Handson Policy Based Routing
Esquema de Rede Esquema Endereçamento Nome Interface IP Máscara Descrição PBR Serial 0/0/0 10.0.0.1 /30 Protected Connection Serial 0/0/1 10.0.0.5 /30 Free Connection FastEthernet 0/0.10 192.168.10.254 /24 Gateway VLAN 10 FastEthernet 0/0.20 192.168.20.254 /24 Gateway VLAN 20 Protected Serial 0/0/0 10.0.0.2 /30 PBR Connection FastEthernet 0/0 172.61.0.1 /30 Internet Connection Free Serial 0/0/0 10.0.0.6 /30 PBR Connection FastEthernet 0/0 172.211.15.1 /30 Internet Connection Data Center FastEthernet 0/0 172.9.193.1 /30 Internet Connection FastEthernet 0/1 192.168.30.254 /24 CRM Connection
Objectivo O objectivo deste handson é demonstrar a capacidade de efetuar routing baseando as decisões em política definidas pelo administrador da rede. Para tornar este tópico mais interessante serão adicionados regras de Service Level Agreement que podem auxiliar a tomada de decisão. A configuração desta topologia passará por várias etapas até ser alcançado o objectivo final. Assim as etapas referidas serão as seguintes: Configurações iniciais o Endereçamento dos interfaces o Servidor de DHCP no PRB o Encaminhamento estático o NAT Estático e dinâmico Configuração de Policy Based Routing o Configurar ACL para tráfego considerado na política o Configurar o route-map com a definição do próximo salto o Definição da política no interface Configuração de IP SLA o Definir as operações IP SLA o Definir os objetos de tracking o Definir as ações associadas ao objecto de tracking Configurações iniciais Endereçamento dos Interfaces Em primeiro lugar, deverá proceder à configuração inicial do equipamento, de acordo com a tabela de endereçamento fornecida. Pode aceder aos routers PBR, Protected e Free por consola e depois de efectuar as configurações necessário por telnet ao endereço público do router Data Center. Router(config)# interface intf-type Intf-number Router(config-if)# description description Router(config-if)# ip address ip_address netmask Router(config-if)# no shutdown Router(config-if)# clock rate clockrate
Servidor DHCP No router PBR deverá configurar um servidor de DCHP que servirá duas pools de endereços para as duas VLAN. Router(config)# ip dhcp pool poolname Router(config-dhcp)# network network-address network-mask Router(config-dhcp)# default-router gateway-address Router(config-dhcp)# dns-server 8.8.8.8 Router(config-dhcp)# domain-name asc.evento.pt Router(config-dhcp)# lease 2 Verifique que as máquinas receberam as configurações IP corretas. Caso não se verifique efetue o troubleshoot necessário. Encaminhamento Estático O router PBR deverá encaminhar todo o trafego para os dois router (Protected e Free) através de duas rotas estáticas. Os routers Protected, Free e Data Center deverão também encaminhar todo o tráfego para os respectivos routers do Service Provider. Nestes routers, deverá ainda efetuar as configurações de NAT que lhe permitirão aceder à internet. Nos rourters Protected e Free terá ainda que configurar as rotas que permitirão chegar as redes locais das VLAN 10 e 20. Rotas Estáticas Router(config)# ip route network-address network-mask next-hop NAT Dinâmico!Trafego interessante Router(config)# ip access-list standard ACL-NAME Router(config-std-nacl)# permit network-address wild-card Router(config-std-nacl)# deny any!criar a regra de NAT Router(config)# ip nat inside source list ACL-NAME interface external-intf overload!ativar NAT nas interfaces Internas e Externas
