Switching | Comutadores

Nossos artigos mais acessados em 2016

14 de Janeiro de 201714 de Janeiro de 2017Diego DiasLeave a comment

Galera segue a lista dos artigos mais acesados de 2016:

Switches 3Com 5500 – Guia rápido de Configuração!!!
http://www.comutadores.com.br/switches-3com-5500-guia-rapido-de-configuracao/

Comandos Secretos para os Switches 3Com Baseline e HP v1910
http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
http://www.comutadores.com.br/perguntas-e-respostas-portas-access-trunk-hibrida-lacp-e-stp/

VLAN – Trunk utilizando 802.1q (dot1q)
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco
http://www.comutadores.com.br/dicionario-de-comandos-hp-networking-h3c3com-comparados-com-cisco-cli/

Fizemos também uma lista dos posts mais escondidos do blog (que também são bem legais).

Procedimento de Backout para os equipamentos HPN
http://www.comutadores.com.br/rocedimento_back-out-_para_equipos_hpn/

Comando screen length disable
http://www.comutadores.com.br/comando-screen-length-disable/

Até logo!

Comware 7 – Configurações iniciais para o TRILL

5 de agosto de 2016Diego DiasLeave a comment

O protocolo TRILL fornece uma alternativa ao Spanning-Tree em ambientes de Data Center provendo balanceamento de tráfego para caminhos redundantes e prevenção de loop de camada 2. No post http://www.comutadores.com.br/resumo-sobre-trill/ fizemos um breve resumo sobre o protocolo.

A configuração do TRILL é bastante simples conforme script abaixo:

Configurando o TRILL globalmente

– Habilite o TRILL em todos os RBridges

[RB1] trill

– Apesar do nickname e do system-id do TRILL ser gerado automaticamente, a configuração manual facilita o troubleshooting. Uma boa dica é incluir o nickname também na documentação e topologia.

[RB1-trill] nickname 0001
[RB1-trill] system-id 0001.0001.0001

Configurando as interfaces

– Configurando os Uplinks

[RB1] interace Ten1/0/49
[RB1-Ten-GigabitEthernet1/0/49] trill enable
[RB1-Ten-GigabitEthernet1/0/49] trill link-type trunk
[RB1-Ten-GigabitEthernet1/0/49] undo stp enable

Validando a conexão entre RBridges

[RB1]display  trill peer
System ID: 0002.0002.0002
Interface: Ten-GigabitEthernet1/0/49
Circuit ID: 0002.0002.0002.01
State: Up
Holdtime: 6s
DRB priority: 64
Nickname: 0x0002
Uptime: 00:01:03

System ID: 0003.0003.0003
Interface: Ten-GigabitEthernet1/0/50
Circuit ID: 0003.0003.0003.01
State: Up
Holdtime: 8s
DRB priority: 64

Nickname: 0x0003
Uptime: 00:00:39

System ID: 0004.0004.0004
Interface: Ten-GigabitEthernet1/0/51
Circuit ID: 0004.0004.0004.02
State: Up
Holdtime: 6s
DRB priority: 64
Nickname: 0x0004
Uptime: 00:00:21

Configurando as portas conectadas aos Switches CE e endpoints

Conexão para Switches CE

[RB1] interace Ten1/0/10
[RB1-Ten-GigabitEthernet1/0/10] trill enable
[RB1-Ten-GigabitEthernet1/0/10] trill link-type access
[RB1-Ten-GigabitEthernet1/0/10] undo stp enable

A configuração como “trill link-type access” permite o envio de mensagens TRILL para eleição DRB para escolha dos AVF.

Conexão para Endpoints

[RB4] interace Ten1/0/11
[RB4-Ten-GigabitEthernet1/0/11] trill enable
[RB4-Ten-GigabitEthernet1/0/11] trill link-type access alone
[RB4-Ten-GigabitEthernet1/0/11] undo stp enable

A configuração com “trill link-type access alone” atribui a porta no modo ‘silent’ para frames TRILL

Tree Root Bridge

O protocolo TRILL utiliza uma topologia similar ao STP para o envio de mensagens broadcast, multicast e unknown unicast, criando uma árvore para o envio desse tipo de tráfego.

