Perguntas e Respostas: Substituindo roteamento entre redes do firewall para o Switch L3

Galera, gostaria de compartilhar uma dúvida frequente sobre como alterar o roteamento entre redes que esteja sendo executado por um firewall e mover essa função para um “Switch Core”.

Segue abaixo um dos e-mails:

  “Estou com uma dúvida com relação a gateway padrão da rede. Recentemente adicionei ao core de rede um switch L3, com isto estou projetando adicionar VLANs, mas para haver roteamento entre VLANs é necessário que o gateway padrão seja o switch, assim o firewall que atualmente é o gateway da rede, o deixará de ser. Como posso encaminhar os pacotes o quais atualmente são tratados pelo firewall? ”

Para melhor entendimento dos cenários, fiz um desenho com a topologia das redes sendo roteadas pelo firewall (cenário A) e o roteamento entre a rede executado pelo Switch L3 (cenário B).

Perguntas e respostas Firewall e Switch L3

No cenário A, temos todo tráfego entre redes sendo processado pelo firewall.

Em um cenário que o Switch possa fazer o roteamento entre as redes, você configurará a VLAN e a Interface-VLAN para as respectivas redes (cenário B). Cada rede terá uma VLAN e uma Interface-VLAN. Dessa forma você trabalhará para que o endereço IP da interface-vlan seja o gateway das máquinas (ao invés do firewall). Assim então o Switch fará o roteamento automático das redes, pelo fato de tê-las em sua tabela de roteamento, como diretamente conectadas.
O Switch também deverá ter uma rede de trânsito exclusiva com o firewall e deve apontar uma rota default para o Firewall.

Já o Firewall deverá ter uma rota de retorno para cada rede apontando como next-hop o endereço IP da rede de trânsito, com o IP do Switch (próximo salto).

As regras de Segurança, tradução de endereço, etc, continuam no firewall.

O roteamento entre VLANs acontecerá sem restrições no Switch Core. O Switch só encaminhará para o firewall o tráfego de saída da LAN.

Dúvidas e colocações, deixe um comentário.

7 thoughts on “Perguntas e Respostas: Substituindo roteamento entre redes do firewall para o Switch L3

  1. Junior 19 de agosto de 2015 / 16:32

    Diego,

    A recomendação é ter o roteamento entre as VLANs no Core e não no Firewall. Claro, desde que se tenha um switch adequado (L3) para isso. Confere ?

    Obrigado.

    • Wislley 26 de agosto de 2015 / 17:20

      Sim. Foi isso que o Diego disse.

  2. Rafael 21 de março de 2016 / 20:17

    Amigo, por favor, me explica essa rede de transito ficaria com um range de endereço fora da rede do Switch?
    Exmplo, minha é 192.168.200.0/21 (será dividida em várias redes) se eu criar essa rede de transito ela não pode estar dentro desse range?

    • Diego Dias 24 de março de 2016 / 17:43

      Rafael, a ideia do exemplo é utilizar o Switch como gateway das máquinas para rotear as VLANs internas na rede. No caso, o firewall deverá ficar em uma rede separada das máquinas para um melhor desenho da rede, roteando para o Firewall somente o tráfego de saída. Todo o roteamento entre VLANs é tratado dentro do Switch sem necessidade de encaminhar mensagens de broadcast, multicast e etc para o Firewall.

  3. Leandro 21 de agosto de 2020 / 14:24

    Olá Diego, perfeito seu post!

    vou acrescentar uma situação. Se eu precisar que, uma sub rede LAN com gateway no meu switch core ly3 não comunique com as outras sub redes LAN, tenha só saída para internet. Como faço no switch core ly3 esse bloqueio? já que as interfaces vlans se intercomunicam automaticamente. obs: no firewall eu só tenho uma porta LAN.

    • Diego Dias 12 de setembro de 2020 / 1:18

      Leandro, uma das possibilidades é com o uso de ACL.

  4. Cristiano 17 de setembro de 2020 / 16:49

    Diego,
    No caso tenho um firewall que roteia várias redes, por exemplo: Internet, DMZ, Matriz, Filiais, Visitantes e Servidores. Além de saída para Internet essas redes comunicam entre si.
    Quando eu configurar o switch como gateway, como aplico as regras de firewall nessas redes? Com o switch como gateway eu teria que fazer essas regras com o uso de ACL e não mais no firewall?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *