Roteamento entre VLANs

Vídeo: Switches ArubaOS-CX – Configurando Roteamento entre VLAN no EVE-NG

28 de abril de 202228 de abril de 2022Diego DiasLeave a comment

Nesse vídeo, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do roteamento entre VLANs.

Vídeo: Tabela de Roteamento

4 de julho de 20184 de julho de 2018Diego DiasLeave a comment

A tabela de roteamento possui registro dos destinos para encaminhamento dos pacotes. As rotas podem ser aprendidas manualmente (rotas estáticas ou redes diretamente conectadas) e dinamicamente (aprendidos via protocolo de roteamento dinâmico como OSPF, BGP,etc).

Nesse vídeo faremos uma breve descrição do funcionamento, aprendizado e escolha das rotas por um Roteador.

Valeu!

Perguntas e Respostas: Substituindo roteamento entre redes do firewall para o Switch L3

22 de julho de 201522 de julho de 2015Diego Dias7 Comments

Galera, gostaria de compartilhar uma dúvida frequente sobre como alterar o roteamento entre redes que esteja sendo executado por um firewall e mover essa função para um “Switch Core”.

Segue abaixo um dos e-mails:

“Estou com uma dúvida com relação a gateway padrão da rede. Recentemente adicionei ao core de rede um switch L3, com isto estou projetando adicionar VLANs, mas para haver roteamento entre VLANs é necessário que o gateway padrão seja o switch, assim o firewall que atualmente é o gateway da rede, o deixará de ser. Como posso encaminhar os pacotes o quais atualmente são tratados pelo firewall? ”

Para melhor entendimento dos cenários, fiz um desenho com a topologia das redes sendo roteadas pelo firewall (cenário A) e o roteamento entre a rede executado pelo Switch L3 (cenário B).

No cenário A, temos todo tráfego entre redes sendo processado pelo firewall.

Em um cenário que o Switch possa fazer o roteamento entre as redes, você configurará a VLAN e a Interface-VLAN para as respectivas redes (cenário B). Cada rede terá uma VLAN e uma Interface-VLAN. Dessa forma você trabalhará para que o endereço IP da interface-vlan seja o gateway das máquinas (ao invés do firewall). Assim então o Switch fará o roteamento automático das redes, pelo fato de tê-las em sua tabela de roteamento, como diretamente conectadas.
O Switch também deverá ter uma rede de trânsito exclusiva com o firewall e deve apontar uma rota default para o Firewall.

Já o Firewall deverá ter uma rota de retorno para cada rede apontando como next-hop o endereço IP da rede de trânsito, com o IP do Switch (próximo salto).

As regras de Segurança, tradução de endereço, etc, continuam no firewall.

O roteamento entre VLANs acontecerá sem restrições no Switch Core. O Switch só encaminhará para o firewall o tráfego de saída da LAN.

Dúvidas e colocações, deixe um comentário.

Utilizando sub-interfaces nos Rotadores HP MSR’s, 8800 e 6600

10 de junho de 201310 de junho de 2013Diego Dias1 Comment

A utilização de sub-interfaces em Roteadores permite a multiplexação/divisão de um único link físico em múltiplos links lógicos.

Como exemplo nos cenários abaixo, o Roteador poderá atuar tanto como Gateway para roteamento entre as VLANs X e Y no cenário A para casos em que o Roteador possua possua poucas portas disponíveis, por exemplo; como também em casos para rotear pacotes sem que as redes X e Y tenham acesso uma a outra com a utilização de VRFs , chamadas de VPN-Instance nos Roteadores HPN ( para o cenário B).

Para configurar uam sub-interface em um Roteador 8800, utilize o “.”(ponto) + o id da VLAN após o numero indicativo da porta em uma interface no modo routed.

[Roteador]interface Ten-GigabitEthernet 2/1/1.?

#

Segue um exemplo da configuração para o cenário A

interface Ten-GigabitEthernet 2/1/1.30
description VLAN_X
ip adress 192.168.20.1 255.255.255.0
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip adress 192.168.30.1 255.255.255.0
quit
#

Em alguns modelos de Roteadores como a Serie 6600 será necessário configurar o VLAN ID, com a configuração do vlan-type dot1q vid [id da vlan] dentro da sub-interface, isto em razão do SO do Roteador não entender que é explicito o ID da VLAN no número da sub-interface. Roteadores Cisco funcionam da mesma forma.

interface Ten-GigabitEthernet 2/1/1.30
description VLAN_X
ip adress 192.168.20.1 255.255.255.0
vlan-type dot1q vid 30
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip adress 192.168.30.1 255.255.255.0
vlan-type dot1q vid 31
quit
#

… então como as sub-interfaces estão diretamente conectadas, as rotas são adicionadas à tabela de roteamento, o equipamento fará o roteamento de pacotes.

