A tabela de roteamento possui registro dos destinos para encaminhamento dos pacotes. As rotas podem ser aprendidas manualmente (rotas estáticas ou redes diretamente conectadas) e dinamicamente (aprendidos via protocolo de roteamento dinâmico como OSPF, BGP,etc).
Nesse vídeo faremos uma breve descrição do funcionamento, aprendizado e escolha das rotas por um Roteador.
Galera, gostaria de compartilhar uma dúvida frequente sobre como alterar o roteamento entre redes que esteja sendo executado por um firewall e mover essa função para um “Switch Core”.
Segue abaixo um dos e-mails:
“Estou com uma dúvida com relação a gateway padrão da rede. Recentemente adicionei ao core de rede um switch L3, com isto estou projetando adicionar VLANs, mas para haver roteamento entre VLANs é necessário que o gateway padrão seja o switch, assim o firewall que atualmente é o gateway da rede, o deixará de ser. Como posso encaminhar os pacotes o quais atualmente são tratados pelo firewall? ”
Para melhor entendimento dos cenários, fiz um desenho com a topologia das redes sendo roteadas pelo firewall (cenário A) e o roteamento entre a rede executado pelo Switch L3 (cenário B).
No cenário A, temos todo tráfego entre redes sendo processado pelo firewall.
Em um cenário que o Switch possa fazer o roteamento entre as redes, você configurará a VLAN e a Interface-VLAN para as respectivas redes (cenário B). Cada rede terá uma VLAN e uma Interface-VLAN. Dessa forma você trabalhará para que o endereço IP da interface-vlan seja o gateway das máquinas (ao invés do firewall). Assim então o Switch fará o roteamento automático das redes, pelo fato de tê-las em sua tabela de roteamento, como diretamente conectadas.
O Switch também deverá ter uma rede de trânsito exclusiva com o firewall e deve apontar uma rota default para o Firewall.
Já o Firewall deverá ter uma rota de retorno para cada rede apontando como next-hop o endereço IP da rede de trânsito, com o IP do Switch (próximo salto).
As regras de Segurança, tradução de endereço, etc, continuam no firewall.
O roteamento entre VLANs acontecerá sem restrições no Switch Core. O Switch só encaminhará para o firewall o tráfego de saída da LAN.
A utilização de sub-interfaces em Roteadores permite a multiplexação/divisão de um único link físico em múltiplos links lógicos.
Como exemplo nos cenários abaixo, o Roteador poderá atuar tanto como Gateway para roteamento entre as VLANs X e Y no cenário A para casos em que o Roteador possua possua poucas portas disponíveis, por exemplo; como também em casos para rotear pacotes sem que as redes X e Y tenham acesso uma a outra com a utilização de VRFs , chamadas de VPN-Instance nos Roteadores HPN ( para o cenário B).
Para configurar uam sub-interface em um Roteador 8800, utilize o “.”(ponto) + o id da VLAN após o numero indicativo da porta em uma interface no modo routed.
Em alguns modelos de Roteadores como a Serie 6600 será necessário configurar o VLAN ID, com a configuração do vlan-type dot1q vid [id da vlan] dentro da sub-interface, isto em razão do SO do Roteador não entender que é explicito o ID da VLAN no número da sub-interface. Roteadores Cisco funcionam da mesma forma.
interface Ten-GigabitEthernet 2/1/1.30
description VLAN_X
ip adress 192.168.20.1 255.255.255.0
vlan-type dot1q vid 30
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip adress 192.168.30.1 255.255.255.0
vlan-type dot1q vid 31
quit
#
… então como as sub-interfaces estão diretamente conectadas, as rotas são adicionadas à tabela de roteamento, o equipamento fará o roteamento de pacotes.
Já para o segundo cenário, a mesma configuração é válida, bastando apenas configurar a sub-interface com a configuração da vpn-instance antes de configurar o endereço IP.
