Por padrão, nos Switches ArubaOS, as credenciais não são adicionadas ao arquivo de configurações, com o objetivo de proteger a sua visualização.
Caso haja o desejo de visualizá-las no arquivo de configuração, será necessário habilitar o comando include-credentials, permitindo assim visualizar no arquivo de configuração, como também apagá-las na startup-config.
Habilitando o include-credentials será possível visualizar o usuário em texto plano e a senha em hash, como por exemplo em SHA1 (sendo possível descobrir a senha utilizada utilizando ferramentas online).
Para proteger as credenciais após o include-credentials, digite encrypt-credentials para cifrar o password em aes-256-cbc, no arquivo de configuração.
A feature VSF é a tecnologia responsável pelo empilhamento dos Switches ArubaOS-CX família 6200 e 6300 . Uma vez que a pilha VSF é formada, todos os switches interconectados operam como um único switch virtual, com um único plano de controle. Todas as interfaces e serviços de todos os switches da pilha VSF estarão disponíveis para configuração e gerenciamento.
A funcionalidade também permite a configuração do link-aggregation distribuído, abrangendo as interfaces de vários switches individuais dentro da pilha para a formação da agregação de portas.
A configuração do VSF é bem simples e está disponível no
ArubaOS-CX na versão 10.04 ou superior. Todos os membros devem rodar a mesma
versão do OS-CX.
Os switches 6200 e 6300 não podem formar o VSF entre si, mas diferente modelos de switches 6300 podem formar o stack VSF.
Para a formação de um link VSF deverão ser utilizadas as interfaces de 10Gbps , 25Gbps ou 50Gbps.
Configurando o VSF
Validando a formação do VSF
SW-Access1# show vsf
MAC Address : 64:e8:81:d8:ed:40
Secondary :
Topology : Chain
Status : No Split
Split Detection Method : None
Mbr Mac Address type Status
ID
--- ------------------- -------------- ---------------
1 64:e8:81:d8:ed:40 JL666A Master
2 64:e8:81:d9:b1:00 JL666A Member
SW-Access1# show vsf topology
Mstr
+---+ +---+
| 2 |1==1| 1 |
+---+ +---+
Configurando o secondary
member
A pilha não terá um membro secundário por padrão. Um membro secundário pode ser configurado a partir de membros disponíveis e será atribuído a função de “master standy” na pilha. A funcionalidade permitirá definir qual switch assumirá a função de master, na falha do equipamento principal (o master).
Quando for configurado como secundário, um membro do stacking que já está presente na pilha será reinicializado e reintegrado à pilha como o standby.
Um membro já provisionado como standby pode ser configurado como um membro secundário. Quando o membro entrar no stacking, ele será inicializado na função de standby, sem nenhuma reinicialização adicional.
Se um membro secundário já estiver configurado e fisicamente presente na pilha e outro switch for iniciado já configurado como standby, a remoção do membro secundário anterior fará com que o ‘switch membro secundário anterior’ reinicie e entre como member.
Caso o master apresente problemas, o standby assumirá a função do
master.
Abaixo, mostramos a continuidade da configuração acima, adicionando o switch 2 para a função de standby (com o stacking já formado e sem configuração de switch standby previamente) .
SW-AccessVSF(config)# show vsf
MAC Address : 64:e8:81:d8:ed:40
Secondary : 2
Topology : Chain
Status : No Split
Split Detection Method : None
Mbr Mac Address type Status
ID
--- ------------------- -------------- ---------------
1 64:e8:81:d8:ed:40 JL666A Master
2 64:e8:81:d9:b1:00 JL666A Standby
SW-AccessVSF(config)# show vsf topology
Stdby Mstr
+---+ +---+
| 2 |1==1| 1 |
+---+ +---+
Caso adicionemos mais switches a pilha, o Switch 1 continuará como master e o Switch 2 como standby na pilha VSF.
Referência
ArubaOS-CX Virtual Switching Framework (VSF) Guide 6200, 6300 Switch Series
A funcionalidade checkpoint nos Switches ArubaOS-CX é um registro da configuração em execução (running-config) do switch e seus metadados referentes ao tempo.
O checkpoint pode ser utilizado pelo administrador
para aplicar a configuração armazenada em um ponto de verificação (checkpoint)
escolhido quando necessário, como por exemplo, para reverter para uma
configuração anterior.
