Guia para comparação de comandos (ArubaOS-Switch/Comware/Cisco) v3.3

Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.

O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.

Há novos itens adicionados em comparação as versões anterior como:

Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration

O documento está disponível para download gratuito no site da HPepress:

https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

comparativo aruba comware ios

Se o link estiver quebrado, deixe um comentário.

RADIUS Change of Authorization (CoA)

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviada para o NAS . Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Coa - NAD-ASExemplo

RADIUS Coa - Comutadores

No cenário acima, o cliente (suplicante) inicia a autenticação;  após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação  pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services

IRF em Switches HP 5500 (JG543A) utilizando módulo traseiro

Essa semana troquei alguns emails com o Samuel Alencar de Fortaleza/CE, sobre a configuração de um IRF em Switches HP 5500 (JG543A) utilizando o módulo traseiro com interfaces CX4 (JD360B).

Ele foi bastante gentil em compartilhar com o Blog o script final da configuração. Aproveitem!

IRF 5500

CONFIGURAÇÃO DO SWICTH A

PASSO 0

<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.


PASSO 3

[HP] irf member 1 priority 32
[HP] int tengigabitethernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] shutdown

[HP] irf-port 1/1
[HP – irf-port] port group interface tem 1/1/1
[HP] int TenGigabitEthernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] undo shutdown
[HP] irf-port-configuration active
[HP] save

 

CONFIGURAÇÃO DO SWICTH B

PASSO 1

! Desconecte os cabos do IRF
<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.

 

PASSO 2

[HP] irf member  1 renumber 2
[HP] quit
<HP> reboot


PASSO 4

[HP] irf member 2 priority 31
[HP] int tengigabitethernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] shutdown

[HP] irf-port 2/2
[HP – irf-port] port group interface tem 2/2/2
[HP] int TenGigabitEthernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] undo shutdown
[HP –Ten-GigabitEthernet2/2/2] quit
[HP] irf-port-configuration active
[HP] save
! Reconecte os cabos e se o switch não reiniciar automaticamente, digite
! o comando 'irf-port-configuration active'.

[HP]quit
<HP>reboot

Para outros artigos sobre IRF clique aqui http://www.comutadores.com.br/?s=irf

Abração

Comware – Configurando o 802.1x

O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o  RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes, etc.

O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e  entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.

Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.

Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:

Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.

Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.

Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.

802.1x

  1. O suplicante envia uma mensagem start para o autenticador.
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.
  3. O suplicante responde com o login com as credenciais do usuário ou do equipamento.
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.

Exemplo de Configuração em Switches HP baseados no Comware

Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.

Passo 1: Configure o servidor RADIUS 
 radius scheme <nome do radius scheme>
  primary authentication <ip do servidor> key <chave> 
  ! Configure o IP do servidor RADIUS e a chave 
  user-name-format without-domain
  ! o formato do nome de usuário sem o envio do @dominio 
  nas-ip <endereço IP do Switch> 
  ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS
 quit

Passo 2: Configure o Domínio
domain <nome do domain>
  authentication lan-access radius-scheme <nome do radius scheme>
  authorization lan-access radius-scheme  <nome do radius scheme>
  ! Configurando a autenticação e a autorização do acesso a LAN 
 quit 

Passo 3: Configure o 802.1x globalmente no Switch
dot1x 
dot1x authentication-method eap

Passo 4: Configure o dot1x nas portas do switch
interface GigabitEthernet 1/0/x
   dot1x
   ! A porta utiliza o modo auto do 802.1x e solicita autenticação

cenário comware 802.1x

Referências

CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
http://blog.ccna.com.br/2009/02/25/pr-o-que-e-8021x/
https://tools.ietf.org/html/rfc3748
http://certifiedgeek.weebly.com/blog/hp-comware-and-wired-8021x

Até logo! :)

Nossos artigos mais acessados em 2016

Galera segue a lista dos artigos mais acesados de 2016:

Switches 3Com 5500 – Guia rápido de Configuração!!!
http://www.comutadores.com.br/switches-3com-5500-guia-rapido-de-configuracao/

Comandos Secretos para os Switches 3Com Baseline e HP v1910
http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
http://www.comutadores.com.br/perguntas-e-respostas-portas-access-trunk-hibrida-lacp-e-stp/

VLAN – Trunk utilizando 802.1q (dot1q)
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco
http://www.comutadores.com.br/dicionario-de-comandos-hp-networking-h3c3com-comparados-com-cisco-cli/

Fizemos também uma lista dos posts mais escondidos do blog (que também são bem legais).

