Professional Documents
Culture Documents
HandsOn PBR
Esquema de Rede
Esquema
Endereamento
Nome
PBR
Interface
Serial
0/0/0
Serial
0/0/1
FastEthernet
0/0.10
FastEthernet
0/0.20
Protected
Serial
0/0/0
FastEthernet
0/0
Free
Serial
0/0/0
FastEthernet
0/0
Data
Center
FastEthernet
0/0
FastEthernet
0/1
Academia
Cisco
ISEP
IP
Mscara 10.0.0.1 /30 10.0.0.5 /30 192.168.10.254 /24 192.168.20.254 /24 10.0.0.2 /30 172.61.0.1 /30 10.0.0.6 /30 172.211.15.1 /30 172.9.193.1 /30 192.168.30.254 /24
Descrio Protected Connection Free Connection Gateway VLAN 10 Gateway VLAN 20 PBR Connection Internet Connection PBR Connection Internet Connection Internet Connection CRM Connection
HandsOn PBR
Objectivo
O objectivo deste handson demonstrar a capacidade de efetuar routing baseando as decises em poltica definidas pelo administrador da rede. Para tornar este tpico mais interessante sero adicionados regras de Service Level Agreement que podem auxiliar a tomada de deciso. A configurao desta topologia passar por vrias etapas at ser alcanado o objectivo final. Assim as etapas referidas sero as seguintes: Configuraes iniciais o Endereamento dos interfaces o Servidor de DHCP no PRB o Encaminhamento esttico o NAT Esttico e dinmico Configurao de Policy Based Routing o Configurar ACL para trfego considerado na poltica o Configurar o route-map com a definio do prximo salto o Definio da poltica no interface Configurao de IP SLA o Definir as operaes IP SLA o Definir os objetos de tracking o Definir as aes associadas ao objecto de tracking
HandsOn PBR
Servidor
DHCP
No router PBR dever configurar um servidor de DCHP que servir duas pools de endereos para as duas VLAN. Router(config)# ip dhcp pool poolname Router(config-dhcp)# network network-address network-mask Router(config-dhcp)# default-router gateway-address Router(config-dhcp)# dns-server 8.8.8.8 Router(config-dhcp)# domain-name asc.evento.pt Router(config-dhcp)# lease 2 Verifique que as mquinas receberam as configuraes IP corretas. Caso no se verifique efetue o troubleshoot necessrio. Encaminhamento Esttico O router PBR dever encaminhar todo o trafego para os dois router (Protected e Free) atravs de duas rotas estticas. Os routers Protected, Free e Data Center devero tambm encaminhar todo o trfego para os respectivos routers do Service Provider. Nestes routers, dever ainda efetuar as configuraes de NAT que lhe permitiro aceder internet. Nos rourters Protected e Free ter ainda que configurar as rotas que permitiro chegar as redes locais das VLAN 10 e 20. Rotas Estticas Router(config)# ip route network-address network-mask next-hop NAT Dinmico !Trafego interessante Router(config)# ip access-list standard ACL-NAME Router(config-std-nacl)# permit network-address wild-card Router(config-std-nacl)# deny any !Criar a regra de NAT Router(config)# ip nat inside source list ACL-NAME interface external-intf overload !Ativar NAT nas interfaces Internas e Externas
Academia
Cisco
ISEP
HandsOn PBR
Router(config)# interface intf-type intf-number Router(config-if)# ip nat inside !ou Router(config-if)# ip nat outside
NAT Esttico (Data Center) ! Tendo em considerao que o servio que pretendemos utilizar no Data Center uma aplicao WEB deveremos criar as regras necessrias para que esta comunicao seja possvel. Router(config)#ip nat inside source static tcp inside-ip-address service-port external-ip-address external-port Neste momento poder efetuar teste de conectividade para a Internet e para o servio que est disponibilizado no Data Center. Dever verificar que est a utilizar aleatoriamente os dois caminhos disponveis a partir do router PBR. Router# ping ip-address Router# traceroute ip-address E atravs do browser das mquinas locais s VLANs 10 e 20 utilizando o endereo http://172.9.193.1/index.html.
