Blog Archives

Switches HPN A5800 – Configurando QinQ

Publicado originalmente em 25 DE JANEIRO DE 2012
Um dos primeiros tópicos do site Comutadores, no ano de 2010, explicava a configuração de uma topologia com a configuração do QinQ em um Switch 5500. Após a aquisição da 3Com por parte da HP, houveram algumas mudanças na linha de equipamentos, com alguns modelos sendo descontinuados e outros alteraram apenas os seus Part Numbers.

As sintaxes de algumas features foram atualizadas e pelo o que temos visto até agora, a mudança tem sido bastante positiva.

A feature QinQ (802.1q sobre 802.1q), conhecido também como Stacked VLAN ou VLAN sobre VLAN, suporta a utilização de duas TAGs 802.1q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.

Para o cliente é como se a operadora tivesse estendido o cabo entre os seus Switches. Já para a Operadora não importa se o cliente está mandando um frame com TAG ou sem TAG, pois ele adicionará mais uma TAG ao cabeçalho e removerá na outra ponta apenas a ultima TAG inserida.

Em resumo, o tráfego no sentido  de entrada na porta configurada com QinQ, adicionará uma TAG 802.1q ao quadro, mesmo em casos que já houver a marcação de VLANs, entretanto no sentido de saída, é removido apenas a última TAG acrescentada, sendo mantida a TAG 802.q inserida pelo cliente.

Configurando

No Exemplo acima deveremos configurar nos Switches A e B uma VLAN para cada cliente e a configurar as interfaces conectadas aos Switches do cliente, como qinq enable. Como detalhe, percebam que é necessário desabilitar o STP em cada interface para os BPDU’s de cada empresa não interferir na topologia STP de cada uma. Segue abaixo a configuração dos Switches A e B:

Vlan 10
name clienteA
!
Vlan 11
name clienteB
!
Vlan 12
name clienteC
!
Interface GigabitEthernet x/y/z
port link-type access
qinq enable
stp disable
Em caso de necessidade de transporte de protocolos de camada 2 como CDP, LLDP, STP e etc, é possivel utilizar na interface algum dos comandos abaixo:

bpdu-tunnel dot1q cdp dldp eoam gvrp hgmp lacp lldp |pagp pvst
stp udld vtp }

A configuração dos Switches de cada cliente não sofre nenhuma alteração em particular e a visão de cada um  será  como se os Switches estivessem diretamente conectados.
Abraços a Todos! :)

Switches 3Com 4800G – RRPP (Topologia Single Ring)

Publicado originalmente em 21 DE JULHO DE 2010

O RRPP (Rapid Ring Protection Protocol) é um protocolo da camada de Enlace para topologias Ethernet em anel para prevenção de tempestades de Broadcast como alternativa para o Spanning-Tree.

O Rapid Ring Protection Protocol permite isolamento de domínios do STP (802.1d, 802.1s e 802.1w), muito utilizado em redes MetroEthernet para que a convergência do Spanning-Tree de cada site seja independente.

Em comparação com o 802.1d (STP), o RRPP possui as seguintes vantagens:

• Rápida convergência da topologia (por default 3 segundos em caso de não detecção dos pacotes Hello [as documentações do fabricante informam  o tempo de convergência menores que 50 milisegundos])

• Tempo de convergência independente do tamanho do anel (possibilita o diâmetro de 16 Switches em comparação de 7 do Spanning-tree)

No cenário abaixo, o Site 2 não troca mensagens BPDU’s com o Site 3, isto é, cada site teria o seu próprio Switch Root e tempo de convergência independente do outro, apesar de continuarem trocando mensagens de Broadcast que permitirão a comunicação entre todos os Sites como se os Switches estivessem fisicamente no mesmo local.

Mecanismo do RRPP

Cada Switch do Anel em uma topologia Simples (Single Ring) possui uma porta Primária (Primary) e uma porta Secundária (Secondary) que são definidas para identificação do estado da topologia.

Para prevenção de Loops a porta Primaria do único Switch Master do Anel encaminha mensagens Hello através da VLAN de controle a cada 1 segundo que será reencaminhada pelos Switches Transit (não Master).

Se a porta Secundária do Switch Master receber a mensagemHello encaminhada anteriormente pela porta Primária do Master, a porta Secundária irá bloquear os dados e permitirá somente as mensagens encaminhadas pela VLAN de controle, protegendo assim a topologia de Loops na rede.

