Olá, pessoal!
Tenho um exercício da faculdade simples a ser resolvido, no entanto ainda estou aprendendo os conceitos iniciais de redes e Cisco Packet Tracer. A atividade consiste em dividir computadores em quatro redes (vendas, adm, estoque e entrega), de modo que a rede vendas se comunique com estoque e entrega; a rede adm se comunique com todas as outras; e as redes estoque e entrega só possam se comunicar com elas mesmas.
Em resumo, a parte de comunicações ficaria assim:
- Vendas → Vendas, Estoque e Entrega
- Adm → Adm, Vendas, Estoque e Entrega
- Estoque → Estoque
- Entrega → Entrega
Sei configurar vlans em switches e recentemente aprendi a fazer o trunk entre switches. Enfim, qual seria a melhor estratégia para resolver o problema? Deveria colocar um switch para cada bloco de computadores e limitar o acesso através do comando "allowed" do trunk? Se sim, como deveria ser feito?
Agradeço pela atenção, e um muito obrigado para quem puder ajudar! ;)
Soluções aceites
Boa tarde amigo, tudo bem?
Existe diversas maneiras de resolver seu problema, veja alguns nomes abaixo que poderiam lhe auxiliar:
PACL - O recurso de porta ACL (PACL) fornece a capacidade de executar o controle de acesso em portas específicas da camada 2. Uma porta da camada 2 é uma LAN física ou porta de tronco que pertence a uma VLAN. As ACLs de porta são aplicadas apenas no tráfego de entrada.
VACL - As ACLs da VLAN (VACLs) podem fornecer controle de acesso para todos os pacotes que estão em ponte dentro de uma VLAN ou que são roteados para dentro ou fora de uma interface VLAN ou WAN para captura de VACL.
Veja aqui exemplos de como usar tais recursos: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/vacl.html
VRF - Virtual Forwarding Router, também pode ser chamado de VPN. As redes privadas virtuais (VPNs) fornecem uma maneira segura de os clientes compartilharem a largura de banda em uma rede de backbone do ISP. Uma VPN é uma coleção de sites que compartilham uma tabela de roteamento comum.
Veja aqui exemplos de como usar VRF: https://www.cisco.com/c/pt_br/support/docs/ip/ip-routing/117974-configure-evn-00.html
Contudo, seu trabalho é em packet tracer, os conteúdos acima são para efeitos de conhecimento, visto que o packet tracer tem funções limitadas, algum desses recusos podem não está disponíveis no mesmo.
Então para seu trabalho escolher, você pode começar seguimentando a rede que lhe foi designada. Criando blocos de endereçamento ipv4 para cada setor.
- Vendas → 192.168.1.0/24 : VLAN 11
- Adm → 192.168.2.0/24 : VLAN 12
- Estoque → 192.168.3.0/24 : VLAN 13
- Entrega → 192.168.4.0/24 : VLAN 14
O número da vlan pode ser qualquer número conforme as regras abaixo:
https://www.cisco.com/c/pt_br/support/docs/lan-switching/vlan/10023-3.html
Obs: Se houver dúvidas na criação de vlans, veja o link acima.
Após criar a suas vlans, você irá precisar definir um gateway (SVI, SWITCHE VIRTUAL INTERFACE) para seus dispositivos, normalmente se utiliza o primeiro ou último endereço de cada rede, mas isso depende de cada administrador, exemplo: gateway da vlan 11, será - 192.1681.1
Veja abaixo um exemplo de como criar uma SV e habiltiar o roteamento no switch L3:
Sw1(config)#ip routing << habilitando a função de roteamento
Sw1(config)#vlan 11 << criando a vlan L2
Sw1(config)#interface vlan 51 << criando a vlan L3 (SVI)
Sw1(config-if)#ip address 192.168.1.1 255.255.255.0 << definindo a interface que será gateway para os clientes.
Sw1(config-if)#exit
Obs: Não esqueça de passar as suas vlans para as portas trunks quando for necessário usar em outro switch.
Fazendo isso para todas as outras vlans, você terá sua infraestrutura se comunicando com todas as redes internas.
Agora você precisa limitar a comunicação entre elas, você tem as opções mencionadas no ínicio. Por seu ambiente ser simples, eu sugiro utilizar PACL (ACL) que é aplicado diretamente na SVI. Um outra ótima opção que é um pouco mais robusto que PACL e mais fácil de gerenciamento é o VACL, onde você cria uma base e aplica diretamente ao dataplane do switch.
Endenda a diferença entre management, data e control plane: https://community.cisco.com/t5/switching/management-control-and-data-plane/td-p/2803553
Você mencionou que as redes precisam se comunicar conforme o esquema abaixo.
- Vendas → Vendas, Estoque e Entrega
- Adm → Adm, Vendas, Estoque e Entrega
- Estoque → Estoque
- Entrega → Entrega
Irei utilizar essa linha: Vendas → Vendas, Estoque e Entrega, para lhe mostrar como ficaria em PACL e VACL
VACL:
1. Criar ACL normal:
ip access-list extended vendas_acl
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
2. Criar VACL:
vlan access-map vendas_map 10
match ip address vendas_acl
action permit
vlan access-map vendas_map 10
match ip address
action deny
3. Aplicar as essa configuração a vlan 11
vlan filter vendas_map 11 vlan-list 11
Fim.
OBs: Essa é a configuração para VACL para seu esquema de Vendas.
PACL:
1. Criar ACL normal:
ip access-list extended vendas_acl
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
2. Aplicar a Interface vlan.
interface vlan 11
ip access-group vendas_acl in
Fim.
Obs: Essa é a configuração para PACL para seu esquema de Vendas.
