Tolerància a fallos en els gateways (Cisco)

Reading time: 7 – 11 minutes

Estava llegint el llibre per la certificació CCIE de CISCO i he
trobat un capítol q parlava sobre tolerància d fallos en les
portes d’enllaç de les LAN. A part dls típics protocols
propietaris de Cisco per solucionar aquest problema amb els seus productes tb
he trobat un parell d tènciques força interessants. Cap d les
dues és la ‘panacea’ però ens poden ser molt útils quan
haguem de solucionar aquest problema, per exemple, en empreses amb pocs
recursos i on no poguem posar un Linux fent de gateway principal de la LAN, o
algún altre dispositiu similar.

Introducció

Al configurar un dispostiu dins d’una LAN TCP/IP s’ha de posar la IP del
dispositiu, la màscara de la xarxa i el gateway (porta d’enllaç
cap a l’exterior de la LAN). Doncs bé, que passa si l’enllaç WAN
del gateway cau, obviament per molt que a la LAN hi hagi altres punts per
sortir de la mateixa si no canviem el gateway a cada dispotiu de la xarxa
aquest no podrà sortir a través del nou gateway.

Potser no sabreu pq passa això ni tp ús ho explicaré en
aquest article, però si que ús puc dir q té a veure amb el
protocol ARP i com funciona el accés a les direccions IP dins d’una LAN.
Per tant, podeu mirar qualsevol manual bàsic de xarxes i entendreu el
motiu pel que s’ha d coneixer la porta d’enllaç. Un lloc on podeu buscar
és al temari de CCNA, per exemple.

Objectiu

Així doncs l’objectiu de l’article és explicar com amb cap
recurs extra
, puc configurar aquests dos (o més) routers i/o
aquests dispostius de la LAN perquè quan un d’aquests accessos WAN cau
els dispostius de la LAN usin l’altre porta d’enllaç sense haver de
canviar les configuracions de xarxa a cada un d’ells. Suposo que a més
d’un aquest tema l’hi haurà fet bullir el cap més d’una
vegada.

Tècniques per solucionar el problema

Les tècniques q explicaré aquí no són pas meves, ja
que en aquest tema hi ha gent que fa molts més anys que jo que s’hi
trenca les banyes. Així que l’únic que intentaré fer
és explicar les dues tècniques que explica el llibre de CCIE per
solucionar aquesta situació (caiguda de la porta d’enllaç) i
faré referència a una 3a tècnica propietaria dels
dispositius CISCO.

ICMP Redirects: aprofitem els missatges ICMP Redirect per
redirigir el tràfic.
ProxyARP: aprofitem les funcions de ProxyARP dels routers per
redirigir el tràfic.
HSRP (Hot Standby Routing Protocol): aquesta és la
millor tècnica de les 3, com no, però es tracta d’un protocol de
CISCO propietari que deixa un dels routers de la LAN actiu i l’altre o altres
routers queden en standby a l’espera de que el principal caigui per entrar en
funcionament, agafant la seva direcció IP i la seva direcció MAC
perquè els clients no s’adonin de que no estan accedint al mateix
dispositiu que abans. Si heu d’usar aquest tècnica de Cisco ús
recomano q mireu el manual ja que és molt senzilla d’implementar i en
pocs minuts la dominareu.

ICMP Redirect

Els missatges ICMP (Internet Control Message Protocol) són usats per
capturar i provar errors en les xarxes TCP/IP, però en concret hi ha un
dels missatges ICMP que ens pot servir per implementar la tolerància
d’errors els “ICMP Redirect” ja que aquest missatge informa al emisor d’un
paquet al que no es troba el destí quina altre porta d’enllaç ha
de provar per mirar d’arribar al destí que buscava.

Per tal d’aconseguir que els routers, que no puguin enrutar un paquet, informin
de quina és l’altre porta d’enllaç a provar s’ha d’habilitar un
protocol d’enrutament. Que vol dir això en poques paraules, que per
exemple si habilitem el protocol RIP en els routers amb sortida a Internet de
la nostra LAN. Quan l’enllaç a internet d’un d’ells falli aquest ens
tornarà un paquet ICMP Redirect informant-nos de quina és l’altre
porta d’enllaç que podem usar. Per tant, el nostre dispostiu (p.e. PC)
automàticament re-enviarà el paquet a l’altre router. En aquest
exemple, només cal posar la IP d’un dels routers com a gateway, el que
volguem, quan aquest gateway falli gràcies al RIP saltarem
automàticament a l’altre router.

