego de origem até switch raiz(switch root) no menor caminho. Os switches se comunicam trocando mensagens de BPDU (Bridge Protocol Data Unit). Assim, caso ocorra alguma modificação na topologia, ele consegue montar o caminho mais curto até o switch raiz(switch root). Tipos de portas do STP Edge Port São as portas conectadas somente as hosts em camada 2 (L 2). Esse tipo de porta não realiza modificação no protocolo, por isso habilitados o (PORTFAST).  As interfaces INT 0/1 e INT 0/2 são modo EDGE Root Port São as portas com o melhor caminho para chegar ao ROOT BRIDGE ou conectando a outro switch de acesso Cada switch tem uma ROOT Port. A INT0/24 é a root port Designated Port A porta recebe os frames e encaminha para os switches abaixo na árvore da topologia. Exemplo na figura abaixo Eleição de um Switch Root O protocolo faz a eleição de um switch root no ambiente, ou seja, todas as requisições de frames que o seu switch não conheça, serão enviadas até ele. No switch root(raiz) não tem nenhuma porta bloqueada. Todas são root port Existem duas formas de ser elegar um switch raiz. 1 – De forma automática: Menor MAC Address Quando os switches do seu ambiente são ligados eles trocam BPDUs. Nessa troca cada switch informa a sua priridade. Por padrão, a prioridade 32768. Se tu não configurar a prioridade, os switches que receberem quadros BPDUs de outros Switches e irão verificar qual deles possui o menor Mac Address. Após elegerem o switch root, irão parar de enviar BPDU, caso ingresse outro switch no seu ambiente, irá ocorrer novamente o mesmo processo. Essa eleição de forma automática  não é a uma boa prática utilizada no mercado, pois um switch de acesso por ser eleito como root. Se isso ocorrer, portas indevidas podem ser bloquadas e prejudicando o tráfego no seu ambiente. 2 – Configurar a prioridade mais baixa no Switch Core da Rede Configuramos a prioridade zero para todas as vlans no protoclo Spanning Three(STP) no switch core. Assim, todos os switches que entraram na rede vão receber BPDU informando a prioridade mais baixa, assim orientamos o STP e não haverá mudanças na sua topologia quando inserir um novo switch. Essa é a uma boa prática utilizada no mercado, porque o switch core é eleito como root. Fundamentos do STP Estatus da Porta (Port States) DISABLE: Porta está desabilitada manualmente(shutdown) BLOCKING: A porta está habilitada, porém não está passando nenhum tráfego nela, o protocolo bloqueou a porta para evitar loop. LISTENING: A porta teve uma mudança de status, saiu do modo blocking, podendo enviar e receber BPDU. LEARNING:A porta recebeu um novo tráfego BDPU e modificou a sua tabela mac address. Esse status não encaminha nenhuma rede, apenas aprende. FORWARDING: A porta está encaminhando o tráfego de rede. BROKEN: O switch detectou um problema, é necessário investigar se é cabeamento ou configuração. Versões do Spanning Three Conforme a evlução tecnológica, o protocolo foi recebendo melhorias e adicionando características no seu ambiente. Porém, os conceitos se mantém para todas as versões. É igual andar de bicicleta, depois que tu aprende, é raro esquecer, porém tem bicicletas com freio a disco, muitas marchas, de fibra de carbono e outras melhorias, mas a sua principal função é ser um veículo prático.  Todas as informações citadas são referentes a primeira versão lancaça em 1990 (IEEE 802.1D).  Abaixo tem a tabela com as outras versões que irei explicar em outros artigos, não quero deixar essa muito longo, senão tu vai embora do meu site e eu perco grana.   Espero que tenha curtido o texto, foi uma forma simples de explicar para quem não conhece sobre o protocolo. Tamo junto e é só o começo Whatsapp X-twitter Youtube Instagram Linkedin Telegram

O que é um NAC ?

Por

Dentro do grande ramo de redes de computadores existem alguns setores específicos de atuação (NAC,WAF, Roteamento e Switching, Wireless, Firewall, IPS). E hoje iremos falar de uma área que está em grande expansão, porém não tão conhecida, é o NAC. NAC (Network Access Control) é a ferramenta responsável por autenticar todas as requisições de acesso à rede, seja ela de forma cabeada ou pela rede sem fio. Explica essa porra direito glauco ! Vou te dar um exemplo que você vai entender! Como um ladrão pode entrar em uma casa para roubar? Ele pode entrar pela porta da sala, da cozinha, pela janela, pelo telhado, dentro do carro,  ou seja, existem várias formas do vagabundo querer roubar o que você conquistou com tanto suor! O criminoso digital vai dar um jeito de querer entrar na tua rede por diversos lugares ( Bluetooth, Rede sem fio, rede cabeada, pendrive, Link malicioso, ou seja, você tem que se defender por todas as vias de acesso aos seus dados. Se a sua empresa tiver o mínimo estrutura de cibersegurança, ela é segmentada por VLANS: (Impressoras, Servidores, Rede Corporativa, Rede Visitantes).  Não sabe o que é VLAN? Clica no LINK. Aí o teu chefe chega com algum cliente para visitar a empresa, é lógico que esse cliente vai querer acessar o whatsapp, instagram, email, ou seja, o cara só quer internet. O Visitante vai pegar o seu notebook e seu celular e conectar na rede sem fio de visitantes, ele irá preencher algum cadastro  e automaticamente é adicionado em uma rede separada do seu ambiente de produção, deixando o visitante apenas com acesso a internet. Entendi, mas se o cara quiser acessar a minha rede corporativa, como o NAC vai atuar? No NAC é criado uma regra informando que os dispositivos que irão acessar a CORPORATIVA ,seja por cabo ou por via wirelless, deve cumprir todas as regras listadas abaixo: 1 ª Computador Windows adicionado no dominio da empresa XPTO.com 2ª Computador com o antivírus corporativo instalado e atualizado 3ª Usuário de Acesso autenticado pelo Active Directory da Rede. O NAC checa todas as 3 regras acima, e se todas forem verdadeiras, ele libera o seu acesso à rede corporativa. Outro exemplo de Atuação do NAC Você trabalha num local onde é necessário instalar 1000 impressoras, no mesmo modelo EPSON, em diversas sedes da empresa pelo Brasil, aí o teu chefe de TI fala : (Glauco, vamos manter o padrão e em todas as localidades, a VLAN específica para impressora será a VLAN 150 configurada nos switches). No NAC é realizado o cadastro dos SWITCHES para que eles recebam ordens do servidor. Quando você pegar o cabo de rede , conectar uma ponta na impressora e a outra ponta na em qualquer porta do switch, o switch vai perceber que a solicitação de acesso é de uma impressora do fabricante EPSON , e automaticamente , vai fazer a mudança de adicionar a VLAN 150 nessa porta. Dessa maneira você tem uma automatização de atividades rotineiras e um controle maior do que entra e sai na sua rede, consequentemente elevando o nível de controle e segurança do seu ambiente.