Procedimento de Backout para os equipamentos HPN
http://www.comutadores.com.br/rocedimento_back-out-_para_equipos_hpn/

Comando screen length disable
http://www.comutadores.com.br/comando-screen-length-disable/

Até logo!

Boas Festas!

Amigos, quero desejar a todos Boas Festas.

Como sempre, gostaria de agradecer todas as visitas, dicas, emails e comentários.

Para finalizar o ano, gostaria de compartilhar uma parte de um texto bem conhecido das bem-aventuranças citados por Jesus no sermão da montanha. O texto traz refrigério em momentos difíceis, assim como foi esse ano de 2016.

Bem-aventurados os que choram, porque eles serão consolados;
Bem-aventurados os mansos, porque eles herdarão a terra;
Bem-aventurados os que têm fome e sede de justiça, porque eles serão fartos;
Bem-aventurados os misericordiosos, porque eles alcançarão misericórdia;
Mateus 5:4-7

Um grande abraço a todos.

Resumo HP EVI

O EVI é uma tecnologia Overlay para transporte de tráfego L2, configurado em Switches e Roteadores HP. A tecnologia é baseada no protocolo IP para interconexão entre Data Centers. O EVI encapsula o tráfego Ethernet utilizando túneis GRE entre cada nó. O EVI utiliza MAC-over-GRE-over-IP para entrega de quadros Ethernet. Os pacotes GRE/IP são roteados sobre a conexão WAN entre os DCs.

encapsulamento-evi

Pelo fato do EVI utilizar o padrão GRE, o tráfego poderá ser encaminhado por qualquer infraestrutura IP para estender domínios de broadcast.

Quando um endereço MAC é aprendido, o nó EVI daquele Data Center anuncia o endereço via IS-IS para os sites remotos. Os sites remotos mapeiam o endereço MAC para o link no qual ele foi aprendido.

evi-logica

Terminologia EVI

Edge device – Switch ou Roteador em um Data Center que prove o serviço EVI, aprendizado local de endereço MAC, adjacência IS-IS com os dispositivos remotos e também o anuncio dos endereços MAC locais para seus os pares remotos.

EVI network ID –  identificador único dos edge devices. Cada edge device pode assinar múltiplos IDs para ambientes multi-tenants. O network ID certifica que o aprendizado de endereços MAC continua separado e privado.

Extended VLAN – são as VLANs que você decide estender com o EVI.

EVI Neighbor Discovery Protocol (ENDP) – prove o registro do serviço do endereço IP e é utilizado entre sites conectados via tuneis GRE. O ENDP pode definir a função de cliente e servidor para os nós EVI.

EVI Process

O processo de uma rede EVI pode ser descrito em três fases: descoberta de vizinhos, anuncio de endereços MAC e encaminhamento de dados.

A descoberta de vizinhos ENDP ocorre nos edge devices que registram seus endereços IP com o servidor ENDP. Cada ENDP consulta o servidor para aprendizado e tuneis GRE são formados automaticamente entre os edge devices.

Uma vez que a rede é totalmente estabelecida, o encaminhamento de dados pode ocorrer. O tráfego local é recebido e os endereços de destino remotos são encontrados na tabela MAC do EVI.

Configurando o EVI Neighbor Discovery (ENDP)

O servidor ENDP pode ser habilitado em qualquer EVI edge device e para fins de redundância. Dois ENDP servers podem ser configurados em cada network ID.

ENDP Server

evi neighbor-discovery server enable
*evi neighbor-discovery client enable x.x.x.x

* caso haja redundância de NDPServer

ENDP client

evi neighbor-discovery client enable x.x.x.x

Configurando o EVI Site-ID

Cada site deve conter um unico Site ID. dispositivos no mesmo site devem ser configurados com o mesmo site ID

[Site1-Switch] evi site-id 1 

[Site2-Switch] evi site-id 2

Configurando  a interface EVI (transporte para a rede IP)

vlan 4001
#
interface vlan 4001
ip add 10.1.0.1 24
#
interface giga 3/0/1
port access vlan 4001
evi enable

A interface de transito deve ser configurado no edge device, na porta diretamente conectada à rede IP de transporte.

Configurando a interface Tunnel

[Site1-Switch] interface tunnel 1 mode evi
[Site1-Switch-Tunnel1] source 10.1.0.1

Cada rede EVI requer uma interface Tunnel única.

