A comunicação entre diferentes redes ocorre através do processo de roteamento em um equipamento com a função de rotear os pacotes na rede. Quando um pacote chega em uma das interfaces do roteador/firewall/Switch L3, ele analisa a tabela de roteamento, para verificar se contém uma rota para a rede de destino e em caso verdadeiro o pacote é encaminhado, se não houver rota para o destino, o pacote é descartado – imaginando um cenário onde as políticas de segurança do Firewall permitam a comunicação entre a rede de origem e destino.
As rotas da tabela de roteamento podem tanto ser inseridas de forma estática (configuração manual) ou dinâmica (através do aprendizado via protocolos de roteamento como OSPF, BGP entre outros).
Distância Administrativa
Há cenários que um mesmo destino pode ser aprendido na tabela de roteamento de diferentes formas, como por exemplo, um prefixo ser aprendido tanto via rota estática como por OSPF. Nesse caso o equipamento dará preferência para a rota com a distância administrativa com menor valor, no caso, o destino aprendido via rota estática terá preferência pelo valor 10 para a distância administrativa em detrimento do valor 110 do protocolo de roteamento OSPF.
No exemplo abaixo mostramos as entradas da tabela de roteamento de um Fortigate com as rotas diretamente conectada(C) , estáticas (S) e aprendidas via OSPF (O):
FortiGate-VM64 # get router info routing-table all
Routing table for VRF=0
Codes: K - kernel, C - connected, S - static, R - RIP, B – BGP
O - OSPF, IA - OSPF inter área
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter área
* - candidate default
S 10.9.0.0/24 [10/0] via 10.12.0.229, port1
C 10.12.0.0/24 is directly connected, port1
O 10.13.1.1/32 [110/1] via 10.12.0.223, port1, 00:00:28
S 10.14.0.0/24 [10/0] via 10.12.0.223, port1
O 192.168.1.2/32 [110/1] via 10.12.0.223, port1, 00:00:28
O 192.168.22.0/24 [110/2] via 10.12.0.223, port1, 00:00:28
Durante a configuração da rota estática no firewall Fortigate é possível inserir o valor da distância administrativa (administrative distance) com o objetivo de manipular o roteamento para fins de redundância, como por exemplo duas rotas iguais com destinos diferentes e distâncias administrativas diferentes. A rota com maior distância administrativa só entrará na tabela de roteamento no caso de uma falha na rota com melhor prioridade – uma interface down pode gerar isso.
A distância administrativa possui apenas função local e não é compartilhada pelo protocolo de roteamento.
Obs: Cada fabricante trabalha com diferentes valores para distância administrativa da tabela de roteamento. Em redes que utilizam roteamento dinâmico as melhores práticas sugerem usar o mesmo valor da distância administrativa em todos os equipamentos para evitar roteamento assimétrico ou problemas no roteamento da rede.
No exemplo abaixo mostramos como é possível alterar os valores administrative distance no Fortigate.
Laboratório
No exemplo abaixo configuramos, um Fortigate com rotas estáticas e também OSPF. As rotas estáticas foram inseridas com distância administrativa maior para que o roteador de Backup seja utilizado quando a comunicação com o roteador principal falhar.
FortiGate-VM64 # get router info routing-table all
<saída omitida>
C 10.12.0.0/24 is directly connected, port1
O 10.13.1.1/32 [110/1] via 10.12.0.223, port1, 00:00:00 (rota OSPF)
O 192.168.1.2/32 [110/1] via 10.12.0.223, port1, 00:04:39
O 192.168.22.0/24 [110/2] via 10.12.0.223, port1, 00:04:39
Configuração da rota estática para backup.
FortiGate-VM64 (static) # show
config router static
edit 1
set dst 10.13.1.1 255.255.255.255
set gateway 10.12.0.224
set distance 111 (rota estática configurada com a distância administrativa 111)
set device "port1"
next
end
Obs: A rota não entra na tabela de roteamento enquanto a mesma estiver sendo aprendida também por OSPF.
Após falha na comunicação da adjacência OSPF a rota estática aparece na tabela de roteamento.
FortiGate-VM64 # get router info routing-table all
<saída omitida>
C 10.12.0.0/24 is directly connected, port1
S 10.13.1.1/32 [111/0] via 10.12.0.224, port1 (rota estática)
A partir do momento que a comunicação do OSPF retornar, o roteamento para o roteador principal será restabelecido.
Abração!