#Criando a VRF para o cliente X
ip vpn-instance clientex
route-distinguisher 65000:1
vpn-target 65000:1 export-extcommunity
vpn-target 65000:1 import-extcommunity
#
#Criando a VRF para o cliente Y
ip vpn-instance clientey
route-distinguisher 65000:2
vpn-target 65000:2 export-extcommunity
vpn-target 65000:2 import-extcommunity
#
interface Ten-GigabitEthernet 2/1/1.30
description
ip binding vpn-instance clientex
ip adress 192.168.20.1 255.255.255.0
quit
#
interface Ten-GigabitEthernet 2/1/1.31
description VLAN_Y
ip binding vpn-instance clientey
ip adress 192.168.30.1 255.255.255.0
quit
#
# as configurações do compartimento WAN de cada VRF foram omitidas
#
obs: Uma rede não será roteada para outra a menos que estejam na mesma VRF.
Já para a configuração do Switch basta apenas configurar a interface como trunk permitindo as vlans correspondente. Se o Roteador for da Serie 6600 a configuração vlan-type dot1q vid … também será necessária (para o segundo cenário).
A configuração de rota estática faz-se necessário para o acesso às LANs a outras redes que não estão diretamente conectadas ao Switch Core, como por exemplo, outros Campus, Empresas ou a Internet.
Para os Switches que não possuem capacidade de roteamento entre VLANs (ou estão disponíveis como Switches de acesso), a configuração da rota default (Gateway) permite o gerenciamento dos dispositivos por redes diferentes ou de outro Campus.
Durante a solicitação de hosts para acessar outra Rede externa a LAN, o Switch L3 efetua uma consulta na sua tabela de roteamento para verificar se existe alguma rota para o destino solicitado. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.
É possível verificar a tabela de roteamento do Switch com o comando display ip routing-table.
Se a rota não estiver na tabela de roteamento é possível adicionar estaticamente com o comando “ip route-static [rede de destino] [máscara da rede de destino] [Gateway- próximo salto]”. O proximo salto é o equipamento que possui a rede de destino em sua tabela de roteamento.
A rota “ip route-static 0.0.0.0 0.0.0.0 [Gateway próximo-salto]” é uma “rota genérica” que informa que, se o Switch não possuir uma rota especifica para o destino em sua tabela de roteamento, o pacote será encaminhado para o próximo roteador.
VLAN de Gerênciamento
As melhores práticas indicam a criação de uma VLAN de gerenciamento segregada da VLAN de usuário para acesso aos Switches, permitindo várias políticas de Segurança e QoS se desejável para acesso ao dispositivo.
Configuração
Switch Core:
Vlan 10
#
vlan 12
#
vlan 254
#
interface vlan-interface10
ip address 192.168.10.1 255.255.255.0
! Gateway dos usuários da VLAN 10
#
interface vlan-interface11
ip address 192.168.11.1 255.255.255.0
! Gateway dos usuários da VLAN 11
#
interface vlan-interface254
ip address 192.168.254.1 255.255.255.0
! Gateway dos Switches da VLAN de Gerenciamento
#
interface GigabitEthernet1/0/23
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
Switch B:
vlan 10
#
vlan 12
#
vlan 254
#
interface vlan-interface254
ip address 192.168.254.2 255.255.255.0
! O Switch de acesso terá somente o IP da VLAN de gerenciamento.
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1
! Rota default direcionando para o Gateway da VLAN de Gerenciamento
Switch C:
Vlan 10
#
vlan 12
#
Vlan 254
#
interface vlan-interface254
ip address 192.168.254.3 255.255.255.0
! O Switch de acesso terá somente o IP da VLAN de gerenciamento.
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1
! Rota default direcionando para o Gateway da VLAN de Gerenciamento
Obs: se não configurássemos a Rota estática nos Switches de Acesso, os dispositivos não seriam acessados por equipamentos “fora” da rede 192.168.254.0/24