Trabalhando com syslog em Switches HP

Galera, o post abaixo foi gentilmente cedido pelo Leonardo Ortiz do blog http://killingyournetwork.blogspot.com.br/search/label/3Com .

Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog.

O syslog é uma ótima forma para monitorar e descobrir problemas na rede, com ele podemos receber alertas do switch em um servidor syslog e tomar as ações necessárias em caso de problemas.

A RFC do syslog é a RFC 3164. Há vários níveis do syslog que documentam desde problemas a um simples login no equipamento.

Vamos as configurações!

No modo system inserir os seguintes comandos:

info-center enable
info-center loghost [ip do servidor syslog]
info-center source default channel 2 log level error trap state off

Explicação dos comandos.

1 – info-center enable

Habilita o info-center, feature dos Switches 3com para logs do sistema, por padrão já vem habilitado nos switchs.

2- info-center loghost [ip do servidor syslog]

Configura o servidor para envio dos logs.

3- info-center source default channel 2 log level error trap state off

Com esse cara você define o nível do log.

Existem 8 niveis de erros conforme imagem abaixo:

Fonte: http://www.ietf.org/rfc/rfc3164.txt
Fonte: http://www.ietf.org/rfc/rfc3164.txt

Nesse caso ativei o nivel “erros”.
O parâmetro “trap state” define se será enviado ou não traps para o syslog server, essas são as traps SNMP, que enviam alertas como UP/DOWN de interfaces e problemas em geral. Outro parâmetro que poderia ser configurado é o “debug state” que envia informações de debug, por padrão já vem desabilitado.

A forma que os logs serão recebidos será dessa forma:

<priority>timestamp sysname module/level/digest:content

Exemplo:

<185>Aug 10 07:36:40 2013 Switch STP/2/SPEED:- 1 -Ethernet1/0/17’s speed changed!

1 – Prioridade(priority): Prioridade do log, existe uma formula para o seu calculo:

facility*8+severity-1

facility, o valor padrão é 23 – O facility define o que gerou o log no sistema, em sistemas unix o valor vai de 0 a 15, do 16 ao 23 é reservado.

Severity é o nivel do log conforme a imagem acima, no nosso caso, o nível configurado foi o 3 porém essa é uma mensagem de nível critico, que seria o valor 2.

No exemplo acima, a formula ficaria assim:

23*8+2-1=185.

2 – Timestamp: O horário no qual o sistema gerou o log, esse horário é o horário que está no Switch.

3 – Sysname:  Nome do switch

4 – Modulo do syslog/Nivel/alerta(resumido).

5 – O alerta em si, mostrando a mensagem do alerta.

Esse procedimento se aplica para os Comware, já para os switches Procurve mudam alguns comandos conforme abaixo:

1- logging severity warning

Define nivel dos logs

2-  logging [ip do servidor syslog]

Configura o servidor para envio dos logs.

E é isso.

Obrigado pela leitura e boa configuração a todos!

Fonte: Foram verificados os manuais dos equipamentos 3com 4210 e 5500.

Sumarização manual com BGP aggregate

Para o anuncio de redes no processo BGP, utilizamos o comando “network” ou a redistribuição de rotas com o comando “import“.

Há também a possibilidade de manualmente sumarizarmos as redes no anuncio de prefixos para os roteadores vizinhos.  O comando BGP aggregate permite a sumarização manual (diferente do comando auto-summary), baseando-se em qualquer prefixo da tabela BGP.

No exemplo abaixo os ASN 11 e 12 anunciam cada um 2 prefixos /24 para o ASN 22.

BGP Aggregation

Sem a sumarização de rotas a tabela BGP estaria da seguinte forma para o Roteador do ASN 33:

 

[RoteadorASN33]display bgp routing-table ipv4
 Total number of routes: 4

 BGP local router ID is 192.168.23.3
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e – external
               Origin: i - IGP, e - EGP, ? - incomplete
     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn
* >e 192.168.0.0        192.168.23.2                          0       22 11i
* >e 192.168.1.0        192.168.23.2                          0       22 11i
* >e 192.168.2.0        192.168.23.2                          0       22 12i
* >e 192.168.3.0        192.168.23.2                          0       22 12i

Criando as rotas agregadas

O comando aggregate irá criar as rotas sumarizadas manualmente, iniciando o valor do AS path, simplesmente criando um novo anuncio de prefixos sumarizados sem omitir o anuncio das rotas mais especificas.

