Monthly Archives: maio 2012

Conversor de Part Number 3Com para HP


A HP possui uma ferramenta para quem precisa converter o Part Number de equipamentos da 3Com e H3C para os novos Part Number da HP.

A ferramenta é bastante útil quando em necessidades de encontrar equipamentos com Part Numbers alterados após a aquisição, encontrar atualizações de firmware/SO e documentações dos dispositivos.

No exemplo abaixo, após a identificação do modelo do equipamento com o comando display version é possivel indentificar o modelo do equipamento.

[Switch]display version
H3C Comware Platform Software
Comware Software, Version 5.20, Release 1211P04
Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C S5800-60C-PWR uptime is 5 weeks, 1 day, 17 hours, 11 minutes
…..

No link http://h17007.www1.hp.com/br/pt/support/converter/index.aspx é possível preencher as informações como nome do fabricante (pré-aquisição da HP) , tipo do equipamento (Switch, Router, etc) e o nome do produto conforme imagem abaixo:

A dica foi encontrada no blog http://blog.microsafe.com.br/index.php/2011/05/31/guia-de-conversao-de-part-numbers-3com-para-hp-networking/trackback/

 

Switches HPN A7500 – Proxy ARP

Publicado originalmente em SEXTA-FEIRA, 5 DE NOVEMBRO DE 2010

Olá amigos, durante a leitura de diversas documentações sobre Proxy ARP, sempre perguntei a razão de utilizar a feature ao invés de corrigir o problema de endereçamento IP das máquinas com máscara incorreta na rede( alguns dispositivos como Cisco, deixam o Proxy ARP habilitado por default).

Nos últimos meses em um projeto bem interessante, me deparei com uma necessidade do cliente que serviu para fundamentar o conceito “como uma luva”!!

Para aqueles que não conhecem a feature, o exemplo será bastante esclarecedor.

No desenho abaixo a empresa X possui as subredes 10.100.1.0/24, 10.200.1.0/24 e 10.30.1.0/24. O Roteamento entre as VLANs é efetuado no Switch Core.

Reparem que o IP do Mainframe está correto dentro do range da VLAN 1, mas o equipamento por ser antigo, não permite alterarmos a mascará de rede!!!

 

Nesse caso, mesmo com a configuração do Gateway corretamente no Mainframe apontando para o Switch Core, a comunicação do equipamento com as redes 10.200.1.0/24 e 10.30.1.0/24 nunca será encaminhado para o Gateway da VLAN 1 pelo fato da mascara no MainFrame deixar explicito que as subredes fazem parte da mesma rede dele.

Obs: Toda comunicação entre hosts de subredes diferentes é encaminhado para o Gateway

Para a comunicação entre dispositivos da mesma subrede, é encaminhado em Broadcast uma mensagem ARP Request. Então, se o MainFrame quiser comunicar com a máquina da VLAN 300 com o endereço IP 10.30.1.25, ele encaminhará uma requisição ARP questionando qual o endereço MAC do IP solicitado( o MainFrame pensa que o host está na mesma subrede que ele).

Como a principal função do Switch Core, é isolar domínios de Broadcast, a mensagem será ignorada por todos os dispositivos da VLAN 1, incluindo o gateway.

Com o Proxy ARP habilitado no Gateway (Interface VLAN 1 do Switch Core), o Switch responderia a solicitação em nome do host 10.30.1.25, mas com o endereço MAC da Interface VLAN 1; e encaminharia o quadro corretamente para o host desejado( encaminhando o ARP request com o endereço 10.30.1.25 na VLAN3 questionando o endereço MAC do host).

Configurando

interface VLAN 1
ip address 10.100.1.1 255.255.255.0
proxy-arp enable
! habilitando o Proxy ARP na Interface VLAN 1

Abraços a todos

Introdução ao QoS – parte 1

Devido ao crescimento do conceito de comunicações Unificadas envolvendo Voz, Vídeo e Dados sobre uma infra-estrutura comum faz-se necessário a preferência a certos tipos de trafego em detrimento de outros para melhor desempenho de alguns serviços como, por exemplo, transmissões de pacotes de voz que não são retransmitidos em caso de perda.

Para deixarmos o tópico um pouco mais lúdico, usarei como exemplo um serviço que todos os Brasileiros adoram fazer: pegar fila em banco!!!!

Imaginem-se em uma fila de banco com apenas dois caixas fazendo os pagamentos…

Para darmos prioridade aos clientes preferenciais ( idosos, gestantes, portadores de necessidades especiais) é necessário deixarmos o restante dos clientes apenas com um Caixa para pagarem suas contas enquanto os clientes preferenciais (minoria) ficarão com menos tempo de espera! Se o Caixa preferencial estiver livre, todos nós podemos utilizá-lo.

Mas quais parâmetros utilizaremos na fila do banco para darmos preferência aos clientes preferenciais? O aspecto físico? Poderíamos utilizar qualquer objeto, como por exemplo, um documento ou uma carteirinha para validação desses clientes….

Quando pensamos em QoS, pensamos em um modelo que poderá permitir a preferência de um tráfego especifico baseado no endereço da rede,  portas TCP e UDP,  na marcação do pacote IP,  protocolo, etc.

Em uma rede tradicional é providenciado o serviço de melhor esforço, onde todos os pacotes competem entre si pela banda disponível em uma fila FIFO (first-in first-out). O primeiro pacote que chega é o primeiro a sair!!

A Qualidade de Serviço provê diferenciação de serviços para a garantia de correto funcionamento das aplicações criticas.

Após a diferenciação dos clientes preferenciais dos clientes não-preferenciais, o gerente do Banco poderá instruir algumas políticas para gerenciar as filas nos casos em que o segundo Caixa sair para almoçar. Ele poderá deixar todos os clientes esperando no caso de existir algum cliente preferencial ( agora imagine um Office-boy maior de 65 anos com dezenas de boletos) ou poderá efetuar o balanceamento das filas, “um pra lá e um pra cá”.

Mas para montarmos toda essa estrutura, são necessários 3 passos.

 Passos para implementar QoS

  • Identificar os tipos de tráfego e suas necessidades:
    •  Exemplo: FTP, HTTP,Voz, Email,etc ( como no caso da escolha de quem são os cliente com necessidades especificas dos clientes comuns)
  •  Classificar os tipos de tráfego baseado nas necessidades:
    •  Do montante do tráfego, classificamos quais os mais importantes para o negocio da empresa. ( Nesse caso poderíamos entregar uma carteirinha para os cliente preferenciais[idosos, gestantes, etc] para identificação não apenas pela aparência física, mas por um documento oficial )
  •  Definir políticas para cada tipo de tráfego:
    •  Definir as regras (policies) para cada tipo de tráfego, o que resultará em reserva de banda quando houver congestionamento, técnicas de enfileiramento , probabilidade de Drop, etc. ( poderíamos escolher a maneira como as filas preferenciais e não-preferenciais são tratadas quando o segundo Caixa sair para o almoço)
Classificação e MarcaçãoNa estrutura do cabeçalho IP existe um campo chamado ToS baseado na especificação da RFC 791 que contabilizada os 3 primeiros bits do campo ( do total de 8 bits) para marcação de valores ( entre 0 e 7) para diferenciação na classificação dos tipos de tráfego. A marcação utilizando os 3 bits do campo é chamada de IP Precedence (Precedência IP).

Se os pacotes não forem marcados, o IP Precedence será o valor 0 (zero).Devido a grande variedade e evolução dos serviços de rede, fez-se necessário a atualização para utilização além dos 3 primeiros bits do campo ToS. A RFC 2474 instrui a utilização de 6 bits ( ao invés de 3)chamando de DiffServ (Serviços Diferenciados) e renomeia a utilização do campo para DSCP , aumentando a marcação para até 64 valores ( de 0 a 63).


A imagem  exibe as diferenças entre a utilização da Precedência IP e o valor DSCP.
Para confundirmos ainda mais o tópico, eu gostaria de citar que podemos efetuar também as marcações na camada de Enlace do modelo OSI como nos quadros Ethernet com 802.1q , MPLS, ATM e Frame-Relay, mas isso citareremos nos próximos tópicos. ;)

Um abraço a todos!