Quando o anel é desfeito (por problemas no link), a porta secundária do Switch Master irá permitir tráfego de todas as VLANs.

Quando o Switch Transit percebe uma falha no link, ele encaminhará imediatamente uma mensagem Link-Down para o Switch Master. Após receber a mensagem, o nó Master irá permitir as VLANs da porta Secundária (anteriormente em estado de bloqueio).

Após receber a mensagem Link-Down, o Switch Master encaminhará para todos os nós Transit uma mensagemCommon-Flush-FDB para os nós atualizarem suas entradas ARP e MAC.

Quando o Nó Master identifica que o Anel foi restaurado, encaminha uma mensagem Complete-Flush-FDB para os outros nós do Anel para atualização das entradas ARP e MAC, pois a porta Secundária do Master entrará novamente em estado de bloqueio.

Obs: o Hello timer encaminhado pelo Master é de 1 segundo e o fail-timer (tempo para detecção da falha) é de 3 segundos. A rápida convergência do RRPP é provida pelas mensagens encaminhadas imediatamente dos Switches Transit para o Master quando é detectado uma falha no link que compõe o Anel.

Configuração

#
rrpp domain 1
!Criando o dominio RRPP 1
control-vlan 4093
!Especificando a VLAN 4093 para controle das mensagens RRPP
protected-vlan reference-instance 0 to 32
! Protegendo as VLANs mapeadas nas Instancias MSTP 0 a 32 como potegidas pelo RRPP
ring 1 node-mode master primary-port GigabitEthernet1/0/25 secondary-port GigabitEthernet1/0/26 level 0
!Especificando o Switch como Master ,a porta Gi1/0/25 como Primária e a Giga 1/0/26 como Secundária
ring 1 enable
!Ativando o anel 1
#
interface GigabitEthernet1/0/25
port link-type trunk
!Configurando a porta como trunk
port trunk permit vlan all
!Configurando o trunk para permitir todas as VLANs
stp disable
! Desabilitando o STP na interface Giga 1/0/25
qos trust dot1p
!Confiando na marcação 802.1p nas portas RRPP do Anel de cada dispositivo.
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
stp disable
qos trust dot1p
#
rrpp enable
!Ativando o RRPP

Segue abaixo a configuração dos nós Transit:

#
rrpp domain 1
!Criando o dominio RRPP 1
control-vlan 4093
!Especificando a VLAN 4093 para controle das mensagens RRPP
protected-vlan reference-instance 0 to 32
! Protegendo as VLANs mapeadas nas Instancias MSTP 0a 32 como potegidas pelo RRPP
ring 1 node-mode transit primary-port GigabitEthernet1/0/25 secondary-port GigabitEthernet1/0/26 level 0
!Especificando o Switch como Transit ,a porta Gi1/0/25 como Primária e a Giga 1/0/26 como Secundária
ring 1 enable
!Ativando o anel 1
#
interface GigabitEthernet1/0/25
port link-type trunk
port trunk permit vlan all
stp disable
qos trust dot1p
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
stp disable
qos trust dot1p
#
rrpp enable
!Ativando o RRPP

Comando Display

[Site1]display rrpp verbose domain 1

Domain ID : 1
Control VLAN : Major 4093 Sub 4094
Protected VLAN: Reference Instance 0 to 32
Hello Timer : 1 sec Fail Timer : 3 sec

Ring ID : 1
Ring Level : 0

Node Mode : Master
Ring State : Complete
Enable Status : Yes Active Status: Yes
Primary port : GigabitEthernet1/0/25 Port status: UP
Secondary port: GigabitEthernet1/0/26 Port status: BLOCKED

Comando display após falha no Anel

[Site1]display rrpp verbose domain 1

Domain ID : 1
Control VLAN : Major 4093 Sub 4094
Protected VLAN: Reference Instance 0 to 32
Hello Timer : 1 sec Fail Timer : 3 sec

Ring ID : 1
Ring Level : 0

Node Mode : Master
Ring State : Failed
Enable Status : Yes Active Status: Yes
Primary port : GigabitEthernet1/0/25 Port status: DOWN
Secondary port: GigabitEthernet1/0/26 Port status: UP

Referências

http://www.huawei.com/products/datacomm/pdf/view.do?f=71

http://pt.wikipedia.org/wiki/Ethernet_Automatic_Protection_Switching

 

 

Switches 3Com 5500 – Configurando QinQ (VLAN-VPN)

Publicado originalmente em 22 DE FEVEREIRO DE 2010

Conhecido também como Stacked VLAN, o QinQ suporta a utilização de duas TAGs 802.1q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.