No exemplo abaixo, sumarizamos os prefixos do ASN 11 em apenas um prefixo /23:

! Configuração BGP do Roteador do ASN 22 com Comware 7

bgp 22
 peer 192.168.23.3 as-number 33
 peer 192.168.112.1 as-number 11
 peer 192.168.212.1 as-number 12
 #
 address-family ipv4 unicast
  aggregate 192.168.0.0 255.255.254.0
  peer 192.168.23.3 enable
  peer 192.168.112.1 enable
  peer 192.168.212.1 enable
#

Analisando a tabela BGP do Roteador do ASN 33 temos o seguinte output:

! tabela BGP do Roteador do ASN 33 com Comware 7
[RoteadorASN33]display bgp  routing-table ipv4
 Total number of routes: 5
 BGP local router ID is 192.168.23.3
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e - external
               Origin: i - IGP, e - EGP, ? – incomplete

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >e 192.168.0.0/23     192.168.23.2                          0       22i
* >e 192.168.0.0        192.168.23.2                          0       22 11i
* >e 192.168.1.0        192.168.23.2                          0       22 11i
* >e 192.168.2.0        192.168.23.2                          0       22 12i
* >e 192.168.3.0        192.168.23.2                          0       22 12i

Se quisessemos omitir o anuncio dos prefixos mais especificos para os roteadores do ASN 33 acrescentariamos o comando detail-suppressed

  aggregate 192.168.0.0 255.255.254.0 detail-suppressed

Analisando novamente a tabela BGP do Roteador do ASN 33 temos o seguinte output (sem as rotas mais especificas do /23):

[RoteadorASN33]display bgp  routing-table ipv4
 Total number of routes: 3
 BGP local router ID is 192.168.23.3
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e - external
               Origin: i - IGP, e - EGP, ? - incomplete
     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >e 192.168.0.0/23     192.168.23.2                          0       22i
* >e 192.168.2.0        192.168.23.2                          0       22 12i
* >e 192.168.3.0        192.168.23.2                          0       22 12i

Mantendo os ASN

Observem que a rota sumarizada pelo ASN 22, inclui apenas o seu próprio ASN no AS_PATH. Os ASN 11 e 12 também receberão a rota sumarizada pelo simples fato de seus ASes serem omitidas na sumarização. Esta ação introduz a possibilidade da criação de loop de roteamento em determinados cenários.

O parametro AS_PATH AS_SET resolve essa questão adicionando os ASes de origem. No exemplo abaixo estamos sumarizando também com um /22 para exemplificar a diferença do comando com as-set:

  aggregate 192.168.0.0 255.255.252.0 detail-suppressed as-set
  aggregate 192.168.0.0 255.255.254.0 detail-suppressed as-set

Essa configuração gera uma rota sumarizada contendo o conjunto de ASes, de 11 e 12 para a rede /22, e AS 11 para o /23, uma vez que o agregado contém rotas provenientes desses sistemas autônomos. No roteador do AS 33, podemos ver o caminho dos Ases na tabela BGP:

[RoteadorASN33]display bgp routing-table ipv4
 Total number of routes: 2
 BGP local router ID is 192.168.23.3
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e - external
               Origin: i - IGP, e - EGP, ? - incomplete
     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn
* >e 192.168.0.0/22     192.168.23.2                          0       22 {11 12}i
* >e 192.168.0.0/23     192.168.23.2                          0       22 11i

A seguinte lista resume as ações do comando aggregate para o anuncio de rotas sumarizadas:

  • as-set: Cria um sumario com os ASes.
  • attribute-policy route-policy-name: Permite aplicar atributos BGP na sumarização (exceto AS_PATH)
  • detail-suppressed: Somente anuncia a rota sumarizada
  • suppress-policy route-policy-name: Omite rotas especificas definidas na route-map. Permitindo que você deixe o anuncio apenas de algumas rotas mais especificas.
  • origin-policy route-policy-name: Seleciona apenas as rotas que satisfaçam a política de roteamento para sumarização.

