Linux puede ser un gran aliado para implementar redes, ya que es un sistema operativo bastante versátil que permite rápidamente ser utilizado para construir un Router, un Firewall, un Switch o incluso un Access Point. Una de las reglas de buenas prácticas de administración de redes indica que todo el tráfico de gestión de los dispositivos debiese ir en una red exclusivamente dedicada a ese fin y se debe evitar mezclar con el tráfico de red. Este modelo, conocido como OOB (Out-Of-Band), ofrece seguridad y mejor disponibilidad de los servicios de administración de redes al separar completamente los accesos. Linux puede gestionar interfaces de red en modalidad de VRF (Virtual Forwarding and Routing) a partir del kernel 4.3 en adelante, lo que permite tener múltiples tablas de enrutamiento separadas completamente entre si.
El siguiente es un ejemplo de configuración de VRF en un script en Debian que se aplicará cada vez que el sistema se reinicie, de tal manera que los cambios sean persistentes. Para ello designaremos la interfaz ens256 en su propia VRF y el resto del tráfico se gestionará por la tabla de enrutamiento normal.
- Modificar rc.local
Debemos decirle al archivo rc.local que cargue un script al arranque. Para ello debemos editar el archivo y agregar la instrucción de arranque justo antes de la línea que dice "exit 0".
vim /etc/rc.local
Agregar la instrucción "sh /etc/vrf.sh"
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#
# Cargar el script de VRF al inicio
sh /etc/vrf.sh
exit 0
2. Crear el archivo /etc/vrf.sh
Este script contiene las instrucciones de la VRF. Se debe modificar de acuerdo a la configuración IP de cada red. Para este caso asignaremos la IP 10.128.10.200/24 a una VRF que llamaremos MGMT.
vim /etc/vrf.sh
ip link add dev MGMT type vrf table 10
ip link set dev ens256 master MGMT
ip link set dev MGMT up
ip address add 10.128.10.200/24 dev ens256
ip route add default via 10.128.10.250 table 10
sysctl -w net.ipv4.tcp_l3mdev_accept=1
Luego aplicamos los permisos de ejecución correspondientes y reiniciamos la máquina.
chmod +x /etc/vrf.sh
reboot
Con esto ya tendremos configurada una interfaz completamente dedicada en su propia VRF. Algo importante de mencionar es que al final del script agregué el comando sysctl -w net.ipv4.tcp_l3mdev_accept=1. Esta instrucción habilita la recepción de tráfico TCP en la interfaz de gestión. Sin este comando, aunque se levante un servidor SSH hacia el servidor, la conexión no será exitosa.
Hay que destacar también que se pueden crear múltiples VRFs pero cada una debe tener un nombre y un ID (table 10) diferente.