Router(config)# interface intf-type intf-number Router(config-if)# ip nat inside!ou Router(config-if)# ip nat outside NAT Estático (Data Center)! Tendo em consideração que o serviço que pretendemos utilizar no Data Center é uma aplicação WEB deveremos criar as regras necessárias para que esta comunicação seja possível. Router(config)#ip nat inside source static tcp inside-ip-address service-port external-ip-address external-port Neste momento poderá efetuar teste de conectividade para a Internet e para o serviço que está disponibilizado no Data Center. Deverá verificar que está a utilizar aleatoriamente os dois caminhos disponíveis a partir do router PBR. Router# ping ip-address Router# traceroute ip-address E através do browser das máquinas locais às VLANs 10 e 20 utilizando o endereço http://172.9.193.1/index.html. Configuração Policy Based Routing (router PBR) A próxima configuração irá forçar a que o routing dos pacotes destinados ao servidor web CRM sejam sempre encaminhados para o router Protected. ACL Tráfego Considerado na Política 80 Router(config)# ip access-list extended PBR-TRAFFIC Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 host 172.9.193.1 eq Router(config-ext-nacl)# permit icmp any host 172.9.193.1 Router(config-ext-nacl)# deny ip any any Route-map com a Definição do Próximo Salto Router(config)# route-map PBR permit 10
Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop 10.0.0.2 Router(config)# route-map PBR permit 20 Definição da Política no Interface Router(config)# interface FastEthernet f0/0.10 Router(config-if)# ip policy route-map PBR Depois de eliminar a rota estática default que efetua o balanceamento no router PBR para o router Protected, verifique a comunicação da rede da VLAN 10 para o CRM, iniciando um browser no PC Privileged apontando para http://172.9.193.1/index.html. Para verificar que o tráfego está a passar pelo router Protected pode activar o debug executando os seguintes comandos no router Protected. Router(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 172.9.193.1 eq 80 Router(config)# access-list 100 deny ip any any CTRL-Z Router# debug ip packet detail 100 Para que seja possível criar o resultado do debug deverá ser forçado o process-switch no interface onde o tráfego entra. Router(config)# interface serial 0/0/0 Router(config-if)# no ip route-cache Configuração de IP SLA (router PBR) Nesta fase vamos monitorizar a capacidade de comunicar com o CRM através do router Protected, caso isso não seja possível utilizaremos os router Free para lá chegar. Definir as Operações IP SLA Router(config)# ip sla 1 Router(config-ip-sla)# http get http://172.9.193.1 source-ip 192.168.10.254 Router(config-ip-sla)# frequency 61 Router(config-ip-sla)# timeout 5000 Router(config-ip-sla)# exit Router(config)# ip sla schedule 1 life fovever start-time now
Definir os Objetos de Tracking Router(config)# track 10 ip sla 1 reachability Definir as Ações Associadas ao Objecto de Tracking! Para efetuar este ponto temos que realizar uma alteração no route-map PBR Router(config)# no route-map PBR permit 10 Router(config)# route-map PBR permit 10 Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop verify-availability 10.0.0.2 1 track 10! Caso não esteja disponível segue pelo próximo next-hop Router(config-route-map)# set ip next-hop 10.0.0.6! Politica por omissão Router(config-route-map)# route-map PBR permit 20 Router(config-route-map)# set ip next-hop 10.0.0.6 Para que esta esquema funcione como previsto temos que efetuar as seguintes alterações a configuração anterior:! Retirar a rota default para o router Free e coloca-la a encaminhar para o router Protect, uma vez que todo o encaminhamento será efectuado via Policy Based Routing.! Activar o Policy Based Routing no interface FastEthernet 0/0.20 Verificação: Router(config)# no ip route 0.0.0.0 0.0.0.0 10.0.0.6 Router(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2 Router(config)# interface FastEthernet 0/0.10 Router(config-if)# ip policy route-map PBR Router(config)# interface FastEthernet 0/0.20 Router(config-if)# ip policy route-map PBR Com a consola do router Protected aberta para monitorizar o tráfego que passa da rede VLAN 10 para o CRM, inicie um browser na máquina Privileged e aceda, novamente, a http://172.9.193.1/index.html e verifique que o trafego continua a passar por este router. Em seguida desative a ligação do router Protected a Internet e tente estabelecer novamente o acesso ao CRM.