IP : Roteamento IP

Entendendo o Roteamento Baseado em Política

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (28 Julho 2013) | Inglês (10 Agosto 2005) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Configurações
     Diagrama de Rede
     Configuração para Firewall
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O Roteamento Baseado em Política fornece uma ferramenta para encaminhamento e roteamento de pacotes de dados de acordo com as políticas definidas por administradores de rede. Na verdade, é a forma de fazer com que a política substitua as decisões de protocolo de roteamento. O roteamento baseado na política inclui um mecanismo para aplicar seletivamente políticas com base em lista de acesso, tamanho de pacote ou outro critério. As ações realizadas podem incluir o roteamento de pacotes em rotas definidas por usuários, a definição de precedência, o tipo de bits de serviço etc.

Neste documento, um firewall está sendo usado para converter endereços privados 10.0.0.0/8 em endereços da Internet roteáveis pertencentes à sub-rede 172.16.255.0/24. Consulte o diagrama abaixo para obter uma explicação visual.

Consulte Roteamento Baseado na Política para obter mais informações.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

Este documento não se restringe a nenhuma versão específica de software ou hardware.

As informações mostradas neste documento são baseadas nas versões de hardware e software abaixo:

  • Cisco IOS Software® Release 12.3(3)

  • Cisco 2500 Series Routers

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de Dicas Técnicas da Cisco.

Configurações

Neste exemplo, com roteamento normal, todos os pacotes da rede 10.0.0.0/8 para a Internet utilizarão o caminho através da interface ethernet 0/0 do Cisco WAN Router (através da sub-rede 172.16.187.0/24) porque é o melhor caminho com a menor métrica. Com o roteamento baseado na política, queremos que esses pacotes utilizem o caminho através do firewall para a Internet; o comportamento de roteamento normal precisa ser substituído por meio da configuração do Roteamento Baseado em Política. O firewall converte todos os pacotes da rede 10.0.0.0/8 que estão indo para a Internet. No entanto, isso não é necessário para que o Roteamento Baseado em Política funcione.

Diagrama de Rede

36.gif

Configuração para Firewall

A configuração de firewall a seguir foi incluída para ilustrar a questão de forma completa. No entanto, ela não faz parte da questão de Roteamento Baseado em Política explicada neste documento. O firewall neste exemplo poderia ser facilmente substituído por um PIX ou outro dispositivo de firewall.

!
ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24
ip nat inside source list 1 pool net-10
!
interface Ethernet0
 ip address 172.16.20.2 255.255.255.0
 ip nat outside
!
interface Ethernet1
 ip address 172.16.39.2 255.255.255.0
 ip nat inside
!
router eigrp 1
 redistribute static
 network 172.16.0.0
 default-metric 10000 100 255 1 1500
!
ip route 172.16.255.0 255.255.255.0 Null0
access-list 1 permit 10.0.0.0 0.255.255.255
!
end

Consulte Endereçamento de IP e Comandos de Serviços para obter mais informações sobre comandos relacionados ao ip nat

Neste exemplo, o Cisco WAN Router está executando um Roteamento Baseado em Política para garantir que os pacotes IP provenientes da rede 10.0.0.0/8 serão enviados através do firewall. A configuração abaixo contém uma instrução de lista de acesso que envia pacotes provenientes da rede 10.0.0.0/8 ao firewall.

Configuração para Cisco_WAN_Router

!
interface Ethernet0/0
 ip address 172.16.187.3 255.255.255.0
 no ip directed-broadcast
!
interface Ethernet0/1
 ip address 172.16.39.3 255.255.255.0
 no ip directed-broadcast
!
interface Ethernet3/0
 ip address 172.16.79.3 255.255.255.0
 no ip directed-broadcast
 ip policy route-map net-10
!
router eigrp 1
 network 172.16.0.0
!

access-list 111 permit ip 10.0.0.0 0.255.255.255 any
!
route-map net-10 permit 10
 match ip address 111
 set interface Ethernet0/1
!
route-map net-10 permit 20
!
end

Consulte a documentação sobre o comando route-map para obter mais informações sobre comandos relacionados ao route-map.

Configuração para o Roteador Cisco-1

!
version 12.3

!

interface Ethernet0


               !-- Interface conectada à rede 10.0.0.0
            

ip address 10.1.1.1 255.0.0.0


!
interface Ethernet1


               !-- Interface conectada ao Cisco_Wan_Router
            
ip address 172.16.79.4 255.255.255.0

!
router eigrp 1
network 10.0.0.0
network 172.16.0.0
no auto-summary
!


               !--- Saída suprimida.
            
         

Configuração para Internet_Router

!
version 12.3

!
interface Ethernet1


               !—Interface conectada ao firewall
            

ip address 172.16.20.1 255.255.255.0


interface Serial0


               !--- Interface conectada à Internet
            
ip address 192.1.1.2 255.255.255.0
clockrate 64000
no fair-queue
!
interface Ethernet0


               !--- Interface conectada ao Cisco_Wan_Router
            
ip address 172.16.187.1 255.255.255.0
!

!
router eigrp 1
redistribute static


               !--- Redistribuindo a rota padrão a outros roteadores para alcançar a Internet
            
network 172.16.0.0
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.1.1.1


               !—Rota padrão estática apontando para o roteador conectado à Internet
            

            
               !--- Saída suprimida.
            
