segunda-feira, 30 de março de 2015

Links Agregados no HP Tipping Point IPS

Este artigo é a tradução do boletim técnico do HP TippingPoint, nomeado originalmente como "HP TippingPoint IPS support EtherChannel or LACP?"
TippingPoint

Título: O HP TippingPoint IPS suporta EtherChannel ou LACP?

Sumário: Este boletim tem o propósito de discutir o suporte de dispositivos IPS HP TippingPoint a Etherchannel ou Link Aggegation.

O IPS HP TippingPoint suporta o Etherchannel da Cisco e o Link Aggregation Protocol (LACP) do IEEE. No entanto, toda as configurações de agregação são realizadas no switch e no IPS por eles mesmos e não há configuração de agregação específica. A única questão com links agregados no IPS é que, para manter as operações de IPS, o protocolo de agregação não deve ser configurado com nenhum tipo de algoritmo balanceador de carga (por exemplo: Round Robin, Active-Backup Policy) para o tráfego. Enquanto "Roud Robin" é ótimo para balanceamento de tráfego por múltiplos links, o fato é que isso não é bom para as inspeções de pacote do IPS. A afinidade do tráfego precisa ser mantida e isso significa ter que usar um algoritmo de agregação que use o IP como origem. Isso garante que cada fragmento de tráfego vai passar pelo mesmo segmento.

Para configurar um IPS para utilizar agregação de link, o usuário precisar setar o número apropriado de segmentos. Por exemplo, uma agregação de 4 links, ele vai precisar colocar 4 segmentos (8 portas) para a agregação das conexões de link. Quatro portas (1A, 2A, 3A, 4A) vem do switch 1 e 4 portas (1B, 2B, 3B, 4B) vão para o switch 2. Veja o esquema na topologia abaixo:

Exemplo de Agregação de Link

Grupos de Segmentos


O usuário também pode criar "Segment Groups". Grupo de segmento é um agrupamento de segmentos de um dispositivo, físico ou virtual, que está configurado para uma combinação específica de perfil de filtragem. Conforme o exemplo acima, o usuário poderia criar um Grupo de Segmentos (Segment Group) para todas as portas "A" (inbound/entrada) e outro grupo de segmentos de portas "B" (outbound/saída) e aplicar os perfis de acordo.

Procedimento: Como Criar um Segment Group


  1. Logue no cliente SMS.
  2. Na barra de ferramentas do SMS, navegue para "Devices" >> "All Devices" e expanda a guia.
  3. Selecione a guia "Segment Group".
  4. Para criar um novo "Segment Group", faça o seguinte:
    • Clique em "New"
    • Clique com o botão direito e selecione "New".
    • No menu superior, selecione "File" >> New >> Segment Group.
  5. Aparecerá a caixa "Segment Group Edit".
  6. No campo "Group Name", coloque o nome do grupo.
  7. No painel "Non Members", selecione como você quer organizar a lista: por Device ou por Segment Group.
  8. Selecione um ou mais dispositivos da lista, Você pode selecionar múltiplos dispositivos, clicando e arrastando seu cursor pelos nomes e usando as teclas Shift e Ctrl.
  9. Clique na seta para direita e mova o dispositivo selecionado como membro do grupo do painel direito.
  10. Clique em OK. O grupo de segmento aparecerá no painel de navegação Devices e na tela Segment Group.
Para saber mais: