Monthly Archives: abril 2012

Troubleshooting STP

Publicado originalmente em 24 DE OUTUBRO DE 2010

A principal função do STP é proteger a rede de loops criados por links redundantes na LAN. Os loops criados na rede podem causar problemas na topologia Spanning-Tree quando não protegida de forma correta.

Situações como Spanning-tree desabilitado, erros de negociação de duplex, erros dos quadros durante a transmissão/recepção, problemas nos conectores, super-utilização de CPU e modificação dos temporizadores são alguns dos cenários que podem comprometer a estabilidade do algoritmo.

Um dos principais sintomas perceptíveis durante problemas de instabilidade do Spanning-Tree é a oscilação da conectividade dos serviços da rede local, flapping de endereços MAC nas interfaces (troca de aprendizado [constante]), troca simultânea do Root da rede (ocasionada pela utilização excessiva de recursos dos Switches que não conseguem processar ou encaminhar BPDU’s)

 

Restaurando a conectividade 

• Passo 1: Conheça a rede

Tenha sempre um diagrama atualizado da sua topologia de rede identificando o seu Switch Root, modo do STP ( STP, RSTP, MSTP, etc) e links redundantes.

• Passo 2: Identifique o Loop na rede

Em situações de problemas na Topologia Spanning-Tree identifique o UpLink que está ocasionando o problema desconectando cada uma das portas para localizar o ponto de loop na LAN.

• Passo 3: Restaure a conectividade

• Passo 4: Verifique o status das portas

Comandos como display stp e display stp brief podem informar status como o Spanning-tree desabilitado, Switch root da rede, portas bloqueadas e etc.

• Passo 5: Verifique os erros

Analise os eventos no servidor Syslog ou o logbuffer nos dispositivos ( tente identificar a partir de qual ação, ocasionou o problema na rede).

• Passo 6: Corrija o problema!

Desabilite ou habilite features que possam corrigir o problema

Features
Features como Edged-port (portfast), BPDU protection, Root Guard, Loop Protection, etc. Podem ser bastante úteis para a proteção de sua rede.

Referencia: Building Cisco Multilayer Switched Networks 4th Edition (Richard Froom, Balaji Sivasubramanian and Erum Frahim)

Vocês já passaram por problemas no STP da sua rede? O que ocasionou? O que fizeram para resolver? ;)

Abraço a todos

Elegendo o Switch Root do Spanning-Tree

Publicado originalmente em 6 DE SETEMBRO DE 2010

Protocolo Spanning-Tree ( STP) foi desenvolvido para evitar que loops físicos interfiram no desempenho da rede. O protocolo consegue detectar onde estão os loops na rede bloqueando os caminhos redundantes.

“Quando um Switch recebe um broadcast, ele o repete em cada porta (exceto naquela em que foi recebido). Em um ambiente com loop, os broadcasts podem ser repetidos infinitamente” Gary A. Donahue , Network Warrior, O’Reilly, 2007, p59)

Em caso de caminhos redundantes sem a utilização do Spanning-Tree, o processo de encaminhamento de broadcast só será interrompido quando o loop for desfeito, com a remoção de cabos ou o desligando o equipamento. Em diversas situações, uma tempestade de broadcast “derruba” a comunicação da rede.

O Switch Root

A utilização do STP é geralmente imperceptível na grande maioria das redes devido ao fato da convergência ocorrer sem a necessidade de configurações adicionais. Todo Switch da LAN , recebe informações sobre os outros Switches da rede através da troca de mensagens chamadas de BPDUs (Bridge Protocol Data Units).

Ao tirarmos um Switch da caixa ( preferencialmente gerenciável) e colocarmos em nossa rede, haverá a comunicação com todos os Switches da rede para convergência com o novo dispositivo.

A partir das mensagens trocadas pelos Switches, é efetuada uma eleição para escolha de um Switch Raiz (Root) que será o responsável por alimentar a topologia da Rede pela geração de BPDUs e todos os Switches não-Raiz bloquearão as portas com caminhos redundantes para o Raiz.

Os BPDUs são encaminhados pelo Root a cada 2 segundos em todas as portas para garantir a estabilidade da rede; e então os BPDUs re-encaminhados pelos outros Switches.

As mensagens BPDU contêm informações suficientes para que os Switches elejam quais portas encaminharão os dados, baseando-se em custo do caminho, informações do Switch e informações da porta.

Obs: a porta em estado de Bloqueio continuará a ouvir os BPDUs pois em caso de perda de comunicação do enlace principal, a porta bloqueada estará pronta para encaminhar os quadros! 

Elegendo o Switch Root

O primeiro processo para uma topologia livre de Loops utilizando o protocolo Spanning-Tree é a eleição do Switch Root. Vence a eleição o Switch quem possuir o menor Bridge ID.

O Bridge ID é composto dos campos Prioridade (Bridge Priority) e o endereço MAC do Switch. Por padrão a prioridade dos Switches é 32768 (o Switch com menor prioridade vence) e em caso de empate vence a eleição o Switch que possui o menor endereço MAC.

Após a eleição, se houver algum caminho redundante, o mesmo será bloqueado!

Escolhendo quem será o Root da rede

As melhores práticas sugerem configurarmos o Switch Core da rede como Root com o comando stp root primary pela posição privilegiada na rede, melhor arquitetura,processamento, etc. O comando nos Switches 3Com alterará a prioridade para o valor0 (zero) forçando o dispositivo a ser o Root.

Uma segunda maneira de alterar a prioridade Switch é utilizando o comando stp priority 4096 ( sempre escolha valores múltiplos de 4096)

Obs:Se houver mais de um Switch com a prioridade 0, vence a eleição quem possuir o menor endereço MAC. 

Display STP

O comando display stp exibe informações como o valor do Bridge ID (Bridge priority e endereço MAC) do Switch e do Root, timers,etc. O comando display stp brief exibe o estado das portas na Topologia.

 

display stp
-------[CIST Global Info][Mode STP]-------
CIST Bridge :32768.000f-cbb8-6329
! Lista a Prioridade do Switch como 32768 e o endereço MAC 000f-cbb8-6329
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0.000f-cbb8-8f55/ 20000
! A linha exibe a prioridade do Switch Root da Topologia como 0
! (zero nesse caso) e o endereço MAC 000f-cbb8-8f55
CIST RegRoot/IRPC :32768.000f-cbb8-63c0 / 0
CIST RootPortId :128.28
BPDU-Protection :disabled
Bridge Config
Digest Snooping :disabled
TC or TCN received :7
Time since last TC :0 days 24h:20m:51s
! Contador exibindo a última vez que houve uma mudança na topologia STP 

Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco CLI

A HP Network disponibilizou um guia de referência muito interessante como um  dicionário para comparação de comandos dos Switches HP, H3C/3Com (Comware) e IOS Cisco.

Para visualização ou download acesse:

http://h17007.www1.hp.com/docs/interoperability/Cisco/HP-Networking-and-Cisco-CLI-Reference-Guide_June_10_WW_Eng_ltr.pdf

Se o link estiver quebrado, deixem um comentário que disponibilizarei em algum repositório!!

Abraços

Switches HP A7500 – Configurando o IRF versão 2

Publicado originalmente em 8 DE OUTUBRO DE 2010

O IRF é uma tecnologia que permite transformarmos diversos Switches físicos em um único Switch lógico. Todos os equipamentos serão visualizados como uma única “caixa”, aumentando a disponibilidade da rede.

Uma das facilidades da versão 2 é a possibilidade de utilizarmos interfaces 10G para a construção IRF (sem a necessidade de cabos ou módulos específicos ) e a utilização de Switches Modulares para construção da topologia.

Configuração

A configuração do IRF é dividida nos passos abaixo ( utilizaremos[Sw1] e [Sw2] antes dos comandos para diferenciarmos os dispositivos):

1º Converta os 2 Switches no modo IRF

[Sw1]chassis convert mode irf
! Convertendo o Switch 1 no modo IRF

[Sw2]chassis convert mode irf
! Convertendo o Switch 2 no modo IRF

Após a conversão dos Chassis para modo IRF, reinicie os Switches. Os equipamentos subirão com a configuração dos módulos como 1/2/0/1 ( para a porta antes exibida na configuração como 2/0/2; e assim por diante)

2º Renumere o Segundo Switch 

[Sw2]irf member 1 renumber 2
! Forçaremos as portas do Switch 2 para exibirem no formato 2/2/0/x

Reinicie o Switch

3º Altere a prioridade do Switch Master

[Sw1]irf member 1 priority 32
! O Switch com maior prioridade será eleito o Master ( por default a prioridade de todos os Switches será 1)

4º Deixe as portas 10G que participarão do IRF em shutdown.

[Sw1] interface Ten-GigabitEthernet1/3/0/2
[Sw1-Ten-GigabitEthernet1/3/0/2] shutdown
! Configurando a porta 10G 1/3/0/1 do Switch 1 em shutdown

[Sw2] interface Ten-GigabitEthernet2/3/0/2
[Sw2-Ten-GigabitEthernet2/3/0/2] shutdown
! Configurando a porta 10G 2/3/0/1 do Switch 2 em shutdown

5º Crie a interface lógica para o IRF 

[Sw1] irf-port 1/2 
! Criando a interface lógica IRF 1/2
[Sw1-irf-port 1/2] port group interface Ten-GigabitEthernet1/3/0/2 mode enhanced
! Adicionando a porta 10G 1/3/0/2 do Switch 1 na interface IRF no modo enhanced

[Sw2] irf-port 2/1
! Criando a interface lógica IRF 2/1
[Sw2-irf-port 2/1] port group interface Ten-GigabitEthernet2/3/0/2 mode enhanced
! Adicionando a porta 10G 2/3/0/2 do Switch 1 na interface IRF no modo enhanced

Obs: O fabricante sugere a configuração das portas IRF em modo cruzado, como por exemplo, a porta IRF 1/2 do Switch 1 conectado na porta IRF 2/1 do Switch 2


6º Remova as portas 10G do Shutdown

[Sw1] interface Ten-GigabitEthernet1/3/0/1
[Sw1-Ten-GigabitEthernet1/3/0/2]undo shutdown


[Sw2] interface Ten-GigabitEthernet2/3/0/1
[Sw2-Ten-GigabitEthernet2/3/0/2] undo shutdown

Após removermos a porta do Switch 2 participante do IRF do shutdown, será exibida a seguinte mensagem:

IRF merge occurs and the IRF system needs a reboot.

Salve a configuração dos 2 Switches e reinicie o Segundo Switch ( o dispositivo não-Master). Espere os módulos subirem e os Switches tornarem-se um só!
Display

Para verificar o IRF podemos utilizar os comandos abaixo

[SW1]display irf configuration

MemberID NewID IRF-Port1 IRF-Port2

1 1 disable Ten-GigabitEthernet1/3/0/2
2 2 Ten-GigabitEthernet2/3/0/2 disable

[SW1]display irf topology

Topology Info
---------------------------------------

IRF-Port1 IRF-Port2

Switch Link neighbor Link neighbor Belong To
1 DIS -- UP 2 00e0-fc0a-15e0
2 UP 1 DIS -- 00e0-fc0a-15e0

Configuração final após o IRF concluído.

[SW1]display current-configuration
#
version 5.20, Release 6605P03
#
sysname SW1
#
irf mac-address persistent always
undo irf link-delay
irf member 1 priority 32
#
lldp enable
#
switch-mode standard chassis 1
switch-mode normal chassis 1 slot 2
switch-mode normal chassis 1 slot 3
switch-mode standard chassis 2
switch-mode normal chassis 2 slot 2
switch-mode normal chassis 2 slot 3
#
vlan 1
#
stp enable
#
interface GigabitEthernet1/2/0/1
#
interface GigabitEthernet1/2/0/2
#
interface GigabitEthernet1/2/0/3
#
interface GigabitEthernet1/2/0/4
#
interface GigabitEthernet1/2/0/5
#
interface GigabitEthernet1/2/0/6
#
interface GigabitEthernet1/2/0/7
#
interface GigabitEthernet1/2/0/8
#
interface GigabitEthernet1/2/0/9
#
interface GigabitEthernet1/2/0/10
#
interface GigabitEthernet1/2/0/11
#
interface GigabitEthernet1/2/0/12
#
interface GigabitEthernet1/2/0/13
#
interface GigabitEthernet1/2/0/14
#
interface GigabitEthernet1/2/0/15
#
interface GigabitEthernet1/2/0/16
#
interface GigabitEthernet1/2/0/17
#
interface GigabitEthernet1/2/0/18
#
interface GigabitEthernet1/2/0/19
#
interface GigabitEthernet1/2/0/20
#
interface GigabitEthernet1/2/0/21
#
interface GigabitEthernet1/2/0/22
#
interface GigabitEthernet1/2/0/23
#
interface GigabitEthernet1/2/0/24
#
interface GigabitEthernet1/2/0/25
shutdown
#
interface GigabitEthernet1/2/0/26
shutdown
#
interface GigabitEthernet1/2/0/27
shutdown
#
interface GigabitEthernet1/2/0/28
shutdown
#
interface GigabitEthernet1/2/0/29
shutdown
#
interface GigabitEthernet1/2/0/30
shutdown
#
interface GigabitEthernet1/2/0/31
shutdown
#
interface GigabitEthernet1/2/0/32
shutdown
#
interface GigabitEthernet2/2/0/1
#
interface GigabitEthernet2/2/0/2
#
interface GigabitEthernet2/2/0/3
#
interface GigabitEthernet2/2/0/4
#
interface GigabitEthernet2/2/0/5
#
interface GigabitEthernet2/2/0/6
#
interface GigabitEthernet2/2/0/7
#
interface GigabitEthernet2/2/0/8
#
interface GigabitEthernet2/2/0/9
#
interface GigabitEthernet2/2/0/10
#
interface GigabitEthernet2/2/0/11
#
interface GigabitEthernet2/2/0/12
#
interface GigabitEthernet2/2/0/13
#
interface GigabitEthernet2/2/0/14
#
interface GigabitEthernet2/2/0/15
#
interface GigabitEthernet2/2/0/16
#
interface GigabitEthernet2/2/0/17
#
interface GigabitEthernet2/2/0/18
#
interface GigabitEthernet2/2/0/19
#
interface GigabitEthernet2/2/0/20
#
interface GigabitEthernet2/2/0/21
#
interface GigabitEthernet2/2/0/22
#
interface GigabitEthernet2/2/0/23
#
interface GigabitEthernet2/2/0/24
#
interface GigabitEthernet2/2/0/25
shutdown
#
interface GigabitEthernet2/2/0/26
shutdown
#
interface GigabitEthernet2/2/0/27
shutdown
#
interface GigabitEthernet2/2/0/28
shutdown
#
interface GigabitEthernet2/2/0/29
shutdown
#
interface GigabitEthernet2/2/0/30
shutdown
#
interface GigabitEthernet2/2/0/31
shutdown
#
interface GigabitEthernet2/2/0/32
shutdown
#
interface M-Ethernet1/0/0/0
#
interface Ten-GigabitEthernet1/3/0/1
#
interface Ten-GigabitEthernet2/3/0/1
#
interface Ten-GigabitEthernet1/3/0/2
#
interface Ten-GigabitEthernet2/3/0/2
#
load xml-configuration
#
user-interface aux 1/0
user-interface aux 2/0
user-interface vty 0 4
#
irf-port 1/2
port group interface Ten-GigabitEthernet1/3/0/2 mode enhanced
#
irf-port 2/1
port group interface Ten-GigabitEthernet2/3/0/2 mode enhanced
#

 

Abraços

Configurando Link-Aggregation/Etherchannel entre Cisco e HPN

A agregação de diversas interfaces Ethernet (portas físicas) para a utilização de uma única porta lógica com o intuito de prover redundância e aumento de banda é uma atividade muito comum em redes de médio e grande porte .

Infelizmente o nome atribuído pelos fabricantes não segue um padrão, mas por outro lado todos possuem as mesmas funções citadas anteriormente:EtherchannelPort-channelLink-AggregationBridge-AggregationTrunk  [ nome dado antigamente para agregação de portas. (Não confundam com a utilização de interface Trunk atribuída pelos Switches Cisco e 3Com. Os Switches Procurve ainda utilizam essa terminologia) ]  e etc.

