Monthly Archives: agosto 2012

Mac-based VLANs

A feature MAC-based VLANs, permite que multiplos usuarios conectados na mesma porta Ethernet, como por exemplo atrás de um HUB ou Switches não-gerenciaveis, “caiam” em suas respectivas VLANs utilizando o endereço MAC de cada máquina.

A feature pode ser utilizada com um servidor RADIUS ou por mapeamento com configuração manual no Switch do endereço MAC + a VLAN do usuário/host.

No exemplo abaixo mostraremos uma configuração manual no Switch para a utilização da feature MAC-based VLAN.

Configuração

mac-vlan mac-address 0050-56bc-3c33 vlan 10
mac-vlan mac-address 0050-56bc-2c44 vlan 20
mac-vlan mac-address 0050-56bc-2c55 vlan 20 

interface GigabitEthernet1/0/10
port link-type hybrid
undo port hybrid vlan 1
! Prevenindo que hosts não mapeados caiam na VLAN 1
port hybrid vlan 2 10 untagged
mac-vlan enable
! Ativando o direcionamento de trafego baseado no mapeamento MAC + VLAN
quit

O Switch encaminhará o tráfego de cada host para as VLANs correspondents conforme mapeamento MAC. ;)
Até logo!

Interface Null 0

A Interface Null é uma interface lógica disponível em Switches e Roteadores para manipulação  em processos de Roteamento.

Configurando uma Rota Estática com o Gateway para NULL fará que os pacotes direcionados para aquela Rede sejam descartados.

ip route-static 192.168.1.0 255.255.255.0 Null 0
! Configurando a rota 192.168.1.0/24  para encaminhar à Interface Null 0

Em processos de Roteamento Dinâmico a Interface Null 0 poderá ser utilizada para manipulação de Rotas como: sumarização, filtro, injeção de prefixos, etc.

Abraços a todos!

Switches 3Com 4500 – Configurando o Espelhamento de Porta ( Port Mirroring)

O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!

Configuração
#
mirroring-group 1 local 
! Criando o Grupo 1 de portas para o Espelhamento
#
interface Ethernet1/0/3
stp disable
! desabilitando o Spanning-Tree da porta para não interferir na coleta
mirroring-group 1 monitor-port
!Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1)
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both
#

Pronto! Configurações efetuadas… :)
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatisticas da coleta!

Simples, agora  é só atuar no tráfego e/ou comportamento identificados na rede….
Até logo!

iMC e eAPI – Integrando o iMC com outras aplicações e serviços

Compartilho um vídeo do YouTube que recebi essa semana da equipe HPN sobre o iMC, que pode através de recursos eAPI.

No video abaixo o iMC integra-se com um Add-in do Outlook para gerar contas de acesso a visitantes no iMC automaticamente, enquanto uma secretária cria um agendamento de reunião, por exemplo:


 

Um white paper (em inglês) sobre eAPI pode ser lido no endereço:  http://h17007.www1.hp.com/docs/van/API_WhitePaper.pdf?adid=10428184&affpid=3662453&aoid=35252

E  a página da HP dedicada sobre o assunto está acessível em: http://h17007.www1.hp.com/us/en/products/network-management/IMC_EAPI_Software/index.aspx

Boa diversão! ;)

 

 

Switches 3Com 4800G – Configurando limite de Banda (CAR)

Publicado originalmente em 27 DE MAIO DE 2010

Olá pessoal, no post de hoje comentaremos sobre a utilização de Policy para limitarmos a banda de uma interface GigabitEthernet no Switch 3Com/H3C 4800G.

Esse cenário é bastante comum para empresas que vendem links para acesso a internet e entregam para o cliente um cabo RJ-45.