 

Até logo

Referências

http://packetlife.net/blog/2008/sep/19/bgp-route-aggregation-part-1/

HP A8800 Configuration Guide – IP Routing

CCIE Routing and Switching CERTIFICATION Guide, 4th Edition, Cisco Press, Wendell Odom, Rus Healy, Denise Donohue

 

IRF – Limitação da Topologia em Anel para alguns modelos

No mês de março/15 eu publiquei um post sobre o design de Switches em IRF, configurados em linha (cascateado) ou em anel na construção do IRF.

http://www.comutadores.com.br/irfv2-duvidas-na-configuracao-do-irf-port/

Esse mês a HP soltou uma notificação sobre a limitação de alguns modelos para a construção do IRF Fabric em anel com somente 2 Switches.

Type of Switch Is IRF Ring Topology Supported With Only Two Units?
3100V2_48 Yes
3600V2 Yes
5120EI Yes
5120SI Yes
5130EI Yes
5500SI Yes
5500EI Yes
5500HI Yes
5700 Yes
5800/5820X Yes
5830 Yes
5900/5920 Yes
5930 Yes
7500 No
7900 No
10500 No
11900 No
12500 No
12900 No

“Três ou mais unidades em IRF irão  sempre suportar uma configuração em anel .”

O documento original está em http://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04706976

Multitenant Device Context (MDC)

O Multitenant Device Context (MDC) é uma tecnologia que permite o particionamento de um dispositivo  em diversos equipamentos lógicos (Switches ou Roteadores HP baseado no Comware).

Cada MDC utilizará uma porção do hardware e os seus recursos, rodando os processos de forma independente dos outros MDCs. Uma simples ação de criar, iniciar, reiniciar ou deletar um MDC não afeta outros MDCs.

Da perspectiva do cliente, o MDC é um equipamento individual.

MDC 1

IRF e o MDC

A tecnologia IRF permite agregarmos 2 ou mais equipamentos em um único dispositivo lógico facilitando assim a administração dos equipamentos.

Já o MDC permite que diferentes clientes utilizem os recursos do equipamento de forma independente. Features como VLAN IDs, roteamento e protocolos  de gerenciamento atuam de forma isolada dentro do “contexto”. Gerando assim economia na venda de serviços, espaço em rack, energia eletrica, etc.

Para permitir a comunicação entre MDCs é necessário conectar um cabo entre os MDCs.

O gerenciamento dos MDCs que estão no mesmo equipamento é efetuado pelo MDC default (admin MDC). É possível logar  individualmente e diretamente nos MDCs com protocolos como SSH ou telnet.

Diferente de VRFs (vpn-instances) que apenas virtualizam a tabela de roteamento sobre uma única administração, o MDC permite a separação do gerenciamento e processos.

Arquitetura e Features MDC

Um MDC pode ser considerado um equipamento individual baseando-se no conceito de container para virtualização do SO(sistema operacional) Comware 7. Um container é uma forma de virtualização no nível do SO, um ambiente totalmente isolado, simulando um sistema independente no mesmo host.

Cada MDC é um equipamento lógico definido em um equipamento fisico. O equipamento físico pode ser um único Switch ou um par de Switches em IRF.

Cada MDC tem também o data plane isolado, permitindo que o ID das VLAN sejam definidos e repetidos em cada MDC mas funcionando de maneira independente. As portas são reservadas ao nivel de cada ASICs por MDC, já a CPU é compartilhada e concorre por recursos. A documentação diz que se um MDC necessita de recursos enquanto um segundo MDC está ocioso, o primeiro MDC pode alocar mais recursos de CPU.

MDC 2

 

A configuração do MDC só é possível até o momento em Switches modulares com o suporte ao Comware7. A quantidade de MDCs pode variar dependendo da capacidade computacional do Main Process Unit (MPU) do Switch Chassis.

Os Switches com a feature MDC tem um admin MDC (MDC número 1) que pode gerenciar todos os recursos de hardware dos outros MDCs, permitindo a criação e a remoção do MDC. O mesmo não pode ser removido.

Mesmo com a utilização de diversos MDCs em um device, apenas um kernel é inicializado e por isso os MDCs precisam executar a mesma versão de firmware. A documentação diz que o equipamento que suporta os MDCs é chamado de Admin MDC e é o MDC 1 e por padrão quando o kernel é iniciado, o MDC 1 é  o utilizado para administrar os outros MDCs.

Na definição de um MDC é possível a alocação de peso para de uso de CPU por MDC afim de priorizar MDCs especificos, é possível também definir a alocação de disco, uso de memória, grupos de processos restritos, etc. Para o MDC admin não há limitação de recursos.

