Introdução à Configuração de Alta Disponibilidade e Segmentação no VyOS
O VyOS é um sistema operacional de roteamento open-source baseado em Linux, amplamente utilizado por provedores de internet, data centers e empresas que buscam flexibilidade total na gestão de sua infraestrutura de rede. Diferente de soluções proprietárias, o VyOS oferece controle granular sobre cada pacote transmitido, mas exige uma configuração precisa para garantir estabilidade e desempenho.
Neste tutorial, vamos abordar dois pilares fundamentais para ambientes corporativos robustos: a criação de VLANs (Local Area Networks Virtuais) para segmentação de tráfego e a configuração de Bonding (agregação de links) para aumentar a largura de banda e garantir redundância. A combinação dessas tecnologias permite criar uma infraestrutura resiliente, capaz de absorver falhas de hardware ou interrupções de link sem afetar a disponibilidade dos serviços críticos.
Este guia assume que você já possui acesso SSH ao seu roteador VyOS e conhece os conceitos básicos do modo de configuração interativa. O objetivo é fornecer comandos prontos para replicar em seu ambiente, focando em boas práticas de alta disponibilidade e organização de interfaces.
Pré-requisitos e Topologia Lógica
Antes de iniciar a configuração, é essencial entender a topologia física e lógica desejada. Para este exemplo, consideraremos o seguinte cenário:
- Switch Managed: Um switch Layer 2 compatível com IEEE 802.1Q (trunk) e LACP (Link Aggregation Control Protocol).
- VyOS Router: Equipamento com múltiplas portas de rede (ex: eth0, eth1, eth2, eth3).
- Objetivo:
- Configurar
eth0eeth1 em um link agregado (Bonding Mode 4 - LACP) conectado ao switch para uplink de alta velocidade. - Criar uma VLAN identificada como
vlan10(ex: Rede Corporativa) e outravlan20(ex: Rede Guest) sobre a interface bonding.
Nota Importante: A configuração do switch deve preceder ou acompanhar a configuração do VyOS. As portas conectadas ao roteador devem estar configuradas como Trunk e permitir as VLANs desejadas, além de estarem agregadas via LACP (EtherChannel/Port-Channel) se o modo de bonding for 4.
Acessando o Modo de Configuração do VyOS
O VyOS opera em dois modos principais: operacional e de configuração. Para alterar a estrutura da rede, precisamos entrar no modo de configuração interativa.
- Conecte-se ao VyOS via SSH ou console.
- Digite o comando para entrar no modo de configuração:
vconfigureAo executar este comando, o prompt mudará de vyos@router:~$ para vyos@router#, indicando que você tem permissões de escrita na configuração. Agora, vamos começar estruturando as interfaces.
Passo 1: Configurando a Interface Bonding (LACP)
O bonding permite combinar múltiplas interfaces físicas em uma única lógica. No VyOS, o suporte nativo ao LACP (802.3ad) é robusto e gerencia automaticamente o balanceamento de carga e a falha.
Navegue até o nível de configuração das interfaces:
set interfaces bonding bond0Agora, defina as propriedades essenciais para o Bonding Mode 4 (LACP):
- Modo de Agregação: Defina o modo como
802.3ad.
set interfaces bonding bond0 mode 802.3ad- Membro das Interfaces: Adicione as interfaces físicas que comporão o link agregado. No nosso exemplo,
eth0eeth1.
set interfaces bonding bond0 member-interface eth0
set interfaces bonding bond0 member-interface eth1- Velocidade e Duplex (Opcional, mas recomendado): Embora o VyOS tente negociar automaticamente, forçar a velocidade máxima evita problemas de negociação em switches antigos.
set interfaces bonding bond0 speed 1000
set interfaces bonding bond0 duplex fullCom isso, a estrutura física do link agregado está definida. O VyOS criará a interface lógica bond0, mas ela ainda não possui endereço IP nem VLANs associadas.
Passo 2: Configurando as Interfaces VLAN
As VLANs são criadas sobre interfaces virtuais ou físicas. No caso de bonding, é uma prática recomendada criar as VLANs diretamente sobre a interface bond0. Isso simplifica o gerenciamento e garante que o tráfego de todas as VLANs passe pelo mesmo link agregado.
Navegue até a configuração das VLANs:
set interfaces vlanVamos criar a VLAN 10 (Corporativa):
- Defina o ID da VLAN e a interface pai.
set interfaces vlan vlan10 parent bond0
set interfaces vlan vlan10 vif 10Agora, vamos criar a VLAN 20 (Guest):
- Repita o processo para o segundo ID de VLAN.
set interfaces vlan vlan20 parent bond0
set interfaces vlan vlan20 vif 20Dica de Pro: O nome da interface (ex: vlan10) é apenas um identificador local no VyOS. O que realmente importa para a rede é o vif, que corresponde ao Tag 802.1Q enviado pelo switch.