Switch HP A7500 – QoS – Configurando WFQ

Durante o congestionamento do tráfego de uma interface, alguns modelos de Qualidade de Serviço permitem administrarmos a maneira como os pacotes são enfileirados em uma interface colocando-os em filas de prioridades, restrição de limite de banda, etc.

A utilização do algoritmo de enfileiramento WFQ (Weighted Fair Queuing) nos Switches Modulares HP Serie A, permite a configuração de filas para reserva de banda para trafego diferenciado, mas que não restringem o limite de banda em caso de disponibilidade de trafego para o link.

Imaginando que o trafego seja marcado na origem e mapeado corretamente para cada uma das 8 filas de prioridade do Switch, o script abaixo demonstra a configuração da interface de saída com reserva de banda em caso de congestionamento.

Se houver banda disponível na interface, o algoritmo de encaminhamento será FIFO (Firt in, First Out).
Configurando o WFQ
interface GigabitEthernet1/0/1
 description INTERFACE_OUTBOUND_INTERNET
 qos wfq 
! Habilita WFQ na interface de saída de tráfego
 qos bandwidth queue 1 min 4096
! Reserva 4096kbps na fila 1  
qos bandwidth queue 2 min 10240 
! Reserva 10240kbps na fila 2  qos bandwidth queue 3 min 10240 
! Reserva 10240kbps na fila 3 
qos bandwidth queue 4 min 2048 
! Reserva 2048kbps na fila 4  
qos bandwidth queue 5 min 2048 
! Reserva 2048kbps na fila 5  
qos bandwidth queue 6 min 1024  
! Reserva 1024kbps na fila 6  
qos bandwidth queue 7 min 1024 
! Reserva 1024kbps na fila 7  qos trust dscp

O tráfego não marcado ( geralmente mapeado para a fila zero) utilizará o restante da banda, mas não terá a garantia de reserva.

Obs: Especial agradecimento ao script encaminhado pelo Denis Albuquerque!

Switches 3Com 5500G – Configurando o Switch como Servidor DHCP

Uma dica muito interessante encaminhada pelo Danilo Rodrigues é a utilização do Switch 3Com 5500G como Servidor DHCP. O serviço DHCP no Switch é útil para as empresas que possuem diversas filiais de pequeno e médio porte, que assim, utilizando o Switch como Servidor, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede e etc.

Configuração

#
dhcp server ip-pool clientex
!Criando o escopo DHCP com o nome clientex
network 192.168.1.0 mask 255.255.255.0
! Escopo para distribuição dinamica do range 192.168.1.0/24
gateway-list 192.168.1.254
! Gateway do escopo
dns-list 192.168.2.17 192.168.2.27
! DNS do escopo
domain-name clientex.com.br
! Nome do domínio
expired day 30
! Tempo de alocação do endereço IP
#
vlan 9
#
interface Vlan-interface9
description REDE_LOCAL
ip address 192.168.1.254 255.255.255.0
! É obrigatório a utilização de Interface VLAN
! no mesmo range de endereço do escopo DHCP
#
dhcp server forbidden-ip 192.168.1.1 192.168.1.40
dhcp server forbidden-ip 192.168.1.240 192.168.1.252
! Endereços reservados não distribuídos via DHCP

display

[5500G]display dhcp server ip-in-use all

Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
192.168.1.202 001b-b96d-158f Jan 1 2006 05:41:32 AM Auto:COMMITTED
192.168.1.166 001b-b969-4007 Jan 2 2006 22:10:17 PM Auto:COMMITTED
192.168.1.41 001b-b969-3f69 Jan 3 2006 02:43:15 AM Auto:COMMITTED
192.168.1.59 001b-b96d-188e Jan 1 2006 00:01:26 AM Auto:COMMITTED

Obs: para os Switches que estão configurados com o protocolo XRN é necessário a utilização do comando “udp-helper enable”

Switches HP A7500 – IRF v2 MAD + BFD

O protocolo IRF v2 permite o “empilhamento” de Switches modulares e empilháveis, trazendo inúmeras vantagens como redundância, facilidade no gerenciamento, etc.