O primeiro critério para eleição do root bridge é a configuração do priority value. O root pode requerer múltiplas arvores para cálculo e encaminhamento ECMP do tráfego multicast.

[RB1] trill
[RB1-trill] tree-root priority 65535

Conclusão

Para aqueles que desejam aprender um pouco mais sobre o TRILL em Switches HP, o simulador HCL permite a configuração de cenários utilizando o protocolo. Já para consulta, o site da HP possui bastante material e basta uma pesquisa rápida no google para encontrar bastante material

Até logo.

Referências

Building HP FlexFabric Data Centers-Rev. 14.41
HP Configuration Guide – Configuring TRILL

Resumo sobre TRILL

4 de agosto de 2016Diego DiasLeave a comment

O protocolo TRILL (Transparent Interconnection of Lots of Links) é um padrão IETF que fornece a funcionalidade de roteamento em camada 2 em Data Centers. O protocolo permite a extensão de domínios de broadcast entre os equipamentos que rodam o TRILL e fornece alta disponibilidade para cenários de falha nos uplinks, funcionando como uma alternativa para substituição do protocolo Spanning-Tree.

O TRILL pode ser utilizado em Data Centers sem necessidade de configuração IP e mantem a simplicidade tradicional da comunicação de camada 2 com a convergência de redes roteáveis em camada 3.

O protocolo utiliza o a contagem de saltos ou TTL para prevenção de loops, mas roda diretamente sobre a camada 2 de forma que nenhuma configuração IP é necessária.

Se fizermos uma comparação com o protocolo Spanning-tree, o STP, utiliza um único caminho na rede para encaminhar os dados, bloqueando os caminhos redundantes entre os switches, que nem sempre são as melhores escolhas para bloqueio e/ou encaminhamento do fluxo de dados entre dois hosts. O TRILL suporta a seleção de melhor caminho, suportando também caminhos redundantes, e topologias no modelo ativo-ativo.

Um Switch com o processo TRILL habilitado é chamado de Routing Bridge ou RBridge por sua função de roteamento. É baseado no algoritimo link-state do IS-IS para escolha dos caminhos.

Cada RBridge é identificado por um system ID que é automaticamente gerado pelo TRILL. O ID é baseado no endereço MAC por padrão, mas pode ser também configurado manualmente. O system ID não é utilizado para encaminhar os quadros mas serve para identificar cada nó dentro da tabela link-state (LSDB) da rede TRILL.

Um RBridge encaminha os quadros de uma rede TRILL baseado no nickname de origem e destino, utilizando como referência em um valor hexadecimal de 16bits. Os nicknames podem também ser gerados automaticamente pelo sistema.

Cada nickname é distribuído pelo IS-IS para computar as rotas, como em protocolos de roteamento.

O protocolo possui facilidade de extensão utilizando as definições type, length, value (TLV).

Para o encaminhamento dos quadros Ethernet que chegam dos hosts para os RBridges, uma vez que o endereço já é conhecido, a consulta (lookup) acontece com o endereço do RBridge e um segundo lookup é efetuado para a RBridge do próximo salto e também a interface de saída para enviar o frame ao next-hop. Então o frame é encapsulado com o cabeçalho TRILL (TRILL overlay header).

Na terminologia TRILL, há os Switches CE, que são a terminologia para os clássicos switches ethernet que não executam o processo TRILL.

Em resumo, cada RBridge ao receber um frame TRILL irá descartar o cabeçalho externo (inserido pela RBridge anterior), analisará o nickname de destino e selecionará a interface de saída baseado na escolha de melhor caminho. A RBridge então adicionará um novo cabeçalho TRILL, decrementará o valor de TTL e transmitirá o frame para a próxima RBridge.

Se o quadro TRILL tiver como next-hop um endpoint, então o cabeçalho TRILL será removido e o frame Ethernet original será entregue para a host.