Na configuração abaixo, limitaremos a banda de um grupo de máquinas para 64kbps (compartilhado). Utilizaremos a porta de entrada GigabitEthernet 1/0/1

Configuração

acl number 2001
!Criação da ACL 2001 para classificar para selecionar o tráfego
rule permit source any
! permite qualquer origem
rule deny any
! nega qualquer origem
quit

Lembrando que as regras da ACL são lidas de cima para baixo e ao satisfazer a condição o restante das regras não serão lidas.

traffic classifier classe
!criação da classificação de tráfego chamada classe

if-match acl 2001
! vinculando a classificação com as regras da ACL 2001

quit

traffic behavior limitador
! Criação do comportamento chamado limitador
car cir 64
! limitando o comportamento para 64kbps
quit

qos policy clientex
!criação da Policy chamada clientex
classifier classe behavior limitador
! vínculo da classificação classe com o comportamento limitador
quit

interface GigabitEthernet1/0/1
qos apply policy clientex inbound

! aplicação da policy clientex na porta Giga1/0/1 no sentindo inbound para limitação do Download em todo o Switch para 64kbps 

Segue abaixo a taxa de transferência antes e depois da policy ser aplicada na Interface G1/0/1

antes

 

depois

Configuração final

traffic classifier classe
if-match acl 2001
#
traffic behavior limitador car cir 64
#
qos policy clientex
classifier classe behavior limitador 
#
interface GigabitEthernet1/0/1
qos apply policy clientex inbound
#

Outros Cenários

Podemos aplicar diferentes policies no sentido inbound eoutbound.
Para redes que utilizam interface VLAN para Roteamento e saída para a internet, poderíamos aplicar a policy diretamente na VLAN com o comando qos vlan-policy clientex vlan 1 inbound (no modo system-view); basta utilizar a criatividade

Abraços!

Canal sobre o iMC no Youtube

O  iMC ou Intelligent Management Center da HP vem recebendo nos ultimos anos uma atenção especial entre os Softwares para Gerenciamento de rede, proporcionando o Gerenciamento avançado de ambientes de TI, redes sem fio, etc. Com foco no gerenciamento de falhas, configurações,  registro e relatório de ações/atividades/equipamentos, performance e gerenciamento de segurança.

Para quem ainda não tem um software de monitoração e gerenciamento dos equipamentos de rede como Switches e Roteadores, vale a pena rodar o iMC  para testes com a versão Trial por 60 dias:

https://ssl.www8.hp.com/us/en/campaign/rules-of-networking/imc-60-day-free-trial/registration.html

Para aqueles que já possuem o iMC administrando seus dispositivos, vale a pena dar uma olhada no canal criado no Youtube com algumas dicas e tutoriais (em inglês):

http://www.youtube.com/user/TheIMCManagement?feature=g-all-u

Até logo!

Modelo de Rede Hierárquica – parte 1 de 2

O blog “No Mundo das Redes” mantido pela Keilly Priscila possui um post muito bacana sobre Modelo de Rede Hierárquica. Reproduzirei quase todo o conteúdo aqui no Blog em 2 partes. Quem quiser ler o texto original, acesse: http://nomundodasredes.blogspot.com.br/2011/10/modelo-de-rede-hierarquica.html . Boa leitura!

 Modelo de Rede Hierárquica

Para pequenas e médias empresas, a integração da rede utilizando dados, voz e vídeo torna-se essencial para os negócios. Logo, uma rede local (LAN) projetada corretamente é um requisito fundamental.

Uma rede construida de forma hierárquica torna mais fácil o gerenciamento, expansão eo troubleshooting para detecção de problemas.

O design de rede hierárquico envolve a divisão da rede em camadas discretas, facilitando escalabilidade e desempenho. São divididos em três camadas: Acesso, Distribuição e Núcleo (Core).

Camada de Acesso

A camada de acesso faz interface com dispositivos finais, como PCs, impressoras e telefones IP, para fornecer acesso ao restante da rede. Na camada de acesso podem estar switches e pontos de acesso wireless (AP). O principal propósito da camada de acesso é fornecer um meio de conectar dispositivos à rede e controlar quais têm permissão de comunicação na rede.

Camada de Distribuição

A camada de distribuição agrega os dados recebidos dos switches da camada de Acesso antes de serem transmitidos para a camada de Núcleo (Core) para que haja o roteamento até seu destino final. A camada de distribuição controla o fluxo do tráfego da rede usando políticas e determina domínios de broadcast, realizando funções de roteamento entre VLANs. Switches da camada de distribuição costumam ser dispositivos de alto desempenho que têm alta disponibilidade e redundância para assegurar a confiabilidade.

Camada de Núcleo (Core)

A camada de núcleo do design hierárquico é o backbone de alta velocidade das redes interconectadas. Como a camada de núcleo é essencial à interconectividade entre os dispositivos da camada de distribuição, é importante que o núcleo seja altamente disponível e redundante. A área do núcleo também pode se conectar a recursos de Internet e deve ser capaz de encaminhar grandes quantidades de dados rapidamente.

Em redes menores, não é incomum implementar um modelo de núcleo colapsado, no qual a camada de distribuição e a camada de núcleo são integradas em uma só camada.

Benefícios de uma rede hierárquica

Há muitos benefícios associados aos designs de rede hierárquica.

Escalabilidade

Redes hierárquicas podem ser facilmente expandidas. A escalabilidade das redes hierárquicas permite replicar elementos (equipamentos) na medida em que a rede cresce.

Redundância

Redundância nos níveis do Núcleo e de Distribuição assegura a disponibilidades de caminhos/rotas.

Na medida em que uma rede cresce, a disponibilidade se torna mais importante. Você pode aumentar drasticamente a disponibilidade por meio de implementações redundantes simples com redes hierárquicas. Os switches da camada de Acesso são conectados a dois switches da camada de distribuição diferentes para assegurar uma redundância de caminho. Caso haja falha nos switches da camada de distribuição, o switch da camada de acesso pode comutar para o outro switch da camada de distribuição. Além disso, a camada de distribuição é conectadas a dois ou mais switches da camada de Núcleo para assegurar uma disponibilidade de caminho em caso de falha de um dos switches do Core.

Desempenho

Agregação de link entre os níveis e o alto desempenho dos switches de núcleo e de distribuição permitem taxas de transmissão próximas ao máximo suportado em toda a rede. Para o tráfego, evita-se a transmissão de dados por meio de switches intermediários de baixo desempenho. Os dados são enviados por meio de links agregados, ou com banda de 1Gb e 10Gb da camada de acesso até a camada de distribuição com aproximadamente a velocidade do fio na maioria dos casos.

Segurança

Segurança de porta do nível de acesso e políticas no nível de distribuição tornam a rede mais segura.

A segurança é aprimorada e mais fácil de gerenciar. Os switches da camada de acesso podem ser configurados com várias opções de segurança de porta que fornecem controle sobre que dispositivos têm permissão para se conectar à rede. Você também tem a flexibilidade de usar políticas de segurança mais avançadas na camada de distribuição. Alguns switches da camada de acesso suportam a funcionalidade de Camada 3, mas esse costuma ser o trabalho dos switches da camada de distribuição para processar dados da Camada 3, porque eles podem processá-los com muito mais eficiência.

Gerenciamento

O Gerenciamento é relativamente simples em uma rede hierárquica. Cada camada do design hierárquico executa funções específicas, consistentes ao longo de toda a camada. Por isso, se precisasse alterar a funcionalidade de um switch da camada de acesso, você poderia repetir essa alteração em todos os switches da camada de acesso na rede porque eles devem executar as mesmas funções em sua camada. A implantação de novos switches também é simplificada porque as configurações de switch podem ser copiadas entre dispositivos com pouquíssimas modificações. A consistência entre os switches em cada camada permite uma rápida recuperação e uma solução de problemas mais simples. Em algumas situações especiais, talvez haja inconsistências na configuração entre dispositivos, logo, você deve assegurar que as configurações sejam bem documentadas para que você possa compará-las antes da implantação.

Sustentabilidade

A modularidade do design hierárquico permite a escala da rede sem que haja muitas complicações. Como as redes hierárquicas são modulares por natureza e a escalabilidade é muito boa, elas são fáceis de serem mantidas. Com outros designs da topologia de rede, a gerenciabilidade fica cada vez mais complicada na medida em que a rede cresce. Além disso, em alguns modelos de design de rede, há um limite claro quanto ao tamanho a que a rede pode chegar antes de se tornar complicada e de manutenção cara. No modelo de design hierárquico, as funções do switch são definidas em cada camada, o que simplifica a seleção do switch correto. Adicionar switches a uma camada não necessariamente significa que não haverá um gargalo ou outra limitação em outra camada. Para que uma topologia de rede em malha completa atinja o desempenho máximo, todos os switches precisam ser switches de alto desempenho, porque cada um precisa ser capaz de executar todas as funções da rede. No modelo hierárquico, as funções de switch são diferentes em cada camada. Você pode economizar, usando switches da camada de Acesso mais baratos na camada mais baixa e gastar mais nas camadas de Distribuição e Core para obter um alto desempenho na rede.

Abraços

Switches HPN 4200G – Configurando a autenticação com TACACS

Compatilho abaixo o script básico (comentado) para a autenticação no acesso em Switches HPN utilizando AAA, com o Servidor ACS da Cisco e o protocolo TACACS. A autenticação para o super usuário em nosso exemplo, está como local.

Configuração

#
super password level 3 simple S3nha
! Criando a senha do super usuário como "S3nha"
#
hwtacacs scheme comutadores
! Criando o esquema TACACS com o nome Comutadores
primary authentication 192.168.1.10
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 148.91.219.56
!Endereço de IP do Switch cadastrado no ACS
key authentication s3nhacom
! Chave para autenticação com o servidor ACS  com a senha"s3nhacom"

key authorization s3nhacom
key accounting s3nhacom
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain comutadores.com.br
authentication login hwtacacs-scheme comutadores local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme comutadores local
accounting login hwtacacs-scheme comutadores local
#
domain default enable comutadores.com.br
! Habilitando o dominio comutadores.com.br como default para auetnticação
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch. ;)

Boa semana!

Switches 3Com 7900 – Como o DLDP poderá ajudar a “sua” Fibra Óptica!!

O DLDP é um protocolo que funciona acima da camada física para detecção de links unidirecionais, como problemas no TX ou RX, colocando a porta em shutdown em caso de falha. A feature é bastante útil para checar a integridade dos 2 pontos da conexão ( Fibra Óptica ou UTP).

Para ativar o dldp é muito simples:
dldp enable 
! Ativando o DLDP globalmente
interface Ten-GigabitEthernet8/0/1
dldp enable
! Ativando o DLDP na interface

Para o correto funcionamento do DLDP é necessário habilitarmos o comando nos 2 Switches do UpLink.

Testando o DLDP

Na imagem abaixo durante uma janela de manutenção das fibras, a equipe de cabeamento acabou conectando o Tx da interface Ten-GigabitEthernet8/0/1 na interface Ten-GigabitEthernet8/0/2. Nesse cenário sem o DLDP os Switches não perceberiam o erro e as interfaces seriam exibidas como UP em qualquer comando display; mas a comunicação lógica estaria com problemas…

Com o DLDP ativo, os Switches exibem o seguinte Log de erro:

#Aug 18 22:03:28:016 2010 7900 DLDP/1/TrapOfUnidirectional:Slot=8;
h3cDLDPUnidirectionalPort : DLDP detects a unidirectional link in port 70516736.

Comando Display

[7900]display int ten8/0/1
Ten-GigabitEthernet8/0/1 current state: DLDP DOWN
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0024-7399-9917
Description: ENLACE_10G_COM_SIA
Loopback is not set
Media type is optical fiber,Port hardware type is 10G_BASE_LR
10Gbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is force link

------

[7900]display dldp Ten-GigabitEthernet 8/0/1

Interface Ten-GigabitEthernet8/0/1
DLDP port state : disable 
DLDP link state : down 
The neighbor number of the port is 0

Após a correção do erro…

o DLDP ajudou a salvar o dia…

[7900]disp interface Ten-GigabitEthernet 8/0/1
Ten-GigabitEthernet8/0/2 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0024-7399-9917
Description: ENALCE_10G_COM_SCN
Loopback is not set

Obs; o método também permite utilizarmos autenticação MD5 entre os Switches que conversam DLDP

[7900]dldp authentication-mode md5 dldp2010
! Habilitando a autenticação do protocolo DLDP com a senha "dldp2010"

Até a próxima!

QoS – Aplicando Line Rate na Interface Física (Policy)

Alguns modelos de Switches HPN Serie-A com o Comware 5 possibilitam a configuração de limite de banda em interfaces físicas de uma maneira bem simples. A feature chama QoS Line Rate.

[Switch-GigabitEthernet1/0/1]qos lr ?
  inbound   Limit the rate on inbound
  outbound  Limit the rate on outbound

[Switch-GigabitEthernet1/0/1]qos lr inbound cir ?
  INTEGER  Committed Information Rate(kbps)

Para a configuração de limite de banda para a interface em 256kbps para pacotes de entrada e saída basta digitar.

[Switch-GigabitEthernet1/0/1]qos lr inbound cir 256
[Switch-GigabitEthernet1/0/1]qos lr outbound cir 256

Até logo ;)