Passo 3: Atribuindo Endereços IP e Gateways
Agora que as interfaces VLAN estão estruturadas, precisamos atribuir endereços IP para que o VyOS possa rotear tráfego entre elas ou servir como gateway padrão.
Vamos atribuir um IP à VLAN Corporativa (vlan10):
- Navegue até a configuração de endereço IP da interface:
set interfaces vlan vlan10 address 192.168.10.1/24E, opcionalmente, configure o gateway padrão se esta VLAN tiver saída para a internet (assumindo que bond0 tenha um IP de WAN ou roteamento estático configurado):
set protocols static route 0.0.0.0/0 next-hop 203.0.113.1Se você precisar que a VLAN Guest (vlan20) tenha acesso à internet mas com restrições (NAT), o processo é similar, adicionando o endereço IP:
set interfaces vlan vlan20 address 192.168.20.1/24Passo 4: Configurando NAT e Firewall para Alta Disponibilidade
Uma configuração de rede incompleta sem regras de firewall e NAT não permite que os clientes acessem a internet. No VyOS, o firewall é baseado em scripts (script-based), o que oferece extrema flexibilidade.
Para habilitar o NAT Source na VLAN Corporativa:
- Defina o NAT para a interface de saída (neste exemplo, assumiremos que
bond0está conectado à WAN ou roteia para um uplink externo):
set nat source rule 100 description 'NAT para VLAN Corp'
set nat source rule 100 outbound-interface name bond0
set nat source rule 100 destination address 0.0.0.0/0
set nat source rule 100 source address 192.168.10.0/24
set nat source rule 100 translation masqueradeAplicação do Firewall: É crucial aplicar o firewall de entrada na interface bond0 para proteger o roteador e gerenciar o tráfego que entra na rede interna.
set firewall interface bond0 default-forward-policy DROP
set firewall interface bond0 input-policy 10 action ACCEPT
set firewall interface bond0 local-policy 10 action ACCEPTEssas regras garantem que, por padrão, o tráfego não autorizado seja bloqueado, enquanto conexões estabelecidas e respostas sejam permitidas (geralmente gerenciadas pelo estado do conntrack).
Passo 5: Salvando e Aplicando a Configuração
O VyOS não aplica as alterações imediatamente ao entrar no modo de configuração. Você precisa confirmar que deseja salvar a nova configuração em disco.
- Saia do modo interativo ou digite o comando de commit:
commitO sistema validará a sintaxe. Se houver erros (ex: IP duplicado, interface inexistente), ele exibirá uma mensagem de erro e manterá a configuração anterior. Se tudo estiver correto, o VyOS aplicará as mudanças em tempo real sem reiniciar o serviço.
- Para persistir a configuração após uma reinicialização:
saveO comando save copia a configuração atual para o arquivo persistente. Sem este passo, qualquer reboot do servidor perderá suas alterações.
Verificação e Troubleshooting
Após aplicar a configuração, é fundamental verificar se tudo está funcionando como esperado. Siga os passos abaixo no modo operacional (saia com exit ou quit):
1. Verificar o Status do Bonding
Use o comando show interfaces bonding para visualizar o estado lógico e físico dos membros.
show interfaces bondingVocê deve ver bond0 como UP e os membros eth0 e eth1 também. Se um cabo for desconectado, o VyOS deve manter o link ativo desde que haja pelo menos uma interface operacional.
2. Verificar as VLANs
Confira se as interfaces virtuais foram criadas corretamente:
show interfaces vlanO output deve listar vlan10 e vlan20 com seus respectivos IDs de VLAN e status.
3. Teste de Conectividade
Tente pingar o gateway a partir de uma máquina na rede corporativa:
ping 192.168.10.1 -I ethX (onde ethX é um cliente na VLAN 10)Se o ping falhar, verifique as regras de firewall e a configuração do switch (trunk/port-channel).
Considerações Finais sobre Manutenção
A configuração de VLANs e Bonding no VyOS é poderosa, mas requer disciplina. Mantenha o arquivo de configuração organizado comentando as seções críticas. Lembre-se de que alterações físicas nos cabos ou migração do switch podem exigir ajustes manuais nas configurações de LACP.
Além disso, sempre realize backups da configuração antes de grandes mudanças. O VyOS permite exportar a configuração completa para um arquivo XML ou JSON, facilitando a recuperação em caso de desastres.
Ao dominar esses conceitos básicos, você estabelece uma base sólida para implementar serviços mais complexos, como BGP, OpenVPN e balanceamento de carga avançado, transformando seu VyOS em um núcleo de rede profissional e confiável.