Para a alocação de interfaces, é necessario a reserva por grupo de ASICs. Em um Switch modular cada modulo/cartão (LPUs) tem um ou mais ASICs. Quando um frame chega ao Switch funções como analise de VLANs, endereços MAC são executados pelos ASICs e um ASIC pode ter diversas interfaces físicas.

No exemplo abaixo, durante a alocação de apenas uma porta para o MDC2, o switch apresenta  a mensagem que a interface FortyGigE 1/1/0/1 participa do mesmo port-group que as interfaces listadas.

[Switch-mdc-2-mdc2]allocate interface FortyGigE 1/1/0/1
Configuration of the interfaces will be lost. Continue? [Y/N]:y
Group error: all interfaces of one group must be allocated to the same mdc.
FortyGigE1/1/0/1
Port list of group 5:
FortyGigE1/1/0/1 FortyGigE1/1/0/2
FortyGigE1/1/0/3 FortyGigE1/1/0/4
FortyGigE1/1/0/5 FortyGigE1/1/0/6
FortyGigE1/1/0/7 FortyGigE1/1/0/8

A tabela abaixo apresenta o grupo de portas de alguns módulos nos Switches 12500.

MDC 3

Configurando um MDC

  1. Defina o MDC com o ID e nome
  2. Configure a autorização de alocação da line card (LPU)
  3. Aloque as interfaces por grupo baseado no ASIC
  4. Inicie o MDC
  5. Acesse o MDC utilizando o comando switchto

 

[Switch] mdc clientex id 2
! criando o MDC clientec com o id 2
[Switch-mdc-2-clientex] location slot 2
!  autorizando o uso da LPU no slot 2
[Switch-mdc-2-clientex] allocate interface giga 2/0/1 to 2/0/48
! alocando as interfaces na LPU no slot 2
!
[Switch-mdc-2-clientex] mdc start
! iniciando o mdc
[Switch-mdc-2-clientex] quit
!
[Switch] switchto mdc clientex
! conectando no mdc clientex

Validando as portas reservadas por MDC no admin MDC

[Switch]display  mdc interface
 MDC Admin's interface(s):
  M-Ethernet0/0/0

 MDC clientex's interface(s):
  GigabitEthernet2/0/1                 GigabitEthernet2/0/2                 
  GigabitEthernet2/0/3                 GigabitEthernet2/0/4
  GigabitEthernet2/0/5                 GigabitEthernet2/0/6
  GigabitEthernet2/0/7                 GigabitEthernet2/0/8

!output omitido

Até logo

Referência

Building HP FlexFabric Data Centers student guide – HP Expert one – Rev14.41

Dicionário de comandos HP Networking comparados com Cisco CLI – versão 3

A HP Network disponibilizou a terceira versão do guia de referência de comandos como um dicionário para comparação de features dos Switches HP, H3C/3Com (Comware), HP Provision e IOS Cisco. Dessa vez foram adicionados comandos para o Comware 7.

Dicionario HPN v3

Para visualização ou download baixe do site da HP Press https://h30590.www3.hp.com/product/HP+Networking+and+Cisco+CLI+Reference+Guide+-+Version+3-PDF-15901

Se o link estiver quebrado, deixe um comentário…

Abração

Dica: Switches HP 7500 administração dos módulos OAP

Segue uma dica muito bacana do Kleber Coelho….

“Os roteadores da família HP-7500 possuem a capacidade de integração com módulos de IPS, Firewall, controladoras wireless, entre outros. Normalmente esses módulos vem com um IP default e possuem portas de console para a configuração inicial.

Uma outra forma de configurar esses dispositivos é através do recurso OAA – Open Application Architecture. Essa arquitetura permite controlar a partir do chassis do switch/router, os módulos de aplicação.

Pode-se conectar ao módulo, como se estivesse em uma sessão SSH ou console.

O comando é muito simples:

<Switch>oap connect slot 2

Press CTRL+K to quit.
Connected to OAP!
<Controladora Wireless>

Para sair da sessão é preciso utilizar a combinação Ctrl+K.

É possível, também, reiniciar o módulo.

<Switch>oap reboot slot 11
This command will recover the OAP from shutdown or other failed state.
Warning: This command may lose the data on the hard disk if the OAP is not being shut down! Continue? [Y/N]:y
Reboot OAP by command.
<Switch>