Referências

Using TRILL, FabricPath, and VXLAN – Cisco Press 2014 – Sanjay K. H., Shuyam Kapadia,Padmanabhan Krishnan.

Building HP FlexFabric Data Centers-Rev. 14.41

Publicado originalmente em http://www.rotadefault.com.br/notas-iniciais-sobre-o-trill/

Switches HPN 10500 – Configurando mapeamento estático multicast para NLB em Switches baseados no Comware

12 de Maio de 201512 de Maio de 2015Diego Dias7 Comments

O protocolo NLB da Microsot (Network Load Balancing) tem como objetivo o balanceamento de tráfego entre um grupo de Servidores utilizando endereços MAC em multicast. Os clientes que acessam os serviços de um grupo de Servidores com NLB, enxergam o serviço de forma transparente.

Para trabalhar com NLB o Switch deve encaminhar o tráfego com destino ao serviço NLB para todos os servidores especificados no cluster NLB e cada servidor filtra o tráfego não desejado.

A cooperação entre o Switch e o protocolo NLB é muito importante e dessa forma é importante saber as maneiras que o protcolo NLB trabalha, que são os modos Unicast e Multicast:

Unicast

No modo unicast, NLB substitui o endereço MAC real de cada servidor no cluster para um endereço comum NLB MAC. Quando todos os servidores no cluster têm o mesmo endereço MAC, todos os pacotes enviados para esse endereço são enviados para todos os membros do cluster. No entanto, um problema com esta configuração é quando os servidores cluster NLB estão conectados ao mesmo switch, você não pode ter duas portas no switch com o registro do mesmo endereço MAC. O protocolo NLB resolve este problema mascarando o endereço MAC do cluster. O Switch olha para o endereço MAC de origem no cabeçalho do quadro Ethernet, a fim de saber quais os endereços MAC são associados com suas portas. O NLB cria um endereço MAC falso e atribui esse falso endereço MAC para cada servidor no cluster NLB. O NLB atribui a cada servidor NLB um endereço MAC falso diferente com base na identificação do membro.

Por exemplo, o endereço MAC do cluster NLB é o 00-bf-ac-10-00-01. O NLB no modo unicast leva o endereço MAC do cluster e, para cada membro do cluster, o NLB muda o segundo octeto do membro NLB. Por exemplo, o servidor 1 terá como falso endereço MAC 00-01-ac-10-00-01, o server com o ID 2 tem o falso endereço MAC 00-02-ac-10-00-01, assim por diante. Se um único endereço MAC está registrado em cada porta do switch, os pacotes não são entregues a todos os membros do cluster, em vez disso os pacotes são enviados para as portas de individuais com base no endereço MAC atribuído a essa porta. Para fazer os quadros serem entregues a todos os membros do cluster, o NLB registra um MAC diferente e utiliza nas mensagens ARP em broadcast. Quando o roteador envia uma solicitação ARP para o endereço MAC do endereço IP virtual, a resposta contém no cabeçalho ARP com o endereço MAC real do cluster NLB 00-bf-ac-10-00-01, como por exemplo citado acima e não o endereço MAC falso.

Os clientes então utilizam o endereço MAC no cabeçalho ARP, não o cabeçalho Ethernet para comunicar-se com o servidor. O switch usa o endereço MAC no cabeçalho Ethernet, não o cabeçalho ARP. A questão é quando um cliente envia um pacote para o cluster NLB com endereço MAC de destino como cluster de endereço MAC 00-bf-ac-10-00-01, o switch olha para a tabela MAC para o endereço MAC 00-bf-ac-10-00-01. Como não há porta registrada com o endereço do cluster NLB 00-bf-ac-10-00-01, o quadro é entregue a todas as portas. Isso força o Switch a encaminhar o quadro para toads as portas ocasionando flooding e atrapalhando o desempenho da rede.

