acesso WAN no comutador de camada 3

Navegue suas respostas
2

Tenho um switch HP ProCurve 8212zl que estou atualmente configurando do zero. Essa opção é um switch da Camada 3 , o que significa que também suporta roteamento .

Eu também tenho um ISP que me fornece acesso à Internet através de um canal de fibra Gigabit SFP 1000SX e me atribuiu uma variedade de endereços IP estáticos, além de me fornecer o endereço IP de seu Gateway.

Meu objetivo agora é configurar uma configuração mínima que ofereça suporte a acesso LAN e WAN (ou seja, acesso a meus dispositivos de rede local e também acesso à Internet por meio do gateway do ISP).

Configurar a LAN foi muito simples. Eu usei o CLI do switch para atribuir um endereço IP ao switch. Em seguida, atribuí manualmente endereços IP estáticos a todos os dispositivos conectados ao switch. (Eu percebo que eu deveria estar usando DHCP, mas novamente, no momento estou interessado apenas na configuração mais simples possível que suporta LAN e WAN.) Então agora eu tenho a LAN funcionando: todos os dispositivos conectados ao switch podem fazer ping no switch, e todos os dispositivos conectados ao switch podem pingar uns aos outros. A LAN consiste em uma única VLAN padrão.

No entanto, não consigo descobrir como acessar a Internet.

Eu tenho um canal de fibra que conecta diretamente a um módulo de chave via um SFP (1000SX Mini-GBIC). O SFP está conectado à porta B21 no switch. Usando o switch CLI, posso verificar o status da porta do canal de fibra digitando show interfaces B21 . Isso me mostra que a porta B21 está de fato ativada e seu status está ativo e está recebendo bytes. Então o SFP e a porta parecem estar funcionando bem.

Conceitualmente, meu entendimento é que, para acessar a Internet, o switch precisaria:

  1. Verifique se um pacote tem um IP de destino que não faz parte do LAN local
  2. Em caso afirmativo, encaminhe-o para o gateway do meu provedor através da porta B21 (a porta do canal de fibra)

Li muitos dos manuais do HP ProCurve, mas não entendo como isso é feito. O mais próximo que eu posso entender é que você precisa habilitar o roteamento no switch (que eu fiz) e, em seguida, especificar uma "rota padrão" . Uma rota padrão diz basicamente ao switch "se você vir um pacote destinado a algum endereço que não faz parte da LAN local, encaminhe-o para <SOME IP ADDRESS> "

Então, no CLI, posso fazer: 

# ip route 0.0.0.0/0 <MY ISP'S GATEWAY IP ADDRESS>

Isto diz ao switch que se um pacote é destinado a algum endereço que não faz parte da LAN, encaminhe-o para <ISP GATEWAY ADDRESS> .

Eu tentei isso e não funciona - o que significa que, mesmo com o conjunto de rotas padrão, ainda não consigo fazer ping no gateway do meu provedor, e não consigo fazer ping em nenhum endereço externo da Internet (como o endereço IP do google .com, por exemplo).

Mas, pior ainda, eu nem entendo por que isso deveria funcionar. Como o switch pode saber que ele deve passar pela porta do canal de fibra (porta B23 ) para acessar o mundo externo até mesmo para encontrar <ISP GATEWAY ADDRESS> ? Não vejo como o comando ip route fornece ao switch informações suficientes sobre onde encontrar <ISP GATEWAY ADDRESS> .

Eu suspeito que devo estar perdendo algum conceito chave aqui. Em geral, quero informar a opção: "se você vir um pacote destinado a um endereço não-LAN, encaminhe-o para a porta B23, onde você encontrará uma conexão com o mundo externo e com o próximo salto (o gateway do meu provedor)" .

Então, o que estou perdendo aqui?

    
por Siler 29.11.2017 / 15:18

3 respostas

1

Basicamente, o que Roman e Ewwhite estão dizendo é que você precisa de um entendimento muito melhor de redes para fazer isso funcionar.
Se você realmente pretende fazer desta forma, você precisará configurar duas VLANs no switch. Um para sua LAN e outro para a internet. Você precisará usar um dos endereços IP atribuídos da Internet em seu switch para a porta B23. Você precisará configurar o roteamento entre as VLANs para atingir suas metas declaradas.
Uma rápida pesquisa no Google encontrou este tópico com alguém que procura fazer algo semelhante a você, siga-o para obter um melhor entendimento. link

    
por 29.11.2017 / 20:56
1

Você não sabe o que está fazendo. Isso fica evidente na sua pergunta anterior. E tudo bem ... mas tudo isso ainda é muito, muito errado.

Então, o conceito básico é que essa opção, enquanto um grande dispositivo de fantasia L2-L4 , não é um firewall, nem é um gateway voltado para a Internet.

Você precisa de um dispositivo de firewall separado.

    
por 29.11.2017 / 15:37
0

A partir de sua descrição, você não estabeleceu a conectividade L3 entre seu ISP e seu comutador.

Lembre-se de que os roteadores são necessários apenas para rotear entre sub-redes IP . Sua rota padrão é inútil sem o dispositivo ter um endereço IP dentro dessa sub-rede específica.

Existem mais problemas com o que você está tentando alcançar:

  1. A menos que seus dispositivos de LAN tenham IPs públicos atribuídos¹, seu ISP eliminará todo o tráfego desses dispositivos com justiça
  2. Você está expondo um switch L3 à Internet.
  3. ... muitos para contar.

A configuração proposta irá criar muitas dores de cabeça no caminho. Pelo menos use um roteador / firewall dedicado para acessar a internet.

Edit: como ewwhite disse; partes disto já apontaram em sua outra pergunta. Aprenda corretamente o roteamento IP antes de ir adiante, ou você terá um mau dia de avaliação no futuro próximo.

¹) não é realmente mais uma LAN

    
por 29.11.2017 / 15:39

Tags

Por que escrever no meu NAS em pequenos trechos é tão lento? Como restringir a raiz para acessar um diretório usado por outro usuário com o selinux