Em resumo, varia muito dos recursos que você tem e do nível de gerenciamento que você quer, ACL é simples em ambientes pequenos, conforme seu ambiente vai crescendo a manutenção em acl fica trabalhoso, nesse caso é mais comum ter um firewall para ter um melhor gerenciamento e controle de fluxo de dados.
Espero que tenha contribuído e esclarecido algumas dúvidas sua. Nunca deixe de continuar procurando conhecimento e se aperfeiçoando.
Saudações,
Jaderson Pessoa.
.jpg "VIP Advisor"){kind=icon}
Boa tarde amigo, tudo bem?
Existe diversas maneiras de resolver seu problema, veja alguns nomes abaixo que poderiam lhe auxiliar:
PACL - O recurso de porta ACL (PACL) fornece a capacidade de executar o controle de acesso em portas específicas da camada 2. Uma porta da camada 2 é uma LAN física ou porta de tronco que pertence a uma VLAN. As ACLs de porta são aplicadas apenas no tráfego de entrada.
VACL - As ACLs da VLAN (VACLs) podem fornecer controle de acesso para todos os pacotes que estão em ponte dentro de uma VLAN ou que são roteados para dentro ou fora de uma interface VLAN ou WAN para captura de VACL.
Veja aqui exemplos de como usar tais recursos: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/vacl.html
VRF - Virtual Forwarding Router, também pode ser chamado de VPN. As redes privadas virtuais (VPNs) fornecem uma maneira segura de os clientes compartilharem a largura de banda em uma rede de backbone do ISP. Uma VPN é uma coleção de sites que compartilham uma tabela de roteamento comum.
Veja aqui exemplos de como usar VRF: https://www.cisco.com/c/pt_br/support/docs/ip/ip-routing/117974-configure-evn-00.html
Contudo, seu trabalho é em packet tracer, os conteúdos acima são para efeitos de conhecimento, visto que o packet tracer tem funções limitadas, algum desses recusos podem não está disponíveis no mesmo.
Então para seu trabalho escolher, você pode começar seguimentando a rede que lhe foi designada. Criando blocos de endereçamento ipv4 para cada setor.
- Vendas → 192.168.1.0/24 : VLAN 11
- Adm → 192.168.2.0/24 : VLAN 12
- Estoque → 192.168.3.0/24 : VLAN 13
- Entrega → 192.168.4.0/24 : VLAN 14
O número da vlan pode ser qualquer número conforme as regras abaixo:
https://www.cisco.com/c/pt_br/support/docs/lan-switching/vlan/10023-3.html
Obs: Se houver dúvidas na criação de vlans, veja o link acima.
Após criar a suas vlans, você irá precisar definir um gateway (SVI, SWITCHE VIRTUAL INTERFACE) para seus dispositivos, normalmente se utiliza o primeiro ou último endereço de cada rede, mas isso depende de cada administrador, exemplo: gateway da vlan 11, será - 192.1681.1
Veja abaixo um exemplo de como criar uma SV e habiltiar o roteamento no switch L3:
Sw1(config)#ip routing << habilitando a função de roteamento
Sw1(config)#vlan 11 << criando a vlan L2
Sw1(config)#interface vlan 51 << criando a vlan L3 (SVI)
Sw1(config-if)#ip address 192.168.1.1 255.255.255.0 << definindo a interface que será gateway para os clientes.
Sw1(config-if)#exit
Obs: Não esqueça de passar as suas vlans para as portas trunks quando for necessário usar em outro switch.
Fazendo isso para todas as outras vlans, você terá sua infraestrutura se comunicando com todas as redes internas.
Agora você precisa limitar a comunicação entre elas, você tem as opções mencionadas no ínicio. Por seu ambiente ser simples, eu sugiro utilizar PACL (ACL) que é aplicado diretamente na SVI. Um outra ótima opção que é um pouco mais robusto que PACL e mais fácil de gerenciamento é o VACL, onde você cria uma base e aplica diretamente ao dataplane do switch.
Endenda a diferença entre management, data e control plane: https://community.cisco.com/t5/switching/management-control-and-data-plane/td-p/2803553
Você mencionou que as redes precisam se comunicar conforme o esquema abaixo.
- Vendas → Vendas, Estoque e Entrega
- Adm → Adm, Vendas, Estoque e Entrega
- Estoque → Estoque
- Entrega → Entrega
Irei utilizar essa linha: Vendas → Vendas, Estoque e Entrega, para lhe mostrar como ficaria em PACL e VACL
VACL:
1. Criar ACL normal:
ip access-list extended vendas_acl
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
2. Criar VACL:
vlan access-map vendas_map 10
match ip address vendas_acl
action permit
vlan access-map vendas_map 10
match ip address
action deny
3. Aplicar as essa configuração a vlan 11
vlan filter vendas_map 11 vlan-list 11
Fim.
OBs: Essa é a configuração para VACL para seu esquema de Vendas.
PACL:
1. Criar ACL normal:
ip access-list extended vendas_acl
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
2. Aplicar a Interface vlan.
interface vlan 11
ip access-group vendas_acl in
Fim.
Obs: Essa é a configuração para PACL para seu esquema de Vendas.
Em resumo, varia muito dos recursos que você tem e do nível de gerenciamento que você quer, ACL é simples em ambientes pequenos, conforme seu ambiente vai crescendo a manutenção em acl fica trabalhoso, nesse caso é mais comum ter um firewall para ter um melhor gerenciamento e controle de fluxo de dados.
Espero que tenha contribuído e esclarecido algumas dúvidas sua. Nunca deixe de continuar procurando conhecimento e se aperfeiçoando.
Saudações,
Jaderson Pessoa.