A idéia é prover serviços aos clientes para manterem suas próprias VLANs dentro da rede do PROVEDOR, que poderá configurar uma VLAN para cada cliente independente da marcação 802.1q efetuada.

O comando vlan-vpn enable permite a utilização de QinQ.

Chamaremos os Switches 5500 de equipamentos do Provedor e os Switches 4210 e 4500 como Switches do Cliente.

No exemplo abaixo a comunicação entre o host A e B ocorrerá da seguinte forma:

1º – O Frame encaminhado pelo host A será marcado no Switch 4500 com a TAG 10 para o Switch 5500-A.
2º – O Switch 5500-A irá manter a informação da VLAN 10 e adicionará mais uma marcação com a TAG 100.
3º – O Switch 5500-B removerá a TAG 100 e encaminhará o Frame para o Switch 4210 com a TAG adicionada pelo Switch 4500.
4º – O Switch 4210 irá remover a TAG 10 e encaminhará o frame para o Host B

A estrutura do provedor (Switches 5500-A e 5500-B) será transparente para o cliente.

Segue abaixo as configurações efetuadas:

 

Switch 4210 
vlan 10
#
interface Ethernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/27
port link-type trunk
port trunk permit vlan all

Switch 5500-A
vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Switch 5500-B vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Switch 4500 vlan 10
#
interface Ethernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/27
port link-type trunk
port trunk permit vlan all

Percebam que nos equipamentos do Provedor, será necessário a configuração da porta de UpLink com o cliente como Access para não alterarmos a TAG inicial e também desabilitarmos o NTDP e STP.

Na configuração acima, os Switches 4210 e 4500 não irão trocar BPDUs, isto é, não haverá uma topologia única para o Spanning-Tree ( dos Switches do Cliente). Cada Switch do Cliente será Root da sua topologia (Os switches do Provedor, não participarão do Spanning-tree)

Para uma topologia única para o Spanning-tree do Cliente, será necessário configurarmos o comando vlan-vpn tunnel globalmente nos equipamentos da Operadora.
Segue abaixo configuração :

Switch 5500-A 
vlan-vpn tunnel
#
vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Switch 5500-B 
vlan-vpn tunnel
#
vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Comando display STP no Switch 4210:

display stp
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge :32768.0024-73c4-7477
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :32768.0022-5733-5280
CIST RegRoot/IRPC :32768.0024-73c4-7477
CIST RootPortId :128.25

Até logo!

 

 

Switches HPN7500 – Configurando Filtros para BPDU’s (bpdu-filtering)

O protocolo Spanning-tree encaminha mensagens a cada 2 segundos para manter a estabilidade da LAN, protegendo o ambiente de loops fisicos (bloqueando o loop lógico) e provendo alta disponibilidade em caso de falhas nos Switches da rede.
Para que isso ocorra, os Switches trocam mensagens chamadas de BPDU’s que são indispensaveis  para o correto funcionamento de uma rede descrita com o cenario acima.
Existem cenarios que é preciso desativar o protocolo em uma interface especifica, com a utilização de outros protocolos/features de alta disponibilidade como o RRPP, Smart-Link, Monitor-Link, etc ou também quando o Switch necessita transportar a informação em forma de tunel (transparente), como no caso do QinQ.
Em ambientes compartilhados de clientes, não é desejavel que uma alteração na rede seja avisada para todos os Switches que não pertencem aquela rede e possuem o mesmo Switch em comum, como por exemplo Operadoras e Data Centers.

A principal questão nesse cenario de filtro de BPDUs é certificar que a rede não possui nenhum loop que possa ocasionar um desastre para o projeto do Engenheiro de rede.

Certificada essas questões os Switches HPN Serie-A possuem os seguintes comandos que podem auxiliar na solução:

Interface gigabitethernet 1/0/1
stp disable
! Desabilitando o STP somente na interface Giga1/0/1

Ou

stp ignored vlan 10
! Desabilitando o STP na vlan 10
Obs: Seja bem cuidadoso com a necessidade de desabilitar o recebimento/encaminhamento de BPDUs em uma Interface ou VLAN, principalmente pela similaridade dos comandos para desativar o Spanning-Tree globalmente em um Switch e/ou em uma porta. 

Até logo!