Só um comentário

Por André Ortega, 07/06/2010 14:16

Com sabemos, para que hosts em redes diferentes se comuniquem é preciso um dispositivo layer 3, para fazer o roteamento. Assim podemos ter um roteador com uma interface em cada rede, como ilustrado abaixo, por exemplo.

Porém nem sempre é viável dispor de duas interfaces de um roteador para este fim, já que interface é um recurso findável (e até custoso).

Para evitar este desperdício, com roteadores Cisco podemos usar uma topologia chamada Router on a Stick, com a utilização de apenas uma interface do roteador, e com a configuração de VLANs (sub-interfaces).

Neste caso temos a topologia como mostrado abaixo (e que é abordada no CCNA).

A interface FastEthernet 0/0 foi dividida em duas sub-interfaces (F0/0.10 e F0/0.20), sendo que cada uma pertence a uma rede diferente (VLAN).

Na configuração do switch nenhuma novidade. As portas ondes estão os usuários e outros equipamentos devem ser configuradas como acesso. Já a porta onde está o roteador deve ser configurada como trunk.

conf t
! Crie as duas VLANs
vlan 10
  exit
vlan 20
  exit
! Configure a interface onde está o roteador como trunk
interface FastEthernet0/1
  switchport trunk encapsulation dot1q
  switchport mode trunk
  exit
! Coloque as interfaces de acesso nas respectivas VLANs
interface FastEthernet0/9
  switchport mode access
  switchport access vlan 20
  exit
interface FastEthernet0/10
  switchport mode access
  switchport access vlan 10
  exit
exit
copy run start

 

Já no roteador temos que criar as sub-interfaces e identificar as VLANs.

conf t
! Na interface física nenhuma configuração
interface fastethernet 0/0
  no ip address
! Crie a primeira sub-interface, coloque o IP e especifique a VLAN
interface FastEthernet 0/0.10
  ip address 192.168.10.1 255.255.255.0
  encapsulation dot1q 10
! Repita o processo para a segunda interface
interface FastEthernet 0/0.20
  ip address 192.168.20.1 255.255.255.0
  encapsulation dot1q 20

Com esta configuração, basta apontar as sub-interfaces como gateways das redes 192.168.10.0 e 192.168.20.0 para que haja comunicação entre elas.

Considerações:

• Esta configuração é simples, útil e abordada no CCNA;
• Cuidado para não inverter a sub-interface e o endereçamento IP na hora da configuração;
• A identificação da sub-interface (0.0/10) e a identificação da VLAN (10) não tem nenhuma relação, mas normalmente mantém-se o mesmo número para facilitar;
• A interface do roteador deve ser no mínimo FastEthernet, já que ela deve ser capaz de enviar e receber tráfego simultaneamente;

Até a próxima.

(2) Comentários

Por Rafael Leão, 01/06/2010 07:00

Nesta semana publiquei um post sobre limitação de banda nos switches 3750, e agora vou mostrar um exemplo da mesma configuração em um Cisco PIX firewall 515E, versão 8.0(4).

Através de políticas de QoS, conseguimos implementar limitação de banda no PIX/ASA, para tráfego outbound, em determinada interface. Os passos para esta configuração são os mesmo do IOS em switches, apenas alguns comandos mudam.

Como podemos ver, há uma rede outside e uma inside somente, com um host cada um. Usei para realizar os testes, o software NetMeter.

Configuração do PIX

O PIX está pré-configurado para este lab da seguinte forma:

interface Ethernet0
nameif inside
security-level 100
ip address 172.16.1.10 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 192.168.10.10 255.255.255.0
!
access-list acl_inside extended permit ip any any
access-list acl_inside extended permit icmp any any
access-list acl_outside extended permit ip any any
access-list acl_outside extended permit icmp any any
!
access-group acl_outside in interface outside
access-group acl_inside in interface inside

Como podemos observar, qualquer tráfego está permitido, nas duas interfaces, mas apenas para efeito de teste.

Agora vamos definir a configuração a ser aplicada.

1. Classificando o tráfego

Uma ACL define o tráfego selecionado…

access-list 700k_outside extended permit ip any any

… e um class-map, irá referenciá-la, para definir qual tráfego receberá determinada política.

class-map map_700k_outside
description 700k outbound interface outside
match access-list 700k_outside

2. Criar o Policy-Map

O policy-map aplica ao tráfego definido por class-maps, as suas respectivas ações. Neste caso, ao class-map map_700k_outside será aplicado uma política de taxa de output de 700Kbps.

policy-map pmap_700k_outside
class map_700k_outside
police output 700000 10500

O parâmetro 700000 significa a taxa de output em bits, e 10500 é o burst, em bytes.

3. Aplicando as políticas

Agora o último passo é aplicar a política à interface, em sentido outbound, com o comando ‘service-policy’. Neste caso, na interface outside.

service-policy pmap_700k_outside interface outside

Vamos aos testes…

Antes de mostrar os testes, uma coisa é importante dizer: estas configurações não serão aplicadas a conexões já existentes, como você poderá perceber a seguir…

Observe o gráfico abaixo:

À esquerda, podemos ver o tráfego normal entre os dois hosts, e do lado direito, o tráfego após aplicadas as configurações. O host 192.168.10.2 está copiando um arquivo de aproximadamente 4,7GB do host 172.16.1.2.

Conforme dito anteriormente, as políticas somente são aplicadas a novas conexões… por isso, após aplicar as configurações, usei o comando ‘clear conn’ para fechar todas elas… então comecei novamente a cópia do arquivo.

A nova conexão mostrada no output do PIX já está no ar com a nova política de tráfego aplicada.

É isso então! Espero ter ajudado…

Dúvidas?! Sugestões?! Críticas?! Todas serão bem vindas!! É só mandar nos comentários… valeu!