Existem algumas formas de estabelecer a agregação de portas, como por exemplo:

Manual : sem a certificação do meio por protocolos auxiliares
PAgP : Protocolo disponível em equipamentos Cisco
- LACP : Protocolo padrão IEEE,  disponível quase todos Switches gerenciáveis.

Modos de formação de um Etherchannel em Switches Cisco

Cisco(config-if)# channel-group 1 mode ?
  active Enable LACP unconditionally
  auto       Enable PAgP only if a PAgP device is detected
  desirable  Enable PAgP unconditionally
  on         Enable Etherchannel only
  passive    Enable LACP only if a LACP device is detected

No Script abaixo mostraremos a configuraçaõ de Link Aggregation/Etherchannel entre um Switch Cisco e um Switch HPN Serie-A

Switch HPN

#
interface Bridge-aggregation 1
link-aggregation mode dynamic
! Estabelecendo a conexão do Link-Aggregation utilizando o protocolo LACP
#
interface gigabitEthernet 1/0/1
port link-aggregation group 1
! Atribuindo a porta para negociar a agregação via protocolo LACP
#
interface gigabitEthernet 1/0/2
port link-aggregation group 1
! Atribuindo a porta para negociar a agregação via protocolo LACP

Switch Cisco

!
interface port-channel 1
!
interface gigabitEthernet 1/10
channel-group 1 mode active
! Estabelecendo a conexão do Etherchannel utilizando o protocolo LACP
!
interface gigabitEthernet 1/11
channel-group 1 mode active
! Estabelecendo a conexão do Etherchannel utilizando o protocolo LACP
!

Comandos Show e Display

Switch HPN

[HPN]display link aggregation verbose
Aggregation Interface: Bridge-Aggregation1
Aggregation Mode: Dynamic
Loadsharing Type: Shar
System ID: 0x8000, 3822-d6a2-5c00

Local:
  Port             Status  Priority Oper-Key  Flag
----------------------------------------------------
GE1/0/1       S       32768    8         {ACDEF}
GE1/0/2       S       32768    8         {ACDEF}

Remote:
Actor Partner Priority Oper-Key SystemID Flag
------------------------------------------------------------
GE1/0/1 516 32768 45 0x8000, 4055-39d4-8e13 {ACDEF}
GE1/0/2 517 32768 45 0x8000, 4055-39d4-8e13 {ACDEF}

Switch Cisco

Cisco#show etherchannel summary
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s – suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator
        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port
Number of channel-groups in use: 2
Number of aggregators:           2
Group  Port-channel  Protocol    Ports
------+-------------+-----------+--------------------------
1     Po1(SU)        LACP      Gi1/10(P)  Gi1/11(P)

Não esqueça!!!

Sempre quando for necessario a alteração de VLANs das portas do Link Aggregation/Etherchannel faça a alteração somente na interface virtual ( port channel/ bridge-aggregation), que a configuração será replicada para as interfaces físicas.
Mantenha a consistência de VLANs nas 2 pontas do Link Aggregation/Etherchannel.

Use velocidades de portas idênticas como: interfaces 1Gb com interfaces 1G e interfaces 10Gb com interfaces 10Gb e assim por diante…  ;)

Boa semana!

Publicado originalmente em http://www.rotadefault.com.br/2012/03/29/configurando-link-aggregationetherchannel-entre-cisco-e-hpn/

Switches 3Com 4800G – Link Aggregation

Publicado originalmente em 9 DE ABRIL DE 2010

Os Switches 3Com/ HPN/ H3C oferecem a utilização de interfaces Ethernet, Fast Ethernet, GigabitEthernet ou 10 GigabitEthernet. O Link Aggregation permite a agregação de diversas portas para incrementar a velocidade do link na comunicação full duplex entre dois dispositivos.

Os link são utilizados em paralelo, provendo crescimento e expansão de banda, redundância, sem a necessidade de compra de Hardware adicional.

