Monthly Archives: setembro 2012

Switches HP A7500 – VRRP Load Balance

Publicado originalmente em 10 DE NOVEMBRO DE 2010

Cada estação de trabalho necessita de um endereço IP, Mascara e Gateway para comunicação com a Internet. Geralmente tais informações são distribuídas via servidor DHCP ou configuradas estaticamente na placa de rede.

Infelizmente tais configurações não são alteradas dinamicamente após mudanças na rede, como por  exemplo, a falha do Switch ou Roteador com papel de Gateway.

Se o default gateway falhar, não haverá conectividade com o acesso fora da LAN. Ao adicionar outro roteador de Backup, ajudará parcialmente, pois precisaremos alterar o endereço do Gateway de todas as máquinas da rede para novo Gateway.

O VRRP (Virtual Router Redundancy Protocol) permite utilizarmos um endereço IP virtual para mais de um Gateway. Baseado na troca de mensagens entre dispositivos com o VRRP ativo, o processo elege um equipamento MASTER e outro BACKUP.

A cada solicitação ARP dos hosts da rede solicitando o endereço MAC do Gateway o dispositivo Master irá responder a solicitação, em caso de falha do Master, o dispositivo de Backup ( que será o Master a partir da falha) irá continuar a responder pelo IP Virtual.

A eleição do MASTER é baseada no equipamento com maior prioridade, valor configurável no dispositivo entre 0 e 255, o valor default é 100. Se os dois Switches tiverem a mesma prioridade, vence a eleição o dispositivo com maior endereço IP configurado.

O MASTER deverá encaminhar anúncios em intervalos constantes, monitorados pelo BACKUP. Em caso de não recebimento de alguns anúncios, será efetuada nova eleição para substituição do Switch MASTER.

Obs: Os anúncios são encaminhados para equipamentos que estão no mesmo segmento. As mensagens VRRP são encaminhadas a cada 1 segundo e o tempo de falha é 3 vezes o valor.

VRRP Load Balance

Uma das desvantagens do VRRP é que o equipamento de Backup sempre estará em modo passivo enquanto não houver uma falha no dispositivo Master, o VRRP Load Balance permite balancearmos o encaminhamento dos tráfego, alterando a resposta ARP, hora com o endereço MAC do Master, hora com o endereço MAC do Backup .

No modo VRRP Load Balance, é criado dinamicamente endereços MAC virtuais para cada dispositivo do Grupo, cabe ao Master, continuar respondendo qual endereço será respondido em cada requisição ARP.

Obs: A feature é similar ao GLBP proprietário da Cisco!

Configurando

Switch Master VRRP

vrrp mode load-balance 
! Habilitando o VRRP em modo de Balanceamento
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
! Endereço IP físico da Interface VLAN 1
vrrp vrid 1 virtual-ip 192.168.1.1
! Endereço IP Virtual do VRRP grupo 1
vrrp vrid 1 priority 120
! Aumentando a Prioridade para eleição do Master 
! (a prioridade default é 100, vence o maior)
vrrp vrid 1 authentication-mode md5 vrrpcomutadores
! Forçando a autenticação dos Switches que participarão do 
! Grupo VRRP 1 com a senha vrrpcomutadores

Switch Backup VRRP

vrrp mode load-balance 
! Habilitando o VRRP em modo de Balanceamento
#
interface Vlan-interface1
ip address 192.168.1.3 255.255.255.0
! Endereço IP físico da Interface VLAN 1
vrrp vrid 1 virtual-ip 192.168.1.1
! Endereço IP Virtual do VRRP grupo 1
vrrp vrid 1 authentication-mode md5 vrrpcomutadores
! Forçando a autenticação dos Switches que participarão do 
! Grupo VRRP 1 com a senha vrrpcomutadores

Display

Comando display no Switch eleito como Master

[SW1]display vrrp verbose 

IPv4 Standby Information:
Run Mode : Load Balance
Run Method : Virtual MAC

Total number of virtual routers : 2
Interface Vlan-interface1
VRID : 1 Adver Timer : 1 