Avantatges del sistema

– El suport de fallida és ràpid, però no instantani. Es
poden perdre uns quants paquets mentre es fa el canvi.
– Quasi tots els routers per dolents que siguin, ho soporten.
– És molt fàcil d’entendre i d’implementar.

Desavantatges del sistema

– Molt de tràfic ICMP a la xarxa fins que no es retorna a la
situació normal.
– Es creen moltes rutes estàtiques en els clients, perquè en cap
moment es canvia la ruta per defecte. Sinó que es creen rutes
estàtiques de hosts amb un gateway diferent al de la ruta per
defecta.
– Quan es torna a la situació normal, les rutes estàtiques dels
clients triguen molt rato a eliminar-se o no ho fan mai si no falla la nova
ruta estàtica i un nom ICMP Redirect força el nou canvi.

Proxy ARP

Un punt important per entendre aquesta tècnica és coneixer el
funcionament dels Proxy ARP. Per no allargar-me en la explicació
definirem a un Proxy ARP, com un dispositiu intermig entre dos dispostius que
es volen comunicar. Aquest 3er dispositiu respon amb la direcció MAC del
del segon dispostiu ja que el primer no té accés físic amb
el segon. Com a curiositat afegir aque aquesta idea es va desenvolupar per
solucionar els problemes de xarxes conectades a través d’accessos
telefònics (Dial-up LAN connections).

Per tal d’aplicar la tènica del Proxy ARP en la tolerància de
fallos el que hem de fer és configurar els dispostius de la LAN amb la
seva propia IP com a IP de la porta d’enllaç. Per exemple, IP del host:
10.1.1.1 i gateway del host 10.1.1.1. Ara als routers de la LAN activem al
funció de proxyARP (si la suporten, és clar). D’aquesta forma
quan algún client faci una petició a una IP (ARP request) que no
sigui de la LAN, els routers contestaràn dient que ells poden accedir a
aquella IP i informaràn de la seva MAC, perquè el dispositiu de
la LAN pugui dirigir el paquet cap allà.

Sempre s’accedirà al router que hagi contestat primer i per tant, que el
dispositiu client rebi primer la seva resposta. D’aquesta forma també
aconseguim fer un ‘balanceix’ de carrega, o millor dit, un accés
aleatori als diferents routers de la LAN. En cas de que algún dels
enllaços WAN del routers caigues obviament deixaria de respondre el seu
proxyARP i d’aquesta forma estariem enviant tot el tràfic al(s)
router(s) que encara te(nen) accés a la WAN.

Avantatges del sistema

– Molt senzill d’implementar.
– Els dispositius no depenen de la IP de la porta d’enllaç.
– Balanceix de càrrega, inherent a la idea.

Desavantatges del sistema

– Poden haver-hi retards de fins a 10min fins que un dispositiu sap que ha
caigut un enllaç WAN. Perquè s’ha d’esperar a que es refresquin
les taules de MACs del protocol ARP.
– Gran quantitat de tràfic broadcast al segment, degut als molts
paquetes ARP que s’envien.
– No tots els routers suporten la funció de proxyARP.

Conclusions

Cap de les dues tècniques és res de l’altre món, ni ens
solucionarà la vida. Però si tenim xarxes a les que no hi ha un
administrador per poder fer ell manualment la commutació de gateway en
cas de fallida i a més l’empresa no es vol gastar ni un duro en posar un
dispostiu que faci això automàticament. Aquestes dues solucions
ens poden ajudar a evitar més d’un desplaçament fins a aquestes
empreses. Tipus d’empreses que la nostra experiència ens diu q no
són poques.

Obviament si disposem de routers Cisco no perdeu el temps: useu el HSRP.
Malgrat ser un protocol propietari, que això sempre és dolent,
els resultats són boníssims i si ens hem gastat els calers en un
Cisco almenys aprofitem les coses bones que tenen.