Configuração de Roteamento inter-VLAN (L3) nos Switches UniFi USW-PRO de Segunda Geração
Recentemente a Ubiquiti anunciou o lançamento de uma nova geração de switches UniFi. Os switches de segunda geração foram totalmente redesenhados e possuem novos recursos, por exemplo suporte a L2/L3 nos modelos PRO, de modo que agora é possível fazer a configuração de roteamento inter-VLAN diretamente nos switches PRO.
Observação: Neste artigo o leitor encontra informações detalhadas sobre todos os modelos de switches UniFi de segunda geração.
A configuração de roteamento inter-VLAN em um switch é útil naqueles cenários em que o objetivo é separar a função de roteamento em duas camadas, uma para o roteamento WAN-LAN (que fica no roteador) e outra para o roteamento LAN-LAN (que fica no switch).
Há diferentes razões que justificam essa separação, principalmente no que diz respeito à segurança e desempenho. Por exemplo, em ambientes maiores essa separação é uma boa prática de segurança/operação quando há diferentes times responsáveis pelas configurações do firewall (WAN-LAN) e pelo roteamento interno (LAN-LAN).
Já em ambientes menores, outra justificativa para essa separação é aliviar a carga de processamento inter-VLAN do roteador (de menor capacidade), deixando essa função para um switch L3. Fazendo isso, o roteador “apenas” faz o compartilhamento da conexão externa (SNAT), enquanto que o switch L3 assume a função de roteamento inter-VLAN entre as sub-redes internas/locais, inclusive a função de servidor DHCP.
Roteamento inter-VLAN nos Switches USW-PRO
O laboratório apresentado na topologia abaixo será utilizado para exemplificar o passo a passo da configuração de roteamento inter-VLAN nos switches UniFi PRO de segunda geração. Vai ficar evidente nesse artigo que o processo é tão simples quanto já é nos roteadores UDM/USG, basicamente o mesmo com um pequeno detalhe adicional…
Nessa bancada existe um roteador UDM-PRO recebendo a conexão WAN e fazendo o compartilhamento da Internet (SNAT). A sua interface SFP+ é o uplink com o switch UniFi PRO de segunda geração, particularmente o modelo USW-PRO-24-PoE. No quadro destacado em vermelho foram utilizados dois mini computadores Raspberry Pi para representar estações físicas conectadas nas portas #21 e #23 do switch L3.
Observação: Repare na topologia que o AP foi conectado apenas para propagar uma rede Wi-Fi para uma estação de gerência ter acesso à controladora embutida no UDM-PRO. Vale destacar que essa bancada é apenas um laboratório e que a boa prática seria que o acesso de gerência fosse feito a partir da rede cabeada para evitar quebrar a sessão ao provisionar um AP com alterações no Wi-Fi.
O primeiro passo é criar duas sub-redes na controladora UniFi e associá-las com as VLANs 21 (192.168.21.0/24) e 23 (192.168.23.0/24), só que o detalhe é que essas configurações serão aplicadas no switch USW-PRO. Feito isso podemos verificar se existe conectividade L3 entre as diferentes sub-redes via roteamento inter-VLAN realizado pelo USW-PRO.
Em outras soluções essa configuração é complexa e requer várias linhas de configuração, mas sua configuração no USW-PRO é extremamente simples através da interface web do software UniFi, assim como já era/é bastante simples com os roteadores USG/UDM. Na verdade, o roteamento inter-VLAN já vem habilitado por padrão no UniFi para todas as redes corporativas que são criadas na opção Networks.
> Settings
> Networks
> + Create New Network
O que mudou é que agora existe um novo campo nessa tela para definir qual dispositivo será o gateway da sub-rede criada, seja ele um switch USW-PRO ou o roteador UDM/USG (opção default). Por padrão toda nova sub-rede será aplicada no roteador do site lógico (UDM/USG), não em um switch USW-PRO. O campo destacado em vermelho na figura abaixo mostra essa opção que permite selecionar um dos switches USW-PRO como gateway.
A configuração do servidor DHCP e demais parâmetros é exatamente a mesma que já era feita com os roteadores, ou seja, basta definir o IP que será gateway da sub-rede e o range do escopo DHCP. A controladora UniFi automaticamente provisiona as configurações das sub-interfaces lógicas de cada VLAN no equipamento definido anteriormente, seja um roteador (default) ou o USW-PRO (nesse caso).
Nesse exemplo esse mesmo processo foi repetido duas vezes para criar duas novas sub-redes, uma na VLAN 21 e outra na VLAN 23, conforme destacado em vermelho na figura abaixo. Observe que automaticamente o UniFi cria uma network denominada “inter-VLAN Routing” (4040) no UDM-PRO com os devidos ajustes de roteamento para integração do USW-PRO ao UDM/USG - sem nenhum esforço manual.
Observação: Caso o switch UniFi L3 (USW-PRO) seja utilizado para fazer roteamento inter-VLAN em uma rede que tenha roteadores de outros fabricantes na borda, então essa integração deve ser configurada manualmente. No switch pode ser criada uma única rota default apontando toda a saída de tráfego através do roteador, enquanto que no roteador terceiro devem ser criadas rotas individuais para as sub-redes internas.
O próximo passo é associar as portas do USW-PRO com suas respectivas VLANs para que os clientes sejam membros da VLAN desejada. Na realidade essa etapa faz parte do roteamento inter-VLAN propriamente dito, independente do gateway local ser um roteador ou um switch L3. No caso desse laboratório a porta #21 será associada com a sub-rede 21 e a porta #23 será associada com a sub-rede 23. Uma vez feito isso, os clientes (Raspberry Pi) irão receber endereços IP das suas respectivas sub-redes, conforme observado na figura abaixo.
Observação: Para mais informações sobre a configuração de VLANs nos switches UniFi, recomendamos a leitura deste artigo e/ou assistir abaixo a videoaula completa dessa configuração.
Por fim, um simples acesso remoto via SSH em um dos clientes (192.168.23.100) é suficiente para disparar um ping traceroute até o outro cliente (192.168.21.100) e confirmar que as configurações de roteamento inter-VLAN entre as VLANs 21/23 estão funcionais.
Rápido e fácil com poucos cliques! ;-)
Loja Oficial Ubiquiti BR
br.store.ui.comGrupo UniFi Facebook
fb.com/groups/ubnt.unifi.brGrupo UniFi LinkedIN
linkedin.com/groups/12135007Fórum Oficial Ubiquiti
forum-pt.ui.com
Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.