Admin Status : Up State : Master 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time : 5 
Auth Type : MD5 Key : 0-Ma,R:)9P'Q=^Q`MAF4

Virtual IP : 192.168.1.1 
Master IP : 192.168.1.2
Forwarder Information: 2 Forwarders 1 Active 
Config Weight : 255 
Running Weight : 255 
Forwarder 01
State : Listening 
Virtual MAC : 000f-e2ff-0011 (Learnt)
Owner ID : 0024-7399-27f5 
Priority : 127 
Active : 192.168.1.2 
Forwarder 02
State : Active 
Virtual MAC : 000f-e2ff-0012 (Owner)
Owner ID : 0024-7399-27f0 
Priority : 255 
Active : local

Até a próxima!

STP desabilitado!!!!

Alguns Switches HPN serie-A, como por exemplo da série 7500, dependendo da versão do Comware, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos Protocolos e Serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite. ;)

[Switch] display stp
Protocol Status :disabled
Protocol Std. :IEEE 802.1s
Version :3
Bridge-Prio. :32768
MAC address :000f-e203-0200
Max age(s) :20
Forward delay(s) :15
Hello time(s) :2
Max hops :20
! Identificando que o STP está desabilitado no Switch

[Switch]stp enable
%Jun 18 16:21:10:253 2012 Switch MSTP/6/MSTP_ENABLE: STP is now
enabled on the device.
! Habilitando o Spanning-Tree

Um grande abraço

Switches 3Com 4500G – Configurando o RIP versão 1

Publicado originalmente em 26 DE JULHO DE 2010

Olá amigos, já faz um bom tempo que eu venho pensando em escrever um post sobre o RIP. Esses dias durante a leitura de um livro muito bacana chamado Routing TCP/IP, Volume I 2nd Edition (Jeff Doyle, Jennifer Carroll), decidi escrever esse artigo.

Apesar do RIP ser um protocolo de Roteamento simples, sua função é bastante útil em redes pequenas, em comunicações entre Roteadores PE e CPE em redes MPLS, na redistribuição entre protocolos de Roteamento e dispositivos de rede com suporte apenas ao RIP (como protocolo de Roteamento Dinâmico).

O Routing Information Protocol (RIP) utiliza o algoritmo de vetor de distancia (Distance Vector) para escolha de melhor caminho para o destino – o RIP determina a distancia como métrica.

A contagem máxima de distancia para o RIP é 15, o 16º salto é considerado como inalcançável ou infinito.

No exemplo abaixo com todos os Roteadores com RIP ativo, o Roteador W informaria dinamicamente a todos os Roteadores diretamente conectados que possui a Rede 192.168.1.0/24 essas informações são repassadas pelos outros Roteadores até o Roteador X que escolheria o Caminho B como caminho mais curto para acesso a rede 192.168.1.0/24 e incluiria essa informação na tabela de Roteamento.

O RIP encaminha a cada 30 segundos toda a sua tabela de Roteamento em Broadcast (255.255.255.255) na porta 520 UDP.

A regra Split Horizon diz que as atualizações recebidas por uma interface não serão incluídas e/ou encaminhadas de volta nas atualizações para aquela interface. Exemplificando, o Roteador X não encaminhará informações da Rede 192.168.1.0/24 de volta aos Roteadores que lhe encaminharam informações sobre essa rota.

Outra maneira de evitar rotas inconsistentes é a utilização de Route Poisoning, por exemplo, se a rota 192.168.1.0/24 ficar Down o Roteador W iniciará o Route Poisoning anunciando a rede com métrica 16 (como inalcançável). Os roteadores diretamente conectados responderão com a mensagem poison reverse ao Roteador W certificando que receberam a mensagem além de replicarem a rota poisoning aos outros Roteadores.

O RIP encaminha mensagens a cada 30 segundos, o tempo para determinar uma rota como invalida é de 180 segundos.

Obs: o RIP versão 1 não encaminha informações sobre mascara nas atualizações de Rotas para os vizinhos, por isso é considerado um protocolo ClassFull (classe cheia) que obrigatoriamente precisa de consistência na distribuição de sub-redes, não sendo possível trabalhar com mascaras de tamanho variável e redes descontinuas.

Configurando o RIP


Switch 4500-A 
[4500G-A]
vlan 1
#
vlan 2
#
vlan 50
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 1
#
interface Vlan-interface2
ip address 192.168.2.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 2
#
interface Vlan-interface50
ip address 192.168.50.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 50
#
rip 1
! Ativando o processo RIP 1(é possivel trabalharmos com processos RIP 
! independentes no mesmo Switch)
version 1
! O RIP possui 2 versões,a versão 1 trabalha somente com mensagens em  
!  Broadcaste rotas Classfull enquanto o RIP versão 2 oferece suporte 
!  a máscaras de tamanho variável e atualizações em multicast
network 192.168.1.0
network 192.168.2.0
network 192.168.50.0
! Adicionando as redes 192.168.1.0, 192.168.2.0 e 192.168.50.0 ao 
! processo RIP, para encaminhamento de atualizações dessas redes 
! aos vizinhos, incluindo o encaminhamento de mensagens Broadcasts
! por essas VLANs 
#

Switch 4500-B
[4500G-B]
vlan 1
#
vlan 10
#
vlan 17
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
#
interface Vlan-interface10
ip address 10.0.0.1 255.0.0.0
#
interface Vlan-interface17
ip address 172.17.0.1 255.255.0.0
#
rip 1
network 192.168.1.0
network 172.17.0.0
network 10.0.0.0
#

Comandos Display

<4500G-A>display ip routing-table
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.0.0.0/8 RIP 100 1 192.168.1.2 Vlan1
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
172.17.0.0/16 RIP 100 1 192.168.1.2 Vlan1
192.168.1.0/24 Direct 0 0 192.168.1.1 Vlan1
192.168.1.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.2.0/24 Direct 0 0 192.168.2.1 Vlan2
192.168.2.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.50.0/24 Direct 0 0 192.168.50.1 Vlan50
192.168.50.1/32 Direct 0 0 127.0.0.1 InLoop0

<4500G-A>display rip
RIP process : 1
RIP version : 1
Preference : 100
Checkzero : Enabled
Default-cost : 0
Summary : Enabled
Hostroutes : Enabled
Maximum number of balanced paths : 1
Update time : 30 sec(s) Timeout time : 180 sec(s)
Suppress time : 120 sec(s) Garbage-collect time : 120 sec(s)
update output delay : 20(ms) output count : 3
TRIP retransmit time : 5 sec(s)
TRIP response packets retransmit count : 36
Silent interfaces : None Default routes : Disabled
Verify-source : Enabled
Networks :
192.168.50.0 192.168.2.0
192.168.1.0
Configured peers : None
Triggered updates sent : 43
Number of routes changes : 24
Number of replies to queries : 4

Até logo :)

Switches HP A7500 – QoS – Efetuando a marcação de Pacotes com Policy

A densidade de portas e banda disponivel em modernos Switches empilhaveis ou modulares permite um bom desempenho na comunicação entre Serviços na Rede Local.

Em modelos de QoS a utilização de Switches tem a função de permitir a confiança (trust) de pacotes ja marcados na origem como Telefones IP e Aplicações para tratamento em Links congestionados como em uma rede WAN , incluindo tambem a marcação e a remarcação de pacotes para o mesmo fim.

A atribuição de QoS em Roteadores ocorre devido ao gargalo gerado por Links 100/1000/10000Gbps de Switches em contraste com Links de comunicação via Internet ou Redes Privadas que são proporcionamente menores que a vazão do tráfego necessária.

Para a tratativa do tráfego utilizamos filas de prioridade com a utilização de algoritmos como WRR,WFQ,SP e etc.