Os switches ArubaOS-CX são capazes de armazenar vários
pontos de verificação.
Um checkpoint da configuração pode ser gerado após 5 minutos de inatividade automaticamente (após uma mudança de configuração) ou então gerado pelo usuário administrador.
Para cada alteração de configuração, o contador de tempo
limite é reiniciado.
O checkpoint gerado pelo sistema possuirá o formato CP<YYYYMMDDHHMMSS>.
Já o checkpoint gerado pelo usuário poderá utilizar um nome customizado para a configuração.
Para validar a os checkpoint gerados digite:
SW-Access1# show checkpoint list
CPC20210223231221
CPC20210224020931
startup-config
Para gerar um checkpoint digite:
SW-Access1# copy running-config checkpoint TESTE1
Configuration changes will take time to process, please be patient.
! Gerando uma checkpoint chamado TESTE1
Após mudança na configuração e o desejo de mudança para a configuração anterior do checkpoint TESTE1, digite:
SW-Access1# copy checkpoint TESTE1 running-config
Configuration changes will take time to process, please be patient.
! Copiando o checkpoint TESTE1 para a running-config
Todos os checkpoints gerados pelo usuário incluem um carimbo
de data/hora para identificar quando um ponto de verificação foi criado.
No máximo 32 checkpoints podem ser gerados pelo usuário.
No máximo 32 checkpoint de sistema podem ser criados. Além desse
limite, o checkpoint do sistema mais recente substitui o mais antigo.
Checkpoints e auto-rollback
Um recurso adicional é a reversão automática da
configuração. Se antes de iniciar uma alteração na configuração, você inserir: checkpoint
auto <número de minutos> e após expirar o tempo configurado,
você será solicitado a confirmar as alterações. Caso contrário, ao final do
período, a configuração voltará ao estado anterior ao que você configurou o checkpoint
auto. Para este propósito, um ponto de verificação oculto é usado.
O principal objetivo desta opção é recuperar de um erro de
configuração que desconectou você do dispositivo (especialmente se acessá-lo
remotamente).
Os switches ArubaOS permitem o agrupamento de portas para determinadas configurações, como por exemplo, atribuir uma VLAN a diversas portas ao mesmo tempo.
Segue abaixo uma dica que pode agilizar a vida de muitos
administradores:
switch# configure terminal
switch(config)# interface 9-10! agrupando as portas 9 e 10 para configuração
switch(eth-9-10)# untagged 2
! configurando as portas para participarem da VLAN 2
switch(eth-9-10)# dldp enable
! habilitando o dldp nas portas 9 e 10
switch(eth-9-10)# exit
switch(config)#
switch(config)# interface 11-15,17! agrupando as portas 11, 12, 13, 14,15 e 17 para configuração
switch(eth-11-15,17)# untagged vlan 5
! configurando as portas para participarem da VLAN 5
Validando a
configuração com o comando show running-config structured :
O Ethernet Virtual Private Network (EVPN) é uma tecnologia
VPN de Camada 2 VPN que fornece conectividade entre dispositivos tanto em
Camada 2 como para Camada 3 através de uma rede IP. A tecnologia EVPN utiliza o
MP-BGP como plano de controle (control plane) e o VXLAN como plano de
dados/encaminhamento (data plane) de um switch/roteador. A tecnologia é
geralmente utilizada em data centers em ambiente multitenant ( com
múltiplos clientes e serviços) com grande tráfego leste-oeste.
A configuração do EVPN permite ao MP-BGP automatizar a
descoberta de VTEPs, assim como o estabelecimento de tuneis VXLAN de forma
dinâmica, a utilização de IRB (Integrated Routing and Bridging) anuncia
tanto as informações de Camada 2 e 3
para acesso ao host, fornecendo a utilização do melhor caminho através do ECMP
e minimizando flood do trafego multidestination (BUM: broadcast,unicast
unknown e multicast) .
Em resumo o EVPN possui um address Family que permite
que as informações de MAC, IP, VRF e VTEP sejam transportadas sobre o MP-BGP, que
assim permitem aos VTEPs aprender informações sobre os hosts (via ARP/ND/DHCP
etc.).
