Galera, gostaria de compartilhar uma dúvida frequente sobre como alterar o roteamento entre redes que esteja sendo executado por um firewall e mover essa função para um “Switch Core”.
Segue abaixo um dos e-mails:
“Estou com uma dúvida com relação a gateway padrão da rede. Recentemente adicionei ao core de rede um switch L3, com isto estou projetando adicionar VLANs, mas para haver roteamento entre VLANs é necessário que o gateway padrão seja o switch, assim o firewall que atualmente é o gateway da rede, o deixará de ser. Como posso encaminhar os pacotes o quais atualmente são tratados pelo firewall? ”
Para melhor entendimento dos cenários, fiz um desenho com a topologia das redes sendo roteadas pelo firewall (cenário A) e o roteamento entre a rede executado pelo Switch L3 (cenário B).
No cenário A, temos todo tráfego entre redes sendo processado pelo firewall.
Em um cenário que o Switch possa fazer o roteamento entre as redes, você configurará a VLAN e a Interface-VLAN para as respectivas redes (cenário B). Cada rede terá uma VLAN e uma Interface-VLAN. Dessa forma você trabalhará para que o endereço IP da interface-vlan seja o gateway das máquinas (ao invés do firewall). Assim então o Switch fará o roteamento automático das redes, pelo fato de tê-las em sua tabela de roteamento, como diretamente conectadas.
O Switch também deverá ter uma rede de trânsito exclusiva com o firewall e deve apontar uma rota default para o Firewall.
Já o Firewall deverá ter uma rota de retorno para cada rede apontando como next-hop o endereço IP da rede de trânsito, com o IP do Switch (próximo salto).
As regras de Segurança, tradução de endereço, etc, continuam no firewall.
O roteamento entre VLANs acontecerá sem restrições no Switch Core. O Switch só encaminhará para o firewall o tráfego de saída da LAN.
Amigos, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) que chamamos de “Guia Básico para Configuração de Switches Cisco“. O material serve como apoio para compreender e configurar features como VLAN (portas access e trunk), o protocolo VTP e Roteamento entre VLANs.
Mas você pode ser perguntar: “Esse material terá alguma serventia pra mim?”.
Esse novo ebook terá como foco o seguinte público:
– Você que administra Switches Cisco mas NÃO deseja tirar nenhuma certificação do fabricante.
– Você que pretende administrar Switches Cisco mas NÃO deseja comprar ou ler uma “massaroca” de páginas com diversos assuntos não relevantes para o seu momento profissional.
– Você que administra Switches de vários fabricantes e quer apenas aprender o básico para adicionar uma nova máquina na rede.
– Você que pegou uma nova função e não entende nada de rede local (LAN).
O eBook abordará assuntos já citados aqui no Blog, mas possui um foco mais didático para administração de Switches com o Sistema Operacional IOS, incluindo pequenos laboratórios com soluções para elucidar os exemplos:
Introdução aos Switches Configurações Básicas VLANs Portas Access e Trunk VTP Roteamento entre VLANs
O pagamento deverá ser pela ferramenta PagSeguro, pela facilidade do cadastro e o suporte para pagamentos do ebook via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito.
Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o email cadastrado no site.
O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.
Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) , a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.
Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.
Assim, todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.
Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.
Uma das funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.
O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.
Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.
Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac deverá mudar…
A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.
interface Vlan-interface1
ip address 192.168.99.1 255.255.255.0
arp send-gratuitous-arp
Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.
A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..
Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! 😉
O IRF é uma tecnologia que permite transformarmos diversos Switches físicos em um único Switch lógico. Todos os equipamentos serão visualizados como uma única “caixa”, aumentando a disponibilidade da rede.
Uma das facilidades da versão 2 é a possibilidade de utilizarmos interfaces 10G para a construção IRF (sem a necessidade de cabos ou módulos específicos ) e a utilização de Switches Modulares para construção da topologia.
Configuração
A configuração do IRF é dividida nos passos abaixo ( utilizaremos[Sw1] e [Sw2] antes dos comandos para diferenciarmos os dispositivos):
1º Converta os 2 Switches no modo IRF
[Sw1]chassis convert mode irf ! Convertendo o Switch 1 no modo IRF
[Sw2]chassis convert mode irf ! Convertendo o Switch 2 no modo IRF
Após a conversão dos Chassis para modo IRF, reinicie os Switches. Os equipamentos subirão com a configuração dos módulos como 1/2/0/1 ( para a porta antes exibida na configuração como 2/0/2; e assim por diante)
2º Renumere o Segundo Switch
[Sw2]irf member 1 renumber 2 ! Forçaremos as portas do Switch 2 para exibirem no formato 2/2/0/x
Reinicie o Switch
3º Altere a prioridade do Switch Master
[Sw1]irf member 1 priority 32 ! O Switch com maior prioridade será eleito o Master ( por default a prioridade de todos os Switches será 1)
4º Deixe as portas 10G que participarão do IRF em shutdown.
[Sw1] interface Ten-GigabitEthernet1/3/0/2 [Sw1-Ten-GigabitEthernet1/3/0/2] shutdown ! Configurando a porta 10G 1/3/0/1 do Switch 1 em shutdown
[Sw2] interface Ten-GigabitEthernet2/3/0/2 [Sw2-Ten-GigabitEthernet2/3/0/2] shutdown ! Configurando a porta 10G 2/3/0/1 do Switch 2 em shutdown
5º Crie a interface lógica para o IRF
[Sw1] irf-port 1/2 ! Criando a interface lógica IRF 1/2 [Sw1-irf-port 1/2] port group interface Ten-GigabitEthernet1/3/0/2 mode enhanced ! Adicionando a porta 10G 1/3/0/2 do Switch 1 na interface IRF no modo enhanced
[Sw2] irf-port 2/1 ! Criando a interface lógica IRF 2/1 [Sw2-irf-port 2/1] port group interface Ten-GigabitEthernet2/3/0/2 mode enhanced ! Adicionando a porta 10G 2/3/0/2 do Switch 1 na interface IRF no modo enhanced
Obs: O fabricante sugere a configuração das portas IRF em modo cruzado, como por exemplo, a porta IRF 1/2 do Switch 1 conectado na porta IRF 2/1 do Switch 2
Após removermos a porta do Switch 2 participante do IRF do shutdown, será exibida a seguinte mensagem:
IRF merge occurs and the IRF system needs a reboot.
Salve a configuração dos 2 Switches e reinicie o Segundo Switch ( o dispositivo não-Master). Espere os módulos subirem e os Switches tornarem-se um só! Display
Para verificar o IRF podemos utilizar os comandos abaixo
[SW1]display irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 1 disable Ten-GigabitEthernet1/3/0/2
2 2 Ten-GigabitEthernet2/3/0/2 disable
[SW1]display irf topology
Topology Info
---------------------------------------
IRF-Port1 IRF-Port2
Switch Link neighbor Link neighbor Belong To
1 DIS -- UP 2 00e0-fc0a-15e0
2 UP 1 DIS -- 00e0-fc0a-15e0