Configurao
Policy
Based
Routing
(router
PBR)
A
prxima
configurao
ir
forar
a
que
o
routing
dos
pacotes
destinados
ao
servidor
web
CRM
sejam
sempre
encaminhados
para
o
router
Protected.
ACL Trfego Considerado na Poltica
Router(config)# ip access-list extended PBR-TRAFFIC Router(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 host 172.9.193.1 eq 80 Router(config-ext-nacl)# permit icmp any host 172.9.193.1 Router(config-ext-nacl)# deny ip any any Route-map com a Definio do Prximo Salto Router(config)# route-map PBR permit 10
Academia
Cisco
ISEP
HandsOn PBR
Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop 10.0.0.2 Router(config)# route-map PBR permit 20 Definio da Poltica no Interface Router(config)# interface FastEthernet f0/0.10 Router(config-if)# ip policy route-map PBR Depois de eliminar a rota esttica default que efetua o balanceamento no router PBR para o router Protected, verifique a comunicao da rede da VLAN 10 para o CRM, iniciando um browser no PC Privileged apontando para http://172.9.193.1/index.html. Para verificar que o trfego est a passar pelo router Protected pode activar o debug executando os seguintes comandos no router Protected. Router(config)# access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 172.9.193.1 eq 80 Router(config)# access-list 100 deny ip any any CTRL-Z Router# debug ip packet detail 100 Para que seja possvel criar o resultado do debug dever ser forado o process-switch no interface onde o trfego entra. Router(config)# interface serial 0/0/0 Router(config-if)# no ip route-cache Configurao de IP SLA (router PBR) Nesta fase vamos monitorizar a capacidade de comunicar com o CRM atravs do router Protected, caso isso no seja possvel utilizaremos os router Free para l chegar.
Definir as Operaes IP SLA Router(config)# ip sla 1 Router(config-ip-sla)# http get http://172.9.193.1 source-ip 192.168.10.254 Router(config-ip-sla)# frequency 61 Router(config-ip-sla)# timeout 5000 Router(config-ip-sla)# exit Router(config)# ip sla schedule 1 life fovever start-time now
Academia
Cisco
ISEP
HandsOn PBR
Definir os Objetos de Tracking Router(config)# track 10 ip sla 1 reachability Definir as Aes Associadas ao Objecto de Tracking ! Para efetuar este ponto temos que realizar uma alterao no route-map PBR Router(config)# no route-map PBR permit 10 Router(config)# route-map PBR permit 10 Router(config-route-map)# match ip address PBR-TRAFFIC Router(config-route-map)# set ip next-hop verify-availability 10.0.0.2 1 track 10 ! Caso no esteja disponvel segue pelo prximo next-hop Router(config-route-map)# set ip next-hop 10.0.0.6 ! Politica por omisso Router(config-route-map)# route-map PBR permit 20 Router(config-route-map)# set ip next-hop 10.0.0.6 Para que esta esquema funcione como previsto temos que efetuar as seguintes alteraes a configurao anterior: ! Retirar a rota default para o router Free e coloca-la a encaminhar para o router Protect, uma vez que todo o encaminhamento ser efectuado via Policy Based Routing. ! Activar o Policy Based Routing no interface FastEthernet 0/0.20 Router(config)# no ip route 0.0.0.0 0.0.0.0 10.0.0.6 Router(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2 Router(config)# interface FastEthernet 0/0.10 Router(config-if)# ip policy route-map PBR Router(config)# interface FastEthernet 0/0.20 Router(config-if)# ip policy route-map PBR Verificao: Com a consola do router Protected aberta para monitorizar o trfego que passa da rede VLAN 10 para o CRM, inicie um browser na mquina Privileged e aceda, novamente, a http://172.9.193.1/index.html e verifique que o trafego continua a passar por este router. Em seguida desative a ligao do router Protected a Internet e tente estabelecer novamente o acesso ao CRM.