Como citado em outros posts, um dos problemas que o IRF pode trazer ocorre quando há uma quebra do Link 10G que mantém o IRF ativo, chamado de SPLIT. Cada caixa ira agir como se fosse o MASTER do IRF, duplicando alguns serviços e trazendo diversos conflitos na Rede.

Multi-Active Detection (MAD) + BFD (Bidirecional Forwarding Detection)

O MAD é uma das formas para os Switches do Stack detectarem o SPLIT no IRF colocando o Equipamento com o maior Member ID do IRF (não Master) em modo Recovery, bloqueando assim todas as suas portas.

Uma das técnicas para detecção do SPLIT é com é com a utilização do protocolo BFD, criando uma VLAN somente para gerenciamento do IRF com um IP primário e secundário para comunicação do protocolo e um meio físico para conexão das “caixas” (fibra ou UTP) independente da comunicação do IRF.

Configuração

A configuração abaixo deverá ser aplicada somente no Switch com o IRF versão 2 formado.

#
Vlan 900
#
interface Vlan-interface900
description Monitoracao IRFv2 (MAD + BFD)
mad bfd enable
!Ativando o MAD + BFD
mad ip address 192.168.0.1 255.255.255.252 member 1
! Configurando o IP do Switch “1”
mad ip address 192.168.0.2 255.255.255.252 member 2
! Configurando o IP do Switch “2”
#
Obs: cada Switch deverá ter uma porta na VLAN 900 para comunicação do BFD. 
As interfaces não participarão do STP.

Comandos Display

[S7500] display mad
MAD LACP enabled.

Comando display após SPLIT do IRF no Switch não Master
[S7500]display mad verbose
Current MAD status: Detect
! Em caso de SPLIT o Switch não-Master exibiria o status como Recovery
Excluded ports(configurable):
Excluded ports(cannot be configured):
Ten-GigabitEthernet1/8/0/1
Ten-GigabitEthernet1/9/0/2
Ten-GigabitEthernet2/8/0/1
Ten-GigabitEthernet2/9/0/2
MAD LACP disabled.
MAD BFD enabled interface:
Vlan-interface900
mad ip address 192.168.0.1 255.255.255.252 member 1
mad ip address 192.168.0.2 255.255.255.252 member 2

HP NETWORKING for Dummies

HP disponibiliza para download um manual sobre a visão da empresa sobre para Arquitetura de Redes chamado de HP Networking for Dummies (em inglês).

O livro possui uma abordagem bem simples sobre a história da HPN, aquisição da 3Com, protocolos e novos Serviços de Rede.

“In this educational guide, you will be introduced to HP’s comprehensive portfolio of networking solutions and get a glimpse into the future of converged networking design and deployment. You will also learn how the new rules of networking will change how you secure, manage, deploy and expand your network.”

Para efetuar o download, acesse o link e efetue o cadastro no site da HP no endereço:

https://h10139.www1.hp.com/h41111/rfg_formprocessor/rules_of_networking/Networking_for_Dummies/us/en/

Se o Link estiver quebrado, deixe um comentário…

Distância administrativa em Switches L3 e Roteadores H3C/3Com/HP Serie A

A tabela de roteamento dos Switches L3 e Roteadores, insere os destinos aprendidos manualmente (rotas estáticas ou redes diretamente conectadas) ou dinamicamente (aprendidos via protocolo de roteamento dinâmico).

 
Para os casos de uma destino ser aprendido de diferentes formas, como por exemplo, o prefixo 192.168.1.0/24 ser aprendido via RIP e OSPF, o Roteador dará preferência para a rota com  Distância Administrativa de menor valor, no caso, o destino aprendido via OSPF terá preferência pelo valor 10 em detrimento do protocolo RIP com o valor 100 (nesse exemplo a rota eo gateway da rede que será inserido na tabela de roteamento será o aprendido via OSPF).Perceba que as rotas diretamente conectadas possuem a prioridade 0 (zero) e serão roteadas internamente pelo dispositivo.