Uma solução para mudar o comportamento de flooding é colocar um hub na frente dos membros do cluster NLB e, em seguida,um uplink do hub para uma porta do switch. Isso evita o problema de duas portas de switch registrando o mesmo endereço MAC. Quando o cliente envia pacotes para o endereço MAC do cluster NLB, os pacotes podem ir diretamente para a porta do switch conectado ao hub e, em seguida, para os membros do cluster NLB.

Multicast
Quando você usa o método de multicast, cada servidor do cluster mantém o endereço MAC original do da placa de rede. Além do endereço MAC original, é também atribuído um endereço MAC em multicast, que é compartilhado por todos os servidores de cluster. As requisições de entrada do cliente são enviadas para todos os servidores do cluster usando o endereço MAC em multicast.

No entanto, no modo multicast, a resposta ARP (ARP reply) enviada por um servidor do cluster em resposta a uma requisição ARP, mapeia o endereço IP unicast do cluster para endereços MAC em multicast. Tal mapeamento no ARP reply é rejeitado por alguns roteadores (ou Switch L3). Dessa forma os administradores devem adicionar uma entrada ARP estática no roteador para mapear o Endereço IP do cluster ao seu MAC Address.

Configurando NLB Multicast mode com o mapeamento estático para Comware

Desabilite a função de validação do ARP.: undo arp check enable
Obs: configure nos Switches L3 e L2 (que os servidores do cluster estejam conectados).
Configure uma entrada estática para o ARP :. arp static ip-address mac-address vlan-id interface-type interface-number .
Obs: Para Switches com função L3 na topologia.
Configure uma entrada multicast MAC estática: mac-address multicast mac-address interface interface-list vlan vlan-id
Obs: dependendo do cenário, configure nos Switches L3 (porta para o trunk com o Switch de acesso) e L2 (porta para os servidores)

Resumo

Modo Unicast : O NLB atribui a cada membro de cluster um endereço MAC comum, que é o endereço MAC do cluster e muda o endereço MAC de origem de cada pacote enviado pelos servidores do cluster . Assim, o switch não pode adicionar o endereço MAC do cluster à sua tabela MAC . Dessa forma o endereço MAC é desconhecido e os pacotes destinados ao Cluster são encaminhados para todas as portas do Switch.

Modo Multicast : O NLB usa um endereço MAC multicast que é um endereço MAC virtual para as máquinas do Cluster.

Configuração

No configuration guide do Switch HPN 10500 há uma configuração mais simples sem o mapeamento da entrada ARP no Switch (o link do arquivo de configuração está nas referências abaixo).

O cluster NLB está na VLAN 10 enquanto os clientes estão na VLAN 20. O Switch fará o roteamento entre VLANs e o encaminhamento do tráfego NLB em modo multicast

Obs: iniciaremos a configuração com todas as portas configuradas nas respectivas VLANs e as máquinas utilizando o Switch como gateway

<Switch> system-view
[Switch] interface vlan-interface 10
[Switch-Vlan-interface10] ip address 16.1.1.1 255.255.255.0
[Switch-Vlan-interface10] quit
[Switch]
[Switch] interface vlan-interface 20
[Switch-Vlan-interface20] ip address 10.0.0.1 255.255.255.0
[Switch-Vlan-interface20] quit

# Desabilitando a validação ARP
[Switch] undo arp check enable
# Configurando a entrada MAC multicast estática
[Switch] mac-address multicast 03bf-1001-0164 interface GigabitEthernet 4/0/2 GigabitEthernet 4/0/3 vlan 10

Referências

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/107995-microsoft-nlb.html

http://h10032.www1.hp.com/ctg/Manual/c03796252

Obs: Se vocês tiverem algum outro script ou experiência com esse tipo de cenário, por favor deixe um comentário 🙂

Se o link estiver quebrado, também deixe uma mensagem.

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.

14 de Fevereiro de 201515 de Fevereiro de 2015Diego Dias7 Comments

Galera, essa semana recebi um email com algumas dúvidas sobre portas Trunk/Hybrid, Link Aggregation e STP. Achei que seria bacana responder na forma de post pois acredito que essas questões podem ser as dúvidas de mais pessoas.

