Gateways e roteamento de VLAN

Navegue suas respostas
1

Isto para fins hipotéticos - mais uma questão de aprendizagem do que uma questão de produção.

Se eu tiver o switch (Camada 3, digamos um Procurve) com um punhado de VLANs configuradas. Vamos dizer: 

DEFAULT VLAN  10.1.1.0/24
VLAN10        172.16.30.0/24
VLAN100       192.168.1.0/24

Existem dois firewalls - FW01 e FW02: 

FW01 IP: 10.1.1.1
FW02 IP: 10.1.1.2

Eu quero que VLAN10 e VLAN100 usem FW01 para a Internet (porque essa é uma linha mais rápida, por exemplo)

Eu quero que o DEFAULT VLAN use FW02 porque ele tem um upload maior (por causa de argumentos).

Algumas perguntas:

1). Em primeiro lugar, qual seria o gateway padrão do switch? ( Default VLAN )

2). Onde eu / como eu configuraria gateways padrão adicionais para as outras VLANs? Supondo que o DHCP forneça switches como gateways padrão, isso ativará o roteamento entre VLANs.

3). Como o switch saberia qual gateway padrão deve ser usado por pacote de VLAN?

Obrigado!

    
por PnP 02.04.2013 / 21:08

1 resposta

5

Isso não é tão fácil quanto você imagina. Responda à sua primeira e terceira perguntas:

  • Um gateway padrão está sempre na mesma sub-rede que o endereço IP de uma interface. Os gateways padrão são usados para sair da sua sub-rede local, portanto, se não estivesse na mesma sub-rede, um computador não sabe como alcançar a sub-rede. Então, para a vlan padrão passar pelo FW02, o gateway padrão seria 10.1.1.2
  • O roteamento padrão é feito com base apenas no IP de destino . Roteadores e switches são rápidos em procurar endereços IP de destino, mas a maioria dos hardwares não é construída para levar em conta os IPs de origem.

Agora, você pode fazer isso de duas maneiras:

  1. Encerra a VLAN nos firewalls . Duas (sub) interfaces na VLAN 10 e VLAN 100 no FW01. Os gateways padrão nessas VLANs seriam os IPs que você forneceu ao FW01, por exemplo, 172.16.30.1 e 192.168.1.1, respectivamente.
  2. Use o roteamento baseado em políticas . Se o seu switch da camada 3 é capaz, você pode rotear com base em políticas. Uma dessas políticas pode ser o endereço de origem. Mas lembre-se: como isso não pode ser feito principalmente em hardware, tudo será direcionado para a CPU geral, prejudicando o desempenho da rede sob carga.

Agora, para responder à sua segunda pergunta: No IPv4, você só tem um gateway padrão. Você poderia adicionar várias rotas, mas isso seria incontrolável rapidamente. Então, o que você faz é: terminar todas as VLANs em ambos os firewalls, com um protocolo de redundância de Camada dois configurado, como o VRRP. Em seguida, você configura a prioridade da VLAN padrão para que o FW02 esteja ativo para aquela, e a prioridade para a VLAN 10 e a VLAN 100, de modo que FW01 esteja ativo para aquela. Se um firewall morrer, o outro assumirá, resultando em menos largura de banda, mas quase sem interrupção de rede.

Os Gateways Padrão neste caso serão os endereços IP virtuais atribuídos ao configurar o VRRP. Veja a entrada da wikipedia para um exemplo.

    
por 02.04.2013 / 22:00

Tags

resetando uma instância do Amazon EC2 na reinicialização quais são as melhores maneiras de verificar a integridade de um servidor baseado no debian [fechado]