Na necessidade de atribuir a marcação de um determinado tráfego para diferentes politicas de Qualidade de Serviço (QoS) é possível utilizar o seguinte esquema:


ACL:
 Não mandatória, permite a seleção de trafego para filtro de classificação de tráfego;

Classifier: Classificação do trágego (baseado em uma ACL, Tag de VLAN, etc)
Behavior: Comportamento para o tráfego , como por exemplo, marcação IP Precedence no pacote IP, descarte de pacote, etc
Policy: Permite o vinculo da classificação com o comportamento para ser atribuido a uma interface.

Configurando
No script abaixo mostraremos um exemplo de configuração para marcação do tráfego de qualquer origem com destino a porta TCP 50001:

acl number 3000
! Criando uma ACL avançada
rule permit tcp destination-port eq 50001
! Permitindo qualquer origem efetuar conexão TCP na porta de destino 50001
#
traffic classifier AF32 operator and
! Criando a classificaçaõ com o nome AF32
if-match acl 3000
!Dando match na ACL 3000 para futura utilização 
#
traffic behavior AF32
! Criando o comportamento com nome AF32
remark dscp af32
! Marcando/Remarcando o tráfego que será classificado com o valor dscp af32 
!( notação 28 em decimal)
accounting
! Efetuando a contagem dos pacotes marcados (opção não obrigatória)
#
qos policy MARKING
!Criando a policy com o nome MARKING
classifier AF32 behavior AF32
! Vinculando a classificação com nome AF32 com o comportamento com nome AF32 
!( não é obrigatório utilizar o mesmo nome no classifier e no behavior)
#
interface GigabitEthernet1/0/2
description INTERFACE_INBOUND_ACESSO_INTERNO
qos apply policy MARKING inbound 
! Permite a marcação do tráfego com a policy MARKING na entrada do pacote
qos trust dscp
! Não remarca os pacotes não listados na policy.
! Confiando na marcaçaõ dscp do pacote

Obs: No exemplo acima, após satisfazer as condições da politica de marcação IP Precedence, o pacote irá manter o valor até o fim da comunicação para ser tratado pelos dispositivos no caminho caso seja necessário. Como por exemplo, na separação do tráfego, usando a sua marcação AF32( notação 28 em decimal) em contraste com um pacote não marcado. 

Uma boa semana a todos! :)

Procedimento de Back-out para equipamentos HPN

Segue abaixo uma dica bacana enviada pelo Paulo Roque…
Alguns Switches HPNs suportam uma funcionalidade de back-out que permite retornar a configuração ao um estado anterior com um único comando.  Basta salvar a configuração antes de iniciar o processo de mudança da configuração e em necessidade de retorno da configuração anterior por problemas de feature, planejamento e etc, basta retornar para a última configuração salva ;)

A vantagem é que minimiza erros em caso de problemas durante uma janela de mudança… 

 Funciona assim:

Salvar a configuração antes da alteração.

# <Switch>save current-config flash:change123.cfg

Fazer back-out

# <Switch> config replace file flash:change123.cfg

 

Obs: Em caso de dúvidas sobre o procedimento, sempre execute testes em laboratório,se possível ;)

Roteadores HP A8800 – Config Guide em .PDF e .CHM

O Andre Nunes encaminhou um e-mail muito bacana para acesso aos Config Guide do Roteador Serie A8800 da HP / H3C. O Material foi criado pelo próprio fabricante possui bastante coisa interessante mas infelizmente está inglês…

Pessoal,

Não sei se todos vocês chegaram a verificar no site da H3C, mas tem alguns guias com os comandos dos HPN.

Existe alguns guides de acordo com o tipo de configuração. No link abaixo podem ser os feitos download  em  .pdf:

http://www.h3c.com/portal/…

Configuration Guide
H3C SR8800 Configuration Guide-Release3347-6W103

tem um configuration guide que esta em um arquivo.chm   que esta dentro de um arquivo.rar e pode ser feito download aqui: http://www.h3c.com/portal/download.do?id=1324273

 

Se algum link estiver quebrado, deixe um comentário.