Já para o segundo cenário, a mesma configuração é válida, bastando apenas configurar a sub-interface com a configuração da vpn-instance antes de configurar o endereço IP.

#Criando a VRF para o cliente X
ip vpn-instance clientex
 route-distinguisher 65000:1
 vpn-target 65000:1 export-extcommunity
 vpn-target 65000:1 import-extcommunity
#
#Criando a VRF para o cliente Y
ip vpn-instance clientey
 route-distinguisher 65000:2
 vpn-target 65000:2 export-extcommunity
 vpn-target 65000:2 import-extcommunity
#
interface Ten-GigabitEthernet 2/1/1.30
description 
ip binding vpn-instance clientex
ip adress 192.168.20.1 255.255.255.0
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip binding vpn-instance clientey
ip adress 192.168.30.1 255.255.255.0
quit
#
# as configurações do compartimento WAN de cada VRF foram omitidas
#

obs: Uma rede não será roteada para outra a menos que estejam na mesma VRF.

Já para a configuração do Switch basta apenas configurar a interface como trunk permitindo as vlans correspondente. Se o Roteador for da Serie 6600 a configuração vlan-type dot1q vid … também será necessária (para o segundo cenário).

Um grande abraço e a Paz! 🙂

Resumo: Configuração de VLANs, Roteamento e STP para Switches HPN

10 de janeiro de 201310 de janeiro de 2013Diego Dias11 Comments

Sentiram a falta de alguma configuração? Gostariam de fazer alguma sugestão? Deixem comentários!

Switches 3Com 4500G – Configuração de Rota Estática e VLAN de Gerenciamento

10 de maio de 201210 de maio de 2012Diego Dias8 Comments

A configuração de rota estática faz-se necessário para o acesso às LANs a outras redes que não estão diretamente conectadas ao Switch Core, como por exemplo, outros Campus, Empresas ou a Internet.

Para os Switches que não possuem capacidade de roteamento entre VLANs (ou estão disponíveis como Switches de acesso), a configuração da rota default (Gateway) permite o gerenciamento dos dispositivos por redes diferentes ou de outro Campus.

Durante a solicitação de hosts para acessar outra Rede externa a LAN, o Switch L3 efetua uma consulta na sua tabela de roteamento para verificar se existe alguma rota para o destino solicitado. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.

É possível verificar a tabela de roteamento do Switch com o comando display ip routing-table.

Se a rota não estiver na tabela de roteamento é possível adicionar estaticamente com o comando “ip route-static [rede de destino] [máscara da rede de destino] [Gateway- próximo salto]”. O proximo salto é o equipamento que possui a rede de destino em sua tabela de roteamento.

A rota “ip route-static 0.0.0.0 0.0.0.0 [Gateway próximo-salto]” é uma “rota genérica” que informa que, se o Switch não possuir uma rota especifica para o destino em sua tabela de roteamento, o pacote será encaminhado para o próximo roteador.

VLAN de Gerênciamento
As melhores práticas indicam a criação de uma VLAN de gerenciamento segregada da VLAN de usuário para acesso aos Switches, permitindo várias políticas de Segurança e QoS se desejável para acesso ao dispositivo.

Configuração

Switch Core:

Vlan 10
#
vlan 12
#
vlan 254
#
interface vlan-interface10
ip address 192.168.10.1 255.255.255.0
! Gateway dos usuários da VLAN 10
#
interface vlan-interface11
ip address 192.168.11.1 255.255.255.0
! Gateway dos usuários da VLAN 11
#
interface vlan-interface254
ip address 192.168.254.1 255.255.255.0
! Gateway dos Switches da VLAN de Gerenciamento
#
interface GigabitEthernet1/0/23
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#

Switch B:

vlan 10
#
vlan 12
#
vlan 254
#
interface vlan-interface254
ip address 192.168.254.2 255.255.255.0
! O Switch de acesso terá somente o IP da VLAN de gerenciamento.
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1
! Rota default direcionando para o Gateway da VLAN de Gerenciamento

Switch C:

Vlan 10
#
vlan 12
#
Vlan 254
#
interface vlan-interface254
ip address 192.168.254.3 255.255.255.0
! O Switch de acesso terá somente o IP da VLAN de gerenciamento.
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1
! Rota default direcionando para o Gateway da VLAN de Gerenciamento

Obs: se não configurássemos a Rota estática nos Switches de Acesso, os dispositivos não seriam acessados por equipamentos “fora” da rede 192.168.254.0/24

Bom é isso, até logo 😉

Comutadores

Configuração e Administração de Switches 3Com, HPN, H3C e Soluções Aruba