Comware: Filtros de pacote aplicados a uma interface de VLAN agora afetam o tráfego local na VLAN

Galera, segue um comunicado copiado do site da HP sobre a alteração no modelo de filtro de pacotes para VLAN. O documento foi publico em 29/09/2014 no endereço aqui .

DESCRIÇÃO

Foi introduzida uma alteração no software recente que modifica a maneira como as ACLs são implementadas quando estas são aplicadas a interfaces de VLAN.

Antes da alteração do software, uma ACL de filtro de pacote aplicada a uma interface de VLAN afetava apenas o tráfego que passava pela interface de VLAN entre a VLAN e outras VLANs/redes. Após a alteração do software, uma ACL aplicada a uma interface de VLAN também filtra os dados locais na própria VLAN.

Em particular, é possível que todo o tráfego local em uma VLAN fique bloqueado após a atualização para o software que implementa essa alteração. Por exemplo, se um cliente implementar uma ACL com uma regra padrão de “Negar IP” destinada a bloquear o acesso indesejável entre as redes, agora essa regra também bloqueará o tráfego dentro da mesma VLAN:

# Definir ACL
acl number 3600 name test-acl-in
hardware-count enable
rule 10 permit ip destination 172.22.254.0 0.0.0.255
rule 20 deny ip

#Aplicar ACL à interface de VLAN
interface Vlan-interface600
ip address 10.90.32.1 255.255.255.0
packet-filter name test-acl-in inbound

Anteriormente, essa ACL teria permitido todo o tráfego na VLAN, bloqueando apenas o tráfego de IP não permitido que estivesse atravessando para outras VLANs. Após a atualização do software, a mesma regra bloqueia todo o tráfego de IP dentro da VLAN.

ABRANGÊNCIA

Essa alteração afeta vários produtos, definidos a seguir.

Nome do produto Versões de software com a alteração
Switches 5800/5820 R1808P16 e posterior
Switches 5500HI R5206P02 e posterior
Switches 5500EI/5500SI/5120EI R2220P11 e posterior
Switches 3600 EI e SI V2 R2108P10 e posterior
Switches 5900/5920 R2307 e posterior
Switches 5830 R1118P05
Switches 10500 R1208P06 e posterior
Switches 7500 R6708P06 e posterior
Switches 11900 (V7) R2105P05 e posterior
Switches 10500 (V7) R2105P05 e posterior
Switches 12900 (V7) R1005P01 e posterior


RESOLUÇÃO

ANTES de atualizar para as versões de software afetadas, modifique as definições de ACL com regras para permitir especificamente o tráfego necessário dentro da VLAN.

Usando o exemplo acima, a ACL será modificada para permitir um certo tráfego de IP local usando uma regra adicional (15) na definição da ACL, da seguinte maneira:

acl number 3600 name test-acl-in
hardware-count enable

rule 10 permit ip destination 172.22.254.0 0.0.0.255
rule 15 permit ip source 10.90.32.11 24 destination 10.90.32.12 24
rule 20 deny ip

Agora, essa ACL permitirá a comunicação dentro da VLAN.

Plataformas de Hardware Afetadas: HP 10500 Switch Series, HP 3600 EI Switch Series, HP 3600 SI Switch Series, HP 5120 EI Switch Series, HP 5500 EI Switch Series, HP 5500 HI Switch Series, HP 5500 SI Switch Series, HP 5800 Switch Series, HP 5820 Switch Series, HP 5830 Switch Series, HP 5900 Switch Series, HP 5920 Switch Series, HP 7500 Switch Series, HP FlexFabric 11900 Switch Series, HP FlexFabric 12900 Switch Series

 

Comware: Custo OSPF

O protocolo OSPF permite a todos roteadores em uma área a visão completa da topologia. O protocolo possibilita assim a decisão do caminho mais curto baseado no custo que é atribuído a cada interface, com o algoritmo Dijkstra. O custo de uma rota é a soma do custos de todas as interfaces de saída para um destino. Por padrão, os roteadores calculam o custo OSPF baseado na fórmula Cost =Reference bandwidth value / Link bandwidth.