O ID da interface Tunnel também fará referência ao processo EVI IS-IS Process ID. Uma vez que a interface tunnel1 é criada um processo EVI IS-IS 1 será criado.

Configurando o EVI network ID

[Site1-Switch-Tunnel1] evi network-id 101

O tunnel EVI deve ser mapeado com um EVI Network ID. O range valido é um número entre 1 e 16777215

Configurando as VLANs estendidas

[Site1-Switch-Tunnel1]  evi extended-vlan 100 to 199

O mapeamento de extensão de VLANs deve ser feito dentro da interface Tunnel e não na interface de transporte.

Exemplo de Configuração

No exemplo abaixo faremos a extensão das VLANs 2 até 10 entre os Datacenters DC 1 e DC4 utilizando o EVI para transporte L2 dos quadros Ethernet sobre uma infraestrutura IP. O OSPF será o protocolo para anuncio das rotas diretamente conectadas incluindo loopbacks.

O Roteador R1 será o ENDP Server enquanto R4 será o ENDP client.

evi-fisica

 R1

#
interface LoopBack1
ip address 192.168.1.1 255.255.255.255
ospf 1 area 0.0.0.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 192.168.14.1 255.255.255.248
ospf 1 area 0.0.0.0
evi enable
#
interface GigabitEthernet3/0
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 10
#
interface Tunnel1 mode evi
ip address 10.1.14.1 255.255.255.248
evi extend-vlan 2 to 10
source 192.168.1.1
keepalive 20 2
evi network-id 1
evi neighbor-discovery server enable
#
evi site-id 1
#

R4

#
interface LoopBack1
ip address 192.168.4.4 255.255.255.255
ospf 1 area 0.0.0.0
#
interface GigabitEthernet1/0
port link-mode route
ip address 192.168.14.4 255.255.255.248
ospf 1 area 0.0.0.0
evi enable
#
interface GigabitEthernet3/0
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 10
#
interface Tunnel1 mode evi
ip address 10.1.14.4 255.255.255.248
evi extend-vlan 2 to 10
source 192.168.4.4
keepalive 20 2
evi network-id 1
evi neighbor-discovery client enable 192.168.1.1
#
evi site-id 4

Comandos display

<R1> display  evi isis lsdb
                Link state database information for EVI IS-IS(1)
LSP ID                 Seq num     Checksum  Holdtime  Length    Overload
---------------------------------------------------------------------------
cc3e.5f81.9f7b.00-00   0x00000021  0x84e2    1137      100       0
cc3e.5f81.a1f9.00-00*  0x00000022  0xddc3    964       100       0
cc3e.5f81.a1f9.02-00*  0x0000000b  0xec7f    734       54        0
Flags: *-Self LSP, +-Self LSP(Extended)
<R1> display  evi isis peer
Process ID: 1
System ID: cc3e.5f81.9f7b
Link interface: EVI-Link0
Circuit ID: cc3e.5f81.a1f9.02
State: Up
Site ID: 4
Hold time: 20s
Neighbour DED priority: 64
Uptime: 02:23:05

<R1> display  evi neighbor-discovery server member
Interface: Tunnel1    Network ID: 1    Vpn-instance: [No Vrf]
IP Address: 192.168.1.1
Client Address  System ID         Expire    Created Time
192.168.1.1     cc3e-5f81-a1f9    73        2016/10/21 10:48:08
192.168.4.4     cc3e-5f81-9f7b    69        2016/10/21 10:48:10

[R1]display mac-address
MAC Address      VLAN ID    State            Port/NickName            Aging
cc3e-5f81-3333   2          Learned          GE1/0                    Y
cc3e-5f81-eeee   9          Learned          GE1/0                    Y

[R1]display  evi mac-address interface Tunnel 1
MAC Address          VLAN ID   Port
cc3e-5f81-ffff       9         EVI-Link0
cc3e-5f81-2222       2         EVI-Link0

Referências

https://www.hpe.com/h20195/v2/GetPDF.aspx/4AA5-6737ENW.pdf

https://cjaiwenwenblog.wordpress.com/2016/02/04/how-to-configure-hp-evi-ethernet-virtual-interconnect/

Building HP FlexFabric Data Centers-Rev. 14.41

Comware 7 – Configuração manual de túnel VXLAN

Esses dias navegando na web, encontrei um lab sobre VXLAN no blog http://www.nullzero.co.uk/lab-on-a-laptop/ utilizando o Roteador Virtual HP VSR 1000 na versão E0321. O post simula um cenário Spine/Leaf com a configuração manual de túneis VXLAN. Acredito que o mesmo cenário possa ser replicado em Switches físicos da HP que possuam foco em Datacenter.