Segue abaixo as questões editadas… sintam-se livres para interagir nos comentários.

Diego,
Se não for muito incomodo pra vc, consegue me responder as questões abaixo?

Diferença do link aggregation em modo static e dynamic, quando usar um ou outro?

O Link-Aggregation permite agregação de diversas interfaces Ethernet (portas físicas) para a criação de uma única porta lógica com o intuito de prover redundância e aumento de banda. As melhores práticas sugerem a negociação do protocolo LACP (802.3ad) entre os 2 equipamentos que desejam fechar a agregação de portas afim de evitar erros de cabeamento e certificar o meio físico em todo o tempo que o Link-Aggregation estiver ativo, além de agilizar a redundância em caso de falhas.

Exemplo de configuração com LACP: http://www.comutadores.com.br/switches-3com-4800g-link-aggregation/

Mas há também cenários em que um dos equipamentos não utiliza o protocolo LACP para agregação de links ou então o meio físico oferecido pelo Provedor de Serviços para comunicação Ethernet não permite o encaminhamento de alguns protocolos da camada de enlace como o LLDP, CDP, LACP, STP, etc. Então nesses cenários devemos usar o modo static, isto é, Link-aggregation configurado manualmente sem validação do meio e/ou equipamentos por um protocolo como 802.3ad. Se a porta estiver UP, o modo static irá encaminhar o tráfego, mesmo que o cabeamento esteja conectado em outro equipamento incorretamente.

Diferença de portas trunk e hybrid, quando usar a hybrid?

Enquanto a porta configurada como access permite apenas o tráfego de quadros Ethernet sem marcação de tag 802.1Q, o que faz com que o Switch atribua a comunicação para aquela VLAN, a configuração Trunk e Hybrid permitem a utilização de várias VLANs em uma única porta. As portas configuradas como access são geralmente atribuídas para computadores, servidores, impressoras, etc.

A porta Trunk é utilizada para o encaminhamento e recebimento de tráfego Ethernet tagueado com o ID da VLAN mas com a exceção de permitir apenas uma VLAN não tagueada, dita explicitamente na configuração. Por padrão o tráfego não tagueado de uma porta trunk é direcionado para a VLAN 1 (mas isso pode ser modificado). As portas trunk são configuradas na comunicação entre Switches e também com Servidores que possuem Switches virtuais internos para VMs, etc.

Exemplos:

http://www.comutadores.com.br/video-vlans-configuracao-de-porta-access-hybrid-e-trunk-para-switches-hpn-3com-e-h3c/

http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Já a porta Hybrida permite encaminhar o tráfego de inúmeras VLAN tagueadas ou não. Por exemplo, se você precisa que o tráfego de duas máquinas que estão atrás de um HUB seja separado dinamicamente entre duas VLANs diferentes, a configuração de porta hybrida permite que o Switch leia marcações como endereço MAC, 802.1p, cabeçalho IP e etc, para dinamicamente efetuar diferenciação do tráfego para as suas respectivas VLANs (lembrando que o tráfego nesse caso pode vir sem TAG das máquinas).

Exemplo de configuração de porta Híbrida:

http://www.comutadores.com.br/mac-based-vlans/

http://www.comutadores.com.br/switches-3com-4800g-atribuindo-uma-vlan-dinamicamente-a-uma-porta-baseado-no-ip-de-origem-ip-subnet-based-vlan/

O spanning tree é habilitado nas portas (uma a uma) ou no switch?

Para habilitar (ou desabiltar) o spanning-tree no Switch é preciso a configuração no modo global.

Exemplo para habilitar o STP:

http://www.comutadores.com.br/stp-desabilitado/

Apesar de ser o protocolo mais utilizado para prevenção de loop, o Spanning-Tree não se encaixa em todos os cenários de rede e o seu algoritmo pode as vezes prejudicar a integração de diferentes ambiente. Nesse caso é possível adicionar algumas features individualmente nas portas para ajuste fino, como por exemplo o stp-edged port (portfast) ou então desabilitar o STP somente em determinadas portas. Mas cada caso deve ser estudado minuciosamente para evitar situações de loop.