Por exemplo, podemos utilizar 4 portas de 100Mb em cada dispositivo para formar um link de comunicação entre 2 Switches de 400Mb. Entretanto a utlilzação de enlaces redundantes cria a possibilidade de Loops na rede. O Link Aggregation evita que os estados de bloqueios ou Loop para as portas agregadas, tratando-as como uma única interface. Para o STP, SNMP e VLANs as interfaces são tratadas como um único link lógico.

Outros nomes utilizados para o Link Aggregation são: Ethernet bonding, NIC teaming, port channel, link bundling, EtherChannel, MLT, NIC bonding, network bonding e Network Fault Tolerance (NFT).

O protocol LACP é parte da especificação 802.3ad para Link Aggregation, permitindo que Switches, Servidores negociem automaticamente o grupo de portas em diferentes fabricantes. Ambas as portas deverão oferecer suporte ao protocolo para o correto funcionamento do Link Aggregation.

Alguns modelos de Switch poderão utilizar o protocolo PAgP(Cisco) ou o modo estático das interfaces, sugerimos a utilização do protocolo LACP que é suportado pela grande maioria dos fabricantes de dispositivos para rede.

!Criando uma agregação de links com o ID 1
interface bridge-aggregation 1
! Criação da interface lógica com o ID 2 para o Link Aggregation
link-aggregation mode dynamic
! Configuração da interface lógica para troca dinâmica do protocol LACP

No Exemplo abaixo configuraremos 2 portas GigaEthernet como Link Aggregation, formando um link de 2 Gigabits

4800-1

interface Bridge-Aggregation1
link-aggregation mode dynamic
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/31
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface GigabitEthernet1/0/32
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1

4800-2

interface Bridge-Aggregation1
link-aggregation mode dynamic
port link-type trunk
port trunk permit vlan all#
interface GigabitEthernet1/0/23
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1

Comandos display

[4800-1]display link-aggretion summary

Aggregation Interface Type:
BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation Aggregation Mode: S -- Static, D -- Dynamic
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Actor System ID: 0x8000, 4001-c621-8400

AGG AGG Partner ID Select Unselect
Share Interface Mode Ports Ports Type
-------------------------------------
BAGG1 D 0x8000, 0024-73cd-b900 2 0 Shar

[4800-1]displ link-aggregation verbose
Loadsharing Type:
Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected Flags: A -- LACP_Activity,
B -- LACP_Timeout, C -- Aggregation,D -- Synchronization, E -- Collecting,
F -- Distributing, G -- Defaulted, H -- Expired

Aggregation Interface: Bridge-Aggregation1Aggregation Mode: Dynamic
Loadsharing Type: Shar
System ID: 0x8000, 4001-c621-8400
Local: Port Status Priority Oper-Key Flag
--------------------------------------
GE1/0/31 S 32768 1 {ACDEF}
GE1/0/32 S 32768 1 {ACDEF}

Remote:
Actor Partner Priority Oper-Key SystemID Flag
GE1/0/23 1 32768 1 0x8000, 0024-73cd-b900 {ACDEF}
GE1/0/24 2 32768 1 0x8000, 0024-73cd-b900 {ACDEF}

Verificando o Spanning-Tree

[4800-2]displ stp brief
MSTID Port Role STP State Protection
0 Bridge-Aggregation1 ROOT FORWARDING NONE

É possível verificarmos que as interfaces são reconhecidas como uma única porta para a Topologia Spanning-Tree, de forma que as duas portas estão ativas na Topologia com redundância.

Switches HP A7500 – Port Link-mode Bridge vs Port Link-mode Route

As últimas versões do Comware para os Switches HP A7500 trazem o conceito de portas em modo Bridge e Route.

O modo Bridge (port link-mode bridge) trabalha da mesma maneira que utilizamos em nossos Switches de acesso, com a configuração de VLAN e atribuição do gateway das estações para o Switch Core ou Roteador.

O modo Route (port link-mode route) permite a atribuição de endereço IP para porta física do Switch  e não permite a atribuição de VLAN para aquela interface. A porta não encaminhará BPDU’s e ignorará as mensagens STP recebidas.

Configuração

#
interface GigabitEthernet4/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet4/0/2
port link-mode bridge
port link-type access
port access vlan 2
#

Obs: Uma das vantagens do modo Route é poder trabalhar com mais facilidade com ACL’s, Roteamento, Route-Policy, Links em Ethernet e etc.

