Perguntas e Respostas: Substituindo roteamento entre redes do firewall para o Switch L3

Galera, gostaria de compartilhar uma dúvida frequente sobre como alterar o roteamento entre redes que esteja sendo executado por um firewall e mover essa função para um “Switch Core”.

Segue abaixo um dos e-mails:

  “Estou com uma dúvida com relação a gateway padrão da rede. Recentemente adicionei ao core de rede um switch L3, com isto estou projetando adicionar VLANs, mas para haver roteamento entre VLANs é necessário que o gateway padrão seja o switch, assim o firewall que atualmente é o gateway da rede, o deixará de ser. Como posso encaminhar os pacotes o quais atualmente são tratados pelo firewall? ”

Para melhor entendimento dos cenários, fiz um desenho com a topologia das redes sendo roteadas pelo firewall (cenário A) e o roteamento entre a rede executado pelo Switch L3 (cenário B).

Perguntas e respostas Firewall e Switch L3

No cenário A, temos todo tráfego entre redes sendo processado pelo firewall.

Em um cenário que o Switch possa fazer o roteamento entre as redes, você configurará a VLAN e a Interface-VLAN para as respectivas redes (cenário B). Cada rede terá uma VLAN e uma Interface-VLAN. Dessa forma você trabalhará para que o endereço IP da interface-vlan seja o gateway das máquinas (ao invés do firewall). Assim então o Switch fará o roteamento automático das redes, pelo fato de tê-las em sua tabela de roteamento, como diretamente conectadas.
O Switch também deverá ter uma rede de trânsito exclusiva com o firewall e deve apontar uma rota default para o Firewall.

Já o Firewall deverá ter uma rota de retorno para cada rede apontando como next-hop o endereço IP da rede de trânsito, com o IP do Switch (próximo salto).

As regras de Segurança, tradução de endereço, etc, continuam no firewall.

O roteamento entre VLANs acontecerá sem restrições no Switch Core. O Switch só encaminhará para o firewall o tráfego de saída da LAN.

Dúvidas e colocações, deixe um comentário.

4 thoughts on “Perguntas e Respostas: Substituindo roteamento entre redes do firewall para o Switch L3

  1. Junior 19 de agosto de 2015 / 16:32

    Diego,

    A recomendação é ter o roteamento entre as VLANs no Core e não no Firewall. Claro, desde que se tenha um switch adequado (L3) para isso. Confere ?

    Obrigado.

    • Wislley 26 de agosto de 2015 / 17:20

      Sim. Foi isso que o Diego disse.

  2. Rafael 21 de março de 2016 / 20:17

    Amigo, por favor, me explica essa rede de transito ficaria com um range de endereço fora da rede do Switch?
    Exmplo, minha é 192.168.200.0/21 (será dividida em várias redes) se eu criar essa rede de transito ela não pode estar dentro desse range?

    • Diego Dias 24 de março de 2016 / 17:43

      Rafael, a ideia do exemplo é utilizar o Switch como gateway das máquinas para rotear as VLANs internas na rede. No caso, o firewall deverá ficar em uma rede separada das máquinas para um melhor desenho da rede, roteando para o Firewall somente o tráfego de saída. Todo o roteamento entre VLANs é tratado dentro do Switch sem necessidade de encaminhar mensagens de broadcast, multicast e etc para o Firewall.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *