Aprenda a configurar uma Policy Based Routing básica no Huawei VRP e MikroTik RouterOS usando EVE-NG (PBR básica para CGNAT)

Você sabe como configurar uma PBR (Policy Based Routing) no RouterOS da MikroTik? E no VRP da Huawei?

Se liga nesse artigo que vou te mostrar como fazer e praticar usando o EVE-NG!

Antes de mostrar as configurações, vamos conceituar como funciona uma PBR e a relação disso com CGNAT.

O minicurso no vídeo tem todos os detalhes que serão descritos aqui, porém para quem prefere texto, segue o artigo:

(vídeo e apostila com comandos disponíveis em breve)

1 – O Conceito

Em termos simples, a PBR vai alterar o “comportamento padrão” de um roteador. E que comportamento padrão é esse?

Imagine um carteiro tentando entregar um pacote. Por padrão só tem uma informação que ele vai usar para cumprir essa missão: o endereço de destino (destinatário).

Com roteadores é bem parecido: uma das informações mais importantes para o roteador encaminhar os pacotes é justamente o endereço IP de destino.

Porém quando utilizamos PBR conseguimos fazer que o nosso carteiro (roteador) olhe para outras informações além do endereço de destino, como por exemplo o endereço IP de origem.

E é aí que entra a tal da PBR para CGNAT! Com ela nós conseguimos dispor os nossos equipamentos em topologias diferentes das comuns – e ECONOMIZAR DINHEIRO com isso!

Vamos verificar duas topologias com o mesmo tráfego: um total de 5 Gbps, sendo que são 1,5 Gbps de tráfego dos clientes com IPv4 público, 1,5Gbps de IPv6 e 2 Gbps de tráfego dos IPv4 Privados/Reservados que precisam de NAT.

 

Com essa imagem percebemos que apenas o tráfego que precisa de NAT vai ser processado pelo dispositivo que faz o CGNAT – ou seja, 2Gbps dos IPV4 privados/reservados… e é justamente aí que está a economia!

Como apenas as conexões que precisam de NAT vão passar pelo dispositivo, você diminui a quantidade de pacotes processados e aumenta a vida útil do dispositivo em relação a necessidade de upgrade para um equipamento que suporte mais tráfego/pacotes, ou seja, vai demorar mais para você adquirir outro equipamento mais potente para essa função.

Com essa técnica nós conseguimos usar até mesmo uma topologia “mais ousada”, que eu chamo de CGNAT EM PARALELO e que eu implemento com frequência nos clientes que estão Migrando de MikroTik para Huawei.

Como normalmente sobra uma (ou várias rsrsrs) CCR na implementação de um roteador Huawei, então eu utilizo a CCR que sobrou unicamente para a função de CGNAT, pois dessa forma é possível ganhar tempo até conseguir comprar um Firewall/CGNAT mais robusto, como por exemplo um Hillstone ou outra solução dedicada para essa função.

 

2 – O Laboratório

Você pode estar pensando: OK, Thales Moisés, vamos logo pôr a mão na massa!

E vamos mesmo. Vou explicar para vocês a topologia e o que vamos usar nesse laboratório.

Utilizaremos a imagem do Huawei AR1000V, pois mesmo que seja VRP 5 ela é mais completa para o que precisamos do que as outras que funcionam no EVE-NG (como NE40) e mesmo levando em consideração que existam diferenças nos comandos em comparação com os routers atuais (que são VRP 8), nesse momento inicial vamos focar em aprender e praticar o conceito que acabamos de ver.

Já no RouterOS vamos usar uma CHR na versão 6.46.7 do sistema.

Também vamos focar as configurações ao escopo de PBR, ou seja, vamos assumir que todo o restante já está ok (IPs de ponto a ponto, roteamento, NAT para acesso a internet e etc.).

A topologia em si vai ser a mesma para os dois casos:

 

3 – Configurando o MikroTik RouterOS

A configuração no RouterOS é relativamente simples. Vale ressaltar que existem outras formas de fazer PBR no RouterOS – como por exemplo usando o firewall para marcar os pacotes/conexões/roteamento. Nesse exemplo vamos usar a que eu considero mais fácil.

1 – Acesse IP > ROUTES > RULES e adicione uma nova regra, dizendo que o que tiver o endereço de origem (SRC-ADDRESS) dentro do prefixo 100.64.0.0/10 vai “olhar” (LOOKUP) em uma tabela de roteamento diferente da principal (MAIN). Vou chamar essa tabela nova de cgnat.

Com essa parte feita, vá para o menu IP > ROUTES e vamos adicionar uma nova rota. O endereço de destino (DST-ADDRESS) vai ser o 0.0.0.0/0 (pois representa a rota padrão – default route).
Já o gateway será o endereço IP do lado do CGNAT que faz ponto a ponto com a BORDA, nesse caso o 10.64.1.2.