Abraços!

Switches 3Com 4800G – Manipulando a tabela de Endereços MAC

Esses dias durante a releitura do material da H3C “Stackable LAN Switches” decidi traduzir de forma resumida uma das páginas referente a manipulação da tabela de endereços MAC.

O aprendizado de endereços MAC pode ocorrer de forma estática, nunca expira, ou de forma dinâmica pela leitura de mensagens Broadcast, como por exemplo o Protocolo ARP; essa tabela possui validade de tempo.

Adicionando uma entrada estática:
mac-address { dynamic | static } mac-address interface interface-type  interface-number vlan vlan-id

Criando um “buraco negro” para um endereço MAC:
mac-address blackhole mac-address vlan vlan-id

Desabilitando o aprendizado dinâmico:
mac-address mac-learning disable

Configurando um limite de aprendizado de endereços dinâmicos MAC para uma interface:
mac-address max-mac-count quantidade

Até logo!

Links interessantes para Configuração do 802.1x em Switches HPN, H3C e 3Com

IEEE 802.1X é um padrão IEEE para controle de acesso à rede que provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, prevenindo acesso para esta porta se a autenticação falhar. A feature é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas.

Segue abaixo alguns links com modelos e soluções bem interessantes. Infelizmente nunca participei diretamente em projetos envolvendo esse modelo de autenticação, mas os documentos possuem detalhes importantes e vale a pena a leitura caso haja interesse em implementar a solução.

IEEE 802.1x Authentication -
http://h20195.www2.hp.com/v2/GetPDF.aspx/4AA3-7309ENW.pdf
! Esse arquivo PDF foi muito bem escrito e possui alguns modelos de autenticação de 802.1x com Software Livre, infelizmente o documento está em inglês.

Estudo de caso: Autenticação IEEE 802.1x baseada no Protocolo RADIUS e Serviço de Diretório LDAP aplicado a rede GIGAUFOPNET
http://www.decom.ufop.br/menotti/monoII102/files/BCC391-102-vf-04.1.4174…
! Documento muito bem escrito pelo Tiago Rodrigues Chaves como trabalho de conclusão de curso, utilizando Switches 3Com modelo 5500 e 4500

801.1x Configuration – H3C
http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/H3C_…
! Material bem técnico elaborado pela H3C, infelizmente o documento está em inglês.

Se algum link estiver quebrado, mande email ou deixe um comentário

Boa leitura

Switches 3Com 4800G – Autenticação de MAC via RADIUS

Publicado originamente em 13 DE ABRIL DE 2011

A autenticação de endereços MAC permite a autenticação da máquina do usuário baseada no endereço de Hardware. O cenário é bastante útil quando não há a possibilidade de utilização de 802.1x devido a diversos fatores, como software client, autenticação manual de usuários e etc.

O servidor RADIUS deverá possui a base de endereços MAC para validação da interface de rede do Switch para o usuário conectar-se a rede.

Configuração

#
mac-authentication
! Habilitando a autenticação por endereço MAC
#
radius scheme comutadores
! Criando o esquema para o RADIUS com o nome comutadores
server-type extended
primary authentication 192.168.99.6 
! Atribuindo endereço IP do Servidor RADIUS para autenticação
primary accounting 192.168.99.6 
key authentication s3nharadius
! Atribuindo a chave s3nharadius para autenticação com o RADIUS
key accounting s3nharadius
user-name-format without-domain
#
domain comutadores 
! Criando o domínio comutadores
authentication login local
! Autenticação para administração do Switch com a base de usuários locais
authorization login local
authentication default radius-scheme comutadores
! Autenticação do Switch com a base no esquema de RADIUS comutadores
authorization default radius-scheme comutadores
#
interface GigabitEthernet1/0/1
mac-authentication
!Habilitando a autenticação de MAC na interface Giga1/0/1
#

Obs: Por default o Switch encaminhará o endereço MAC como usuário e senha para validação no RADIUS

Um agradecimento especial pela equipe de Redes da UNESP Botucatu e o mestre Camilo Quitério que encaminharam o script!