Exemplos de tuning para o STP:

http://www.comutadores.com.br/protegendo-o-spanning-tree/

http://www.comutadores.com.br/switches-hpn7500-configurando-filtros-para-bpdus-bpdu-filtering/

http://www.comutadores.com.br/switches-3com-4800g-edged-port-bpdu-protection/

Diferença do spanning tree para o rapid spanning tree, quando usar o rapid spanning tree?

O Rapid Spanning-Tree (802.1w) é uma evolução do Spanning-Tree inicial (802.1d) com um significativa melhora no tempo de convergência e conectividade da rede.

Uma das grandes limitações do STP não foi corrigida na versão 802.1w que é o bloqueio de todos os caminhos redundantes como prevenção de Loop. Esse tipo de cenário acaba gerando ocasionando gargalos pois a empresa gasta uma quantidade significativa de dinheiro para a extensão de fibra redundante deixando um dos links sobrecarregados enquanto o outro está ocioso.

A versão Multiple Spanning-Tree (802.1s) permite a criação de instancias independentes do STP para balanceamento de VLAN permitindo a alteração do root para determinadas VLANs ou o custo para o root. O protocolo é um pouco complexo quando você deseja conectar grandes domínios 802.1s entre si, por exemplo estender a LAN de duas empresas, mas com um bom planejamento o protocolo torna-se uma ferramenta poderosa.

Todos os Switches HP baseados no comware, ao habilitar o STP, iniciam a versão 802.1s. Caso você não faça nenhuma configuração de ajuste o 802.1s terá o comportamento da versão Rapid-Spanning Tree.

Artigos sobre STP

http://www.comutadores.com.br/rapid-spanning-tree-802-1w/

http://www.comutadores.com.br/elegendo-o-switch-root-do-spanning-tree/

http://www.comutadores.com.br/introducao-ao-multiple-spanning-tree-802-1s/

Para habilitar o spanning tree, basta dar um enable stp na porta de uplink ou é necessario configurar algo a mais (ou quando habilitamos para a switch, já é aplicado para todas as interfaces)?

Ao habilitar o STP no Switch a configuração é atribuída a todas as portas e as mesmas iniciam o encaminhamento de BPDUs para prevenção de loop.

Devo usar os mesmo comandos do stp (ex: “stp edged-port enable”, “stp cost”, ) quando utilizado o rstp?

Sim, o comando é o mesmo para as versões 802.1w e 802.1s

Nas interfaces de uplink, entre switchs que nao sao cores, as portas stp devem ficar como DESIGNATED, PORT ROOT ou ALTERNATE PORT?

Tudo vai depender de quem será o Switch Root da sua rede. Se o Switch Core for o root, os uplinks do Switch Core estarão como DESIGNATED, já os Switches não-Core, conectados a ele, terão suas portas como ROOT PORT (melhor caminho para o Switch ROOT) ou ALTERNATE PORT (porta redundante bloqueada para prevenção de Loop)

Em qual interface, dos switchs roots, devo usar o comando stp root-protection?

A configuração da porta como Root Guard permite à uma porta Designada a prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root. A feature força a porta a cessar comunicação toda vez quem um Switch tiver o Priority ID mais favoravel para tornar-se Root, então o Switch Root isola assim o segmento para o Switch indesejado. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Essa feature é geralmente configurada em portas Designadas do Switch Root.

Devo setar o comando “stp loop-protection” nas interfaces “ALTERNATE PORT” (caminho secundário) das switchs não core. Correto?

Correto, a configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, a função de se proteger contra cenários de loop na rede quando há falhas no recebimento de BPDU’s em portas ALTERNATE.

Quando uma porta ALTERNATE parar de receber BPDU’s ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root.

Obs: Dica! Simule as features em ambiente de laboratório antes de aplicar em uma rede de produção. Isso permitirá ao administrador conhecer melhor os cenários, equipamentos, falhas e troubleshooting.

Até logo.