 
A Distância Administrativa possui apenas função local e não é compartilhada pelo protocolo de roteamento. Um detalhe importante a ser percebido é a diferença com os valores atribuídos para a distancia administrativa para Roteadores Cisco. Em todo caso para evitar problemas em cenários com mais de 1 protocolo de roteamento, altere a métrica  em um dos dois dispositivos.

 

Distância Adm. HP Serie A
Distância Adm. Cisco
Directly Connected
0
0
OSPF
10
110
IS-IS
15
115
STATIC
60
1
RIP
100
120
OSPF ASE
150
110
OSPF NSSA
150
110
IBGP
255
200
EBGP
255
20
Unknown
256
255

Abraços a todos

Switches 3Com 4500G – Configuração de Rota Estática e VLAN de Gerenciamento

A configuração de rota estática faz-se necessário para o acesso às LANs a outras redes que não estão diretamente conectadas ao Switch Core, como por exemplo, outros Campus, Empresas ou a Internet.

Para os Switches que não possuem capacidade de roteamento entre VLANs (ou estão disponíveis como Switches de acesso), a configuração da rota default (Gateway) permite o gerenciamento dos dispositivos por redes diferentes ou de outro Campus.

Durante a solicitação de hosts para acessar outra Rede externa a LAN, o Switch L3 efetua uma consulta na sua tabela de roteamento para verificar se existe alguma rota para o destino solicitado. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.

É possível verificar a tabela de roteamento do Switch com o comando display ip routing-table.

Se a rota não estiver na tabela de roteamento é possível adicionar estaticamente com o comando “ip route-static [rede de destino] [máscara da rede de destino] [Gateway- próximo salto]”. O proximo salto é o equipamento que possui a rede de destino em sua tabela de roteamento.

A rota “ip route-static 0.0.0.0 0.0.0.0 [Gateway próximo-salto]” é uma “rota genérica” que informa que, se o Switch não possuir uma rota especifica para o destino em sua tabela de roteamento, o pacote será encaminhado para o próximo roteador.

VLAN de Gerênciamento
As melhores práticas indicam a criação de uma VLAN de gerenciamento segregada da VLAN de usuário para acesso aos Switches, permitindo várias políticas de Segurança e QoS se desejável para acesso ao dispositivo.

Configuração

Switch Core:

Vlan 10
#
vlan 12
#
vlan 254
#
interface vlan-interface10
ip address 192.168.10.1 255.255.255.0
! Gateway dos usuários da VLAN 10
#
interface vlan-interface11
ip address 192.168.11.1 255.255.255.0
! Gateway dos usuários da VLAN 11
#
interface vlan-interface254
ip address 192.168.254.1 255.255.255.0
! Gateway dos Switches da VLAN de Gerenciamento
#
interface GigabitEthernet1/0/23
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#

Switch B:

vlan 10
#
vlan 12
#
vlan 254
#
interface vlan-interface254
ip address 192.168.254.2 255.255.255.0
! O Switch de acesso terá somente o IP da VLAN de gerenciamento.
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1
! Rota default direcionando para o Gateway da VLAN de Gerenciamento

Switch C:

Vlan 10
#
vlan 12
#
Vlan 254
#
interface vlan-interface254
ip address 192.168.254.3 255.255.255.0
! O Switch de acesso terá somente o IP da VLAN de gerenciamento.
#
interface GigabitEthernet1/0/24
port link-type trunk
port trunk permit vlan all
#
ip route-static 0.0.0.0 0.0.0.0 192.168.254.1
! Rota default direcionando para o Gateway da VLAN de Gerenciamento

Obs: se não configurássemos a Rota estática nos Switches de Acesso, os dispositivos não seriam acessados por equipamentos “fora” da rede 192.168.254.0/24

Bom é isso, até logo ;)

Switches HP A7500 – IRF v2 utilizando LACP com MAD

Uma das coisas bacanas da utilização do IRF é a possibilidade de transformarmos diversos Switches físicos em um único Switch lógico facilitando o modo de gerenciamento. Todos os equipamentos serão visualizados como uma única “caixa”. Na versão 2 do protocolo é possível efetuar o Stacking utilizando links de 10G ( como por exemplo fibra, cabo CX4, etc).

