You are on page 1of 7

Handson Policy Based Routing

HandsOn PBR

Esquema de Rede

Esquema Endereamento
Nome PBR Interface Serial 0/0/0 Serial 0/0/1 FastEthernet 0/0.10 FastEthernet 0/0.20 Protected Serial 0/0/0 FastEthernet 0/0 Free Serial 0/0/0 FastEthernet 0/0 Data Center FastEthernet 0/0 FastEthernet 0/1
Academia Cisco ISEP

IP

Mscara 10.0.0.1 /30 10.0.0.5 /30 192.168.10.254 /24 192.168.20.254 /24 10.0.0.2 /30 172.61.0.1 /30 10.0.0.6 /30 172.211.15.1 /30 172.9.193.1 /30 192.168.30.254 /24

Descrio Protected Connection Free Connection Gateway VLAN 10 Gateway VLAN 20 PBR Connection Internet Connection PBR Connection Internet Connection Internet Connection CRM Connection

HandsOn PBR

Objectivo
O objectivo deste handson demonstrar a capacidade de efetuar routing baseando as decises em poltica definidas pelo administrador da rede. Para tornar este tpico mais interessante sero adicionados regras de Service Level Agreement que podem auxiliar a tomada de deciso. A configurao desta topologia passar por vrias etapas at ser alcanado o objectivo final. Assim as etapas referidas sero as seguintes: Configuraes iniciais o Endereamento dos interfaces o Servidor de DHCP no PRB o Encaminhamento esttico o NAT Esttico e dinmico Configurao de Policy Based Routing o Configurar ACL para trfego considerado na poltica o Configurar o route-map com a definio do prximo salto o Definio da poltica no interface Configurao de IP SLA o Definir as operaes IP SLA o Definir os objetos de tracking o Definir as aes associadas ao objecto de tracking

Configuraes iniciais Endereamento dos Interfaces


Em primeiro lugar, dever proceder configurao inicial do equipamento, de acordo com a tabela de endereamento fornecida. Pode aceder aos routers PBR, Protected e Free por consola e depois de efectuar as configuraes necessrio por telnet ao endereo pblico do router Data Center. Router(config)# interface intf-type Intf-number Router(config-if)# description description Router(config-if)# ip address ip_address netmask Router(config-if)# no shutdown Router(config-if)# clock rate clockrate
Academia Cisco ISEP

HandsOn PBR

Servidor DHCP
No router PBR dever configurar um servidor de DCHP que servir duas pools de endereos para as duas VLAN. Router(config)# ip dhcp pool poolname Router(config-dhcp)# network network-address network-mask Router(config-dhcp)# default-router gateway-address Router(config-dhcp)# dns-server 8.8.8.8 Router(config-dhcp)# domain-name asc.evento.pt Router(config-dhcp)# lease 2 Verifique que as mquinas receberam as configuraes IP corretas. Caso no se verifique efetue o troubleshoot necessrio. Encaminhamento Esttico O router PBR dever encaminhar todo o trafego para os dois router (Protected e Free) atravs de duas rotas estticas. Os routers Protected, Free e Data Center devero tambm encaminhar todo o trfego para os respectivos routers do Service Provider. Nestes routers, dever ainda efetuar as configuraes de NAT que lhe permitiro aceder internet. Nos rourters Protected e Free ter ainda que configurar as rotas que permitiro chegar as redes locais das VLAN 10 e 20. Rotas Estticas Router(config)# ip route network-address network-mask next-hop NAT Dinmico !Trafego interessante Router(config)# ip access-list standard ACL-NAME Router(config-std-nacl)# permit network-address wild-card Router(config-std-nacl)# deny any !Criar a regra de NAT Router(config)# ip nat inside source list ACL-NAME interface external-intf overload !Ativar NAT nas interfaces Internas e Externas
Academia Cisco ISEP

HandsOn PBR

Router(config)# interface intf-type intf-number Router(config-if)# ip nat inside !ou Router(config-if)# ip nat outside

NAT Esttico (Data Center) ! Tendo em considerao que o servio que pretendemos utilizar no Data Center uma aplicao WEB deveremos criar as regras necessrias para que esta comunicao seja possvel. Router(config)#ip nat inside source static tcp inside-ip-address service-port external-ip-address external-port Neste momento poder efetuar teste de conectividade para a Internet e para o servio que est disponibilizado no Data Center. Dever verificar que est a utilizar aleatoriamente os dois caminhos disponveis a partir do router PBR. Router# ping ip-address Router# traceroute ip-address E atravs do browser das mquinas locais s VLANs 10 e 20 utilizando o endereo http://172.9.193.1/index.html.

