Rutas - IP Policy Route - Internet

José Corniel A · ‎07-02-2020

Buenas tardes estimados, espero se encuentren bien.

Les mostrare la siguiente topologia, tal como se observa en la imagen, necesito que una vlan o una red en especifico salga a internet por otro firewall difrerente.

Actualmente tengo como el que se muestra en el cuadro rojo, el el otro cuadro azul es uno que deseo implementar, pero para motivos de no interrumpir totalmente el servicio quiero ir migrando por redes...

Tengo una sola ruta por defecto en el Core Switch que apunta al 172.20.1.254, para ir migrando necesito pasar el trafico de la red por ejemplo la 172.20.10.0/24 que salga por el otro firewall 172.20.1.100 .. esas direcciones indican que por ellos hay salidas a internet.

Como pódria ir lograndolo.. tengo vlans y redes remotas que debo ir migrando progresivamente..

Estaria agradecido con el apoyo...

Diana Karolina Rojas · ‎07-02-2020

Buenas tardes estimado,

La mejor solución para tu problema es aplicar policy-based routing en tus SVIs para ir desviando el tráfico omitiendo la ruta default.

1. El primer paso es crear una ACL con una sentencia permit que tenga la subred a la que deseas "desviar al otro firewall"

2. El segundo paso es crear un route map que haga match de esa ACL y le asigne otro destino (en este caso el segundo firewall):

route-map TEST-MAP permit 10

match ip address <coloca acá el nombre de la ACL>

set ip next-hop <coloca acá la ip del segundo firewall>

3. El tercer paso es entrar en la SVI de la subred que desea mudar y aplicarle el route-map:

interface vlan X

ip policy route-map TEST-MAP

Una vez que hayas migrado todas tus subredes y todas te queden saliendo por el mismo firewall podrías poner la ruta default apuntando a el y remover los route-maps.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,

José Corniel A · ‎07-02-2020

muchas gracias! una consulta adicional, se podra montar un ejercicio en Packet Tracer?

Diana Karolina Rojas · ‎07-02-2020

Hola @José Corniel A

Le verdad me parece que este tipo de features no es soportado en packet tracer, igual te recomendaría entrar en la aplicación y fijarte en el question mark "?" si los comandos son soportados, aunque podría estar segura de que no. Por lo que te recomeindo usar otro simulador, como GNS3.

***Por favor no olvides calificar las respuestas útiles, tu calificación promueve nuestra participación".

Saludos,

José Corniel A · ‎07-02-2020

Otra pregunta.. en el caso de una ruta remota.. por ejemplo que se aprenda bien sea por EIGRP o por OSPF o una ruta estatica, como haria para migrar tambien esas redes? una a una..

ejemplo

172.20.50.0 255.255.255.0 172.20.1.212 -- donde 1.212 es el router de conexiones punto a punto a otras sedes...

Diana Karolina Rojas · ‎07-02-2020

Entiendo que entonces tu core tiene una o varias interfaces contra un equipo que recibe rutas desde sucursales remotas y necesitas ir modificando la salida de internet para esas redes remotas también. En ese caso el procedimiento es igual, solo que en lugar de colocar el PBR en la SVI lo colocarías de entrada en la interfaz física (o portchannel) que te conecta con ese equipo, de forma que los paquetes que vaya recibiendo tu core por esa interfaz los va a forzar a salir por el otro firewall, e igual puedes ir manipulando la ACL agregándole las subredes que necesitas migrar.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,