UBNT-BR
UBNT-BR
Aug 27 · 6 min read

Configuração de Roteamento inter-VLAN (L3) nos Switches UniFi USW-PRO de Segunda Geração

Recentemente a Ubiquiti anunciou o lançamento de uma nova geração de switches UniFi. Os switches de segunda geração foram totalmente redesenhados e possuem novos recursos, por exemplo suporte a L2/L3 nos modelos PRO, de modo que agora é possível fazer a configuração de roteamento inter-VLAN diretamente nos switches PRO.

Image for post
Image for post

Observação: Os novos switches Gen2 estão em processo de homologação (Anatel) e a previsão é que possam começar a comercialização no Brasil a partir de Q3-Q4/2020. Neste artigo o leitor encontra informações detalhadas sobre todos os modelos de switches UniFi de segunda geração.

A configuração de roteamento inter-VLAN em um switch é útil naqueles cenários em que o objetivo é separar a função de roteamento em duas camadas, uma para o roteamento WAN-LAN (que fica no roteador) e outra para o roteamento LAN-LAN (que fica no switch).

Há diferentes razões que justificam essa separação, principalmente no que diz respeito à segurança e desempenho. Por exemplo, em ambientes maiores essa separação é uma boa prática de segurança/operação quando há diferentes times responsáveis pelas configurações do firewall (WAN-LAN) e pelo roteamento interno (LAN-LAN).

Já em ambientes menores, outra justificativa para essa separação é aliviar a carga de processamento inter-VLAN do roteador (de menor capacidade), deixando essa função para um switch L3. Fazendo isso, o roteador “apenas” faz o compartilhamento da conexão externa (SNAT), enquanto que o switch L3 assume a função de roteamento inter-VLAN entre as sub-redes internas/locais, inclusive a função de servidor DHCP.

Roteamento inter-VLAN nos Switches USW-PRO

O laboratório apresentado na topologia abaixo será utilizado para exemplificar o passo a passo da configuração de roteamento inter-VLAN nos switches UniFi PRO de segunda geração. Vai ficar evidente nesse artigo que o processo é tão simples quanto já é nos roteadores UDM/USG, basicamente o mesmo com um pequeno detalhe adicional…

Image for post
Image for post
Figura. Topologia do Laboratório

Nessa bancada existe um roteador UDM-PRO recebendo a conexão WAN e fazendo o compartilhamento da Internet (SNAT). A sua interface SFP+ é o uplink com o switch UniFi PRO de segunda geração, particularmente o modelo USW-PRO-24-PoE. No quadro destacado em vermelho foram utilizados dois mini computadores Raspberry Pi para representar estações físicas conectadas nas portas #21 e #23 do switch L3.

Observação: Repare na topologia que o AP foi conectado apenas para propagar uma rede Wi-Fi para uma estação de gerência ter acesso à controladora embutida no UDM-PRO. Vale destacar que essa bancada é apenas um laboratório e que a boa prática seria que o acesso de gerência fosse feito a partir da rede cabeada para evitar quebrar a sessão ao provisionar um AP com alterações no Wi-Fi.

O primeiro passo é criar duas sub-redes na controladora UniFi e associá-las com as VLANs 21 (192.168.21.0/24) e 23 (192.168.23.0/24), só que o detalhe é que essas configurações serão aplicadas no switch USW-PRO. Feito isso podemos verificar se existe conectividade L3 entre as diferentes sub-redes via roteamento inter-VLAN realizado pelo USW-PRO.

Em outras soluções essa configuração é complexa e requer várias linhas de configuração, mas sua configuração no USW-PRO é extremamente simples através da interface web do software UniFi, assim como já era/é bastante simples com os roteadores USG/UDM. Na verdade, o roteamento inter-VLAN já vem habilitado por padrão no UniFi para todas as redes corporativas que são criadas na opção Networks.

> Settings
> Networks
> + Create New Network

O que mudou é que agora existe um novo campo nessa tela para definir qual dispositivo será o gateway da sub-rede criada, seja ele um switch USW-PRO ou o roteador UDM/USG (opção default). Por padrão toda nova sub-rede será aplicada no roteador do site lógico (UDM/USG), não em um switch USW-PRO. O campo destacado em vermelho na figura abaixo mostra essa opção que permite selecionar um dos switches USW-PRO como gateway.

Image for post
Image for post
Figura. Criação de Sub-Rede no Switch PRO

A configuração do servidor DHCP e demais parâmetros é exatamente a mesma que já era feita com os roteadores, ou seja, basta definir o IP que será gateway da sub-rede e o range do escopo DHCP. A controladora UniFi automaticamente provisiona as configurações das sub-interfaces lógicas de cada VLAN no equipamento definido anteriormente, seja um roteador (default) ou o USW-PRO (nesse caso).

Nesse exemplo esse mesmo processo foi repetido duas vezes para criar duas novas sub-redes, uma na VLAN 21 e outra na VLAN 23, conforme destacado em vermelho na figura abaixo. Observe que automaticamente o UniFi cria uma network denominada “inter-VLAN Routing” (4040) no UDM-PRO com os devidos ajustes de roteamento para integração do USW-PRO ao UDM/USG - sem nenhum esforço manual.

Image for post
Image for post
Figura. Roteamento inter-VLAN no USW-PRO

Observação: Caso o switch UniFi L3 (USW-PRO) seja utilizado para fazer roteamento inter-VLAN em uma rede que tenha roteadores de outros fabricantes na borda, então essa integração deve ser configurada manualmente. No switch pode ser criada uma única rota default apontando toda a saída de tráfego através do roteador, enquanto que no roteador terceiro devem ser criadas rotas individuais para as sub-redes internas.

O próximo passo é associar as portas do USW-PRO com suas respectivas VLANs para que os clientes sejam membros da VLAN desejada. Na realidade essa etapa faz parte do roteamento inter-VLAN propriamente dito, independente do gateway local ser um roteador ou um switch L3. No caso desse laboratório a porta #21 será associada com a sub-rede 21 e a porta #23 será associada com a sub-rede 23. Uma vez feito isso, os clientes (Raspberry Pi) irão receber endereços IP das suas respectivas sub-redes, conforme observado na figura abaixo.

Image for post
Image for post
Figura. Clientes nas Sub-Redes do USW-PRO

Observação: Para mais informações sobre a configuração de VLANs nos switches UniFi, recomendamos a leitura deste artigo e/ou assistir abaixo a videoaula completa dessa configuração.

Por fim, um simples acesso remoto via SSH em um dos clientes (192.168.23.100) é suficiente para disparar um ping/traceroute até o outro cliente (192.168.21.100) e confirmar que as configurações de roteamento inter-VLAN entre as VLANs 21/23 estão funcionais.

Image for post
Image for post
Figura. Ping dos Clientes no USW-PRO

Rápido e fácil com poucos cliques! ;-)

Grupo UniFi no Facebook 
fb.com/groups/ubnt.unifi.br
Fórum Oficial da Ubiquiti
forum-pt.ubnt.com
Grupo UniFi no LinkedIN
linkedin.com/groups/12135007
Grupo UniFi no Telegram
t.me/ubiquitibr
Image for post
Image for post

Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução…

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store