Configurao Policy Based Routing (router PBR) A prxima configurao ir forar a que o routing dos pacotes destinados ao servidor web CRM sejam sempre encaminhados para o router Protected. ACL Trfego Considerado na Poltica
Router(config)# ip access-list extended PBR-TRAFFIC Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 host 172.9.193.1 eq 80 Router(config-ext-nacl)# permit icmp any host 172.9.193.1 Router(config-ext-nacl)# deny ip any any Route-map com a Definio do Prximo Salto Router(config)# route-map PBR permit 10
Academia Cisco ISEP

HandsOn PBR

Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop 10.0.0.2 Router(config)# route-map PBR permit 20 Definio da Poltica no Interface Router(config)# interface FastEthernet f0/0.10 Router(config-if)# ip policy route-map PBR Depois de eliminar a rota esttica default que efetua o balanceamento no router PBR para o router Protected, verifique a comunicao da rede da VLAN 10 para o CRM, iniciando um browser no PC Privileged apontando para http://172.9.193.1/index.html. Para verificar que o trfego est a passar pelo router Protected pode activar o debug executando os seguintes comandos no router Protected. Router(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 172.9.193.1 eq 80 Router(config)# access-list 100 deny ip any any CTRL-Z Router# debug ip packet detail 100 Para que seja possvel criar o resultado do debug dever ser forado o process-switch no interface onde o trfego entra. Router(config)# interface serial 0/0/0 Router(config-if)# no ip route-cache Configurao de IP SLA (router PBR) Nesta fase vamos monitorizar a capacidade de comunicar com o CRM atravs do router Protected, caso isso no seja possvel utilizaremos os router Free para l chegar.

Definir as Operaes IP SLA Router(config)# ip sla 1 Router(config-ip-sla)# http get http://172.9.193.1 source-ip 192.168.10.254 Router(config-ip-sla)# frequency 61 Router(config-ip-sla)# timeout 5000 Router(config-ip-sla)# exit Router(config)# ip sla schedule 1 life fovever start-time now
Academia Cisco ISEP

HandsOn PBR

Definir os Objetos de Tracking Router(config)# track 10 ip sla 1 reachability Definir as Aes Associadas ao Objecto de Tracking ! Para efetuar este ponto temos que realizar uma alterao no route-map PBR Router(config)# no route-map PBR permit 10 Router(config)# route-map PBR permit 10 Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop verify-availability 10.0.0.2 1 track 10 ! Caso no esteja disponvel segue pelo prximo next-hop Router(config-route-map)# set ip next-hop 10.0.0.6 ! Politica por omisso Router(config-route-map)# route-map PBR permit 20 Router(config-route-map)# set ip next-hop 10.0.0.6 Para que esta esquema funcione como previsto temos que efetuar as seguintes alteraes a configurao anterior: ! Retirar a rota default para o router Free e coloca-la a encaminhar para o router Protect, uma vez que todo o encaminhamento ser efectuado via Policy Based Routing. ! Activar o Policy Based Routing no interface FastEthernet 0/0.20 Router(config)# no ip route 0.0.0.0 0.0.0.0 10.0.0.6 Router(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2 Router(config)# interface FastEthernet 0/0.10 Router(config-if)# ip policy route-map PBR Router(config)# interface FastEthernet 0/0.20 Router(config-if)# ip policy route-map PBR Verificao: Com a consola do router Protected aberta para monitorizar o trfego que passa da rede VLAN 10 para o CRM, inicie um browser na mquina Privileged e aceda, novamente, a http://172.9.193.1/index.html e verifique que o trafego continua a passar por este router. Em seguida desative a ligao do router Protected a Internet e tente estabelecer novamente o acesso ao CRM.

Academia Cisco ISEP

You might also like