Rapid Spanning-Tree (802.1w)

Publicado originalmente em26 DE OUTUBRO DE 2010
O protocolo Rapid Spanning-Tree é definido no padrão IEEE 802.1w para melhora no tempo de convergência do Spanning-Tree (802.1d) ,definindo regras para que os links alterem rapidamente ao estado de encaminhamento (forwarding), gerando mensagens BPDUs em vez de apenas retransmitir os BPDUs do Root, oferecendo uma significativa melhora no tempo de convergência da rede.

Uma das principais melhorias efetuadas no protocolo reduziu o tempo de convergência em caso de falha de 3 Hellos BPDU’s (por default 2 segundos cada Hello) ao invés de 10 Hellos BPDU’s na versão anterior do Protocolo.

O RSTP elege o Switch Root da mesma maneira que o 802.1d e o tempo de transição para o estado das portas foi reduzido com 3 operações básicas: Discarding, Learning e Forwarding

 

A rápida transição para o forwarding é permitida sem a necessidade de esperar o tempo da configuração, baseando-se na classificação dos equipamentos conectados nas portas do Switch.

  • Edge : porta conectada a computadores, telefones IP, impressoras etc.
  • Point-to-Point: porta conectada em outro Switch
  • Shared: Porta conectada a um Hub

Edge

As portas do Switch conectadas a computadores e servidores precisam de configuração manual para rápida transição do modo de discarding para o forwarding. Durante qualquer alteração da topologia do Spanning-tree a porta Edge não participará do Spanning-Tree, mas gerará BPDU’s por segurança.

[Sw] interface gigabitethernet 1/0/1
[Sw-GigabitEthernet1/0/1] stp edged-port enable

Obs: Se uma porta configurada como edge receber um BPDU, automaticamente voltará ao estado uma porta normal do STP 

Point-to-Point

Por default as portas RSTP conectadas e negociadas como Full Duplex entre Switches consideram-se point-to-point. A rápida transição é possível após a porta encaminhar um BPDU como Proposal e receber a confirmação do BPDU com um Aggrement , esse processo é chamado de handshake ( na tradução literal, aperto de mãos).

Se houverem Links redundantes na topologia a porta com caminho alternativo para o Switch Root ficará no estado de discarding e será considerada como uma Alternate Port.

Outra melhora na versão do protocolo ocorre durante mudanças na topologia, como por exemplo, quebra do caminho principal. Os Switches não terão que esperar o aviso do Switch Root para efetuarem a convergência da topologia (basta receber um TCN do Switch vizinho) e assim a porta com caminho alternativo poderá mudar imediatamente para o estado de encaminhamento.

Em testes práticos a convergência na quebra de um link chega a perder um PING.

Para habilitar o RSTP nos Switches H3C/3Com utilize o comando stp mode rstp

Rapidinhas

• Todo Switch vem de fabrica com o valor da Bridge priority como 32768, a eleição do Switch Root pode ser manipulada alterando o valor do bridge priority menor que o Valor padrão. Em caso de empate é utilizado o endereço MAC do equipamento.

• O estado de “bloqueio” das portas utilizado no Spanning-Tree (802.1d) é renomeado para estado de “descarte”(discarding). A função de uma porta de descarte é a de uma porta alternativa. A porta de descarte pode tornar-se uma porta designada se a porta do segmento falhar.

• As regras de Portas Root e Designadas são idênticas em ambas versões do STP

• Uma porta Root possui o melhor caminho para o Switch Root que é geralmente o caminho de menor custo. ( O Switch Root não possui porta Root)

• Uma porta Designada é porta que encaminha os BPDUs dentro de um segmento. ( Existente em Switches Root e não-Root)

• Alternate Port – porta bloqueada por ser um caminho alternativo para o Switch Root. A porta alternativa irá tornar-se root se a porta root falhar.

• Backup Port – porta bloqueada que recebe um BPDU de uma porta designada do mesmo segmento. (como por exemplo um cabo conectado do próprio Switch ou 2 conexões para o mesmo HUB)

• Utilize sempre os comandos display stp e display stp briefpara visualização dos estados das portas do STP.

• O protocolo 802.1w possui compatibilidade com o 802.1d

Abraços a todos!