O download do HP VSR pode ser feito aqui: https://h10145.www1.hpe.com/Downloads/SoftwareReleases.aspx?ProductNumber=JG811AAE&lang=en&cc=us&prodSeriesId=5443163

A instalação do HP VSR 1000 no VMWARE pode ser encontrado aqui: http://www.comutadores.com.br/instalando-o-hp-vsr1000-no-vmware-workstation/

Falando de VXLAN

O padrão VXLAN (Virtual eXtensible Local Area Network) trabalha em cima da limitação da quantidade de VLANs em um Data Center que é a de 4K VLANs. O Protocolo VXLAN emprega MAC sobre IP/UDP, e permite assim aumentar o número de domínios de Broadcast para 16 milhões.

vxlan-frame-550x104

Imagem  do site  http://blogs.cisco.com/datacenter/cisco-vxlan-innovations-overcoming-ip-multicast-challenges/

O VXLAN prove uma rede de camada 2 sobreposta em uma rede de camada 3. Cada rede sobreposta é chamada de segmento VXLAN e é identificada por um ID único de 24 bits chamado VNI – VXLAN Network Identifier ou VXLAN ID.  A identificação de um host é uma combinação do endereço MAC e o VNI.  Os hosts situados em VXLAN diferentes não podem comunicar entre si (sem a utilização de um roteador). O pacote original enviado por um host na camada 2 é encapsulado em um cabeçalho VXLAN que inclui o VNI associado ao segmento VXLAN que aquele host pertence.

Os equipamentos que transportam os tuneis VXLAN são chamados de VTEP (VXLAN tunnel endpoints).

dominio-de-broadcast-vxlan

 

Parte teórica da configuração no Comware

Os equipamentos HP com suporte ao VTEP utilizam VSIs e VXLAN tunnels para prover os serviços VXLAN.

  • O VSI é uma instancia virtual de comutação (virtual switching instance) que serve para criar o encaminhamento de quadros, utilizando diversos protocolos, incluindo o VXLAN. Os VSIs aprendem endereços MAC e encaminham quadros de forma independente sobre uma infraestrutura L3 emulando um cenário de switches diretamente conectados, mesmo que separadas por um backbone IP.
  • Um VXLAN tunnel é um túnel lógico, ponto-a-ponto entre VTEPs sobre a rede de transporte, rede IP por exemplo. Cada VXLAN tunnel pode encaminhar multiplos VXLANs, assim como uma interface trunk que transporta multiplas VLANs.

Configuração

vxlan-comware-lab

Em nosso cenário os equipamentos estão conectados conforme topologia spine/leaf utilizando interfaces no modo route com IPv4 e  OSPF como IGP para anuncio  das interfaces, incluindo interfaces loopback. Toda a configuração para criação do Tunnel e atribuição da VXLAN será efetuada nos equipamentos Leaf.

A configuração das interfaces de trânsito, loopback e OSPF foram omitidas na configuração abaixo.

Segue abaixo a configuração do VXLAN tunnel e o VXLAN Id 10000:

 

Configuração do LEAF 3
#
interface Tunnel1 mode vxlan
 source 10.1.1.3
 destination 10.1.1.4
! Criando a interface Tunnel 1 no modo VXLAN
#
 l2vpn enable
! Ativando o serviço L2VPN
#
vsi cliente_a
 vxlan 10000
  tunnel 1
! Criando a instancia VSI Cliente A, com o VXLAN ID 10000 atribuído ao tunnel1
#
interface GigabitEthernet4/0
 port link-mode route
 description host-A
 xconnect vsi cliente_a
! Atribuindo o VSI a interface 4/0 conectada a máquina host-A
#

#

Configuração do LEAF 4
#
interface Tunnel1 mode vxlan
 source 10.1.1.4
 destination 10.1.1.3
#
 l2vpn enable
#
vsi cliente_a
 vxlan 10000
  tunnel 1
#
interface GigabitEthernet4/0
 port link-mode route
 description host-B
 xconnect vsi cliente_a

Validando a configuração

 [VSR LEAF 3]display vxlan tunnel
Total number of VXLANs: 1
VXLAN ID: 10000, VSI name: cliente_a, Total tunnels: 1 (1 up, 0 down)
Tunnel name          Link ID    State  Type
Tunnel1              0x5000001  Up     Manual

