Monthly Archives: junho 2012

Roteadores MSR 30-20 – Acesso OOB

Os Roteadores MSR possuem um módulo de interfaces para gerenciamento OOB (Out of band ) de equipamentos de rede. Para o funcionamento dessa rede OOB basta conectar um cabo RJ45 na porta Async do módulo do Roteador e a outra porta na porta console do Switch/Roteador em que deseja efetuar o acesso. A pinagem do cabo é conhecida como RollOver.

O Andre Gomes encaminhou o procedimento ao blog para acesso utilizando o módulo JF841 (HP 16p Async Serial Intrfc MIM A-MSR Module) em um Roteador MSR 30-20 da HP. “Segue abaixo uma breve explicação de como se faz para acessar a porta console de um equipamento através dos equipamentos de OOB (MSR30-20, por exemplo)”:

Configuração da interface Async

#
interface Async5/0
 async mode flow
 undo detect dsr-dtr
 link-protocol ppp
#
user-interface tty 81 96
 undo shell
 flow-control none
 redirect enable
 terminal type vt100

Efetuando o acesso OOB

telnet < ip do próprio device OOB que você está conectado > 208x

Esse comando é para acessar a porta console dos equipamentos que estão ligados a um router OOB (Out Of Band) como os MSR30-20, por exemplo.A sintaxe desse comando é a seguinte:

telnet <ip do próprio device OOB que você está conectado> 208x (onde o ‘x’ é o número da porta no qual o equipamento remoto está conectado adicionando mais um.

Exemplo: Você quer acessar o Roteador OOB01 com ip: 10.0.0.1 para acessar o Switch001. O switch001, por sua vez, tem a sua porta console conectada a porta 5/2 do nosso Roteador Out Of Band.

Então, para acessarmos a porta console do nosso Switch001, através do nosso Roteador OOB001 devemos fazer os seguintes passos:

- acesse o Roteador OOB001;

- após acessá-lo digite o comando: telnet 10.0.0.1 2083

Lembre-se: o ip 10.0.0.1 é o ip do próprio Roteador OOB01 e estamos usando a porta “virtual” 2083, porque o nosso Switch001 está conectado na porta 5/2 do OOB01 (x = porta OOB + 1; x = 2 +1; x=3)

Obs.: Para sair do equipamento após o acesso a porta console, como neste caso, utilize as teclas: “Ctrl+K”;

 

 

OSPF – Comando Silent-Interface ( Passive Interface)

Publicado originamente em 28 DE NOVEMBRO DE 2010

Durante as configurações do processo OSPF para Switches, Servidores ou Roteadores, algumas redes precisam ser declaradas no OSPF, mas isso não significa que elas (precisarão) formar adjacência com outros Roteadores – ao inserirmos uma rede com o comando network o equipamento começará a trocar mensagens OSPF por aquela interface.

O fato da interface gerar mensagens pelo protocolo OSPF a deixa vunerável ao aprendizado de mensagens de outros equipamentos que podem por consequência inserir redes por engano ou de forma maliciosa  (perdendo assim o controle sobre o Roteamento da rede).

Nesse caso poderemos deixar as interfaces Fisicas e VLANs em modo silencioso, sem gerar mensagens do protocolo para a LAN.

O comando silent-interface  (em Switches e Roteadores 3Com/H3C/HP ) seguido do numero da interface VLAN ou Interface física, permitirá ao Switch/Roteador não gerar mensagens LSA.

ospf 100
silent-interface Vlan-interface1
! Configurando a interface VLAN 1 em modo silent
area 0.0.0.0
network 192.168.1.2 0.0.0.0
network 172.31.0.1 0.0.0.0

! As melhores práticas sugerem configurarmos todas as interfaces
! como silent ( passive) e habilitarmos somente as VLANs/Interfaces
! de adjacência com o comando undo silent-interface + Interface

silent-interface all
! Configurando todas as Interfaces VLAN como silent
undo silent-interface Vlan-interface 2
! Removendo a interterface VLAN 2 do silent

Dúvidas? Deixe um comentário!

Abraços a todos!

Switches HP 7900 / Roteadores MSR’s – Comando network no OSPF versão 2

Publicado originalmente em 28 DE NOVEMBRO DE 2010

Nos últimos dias durante um treinamento do OSPF fui questionado sobre  a função do comando network dentro do processo OSPF em um Switch/Roteador .