Gratuitous ARP em Switches HP baseados no Comware

8 de Março de 2014Diego DiasLeave a comment

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) , a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.

Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.

Assim, todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.

Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.

C:\Users\comutadores>arp -a
Interface: 192.168.99.104 --- 0x10
  Internet Address      Physical Address      Type
  192.168.99.1          14-d6-4d-7e-f7-d8     dynamic
  192.168.99.100        10-3b-59-c7-62-34     dynamic
  192.168.99.102        e8-8d-28-f2-60-7b     dynamic
  192.168.99.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  224.0.0.252           01-00-5e-00-00-fc     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Uma das funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.

O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.

Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.

Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac deverá mudar…

A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.

interface Vlan-interface1
 ip address 192.168.99.1 255.255.255.0
 arp send-gratuitous-arp

Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.

[Switch-Vlan-interface1]undo arp send-gratuitous-arp

Espero ter ajudado 😉

Dúvidas, deixe um comentário!

Protocolo ARP em redes Ethernet

30 de julho de 2013Diego DiasLeave a comment

O Video Blog http://kretcheu.com.br possui algumas video aulas bem interessantes. Separei um video para aqueles que gostariam de saber um pouco mais sobre o protocolo ARP em redes Ethernet.

A video-aula tem 25 minutinhos e ajuda a compreender melhor esse protocolo tão importante para redes IPv4 e citado inúmeras vezes em artigos do blog.

Compartilhem o conteúdo!

Video: VLANs – Configuração de Porta Access, Hybrid e Trunk para Switches HPN, 3Com e H3C

18 de Abril de 201319 de Março de 2014Diego Dias7 Comments

A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..

Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! 😉

Abração a todos!

Resumo de Configuração: Link Aggregation com LACP e extensão de VLANs no Trunk (Comware 5)

9 de Abril de 20139 de Abril de 2013Diego Dias2 Comments

Sentiram a falta de alguma configuração? Gostariam de fazer alguma sugestão? Deixem comentários!

Minha rede está lenta, e agora?

25 de outubro de 201225 de outubro de 2012Diego DiasLeave a comment

Publicado originalmente em 2 DE SETEMBRO DE 2010

Minha Rede está lenta, e agora? Nos últimos dias recebi algumas mensagens referentes a problemas de lentidão na rede e como solucioná-los.

Existem diversos fatores que podem influenciar a lentidão na rede e é necessário efetuar as seguintes perguntas: O que está lento? A LAN, a WAN, algum serviço especifico?

Após a identificação de alguns itens importantes para resolução do problema, baseado na resposta, verificamos alguns pontos abaixo:

Verificando o Speed e Duplex

Geralmente para problemas na Rede Local, sugiro sempre verificarmos o Speed e Duplex negociados na conexão entre Switches-Switches, Roteadores ou Servidores.

Problemas de Duplex são muito comuns e podem causar problemas em segmentos com portas que negociam em Half-Duplex enquanto o outro lado está em Full-Duplex.

http://www.comutadores.com.br/como-funciona-a-auto-negociacao/

SNMP

O gerenciamento da rede por SNMP é fundamental para detectamos o comportamento dos dispositivos. Cada equipamento Gerenciável possui uma base de dados chamada MIB onde é registrado diversas informações do equipamento como consumo de CPU, memória , estatística de banda das interfaces e etc.

A posição dentro da MIB para coleta de algumas dessas informações é chamado de OID.

A utilização do SNMP é bem difundida e existem diversos programas grátis como o Cacti para coleta de informações e construção de estatísticas da rede.

Para coletarmos informações utilizando o protocolo SNMP nos dispositivos, será necessário cadastrarmos uma Comunidade no equipamento ( funciona como uma senha) e configurar o endereço IP e Comunidade no Servidor para coleta.

O comando nos Switches 3Com é:

snmp-agent community read diego
! Cadastrando a community nome diego com permissão de leitura

Syslog

O Syslog também é um padrão de mercado muito utilizado para verificação de mensagens de Log registrada pelos equipamentos.