O BGP EVPN distribui e fornece essa informação para todos os
outros pares BGP-EVPN dentro da rede.
Relembrando o VXLAN
O VXLAN prove uma rede de camada 2 sobreposta (overlay) em
uma rede de camada 3 (underlay). Cada rede sobreposta é chamada de segmento
VXLAN e é identificada por um ID único de 24 bits chamado VNI – VXLAN
Network Identifier ou VXLAN ID.
A identificação de um host vem da combinação do endereço MAC
e o VNI. Os hosts situados em VXLANs
diferentes não podem comunicar entre si (sem a utilização de um roteador). O
pacote original enviado por um host na camada 2 é encapsulado em um cabeçalho
VXLAN que inclui o VNI associado ao segmento VXLAN que aquele host pertence.
Os equipamentos que transportam os tuneis VXLAN são chamados
de VTEP (VXLAN tunnel endpoints).
Quando um VXLAN VTEP ou tunnel endpoint comunica-se
com outros VXLAN VTEP, um túnel VXLAN é estabelecido. Um túnel é meramente um
mecanismo de transporte através de uma rede IP.
Todo o processamento VXLAN é executado nos VTEPs. O VTEP de
entrada encapsula o tráfego com cabeçalho VXLAN, mais um cabeçalho UDP externo ,
mais um cabeçalhos IP externo, e então encaminha o tráfego por meio de túneis
VXLAN. O VTEP do destino remove o encapsulamento VXLAN e encaminha o tráfego
para o destino.
Os dispositivos da rede IP de transporte encaminham o
tráfego VXLAN apenas com base no cabeçalho IP externo dos pacotes VXLAN (eles
não precisam ter suporte à tecnologia VXLAN).
Um outro ponto importante é que a tecnologia VXLAN supera as
limitações de apenas 4 mil domínios de broadcast fornecido por VLANs para até
16 milhões de domínios de broadcast com VNIs. Já para as limitações do Spanning-Tree
que coloca os caminhos redundantes em estado de bloqueio, a tecnologia VXLAN
permite a construção de todos os uplinks como parte de um backbone IP
(rede underlay), utilizando protocolos de roteamento dinâmico para
escolha do melhor caminho ao destino, assim fazendo uso do ECMP (Equal Cost
Multipath) em uma topologia Spine-Leaf, por exemplo.
BGP EVPN
O BGP EVPN difere do comportamento “Flood and Learn”
executado por tuneis VXLANs em diversas maneiras. Enquanto o tráfego multidestination
(BUM: broadcast,unicast unknown e multicast) encaminhado pelo
VXLAN sem o BGP EVPN necessita de utilizar grupos multicast, o EVPN permite a
replicação da identificação dos dispositivos finais com o MP-BGP , assim como
as informações do VTEP que ele está associado. As comunicações ARP para IPv4
também pode ser suprimida, aprimorando assim a eficiência do transporte dos
dados.
LAB
No laboratório abaixo utilizamos os roteadores HP VSR no release
R0621P18-X64, no EVE-NG.
Ambos os Spines estão configurados como VTEP e encaminharão
o tráfego do VXLAN VNI 10. A instancia criada para esse cliente, chamamos de ‘clientea’.
O Spine está configurado como BGP Router Reflector
fechando peerring com ambos Leafs. Nenhum Leaf fecha peering
BGP entre si, somente como Spine.
No último dia 06 de agosto tive a honra de participar como convidado da ‘Live: 5G x Wi-Fi 6 – Concorrentes ou parceiros?’ com o Prof. Dr. Arismar Cerqueira Sodré Junior do Instituto Inatel e o Gabriel Ricce da Fortinet.
Os participantes deram uma aula sobre as duas tecnologias. Vale a pena assistir.
Uma das principais funcionalidades dos padrões WiFi 802.11n e 802.11ac reside na camada física do modelo OSI, que utiliza a tecnologia multiple-input, multiple-output (MIMO). A tecnologia oferece o uso de múltiplos rádios e antenas, chamados de radio chains. Os rádios MIMO transmitem múltiplos sinais ao mesmo tempo para tomar vantagem sobre o sinal multipath.
O Multipath é um fenômeno de propagação do sinal que resulta em dois ou mais caminhos do mesmo sinal sendo recebido por uma antena com a diferença de nanosegundos. Devido à natureza do espalhamento das ondas (do sinal RF) e comportamentos de propagação como reflexão, espalhamento, difração e refração poderão ocorrer no sinal, ocasionando o multipath.
