Handson Policy Based Routing

Transcrição

1 Handson Policy Based Routing

2 Esquema de Rede Esquema Endereçamento Nome Interface IP Máscara Descrição PBR Serial 0/0/ /30 Protected Connection Serial 0/0/ /30 Free Connection FastEthernet 0/ /24 Gateway VLAN 10 FastEthernet 0/ /24 Gateway VLAN 20 Protected Serial 0/0/ /30 PBR Connection FastEthernet 0/ /30 Internet Connection Free Serial 0/0/ /30 PBR Connection FastEthernet 0/ /30 Internet Connection Data Center FastEthernet 0/ /30 Internet Connection FastEthernet 0/ /24 CRM Connection

3 Objectivo O objectivo deste handson é demonstrar a capacidade de efetuar routing baseando as decisões em política definidas pelo administrador da rede. Para tornar este tópico mais interessante serão adicionados regras de Service Level Agreement que podem auxiliar a tomada de decisão. A configuração desta topologia passará por várias etapas até ser alcançado o objectivo final. Assim as etapas referidas serão as seguintes: Configurações iniciais o Endereçamento dos interfaces o Servidor de DHCP no PRB o Encaminhamento estático o NAT Estático e dinâmico Configuração de Policy Based Routing o Configurar ACL para tráfego considerado na política o Configurar o route-map com a definição do próximo salto o Definição da política no interface Configuração de IP SLA o Definir as operações IP SLA o Definir os objetos de tracking o Definir as ações associadas ao objecto de tracking Configurações iniciais Endereçamento dos Interfaces Em primeiro lugar, deverá proceder à configuração inicial do equipamento, de acordo com a tabela de endereçamento fornecida. Pode aceder aos routers PBR, Protected e Free por consola e depois de efectuar as configurações necessário por telnet ao endereço público do router Data Center. Router(config)# interface intf-type Intf-number Router(config-if)# description description Router(config-if)# ip address ip_address netmask Router(config-if)# no shutdown Router(config-if)# clock rate clockrate

4 Servidor DHCP No router PBR deverá configurar um servidor de DCHP que servirá duas pools de endereços para as duas VLAN. Router(config)# ip dhcp pool poolname Router(config-dhcp)# network network-address network-mask Router(config-dhcp)# default-router gateway-address Router(config-dhcp)# dns-server Router(config-dhcp)# domain-name asc.evento.pt Router(config-dhcp)# lease 2 Verifique que as máquinas receberam as configurações IP corretas. Caso não se verifique efetue o troubleshoot necessário. Encaminhamento Estático O router PBR deverá encaminhar todo o trafego para os dois router (Protected e Free) através de duas rotas estáticas. Os routers Protected, Free e Data Center deverão também encaminhar todo o tráfego para os respectivos routers do Service Provider. Nestes routers, deverá ainda efetuar as configurações de NAT que lhe permitirão aceder à internet. Nos rourters Protected e Free terá ainda que configurar as rotas que permitirão chegar as redes locais das VLAN 10 e 20. Rotas Estáticas Router(config)# ip route network-address network-mask next-hop NAT Dinâmico!Trafego interessante Router(config)# ip access-list standard ACL-NAME Router(config-std-nacl)# permit network-address wild-card Router(config-std-nacl)# deny any!criar a regra de NAT Router(config)# ip nat inside source list ACL-NAME interface external-intf overload!ativar NAT nas interfaces Internas e Externas

5 Router(config)# interface intf-type intf-number Router(config-if)# ip nat inside!ou Router(config-if)# ip nat outside NAT Estático (Data Center)! Tendo em consideração que o serviço que pretendemos utilizar no Data Center é uma aplicação WEB deveremos criar as regras necessárias para que esta comunicação seja possível. Router(config)#ip nat inside source static tcp inside-ip-address service-port external-ip-address external-port Neste momento poderá efetuar teste de conectividade para a Internet e para o serviço que está disponibilizado no Data Center. Deverá verificar que está a utilizar aleatoriamente os dois caminhos disponíveis a partir do router PBR. Router# ping ip-address Router# traceroute ip-address E através do browser das máquinas locais às VLANs 10 e 20 utilizando o endereço Configuração Policy Based Routing (router PBR) A próxima configuração irá forçar a que o routing dos pacotes destinados ao servidor web CRM sejam sempre encaminhados para o router Protected. ACL Tráfego Considerado na Política 80 Router(config)# ip access-list extended PBR-TRAFFIC Router(config-ext-nacl)# permit tcp host eq Router(config-ext-nacl)# permit icmp any host Router(config-ext-nacl)# deny ip any any Route-map com a Definição do Próximo Salto Router(config)# route-map PBR permit 10

6 Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop Router(config)# route-map PBR permit 20 Definição da Política no Interface Router(config)# interface FastEthernet f0/0.10 Router(config-if)# ip policy route-map PBR Depois de eliminar a rota estática default que efetua o balanceamento no router PBR para o router Protected, verifique a comunicação da rede da VLAN 10 para o CRM, iniciando um browser no PC Privileged apontando para Para verificar que o tráfego está a passar pelo router Protected pode activar o debug executando os seguintes comandos no router Protected. Router(config)# access-list 100 permit tcp host eq 80 Router(config)# access-list 100 deny ip any any CTRL-Z Router# debug ip packet detail 100 Para que seja possível criar o resultado do debug deverá ser forçado o process-switch no interface onde o tráfego entra. Router(config)# interface serial 0/0/0 Router(config-if)# no ip route-cache Configuração de IP SLA (router PBR) Nesta fase vamos monitorizar a capacidade de comunicar com o CRM através do router Protected, caso isso não seja possível utilizaremos os router Free para lá chegar. Definir as Operações IP SLA Router(config)# ip sla 1 Router(config-ip-sla)# http get source-ip Router(config-ip-sla)# frequency 61 Router(config-ip-sla)# timeout 5000 Router(config-ip-sla)# exit Router(config)# ip sla schedule 1 life fovever start-time now

7 Definir os Objetos de Tracking Router(config)# track 10 ip sla 1 reachability Definir as Ações Associadas ao Objecto de Tracking! Para efetuar este ponto temos que realizar uma alteração no route-map PBR Router(config)# no route-map PBR permit 10 Router(config)# route-map PBR permit 10 Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop verify-availability track 10! Caso não esteja disponível segue pelo próximo next-hop Router(config-route-map)# set ip next-hop ! Politica por omissão Router(config-route-map)# route-map PBR permit 20 Router(config-route-map)# set ip next-hop Para que esta esquema funcione como previsto temos que efetuar as seguintes alterações a configuração anterior:! Retirar a rota default para o router Free e coloca-la a encaminhar para o router Protect, uma vez que todo o encaminhamento será efectuado via Policy Based Routing.! Activar o Policy Based Routing no interface FastEthernet 0/0.20 Verificação: Router(config)# no ip route Router(config)# ip route Router(config)# interface FastEthernet 0/0.10 Router(config-if)# ip policy route-map PBR Router(config)# interface FastEthernet 0/0.20 Router(config-if)# ip policy route-map PBR Com a consola do router Protected aberta para monitorizar o tráfego que passa da rede VLAN 10 para o CRM, inicie um browser na máquina Privileged e aceda, novamente, a e verifique que o trafego continua a passar por este router. Em seguida desative a ligação do router Protected a Internet e tente estabelecer novamente o acesso ao CRM.