Hoje, por acaso, encontrei um tópico semelhante no Packet Life que serviu de inspiração escrever esse artigo.

Usarei o conceito de interface VLAN para o exemplo,  mas o efeito é o mesmo para Interfaces Ethernet, Serial,etc..

O comando Network

O comando network dentro do Processo OSPF tem a função de PERMITIR uma determinada interface dentro do Protocolo de Roteamento. No exemplo abaixo configuraremos a rede 192.168.1.0/24 e 172.31.0.0/16 como normalmente é executado:

ospf 100
! Configurando o processo OSPF com o número 100
area 0.0.0.0
!Configurando a Aérea 0
network 192.168.1.0 0.0.0.255
! Configurando a rede 192.168.24.0/24 com a wildcard mask (mascara curinga)
network 172.31.0.0 0.0.255.255
! Configurando a rede 172.31.0.0/16 com a wildcard mask (mascara curinga)

Com a configuração efetuada, todas as interfaces com o endereço IP dentro desse range começarão a trocar pacotes Hello para estabelecimento de adjacência OSPF.

Se o IP da interface VLAN fosse 192.168.1.1/24 poderíamos configurar o comando network como:

network 192.168.1.1 0.0.0.0
! Configurando a Interface VLAN  com IP 192.168.1.1 com mascara curinga de
! 32 bits para participar no processo OSPF.

ou 

network 0.0.0.0 255.255.255.255
! Configurando TODAS Interfaces VLAN do Switch com mascara curinga de
! 0 bits para participar no processo OSPF.

Se analisássemos a Tabela de Roteamento dos Roteadores adjacentes, veríamos que a rede 192.168.1.0/24 seria declarada da mesma maneira.

[7500]disp ip routing-table
Routing Tables: Public

Destination/Mask Proto Pre Cost NextHop      Interface

192.168.1.0/24  OSPF   100  1   172.31.1.2    Vlan2

Com os exemplos apresentados acima para a adjacência OSPF, sugerimos apenas a configuração do IP da Interface que  participará do processo com a mascara curinga 0.0.0.0, para assim não inserir outras redes por engano.  ;)

Switches 3Com 4800G – Configurando um Range de Interfaces

Publicado originalmente em 18 DE OUTUBRO DE 2010

Uma questão sempre levantada nos treinamentos é a possibilidade de configurarmos um range (grupo) de portas para determinada configuração ao invés de entrarmos em Interface por Interface para vincular a porta, como por exemplo, em uma VLAN.

Segue abaixo uma dica que pode agilizar a vida de muitos administradores:

[SW-vlan2]port-group manual TRUNK
! Criando o grupo com o nome TRUNK
[SW-port-group-manual-TRUNK]group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/10
! Vinculando as interfaces Giga 1/0/1 até Giga 1/0/10 ao grupo TRUNK
[SW-port-group-manual-TRUNK]port link-type trunk
!Configurando o range de portas como Trunk
[SW-port-group-manual-TRUNK]port trunk permit vlan all
! Configurando o range de portas para permitir todas as VLANs

Pronto!!! o range de portas GigabitEthernet 1/0/1 até GigabitEthernet 1/0/10 está configurado como Trunk permitindo todas as VLANs. ;)

Roteadores HP 8800 – Configurando interface Route-Aggregation

Alguns Roteadores da HP permitem a criação de  Interfaces Link-Aggregation com endereço IP atribuído, chamado de Route-Aggregation. A feature auxilia o Roteador na agregação de Portas Ethernet com Switches, Roteadores, etc ( muito parecido com um Multilink PPP), permitindo a configuração de maneira estática ou via protocolo LACP.

[Router]interface route-aggregation 1
link-aggregation mode dynamic
! Habilitando a formação do Route-Aggregation via LACP
ip address 192.168.1.1 255.255.255.0
! Atribuindo um endereço IP a Interface
quit
!
# Configurando as portas para participarem do Route-Aggregation
interface Gigabitethernet 3/0/1
port link-aggregation group 1
quit
interface Gigabitethernet 3/0/2
port link-aggregation group 1
quit

Para visualizar se a agregação de portas foi executada corretamente, utilize o comando display link-aggregation summary

[Router] display link-aggregation summary

Aggregation Interface Type:
BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation
Aggregation Mode: S -- Static, D -- Dynamic
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Actor System ID: 0x8000, 000f-e2ff-0001

AGG         AGG       Partner ID               Select Unselect   Share
Interface   Mode                               Ports  Ports      Type
---------------------------------------------------------------------
RAGG1       D         0x8000, 000f-e2ff-00aa   2      0          Shar

Já da parte do Switch, HP, 3Com, Cisco e etc, não há alteração na maneira que configuramos os equipamentos com Link-Aggregation/Etherchannel para o Roteador.  ;)

 

Até logo.

O que é Openflow?

O termo “Openflow” tem sido cada vez mais abordado em sites de Tecnologia de Redes, Pesquisa, Trabalhos de Universidades e Datacenters. O Openflow é um padrão em desenvolvimento para a administração de Redes LAN e WAN com foco em equipamentos comerciais como Switches, Roteadores, Access Points, etc.

A idéia é bem simples, trazer o plano de Gerenciamento de todos dispositivos da rede para um único software que será responsável por criar VLANs, Roteamento, QoS e etc. (O protocolo não possui parentesco com o Netflow ou o Sflow).

A grande sacada do Openflow é permitir o trabalho com dispositivos de diversos fabricantes que suportem o padrão de forma que se possa incluir novas features e protocolos a partir do plano de Controle independente do hardware/software do Switch, manipulando o plano de dados e/ou encaminhamento desses dispositivos (chamado de flow-table); trazendo o conceito de Sistema Operacional de Rede, utilizado para realizar um gerenciamento centralizado, assim como faz uma Controladora wireless para os AP’s. Com isso termos como SDN (Software Defined Networking [Rede definida por Software em uma tradução livre]) ganham grande importância no assunto.

A tecnologia OpenFlow em um modelo de serviços de rede virtualizada

Imagem retirada do site da HP


Essas funcionalidades torna possível a criação de um sistema operacional de rede que abstrai as inúmeras particularidades dos equipamentos e a grande complexidade dos sistemas, assim como o Linux e o Windows fazem em computadores pessoais.

O OpenFlow nos permite controlar o fluxo de cada tráfego de rede – escolhendo as rotas que seus pacotes deverão seguir e o processamento que receberão. Desta forma, o torna-se possível experimentar novos protocolos, novos modelos de segurança, e/ou novos esquemas de endereçamento, novos protocolos de rede, sem afetar a rede em produção, podendo-se segmentar/fatiar a rede em produção para testes, simulações e segmentações.

Diversos fabricantes como Arista Networks, Big Switch Networks, Cisco, Embrane, IBM, Juniper, Nicira e NEC trabalham em projetos envolvendo o protocolo, inclusive alguns desses fabricantes já possuem Switches no mercado com suporte ao protocolo.

A HP possui uma página dedicada ao assunto em http://h17007.www1.hp.com/br/pt/solutions/technology/openflow/index.aspx com links para videos, projetos, produtos com suporte e em desenvolvimento para o OpenFlow, arquitetura e Blogs ( o conteúdo inicial do link está em portugês, mas a grande parte dos videos e documentos está em inglês).

Referências

http://www.openflow.org/

http://www.bigswitch.com/blogs-news/

http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2010_2/rodrigo/index.html

http://informationweek.itweb.com.br/5218/fluxo-aberto-pode-extrair-maior-potencial-da-virtualizacao/

http://www.cpqd.com.br/imprensa-e-eventos/fatos/234-fatos-169/4655-cpqd-e-universidade-de-stanford-colaboram-no-desenvolvimento-de-ecossistema-da-tecnologia-openflow.html

http://www.inf.ufes.br/~magnos/IF/if_files/Tutorial.pdf

http://www.rotadefault.com.br/2012/05/04/o-que-e-openflow/

ARP (Address Resolution Protocol)

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede com endereço IPv4. A principal função do ARP é a tradução de endereço IP em endereço MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Após a resposta da resquição ARP, o mapeamento IP + MAC é armazenado em cache por alguns minutos. Se houver uma nova comunicação com o endereço IP mapeado na tabela ARP, o dispositivo deverá consultar o mapeamento em cache; e não encaminhará uma mensagem em Broadcast solicitando o endereço MAC. Após o  timeout do endereço, uma nova consulta é encaminhada à rede.

Formato da mensagem ARP:

  • Hardware type: Representa o Tipo de endereço de Hardware utilizado ( como por exemplo o endereço MAC). O valor 1 representa Ethernet.
  • Protocol type: Especifica o tipo de Protocolo a ser mapeado. O valor hexadecimal 0×0800 representa o IP.
  • Hardware address length e protocol address length:Representam o tamanho do endereço de Hardware e do Protocolo em bytes.
  • OP, Operation code: Especifica o tipo da mensagem ARP. O valor 1 representa uma requisição ARP e o valor 2 representa uma resposta ARP.
  • Sender hardware address: Representa o endereço de Hardware (MAC) do dispositivo que está encaminhando a mensagem.
  • Sender protocol address: Representa o endereço de Protocolo (IP) do dispositivo que está encaminhando a mensagem.
  • Target hardware address: Representa o endereço de Hardware (MAC) do dispositivo para qual a mensagem deverá ser entregue. Se o valor estiver preenchido com todos os bits em 0 (zero) significa que a mensagem é uma requisição e o valor deverá ser preenchido na resposta ARP ( se o endereço IP solicitado existir na LAN).
  • Target protocol address: Representa o endereço de Protocolo (IP) do dispositivo para qual a mensagem deverá ser entregue.

A principal vantagem do protocolo é a facilidade do mapeamento dinâmico de endereços de hardware (enlace) para endereços de rede (IP).

Para visualizar a tabela ARP do Switches HP Serie A, H3C ou 3Com digite: display arp

 

Type: S-Static D-Dynamic
IP Address     MAC Address   VLAN ID Port Name / AL ID Aging Type

192.168.39.52  001b-b96d-2858  4     GigabitEthernet1/0/2 13 D
192.168.38.49  001f-d0fb-7e59  4     GigabitEthernet1/0/3 14 D
192.168.39.251 001b-b96d-1671  4     GigabitEthernet1/0/2 15 D

 

Obs: Lembrando que os dispositivos só exibirão a tabela ARP das sub-redes que pertencem!

No próximo post citarei algumas técnicas de proteção contra Ataques ao ARP.

Até a próxima!

Referência:

http://www.h3c.com/portal/Technical_Support_…1285_0.htm

Switches 3Com 4800G – Edged-port + BPDU Protection

Hoje comentaremos de duas features que atuam como complemento ao Spanning-Tree. O comando edged-port agrega diversos beneficios ao STP, como por exemplo, a prevenção de timeouts no processo DHCP. Já o bpdu-protection, previne as portas configuradas como “edged” de ocasionar Loop na rede por HUBs, “Switches-HUB”, etc.

Edged-port

A feature edged-port permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do stp edged-port enableforça a interface a ignorar os estados de convergência do STP, incluíndo as mensagens de notificação de mudança na topologia (mensagens TCN ).

O comando deverá ser aplicado nas portas de acesso conectadas a servidores, estações de trabalho, impressoras, etc.


Configuração

[4800G]interface gigabitethernet 1/0/1
[4800G-GigabitEthernet1/0/1]stp edged-port enable
[4800G-GigabitEthernet1/0/1]quit
[4800G]interface gigabitethernet 1/0/2
[4800G-GigabitEthernet1/0/2]stp edged-port enable
[4800G-GigabitEthernet1/0/2]quit

Obs: Quando uma porta configurada como edged-port receber um BPDU ( mensagens trocadas pelo Switch para estabilidade da topologia do Spanning-Tree), a interface voltará a participar dos estados de convergência do protocolo.

As portas configuradas como Edged-port encaminham BPDUs. A feature edged-port é também conhecida como Portfast.

BPDU Protection

A utilização da feature edged-port é restrita a portas conectadas aos equipamentos finais como servidores e estações de trabalho. Quando conectamos um HUB ou um Switch nas portas de acesso configuradas como stp edged-port enable corremos o risco de criar um loop na rede ou afetarmos a estabilidade da topologia.

Com a configuração do comando stp bpdu-protection, protegemos as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.

Configuração

No exemplo abaixo, configuramos o switch com stp bpdu-protection e conectamos um HUB na porta Giga 1/0/14 configurada como stp edged-port enable. Fechamos um Loop no equipamento com um cabo de rede. O cenário fará o HUB devolver as mensagens BPDUs geradas pelo Switch na porta configurada comoedged-port. O comando bpdu-protection bloqueará a porta conectada ao HUB.

