Entendendo o Roteamento Baseado em Política

Transcrição

1 Entendendo o Roteamento Baseado em Política Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Configurações Diagrama de Rede Configuração para Firewall Introdução O Roteamento Baseado em Política fornece uma ferramenta para encaminhamento e roteamento de pacotes de dados de acordo com as políticas definidas por administradores de rede. Na verdade, é a forma de fazer com que a política substitua as decisões de protocolo de roteamento. O roteamento baseado na política inclui um mecanismo para aplicar seletivamente políticas com base em lista de acesso, tamanho de pacote ou outro critério. As ações realizadas podem incluir o roteamento de pacotes em rotas definidas por usuários, a definição de precedência, o tipo de bits de serviço etc. Neste documento, um firewall está sendo usado para converter endereços privados /8 em endereços da Internet roteáveis pertencentes à sub-rede /24. Consulte o diagrama abaixo para obter uma explicação visual. Consulte Roteamento Baseado na Política para obter mais informações. Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Usados Este documento não se restringe a nenhuma versão específica de software ou hardware. As informações mostradas neste documento são baseadas nas versões de hardware e software abaixo: Cisco IOS Software Release 12.3(3) Cisco 2500 Series Routers As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los. Convenções Para obter mais informações sobre convenções em documentos, consulte Convenções de Dicas Técnicas da Cisco. Configurações Neste exemplo, com roteamento normal, todos os pacotes da rede /8 para a Internet utilizarão o caminho através da interface ethernet 0/0 do Cisco WAN Router (através da sub-rede /24) porque é o melhor caminho com a menor métrica. Com o roteamento baseado na política, queremos que esses pacotes utilizem o caminho através do firewall para a Internet; o comportamento de roteamento normal precisa ser substituído por meio da configuração do Roteamento Baseado em Política. O firewall converte todos os pacotes da rede /8 que estão indo para a Internet. No entanto, isso não é necessário para que o Roteamento Baseado em Política funcione.

2 Diagrama de Rede Configuração para Firewall A configuração de firewall a seguir foi incluída para ilustrar a questão de forma completa. No entanto, ela não faz parte da questão de Roteamento Baseado em Política explicada neste documento. O firewall neste exemplo poderia ser facilmente substituído por um PIX ou outro dispositivo de firewall. ip nat pool net prefix-length 24 ip nat inside source list 1 pool net-10 interface Ethernet0 ip address ip nat outside interface Ethernet1 ip address ip nat inside redistribute static default-metric ip route Null0 access-list 1 permit end Consulte Endereçamento de IP e Comandos de Serviços para obter mais informações sobre comandos relacionados ao ip nat Neste exemplo, o Cisco WAN Router está executando um Roteamento Baseado em Política para garantir que os pacotes IP provenientes da rede /8 serão enviados através do firewall. A configuração abaixo contém uma instrução de lista de acesso que envia pacotes provenientes da rede /8 ao firewall. Configuração para Cisco_WAN_Router interface Ethernet0/0 ip address no ip directed-broadcast

3 interface Ethernet0/1 ip address no ip directed-broadcast interface Ethernet3/0 ip address no ip directed-broadcast ip policy route-map net-10 access-list 111 permit ip any route-map net-10 permit 10 match ip address 111 set interface Ethernet0/1 route-map net-10 permit 20 end Consulte a documentação sobre o comando route-map para obter mais informações sobre comandos relacionados ao route-map. Configuração para o Roteador Cisco-1 version 12.3 interface Ethernet0 -- Interface conectada à rede ip address interface Ethernet1 -- Interface conectada ao Cisco_Wan_Router ip address network no auto-summary --- Saída suprimida. Configuração para Internet_Router version 12.3 interface Ethernet1 Interface conectada ao firewall ip address interface Serial0