Com essa configuração, basicamente estamos dizendo que para quem tem o IP de origem dentro do prefixo 100.64.0.0/10, o gateway padrão será o IP do CGNAT – 10.64.1.2.

Segue a configuração feita e em sequência o traceroute da CPE do cliente mostrando o redirecionamento acontecendo:

 

4 – Configurando o Huawei VRP

A configuração do Huawei VRP é relativamente mais complexa. Eu gosto de fazer a analogia da configuração de PBR no VRP com um quebra cabeça que você tem diversas peças e colocando cada uma no lugar certo vai conseguir montar o que precisa, conforme a imagem:

Então vamos lá entender cada uma das peças desse quebra cabeça:

  1. ACL – significa Access Control List (lista de controle de acesso). ACLs são semelhantes a Address List do firewall do MikroTik: são listas de endereços que sozinhas não fazem nada. As ACL do Huawei têm algumas possibilidades a mais que as Address Lists do MikroTik mas isso não vem ao caso no momento. No caso da PBR, a ACL vai designar os IPs de origem que vão ter o gateway redirecionado para o CGNAT, no nosso laboratório será o prefixo 100.64.0.0/10.
  2. Traffic Classifier (classificador de tráfego). O Traffic Classifier vai servir para acolher a ACL que criamos anteriormente: eu gosto de dizer que coloquei a ACL “dentro” do Traffic Classifier e com isso vamos conseguir combinar o Classifier com outras configurações, como o Behavior.
  3. Traffic Behavior (comportamento de tráfego). O Traffic Behavior vai combinar com o Classifier que criamos anteriormente. No Behavior é que vamos colocar a ação de redirecionar o gateway para um IP de nossa escolha (redirect ip-nexthop).
  4. Traffic Policy (política de tráfego): a Traffic Policy vai juntar todas essas configurações que fizemos anteriormente em algo que realmente podemos usar. Nesse laboratório vamos associar essa Traffic Policy a uma interface do dispositivo Huawei. Existe outra forma de colocar essa Traffic Policy em produção, mas fica para um outro artigo.

 

Agora vamos verificar como fica a configuração de cada item desse quebra cabeça na nossa Borda Huawei AR1000V:

1 – Criando a ACL e associando a pool que precisa de NAT:

2 – Criando o Traffic Classifier e associando a ACL anterior:

3 – Criando o Traffic Behavior e colocando a ação de redirecionar para o CGNAT:

4 – Criando a Traffic Policy e unindo o classifier + behavior na linha 5:

5 – Colocando a Traffic Policy dentro da interface que vai para o concentrador, na direção inbound (tráfego que entra):

Após esses passos o quebra cabeças está pronto. Resta só verificar através da ferramenta traceroute como ficou o resultado. Segue uma print do antes e depois:

5 – Conclusão

A ideia principal desse artigo é tratar dos principais conceitos e configurações que envolvem uma PBR pois com frequência vejo relatos de dificuldade nesse assunto (principalmente no VRP da Huawei).

Em segundo plano, quis mostrar a diferença do VRP e do RouterOS, proporcionando uma forma de testar/praticar isso em um ambiente virtual para fixar todos os detalhes aprendidos.

O objetivo nunca foi comparar os sistemas ou dispositivos e sim demonstrar o conceito e aplicação dessa configuração além das vantagens para o ambiente do pequeno/médio provedor que pensa em fazer ou que já fez a implementação do seu primeiro roteador Huawei.


Vale ressaltar que essa PBR no VRP é bem básica e que para colocarmos em produção precisamos ajustar alguns detalhes para evitarmos problemas (como natear o tráfego local e os empecilhos decorrentes disso), além de existir uma forma de aplicar a Traffic Policy globalmente ao invés de dentro de cada interface.

Se você gostou do artigo e quer ver uma PBR mais avançada que pode ser implementada em produção, com as boas práticas que utilizo no dia a dia e evitando os problemas com NAT para o tráfego local, além de utilizar uma traffic policy global para todas as interfaces ou se você quer os arquivos de configuração de todos os dispositivos desse lab, deixa seu comentário aqui nesse post, vou ficar feliz em saber do seu interesse e te auxiliar.

Vou finalizar com a print do lab que utilizei no EVE-NG.
No mais, grande abraço e até a próxima!

Este post tem 2 comentários

    1. Thales Moisés
      Thales Moisés

      Grande mestre Leandro, valeuzão pelo feedback meu nobre! Grande abraço!

Deixe um comentário

Artigos recentes

Categorias

Tags