         

No teste, este exemplo, um ping proveniente de 10.1.1.1 no roteador Cisco-1, usando o comando extended ping , foi enviado a um host na Internet. Neste exemplo, 192.1.1.1 foi usado como o endereço de destino. Para ver o que está acontecendo no roteador de Internet, o switching rápido foi desativado enquanto o comando debug ip packet 101 detail estava sendo usado.

advertência Advertência: Usar o comando debug ip packet detail em um roteador de produção pode fazer alta utilização da CPU, o que pode resultar em uma severa degradação do desempenho ou em queda da rede. Recomendamos que você leia atentamente a seção Usando o Comando Debug em Entendendo os Comandos Ping e Traceroute antes de usar os comandos de depuração.

Observação: A instrução access-list 101 permit icmp any any é usada para filtrar a saída debug ip packet. Sem essa lista de acesso, o comando debug ip packet pode gerar uma quantidade grande de saída para o console e que travará o roteador.

Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:
Packet never makes it to Internet_Router

Cisco_1# ping
Protocol [ip]:
Target IP address: 192.1.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.....
Success rate is 0 percent (0/5)

Como você pode perceber, o pacote nunca chegou ao roteador de Internet. Os comandos de depuração abaixo, tirados do Cisco WAN Router, mostram porque isso aconteceu.

Debug commands run from Cisco_WAN_Router:
"debug ip policy"
*Mar  1 00:43:08.367: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match
*Mar  1 00:43:08.367: IP: route map net-10, item 10, permit

               !--- Pacote com endereço de origem pertencente à rede 10.0.0.0/8
!--- corresponde à instrução 10 do mapa de rede "net-10".
            

*Mar  1 00:43:08.367: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed
*Mar  1 00:43:08.367: Ethernet3/0 to Ethernet0/1 192.1.1.1

               !---  pacotes correspondentes são anteriormente encaminhados para fora da interface
!--- ethernet 0/1 pelo comando set.
            
         

O pacote fez correspondência com a entrada de política 10 no mapa de política net-10, conforme esperado. Então por que o pacote não chegou ao roteador de Internet?

"debug arp"
*Mar  1 00:06:09.619: IP ARP: creating incomplete entry for IP address: 192.1.1.1 interface Ethernet0/1
*Mar  1 00:06:09.619: IP ARP: sent req src 172.16.39.3 00b0.64cb.eab1,
                 dst 192.1.1.1 0000.0000.0000 Ethernet0/1
*Mar  1 00:06:09.635: IP ARP rep filtered src 192.1.1.1 0010.7b81.0b19, dst 172.16.39.3
                 00b0.64cb.eab1 wrong cable, interface Ethernet0/1

Cisco_Wan_Router# show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.16.39.3             -   00b0.64cb.eab1  ARPA   Ethernet0/1
Internet  172.16.39.2             3   0010.7b81.0b19  ARPA   Ethernet0/1
Internet  192.1.1.1               0   Incomplete      ARPA

A saída debug arp mostra isso. O Cisco WAN Router tenta fazer o que lhe foi instruído e tenta colocar os pacotes diretamente na interface ethernet 0/1. Isso requer que o roteador envie um protocolo de resolução de endereço (ARP) ao endereço de destino de 192.1.1.1. O roteador percebe que ele não está na sua interface e, portanto, a entrada de ARP desse endereço fica "Incomplete" (incompleta), conforme visto pelo comando show arp. Ocorre então uma falha de encapsulamento porque o roteador não consegue colocar o pacote no cabo sem entrada de ARP.

Ao especificar o firewall como o salto seguinte, podemos evitar esse problema e fazer o mapa de rota funcionar conforme esperado:

Config changed on Cisco_WAN_Router:
!
route-map net-10 permit 10
 match ip address 111
 set ip next-hop 172.16.39.2
!

Usando o mesmo comando debug ip packet 101 detail no roteador de Internet, podemos ver que o pacote está tomando o caminho correto. Podemos também perceber que o pacote foi convertido em 172.16.255.1 pelo firewall e que a máquina que está sofrendo ping, a 192.1.1.1, respondeu:

Cisco_1# ping
Protocol [ip]:
Target IP address: 192.1.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 68/70/76 ms

Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:
Internet_Router#
*Mar  1 00:06:11.619: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward
*Mar  1 00:06:11.619:     ICMP type=8, code=0

               !--- Os pacotes originados em 10.1.1.1 estão sendo convertidos em 172.16.255.1 pelo
!--- firewall antes de ele chegar no Internet_Router.
            

*Mar  1 00:06:11.619:
*Mar  1 00:06:11.619: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward
*Mar  1 00:06:11.619:     ICMP type=0, code=0

               !--- Os pacotes que retornam da Internet chegam com o endereço de destino
!--- 172.16.255.1 antes de alcançar o firewall.
            
*Mar  1 00:06:11.619:

O comando debug ip policy no Cisco WAN Router mostra que o pacote foi encaminhado ao firewall, 172.16.39.2:

Execução de Comandos de Depuração do Cisco_WAN_Router

"debug ip policy"
*Mar  1 00:06:11.619: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match
*Mar  1 00:06:11.619: IP: route map net-10, item 20, permit
*Mar  1 00:06:11.619: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed
*Mar  1 00:06:11.619: Ethernet3/0 to Ethernet0/1 172.16.39.2

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 10116