4 --- Interface conectada à Internet ip address clockrate no fair-queue interface Ethernet0 --- Interface conectada ao Cisco_Wan_Router ip address redistribute static --- Redistribuindo a rota padrão a outros roteadores para alcançar a Internet no auto-summary ip classless ip route Rota padrão estática apontando para o roteador conectado à Internet --- Saída suprimida. No teste, este exemplo, um ping proveniente de no roteador Cisco-1, usando o comando extended ping, foi enviado a um host na Internet. Neste exemplo, foi usado como o endereço de destino. Para ver o que está acontecendo no roteador de Internet, o switching rápido foi desativado enquanto o comando debug ip packet 101 detail estava sendo usado. Advertência: Usar o comando debug ip packet detail em um roteador de produção pode fazer alta utilização da CPU, o que pode resultar em uma severa degradação do desempenho ou em queda da rede. Recomendamos que você leia atentamente a seção Usando o Comando Debug em Entendendo os Comandos Ping e Traceroute antes de usar os comandos de depuração. Observação: A instrução access-list 101 permit icmp any any é usada para filtrar a saída debug ip packet. Sem essa lista de acesso, o comando debug ip packet pode gerar uma quantidade grande de saída para o console e que travará o roteador. Results of ping from Cisco_1 to /internet taken from Internet_Router: Packet never makes it to Internet_Router Cisco_1# ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Success rate is 0 percent (0/5) Como você pode perceber, o pacote nunca chegou ao roteador de Internet. Os comandos de depuração abaixo, tirados do Cisco WAN Router, mostram porque isso aconteceu. Debug commands run from Cisco_WAN_Router: "debug ip policy" *Mar 1 00:43:08.367: IP: s= (Ethernet3/0), d= , len 100, policy match

5 *Mar 1 00:43:08.367: IP: route map net-10, item 10, permit --- Pacote com endereço de origem pertencente à rede /8 --- corresponde à instrução 10 do mapa de rede "net-10". *Mar 1 00:43:08.367: IP: s= (Ethernet3/0), d= (Ethernet0/1), len 100, policy routed *Mar 1 00:43:08.367: Ethernet3/0 to Ethernet0/ pacotes correspondentes são anteriormente encaminhados para fora da interface --- ethernet 0/1 pelo comando set. O pacote fez correspondência com a entrada de política 10 no mapa de política net-10, conforme esperado. Então por que o pacote não chegou ao roteador de Internet? "debug arp" *Mar 1 00:06:09.619: IP ARP: creating incomplete entry for IP address: interface Ethernet0/1 *Mar 1 00:06:09.619: IP ARP: sent req src b0.64cb.eab1, dst Ethernet0/1 *Mar 1 00:06:09.635: IP ARP rep filtered src b81.0b19, dst b0.64cb.eab1 wrong cable, interface Ethernet0/1 Cisco_Wan_Router# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet b0.64cb.eab1 ARPA Ethernet0/1 Internet b81.0b19 ARPA Ethernet0/1 Internet Incomplete ARPA A saída debug arp mostra isso. O Cisco WAN Router tenta fazer o que lhe foi instruído e tenta colocar os pacotes diretamente na interface ethernet 0/1. Isso requer que o roteador envie um protocolo de resolução de endereço (ARP) ao endereço de destino de O roteador percebe que ele não está na sua interface e, portanto, a entrada de ARP desse endereço fica "Incomplete" (incompleta), conforme visto pelo comando show arp. Ocorre então uma falha de encapsulamento porque o roteador não consegue colocar o pacote no cabo sem entrada de ARP. Ao especificar o firewall como o salto seguinte, podemos evitar esse problema e fazer o mapa de rota funcionar conforme esperado: Config changed on Cisco_WAN_Router: route-map net-10 permit 10 match ip address 111 set ip next-hop Usando o mesmo comando debug ip packet 101 detail no roteador de Internet, podemos ver que o pacote está tomando o caminho correto. Podemos também perceber que o pacote foi convertido em pelo firewall e que a máquina que está sofrendo ping, a , respondeu: Cisco_1# ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Success rate is 100 percent (5/5), round-trip min/avg/max = 68/70/76 ms Results of ping from Cisco_1 to /internet taken from Internet_Router: Internet_Router# *Mar 1 00:06:11.619: IP: s= (Ethernet1), d= (Serial0), g= , len 100, forward *Mar 1 00:06:11.619: ICMP type=8, code=0 --- Os pacotes originados em estão sendo convertidos em pelo --- firewall antes de ele chegar no Internet_Router.

6 *Mar 1 00:06:11.619: *Mar 1 00:06:11.619: IP: s= (Serial0), d= (Ethernet1), g= , len 100, forward *Mar 1 00:06:11.619: ICMP type=0, code=0 --- Os pacotes que retornam da Internet chegam com o endereço de destino antes de alcançar o firewall. *Mar 1 00:06:11.619: O comando debug ip policy no Cisco WAN Router mostra que o pacote foi encaminhado ao firewall, : Execução de Comandos de Depuração do Cisco_WAN_Router "debug ip policy" *Mar 1 00:06:11.619: s= (Ethernet3/0), d= , len 100, policy match *Mar 1 00:06:11.619: IP: route map net-10, item 20, permit *Mar 1 00:06:11.619: s= (Ethernet3/0), d= (Ethernet0/1), len 100, policy routed *Mar 1 00:06:11.619: Ethernet3/0 to Ethernet0/ Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 22 Maio