[VSR LEAF 3]display l2vpn mac-address vsi cliente_a
MAC Address      State    VSI Name                        Link ID/Name  Aging
000c-290b-dcc5   Dynamic  cliente_a                       Tunnel1       Aging
000c-29c5-5e8a   Dynamic  cliente_a                       0             Aging
--- 2 mac address(es) found  ---

Segue a configuração completa dos equipamentos SPINE 1 SPINE 2 LEAF 3 LEAF 4

Até logo

Referencias

http://www.rotadefault.com.br/introducao-a-vxlan/

 

Roteadores MSR – Exemplo de Configuração: OSPF + BFD

Exemplo de Configuração OSPF com BFD

Comware 7 – Configurações iniciais para o TRILL

O protocolo TRILL fornece uma alternativa ao Spanning-Tree em ambientes de Data Center provendo balanceamento de tráfego para caminhos redundantes e prevenção de loop de camada 2. No post http://www.comutadores.com.br/resumo-sobre-trill/ fizemos um breve resumo sobre o protocolo.

A configuração do TRILL é bastante simples conforme script abaixo:

TRILL Comware cenario

Configurando o TRILL globalmente

– Habilite o TRILL em todos os RBridges

[RB1] trill 

– Apesar do nickname e do system-id do TRILL ser gerado automaticamente, a configuração manual facilita o troubleshooting. Uma boa dica é incluir o nickname também na documentação e topologia.

[RB1-trill] nickname 0001
[RB1-trill] system-id 0001.0001.0001

Configurando as interfaces

– Configurando os Uplinks

[RB1] interace Ten1/0/49
[RB1-Ten-GigabitEthernet1/0/49] trill enable
[RB1-Ten-GigabitEthernet1/0/49] trill link-type trunk
[RB1-Ten-GigabitEthernet1/0/49] undo stp enable

Validando a conexão entre  RBridges

[RB1]display  trill peer
System ID: 0002.0002.0002
Interface: Ten-GigabitEthernet1/0/49
Circuit ID: 0002.0002.0002.01
State: Up
Holdtime: 6s
DRB priority: 64
Nickname: 0x0002
Uptime: 00:01:03

System ID: 0003.0003.0003
Interface: Ten-GigabitEthernet1/0/50
Circuit ID: 0003.0003.0003.01
State: Up
Holdtime: 8s
DRB priority: 64

Nickname: 0x0003
Uptime: 00:00:39

System ID: 0004.0004.0004
Interface: Ten-GigabitEthernet1/0/51
Circuit ID: 0004.0004.0004.02
State: Up
Holdtime: 6s
DRB priority: 64
Nickname: 0x0004
Uptime: 00:00:21

Configurando as portas conectadas aos Switches CE e endpoints

Conexão para Switches CE

[RB1] interace Ten1/0/10
[RB1-Ten-GigabitEthernet1/0/10] trill enable
[RB1-Ten-GigabitEthernet1/0/10] trill link-type access
[RB1-Ten-GigabitEthernet1/0/10] undo stp enable

A configuração como “trill link-type access” permite o envio de mensagens TRILL para eleição DRB para escolha dos AVF.

Conexão para Endpoints

[RB4] interace Ten1/0/11
[RB4-Ten-GigabitEthernet1/0/11] trill enable
[RB4-Ten-GigabitEthernet1/0/11] trill link-type access alone
[RB4-Ten-GigabitEthernet1/0/11] undo stp enable

A configuração com “trill link-type access alone” atribui a porta no modo ‘silent’ para frames TRILL

Tree Root Bridge

O protocolo TRILL utiliza uma topologia similar ao STP para o envio de mensagens broadcast, multicast e unknown unicast, criando uma árvore para o envio desse tipo de tráfego.

TRILL tree root

O primeiro critério para eleição do root bridge é a configuração do priority value. O root pode requerer múltiplas arvores para cálculo e encaminhamento ECMP do tráfego multicast.

[RB1] trill
[RB1-trill] tree-root priority 65535

Conclusão

Para aqueles que desejam aprender um pouco mais sobre o  TRILL em Switches HP, o simulador HCL permite a configuração de cenários utilizando o protocolo. Já para consulta, o site da HP possui bastante material e basta uma pesquisa rápida no google para encontrar bastante material

Até logo.

Referências

Building HP FlexFabric Data Centers-Rev. 14.41
HP Configuration Guide – Configuring TRILL