[4800G]stp bpdu-protection
[4800G]int g1/0/14
[4800G-GigabitEthernet1/0/1] stp edged-port enable

Após a configuração a porta entra imediatamente em estado down

Display

[4800G]display stp down-port
Down Port                Reason
GigabitEthernet1/0/14    BPDU-Protected

Ativando a porta

Para colocar a porta novamente em estado UP será necessário removermos o loop do HUB e aplicarmos o comando shutdown / undo shutdown na interface gigabitethernet 1/0/14.

[4800G-GigabitEthernet1/0/14]shut
[4800G-GigabitEthernet1/0/14]undo shut

#Apr 26 12:05:47:785 2000 4800G
MSTP/1/IVBPDU:hwPortMstiBpduGuarded: BPDU-Protec
tion port 14 received BPDU packet!
%Apr 26 12:05:48:364 2000 4800G IFNET/4/LINK
UPDOWN: GigabitEthernet1/0/14: link status is DOWN

#Apr 26 12:07:43:906 2000 4800G IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437197 is Up, ifAdminStatus is 1,
ifOperStatus is 1
#Apr 26 12:07:44:108 2000 4800G
MSTP/1/PFWD:hwPortMstiStateForwarding: Instance
0's Port 0.9437197 has been set to forwarding state!
%Apr 26 12:07:44:271 2000 4800G IFNET/4/LINK
UPDOWN:
GigabitEthernet1/0/14: link status is UP
%Apr 26 12:07:44:398
2000 4800G MSTP/2/PFWD:Instance 0's GigabitEthernet1/0/14 h
as been set to forwarding state!

Obs: Para as portas de Uplink devemos remover o comando stp edged-port

[4800G-GigabitEthernet1/0/x]undo stp edge-port

Já para desativar o bpdu protection do Switch utilize o comando abaixo

[4500G]undo stp bpdu-protection

Até logo!

HP Discover 2012

Essa semana está acontecendo em Las Vegas o HP Discover 2012, evento do fabricante com novidades sobre tecnologia e seus produtos.

O grande foco dessa edição é o assunto Cloud, que apesar de “antigo”, vem evoluindo gradativamente e oferecido serviços bem interessantes para o Mercado. O segundo grande tema do evento ( para nós de Redes), tem gerado inúmeros artigos nos principais blogs e revistas de TI dos EUA focado em Redes de Computadores: é o conceito SDN (Software-Defined Networking) e Openflow.

Alguns videos e apresentações do evento estarão disponíveis no endereço http://h30614.www3.hp.com/Vegas/Home?jumpid=ex_r2548_go_discover

O Blog da HP Networking também tem escrito artigos sobre os temas http://h30507.www3.hp.com/t5/HP-Networking/bg-p/167 em inglês.

Enquanto isso, o Fernando Quintino, amigo e colaborador do Blog, resolveu compartilhar conosco o seu “trabalho” em Las Vegas! :)

 

Quando “crescer” quero ir para esse evento! ;)

100K page views! :D

Amigos,  esse mês atingimos a marca de 100 Mil acessos ao domínio comutadores.com.br somados desde o primeiro post em Fevereiro de 2010.

Para o segundo semestre de 2012 incluímos em nosso planejamento a continuação do nosso  E-Book  Guia Básico para Configuração de Switches  3Com/H3C/HPN para ser comercializado nessa página com o foco em Alta Disponibilidade . Os tópicos incluirão alguns artigos já citados nesse site, mas de uma forma mais didática, além de assuntos não trabalhados, incluindo os seguintes temas:

  • Introdução a Alta Dísponibilidade
  • Spanning-Tree (STP, RSTP e MSTP)
  • Link-Aggregation/ Bridge-Aggregation
  • VRRP
  • XRN e IRF
  • entre outros..

Em nosso projeto para a segunda parte do ano, tentaremos também incluir a continuação dos posts sobre QoS, MPLS, Certificação HPN e nos aventuraremos em posts em formato de vídeo.

Em julho estaremos na FISL 13 (em Porto Alegre) como ouvintes como Equipe Rota Default, quem quiser nos encontrar para um bate-papo, discutir projetos, parcerias, etc, basta nos contatar pelo email do blog. :)

Agradeço a todos pelos acessos ao blog, seguidores do Twitter, colaboradores do blog e aos que colaboraram com eBook.

Um grande abraço a todos e Sucesso! Que venham os 1M acessos. ;)