As antenas com tecnologia MIMO utilizam-se do DSP (digital
signal processing) para separar o sinal original transmitido. Em fato, múltiplos
sinais enviados pelo transmissor MIMO podem chegar simultaneamente ao receptor,
o sinal então pode ser cancelado e a performance será basicamente a mesma de um
sistema não-MIMO.
Antigamente, os DSP’s, ou Processadores de Sinal Digital não eram tão desenvolvidos. Hoje, os processadores possuem maior poder computacional e são capazes de recuperar o sinal transmitido ao receptor em diferentes intervalos de tempo.
Os DSP’s então têm a responsabilidade de receber os dados, ‘separar’ em diferentes partes, enviar cada parte por antenas diferentes – ao mesmo tempo, no mesmo canal. E fazer o processo inverso no receptor.
Radio Chains
Os rádios legados 802.11 transmitem e recebem sinal RF utilizando o sistema single-input, single-output (SISO), utilizando um radio chain que é um rádio que suporta toda arquitetura, incluindo mixers, amplificadores e conversores digital/analógico.
A tecnologia MIMO consiste em múltiplos radio chains onde cada um possuirá sua própria antena. Um sistema MIMO é caracterizado pelo número de transmissores e receptores utilizados por diversos radio chains. Por exemplo, um sistema 2×3 MIMO poderá consistir em 3 radio chains com 2 transmissores(TX) e 3 receptores(RX), já um sistema 3×3 MIMO poderá utilizar 3 radio chains para transmissão(TX) e recepção(RX).
O uso de múltiplos transmissores em um sistema MIMO provem a
transmissão de mais dados utilizando multiplexação espacial. O uso de múltiplos
receptores aumenta a relação sinal ruído (SNR).
Multiplexação espacial
Um rádio MIMO tem habilidade de enviar fluxos de dados únicos de maneira independente. Cada fluxo de dados independente é conhecido como fluxo espacial (spatial stream) e cada fluxo único pode conter dados que são diferentes dos outros fluxos transmitidos por um ou mais rádios. Cada fluxo irá atravessar diferentes caminho caminhos até o receptor, chamado de diversidade espacial (spatial diversity). O envio de diversos fluxos independentes de um único dado utilizando spartial diversity é geralmente referenciado também como spatial multiplexing (SM) ou spatial diversity multiplexing (SDM).
O benefício de enviar fluxo diversos para um único dado é o
aumento da largura de banda.
Na imagem abaixo mostramos um AP MIMO 3×3:3 transmitindo 3 independentes fluxos de um único dado para um cliente MIMO 3×3:3.
Geralmente os fabricantes utilizam a sintaxe de 3 números
para indicar a capacidade de transmissão dos APs, por exemplo 3×3:2: O primeiro
número informa a transmissão (TX), o segundo a recepção (RX) e o terceiro número
representa a quantidade de fluxos únicos de dados podem ser enviados e
recebidos.
Em boas condições, quando um AP 3×3:3 e um cliente 3×3:3
estão comunicando entre si, 3 fluxos espaciais podem ser utilizados para
comunicação unicast. Entretanto, quando um AP 3×3:3 comunica com um
cliente 2×2:2, somente dois fluxos espaciais serão utilizados para comunicação unicast.
Isso será definido durante a conexão ao BSS (basic servisse set), o access
point é avisado sobre as capacidades MIMO do cliente.
Multi-User MIMO
Os padrões 802.11n e 802.11ac permitem o uso do MIMO para transmissão de múltiplos fluxos de dados transmitidos em diferentes antenas ao mesmo tempo. O padrão 802.11ac também permite a comunicação simultanea com até 4 dispositivos utilizando a tecnologia MU-MIMO. Os rádios 802.11n não suportam MU-MIMO, mas podemos dizer que eles utilizam a tecnologia SU-MIMO (single-user MIMO).
Ambos, 802.11n e 802.11ac são capazes de transmitir múltiplos fluxos de dados, mas muitos equipamentos devido a limitações são capazes de receber apenas um fluxo de dados.