Caso o valor da “largura de banda de referência” não seja configurado os roteadores usarão o valor de 100Mb para cálculo. Por exemplo, se a interface for 10Mb, calcularemos 100Mb dividido por 10Mb, então o custo da interface será 10. Já os valores fracionados, serão arredondados para valor inteiro mais próximo e toda velocidade maior que 100Mb será atribuido o custo 1.

Veja no exemplo abaixo:

OSPF Cost 1 Comware

O custo do Roteador R1 para os Roteadores vizinho é 1.

OSPF Cost 1 output Comware

O mesmo para a interface loopback de R2 (o comware não adiciona o custo para as interfaces loopback)

OSPF Cost 2 output Comware

Se por algum motive houver a necessidade de manipulação do roteamento para a interface Ge0/0/3(Roteador R3) basta aumentar o custo do OSPF na interface Ge0/0/2 para que a interface Ge0/0/3 tenha o menor custo para a rede 2.2.2.2.

Interface GigabitEthernet0/0/2
ospf cost 20
! Alterando o custo da interface para 20

OSPF Cost 2 Comware
OSPF Cost 3 output Comware

Caso seja necessário alterar a referência para largura de banda utilize o seguinte comando em um roteador HP Comware.

OSPF Cost 4 output Comware

O “bandwidth- reference 100” é o default para 100Mb, onde 100Mb na topologia tem o custo = 1 .

Assim, para ter links 1G com o custo = 1 , o “auto-cost…” deve ser configurado como 1000. Se a referência for links 10G , “auto-cost…” seria 10000 , para 100G, seria 100000 .

Obs: Lembre-se de sempre manter o bandwidth- reference consistente em todos os roteadores para evitar comportamentos inesperados no roteamento.

Até logo

Comware: Rota estática flutuante (floating static route)

Uma rota estática flutuante é uma rota estática com uma distância administrativa maior do que a estabelecida por padrão em Switches e Roteadores. Por exemplo, no Comware da HP as rotas estáticas possuem distância administrativa com o valor 60 e o protocolo OSPF com as rotas externas com o valor 150, nesse caso pelo fato da menor distância administrativa ser escolhida quando duas rotas idênticas são aprendidas de maneiras distintas pelo roteador, o equipamento escolherá o processo com menor AD ( administative distance/ distancia administrativa).

Como exemplo, poderíamos imaginar um roteador com 2 links, em um deles a rota 192.168.1.0/24 pode ser aprendida via rotas externas OSPF e nesse caso precisaremos encaminhar o tráfego para esse link como principal. Já como backup configuraríamos a rota estática 192.168.1.0/24 com a distância administrativa com o valor 250 apontando para o next-hop do segundo link.

Quando o primeiro link apresentar problemas, o processo OSPF perceberá a falha e removerá a rota 192.168.1.0/24 aprendida dinamicamente e começará a utilizar a rota estática (não utilizada anteriormente) com o mesmo endereço 192.168.1.0/24 configurada para encaminhar os pacotes para o segundo link.

Quando o OSPF voltar a funcionar com o restabelecimento do primeiro link, a rota estática deixará de ser utilizada, voltando para o encaminhamento de pacotes pela rota aprendida dinamicamente.

[Comware]  ip route-static 192.168.1.0 255.255.255.0 172.17.1.2 preference 250

Obs: Lembre-se que a rota estática só entrará na tabela de roteamento se a interface correspondente ao próximo salto (next-hop) estiver UP.

Caso tenham alguma dúvida sobre o assunto, deixem um comentário.

http://pt.wikipedia.org/wiki/Dist%C3%A2ncia_administrativa

http://www.rotadefault.com.br/rota-estatica-flutuante-floating-static-route/

Abração a todos