A utilização é importante para verificação de problemas baseada em determinado horário. Por exemplo, digamos que determinado problema iniciou-se as 21h há 2 dias atrás e você não estava na empresa para verificar se algo aconteceu no Switch.

O comando display logbuffer poderia ser bastante útil para exibir as informações do período informado desde que a informação não tenha sido sobrescrevida por outros eventos na memória do Switch.

Com a utilização de um Servidor para coleta de Syslog, a informação ficaria salva e nesse caso, poderíamos checar se o Switch “logou” algo estranho no período, como uma mensagem de Up/Down em uma porta de servidor, comandos efetuado por determinado usuário no Switch ou convergência inesperada do Spanning-Tree.

O comando nos Switches 3Com para utilizar o Syslog é:

info-center loghost 172.31.7.2
! configurando o Switch para encaminhar os Logs para o Servidor de Syslog

Mirroring ( Espelhamento de Porta)

O Espelhamento de porta é uma técnica útil para descobrirmos tráfegos indesejados na rede . A técnica permite que o Switch faça uma cópia do tráfego de uma interface para outra interface permitindo a analise de tráfego.

Na porta que recebermos a cópia do tráfego poderíamos subir um servidor com Wireshark , TCPDump ou NTOP para analise do que está ocorrendo na rede, como por exemplo, protocolos indesejáveis, máquinas utilizando o recurso da empresa com serviços desnecessários, maquinas zumbis, vírus, serviços ativos por engano, etc.

Há um tópico bacana no blog instruindo sobre a configuração do espelhamento de porta nos Switches 3Com:

http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/

IDS

Uma solução mais sofisticada para analise e comportamento de tráfego da rede pode ser obtida através de um IDS ( como o Snort por exemplo) . O IDS é um conceito de software/dispositivo de rede que permite a identificação de tráfego maliciosos ou que viole as políticas de uma rede local com a apresentação de relatórios sobre determinados eventos.

Netflow e Sflow
O Netflow (equipamentos Cisco) e o Sflow(RFC 3176) são protocolos que permitem que as estatísticas de tráfego de rede sejam encaminhadas em amostras (formatadas) para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem bruta para o servidor. O protocolo é exibe informações referente a protocolos de rede.

Segue abaixo a configuração do Sflow nos Switches 4800G:

sflow agent ip 192.168.1.1
! IP do Switch para encaminhar a origem da mensagem Sflow
sflow collector ip 192.168.1.100
! IP do Switch para encaminhar para o destino a mensagem Sflow
sflow interval 30
! Período de intervalo de coleta em segundos
interface GigabitEthernet 1/0/1
sflow enable inbound 
sflow enable outbound 
sflow sampling-rate 100000
! Habilitando a coleta de Sflow na interface Giga1/0/1 no sentido ! de entrada, saída e número de amostras de pacotes

Topologia

A verificação da Topologia é necessária para analisarmos se há pontos de gargalos na rede gerados por erros na topologia, Hubs, equipamentos com baixa capacidade de throughput ou um numero excessivo de hosts em uma VLAN ( as melhores práticas sugerem uma sub-rede por VLAN)

PING e Tracert

Os comandos Tracert são bastante conhecidos e muito úteis para verificação do tempo de resposta.

Para os casos que a conexão entre Matriz e Filial apresentam problemas , sugiro a utilização do MTR ou WinMTR. O Software gera inúmeros traceroutes que ajudam a identificar pontos na nuvem da operadora que causam maior delay.

As dicas informadas são de ferramentas simples e que auxiliam no diagnostico dos problemas de rede.

Se o problema persistir, tente atuar em diversas frentes de forma racional e solicite uma segunda opnião. Se o caso agravar, escalone o caso ou solicite ajuda de um especialista.

Obs: A utilização da foto do Rubinho foi colocada apenas para descontrair o tópico. Possuímos grande admiração por sua persistência, perseverança e motivação….! 🙂

Se você possuir alguma outra dica ou sugestão, compartilhe, deixe um comentário!

Sucesso a todos!