O objetivo do MU-MIMO é o uso de diversos fluxos espaciais
quando possível, transmitindo dados para
múltiplos clientes ao mesmo tempo, seja na transmissão para um cliente de 4
fluxos espaciais ou 4 clientes utilizando um fluxo espacial cada,
Com o Multi-User MIMO (MU-MIMO), os APS podem utilizar a sintaxe de 5 números para indicar a capacidade de transmissão dos APs, assim como no MIMO, o primeiro número informa a transmissão (TX), o segundo a recepção (RX) e o terceiro número representa a quantidade de fluxos únicos de dados podem ser enviados e recebidos. O terceiro número representa quantos fluxos de dados de usuário único (SU) podem ser enviados ou recebidos. O quarto número refere quantos fluxos de múltiplos usuários (MU) podem ser transmitidos. Um quinto número é usado para representar um grupo MU-MIMO ou quantos clientes MU-MIMO estão recebendo transmissões ao mesmo tempo. Por exemplo 4×4:4:3:3. O AP pode transmitir e receber 4 fluxos espaciais para 1 usuário (SU-MIMO). Entretanto somente 3 fluxos espaciais podem ser enviados (MU-MIMO) para 3 clientes com capacidade MU-MIMO.
Para a configuração do AP para estabelecer a conexão com o
provedor atraves do PPPoE é necessário efetuar um procedimento diferente com alguns
pontos de atenção:
1. A configuração do PPPoE deverá ser executada antes da
integração do AP com a nuvem. Caso o AP já esteja integrado com a nuvem, a
configuração do PPPoE não estará mais disponivel para modificações.
2. No entanto, se o AP perder a conectividade com a nuvem e
forem detectadas falhas de PPPoE, você poderá acessar a WebUI local e atualizar
as configurações novamente.
Configurando InstantOn com PPPoE
Siga as etapas abaixo para configurar o PPPoE na sua rede:
1. O Instant On AP deve estar conectado ao modem fornecido pelo
provedor, mas não possui um endereço IP fornecido pelo servidor DHCP.
2. Quando o LED do AP ficar laranja sólido, o AP transmitirá um SSID InstantOn-AB:CD:EF aberto, após aproximadamente um minuto – em que AD: CD: EF corresponderá aos três últimos octetos do endereço MAC do AP.
3. Conecte seu notebook ou celular ao SSID e acesse o servidor da Web local em https://connect.arubainstanton.com. A página de configuração local da WebUI é exibida.
4. Em Endereçamento IP, selecione o botão de opção PPPoE.
5. Digite o nome de usuário e a senha do PPPoE fornecidos pelo seu provedor, nos respectivos campos.
6. Clique em Aplicar. O AP será reiniciado assim que a
configuração do PPPoE for aplicada.
7. Aguarde as luzes LED piscarem em verde e laranja. Isso indica que o link PPPoE está ativo e estável. Você verá o status de integração do dispositivo agora com a mensagem ” Waiting to be onboarded.. “. Esta etapa pode levar mais cinco minutos, se o AP atualizar seu firmware durante o processo de reinicialização.
Os pontos de acesso da Aruba possuem alto desempenho e são referências no mercado através de funcionalidades que utilizam otimização de RF com inteligência artificial, hardware e OS focados no fornecimento da melhor experiência ao usuário.
Os APs também agregam serviços que suportam dispositivos IoT com protocolos Wi-Fi, Zigbee, Bluetooth etc. Uma dica interessante é que os pontos de acesso possuem uma estrutura de nomes que podem ajudar a identificar a sua capacidade e função.
Os primeiros dígitos indicam o suporte ao padrão WLAN:
Os dígitos seguintes indicam o tipo de ponto de acesso:
• 0: AP de entrada para ambiente indoor • 1: Padrão para ambiente indoor • 2,3 e 5: Indoor de alta densidade • 6: AP de entrada para ambiente outdoor • 7: Outdoor
Os últimos dígitos com valor ímpar representam os APs com antenas internas, já os APs com dígito final par, indicam os conectores para antenas externas. Caso o access point tenha uma letra no final como o H, significa que é designado para ambientes hospitalares, R para Teleworkers.
Caso tenha dúvidas referente a funcionalidades e
especificações dos APs, procure o datasheet de cada modelo, nele é possível encontrar
dos detalhes mais importantes do equipamento.