Uma das features que podem ser utilizadas nesse cenário é a utilização de Link Aggregation distribuído (Ditribuited Link Aggregation) entre os equipamentos do IRF com Switches de acesso (sem configuração adicional no Link Aggregation).

Se um Switch empilhado apresentar algum problema, como por exemplo, problemas elétricos, o(s) outro(s) Switches serão capazes de permitir a continuidade do encaminhamento em Camada 2 e 3 (incluindo processos de Roteamento Dinâmico).

Porém, um dos problemas que o IRF pode trazer é quando ocorre uma quebra do Link 10G que mantém o IRF ativo, chamado de SPLIT. Cada caixa ira agir como se fosse o MASTER do IRF, duplicando alguns serviços e trazendo diversos conflitos na Rede.

Multi-Active Detection (MAD)

O MAD é uma das formas para os Switches do Stack detectarem que houve o SPLIT no IRF colocando o Equipamento com o maior Member ID do IRF (não Master) em modo Recovery, bloqueando assim todas as suas portas.

Após restaurado o Link do IRF as portas serão vinculadas novamente o Stack e ao seu estado normal de encaminhamento.

Uma das formas utilizadas pelo MAD para detecção de falha é utilizando uma extensão do protocolo LACP ( Link Aggregation). No TLV do protocolo é inserido o ID do Switch membro do IRF. Nesse caso os Switches da outra ponta do Link Aggregation, encaminham de forma transparente os LACP’s para os Switches Membros do IRF.

Como no exemplo acima, se não há SPLIT no IRF, todas mensagens serão geradas pelo ID do MASTER.

Em caso de quebra do SPLIT as mensagens serão geradas com o ID de cada equipamento e nesse caso o bloqueio das portas do não-Master.

Após detecção as portas bloqueadas do IRF pelo LACP com MAD.

Configuração

A configuração abaixo deverá ser aplicada somente no Switch com o IRF versão 2 “já ativo”.

[S7500]interface bridge-aggregation 1
!Criando a Interface Bridge-Aggregation 1
[S7500-Bridge-Aggregation1] link-aggregation mode dynamic
! Ativando a troca do protocol LACP no Link Aggregation
[S7500-Bridge-Aggregation1] mad enable
! Ativando a extensão MAD no protocol LACP
[S7500-Bridge-Aggregation1] quit
[S7500] interface gigabitethernet 1/3/0/2
[S7500-GigabitEthernet1/3/0/2] port link-aggregation group 1
!Adicionando a interface ao Link Aggregation 1
[S7500-GigabitEthernet1/3/0/2] quit
[S7500] interface gigabitethernet 2/3/0/2
[S7500-GigabitEthernet2/3/0/2] port link-aggregation group 1
!Adicionando a interface ao Link Aggregation 1
[S7500-GigabitEthernet2/3/0/2] quit

Obs: Os switches de acesso conectados ao IRF pelo Link Aggregation não necessitam da configuração do MAD. Mas o fabricante sugere que esse Switch seja um equipamento H3C.

“Requires an intermediate switch, which must be an H3C switch that supports the extended LACP.”

Comandos Display

S7500] display mad
MAD LACP enabled.

Comando display após SPLIT do IRF no Switch não Master

[S7500]display mad verbose
Current MAD status: Recovery
! Switch não-Master em modo recovery após perceber o SPLIT no IRF
! (bloqueando todas as portas)
…………………………

MAD enabled aggregation port:
Bridge-Aggregation1

Obs: o modo Recovery também permite excluímos algumas portas para que continuem em estado de encaminhamento. Há também um segundo modo de utilizar o MAD para detecção de SPLIT utilizando o Protocolo BFD.

Referência:

http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/H3C_S5800_…

Abraços a todos