Switches ArubaOS – Configurando VLANs

A utilização de VLANs (Virtual Local Area Network) na rede local permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch.

A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não pertencem a mesma VLAN (para isto, as boas práticas sugerem a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).

Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em Switches divide as portas Ethernet em 2 grupos: portas de acesso e portas de uplink.

Continue reading

Nossos artigos mais acessados em 2016

Galera segue a lista dos artigos mais acesados de 2016:

Switches 3Com 5500 – Guia rápido de Configuração!!!
http://www.comutadores.com.br/switches-3com-5500-guia-rapido-de-configuracao/

Comandos Secretos para os Switches 3Com Baseline e HP v1910
http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
http://www.comutadores.com.br/perguntas-e-respostas-portas-access-trunk-hibrida-lacp-e-stp/

VLAN – Trunk utilizando 802.1q (dot1q)
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco
http://www.comutadores.com.br/dicionario-de-comandos-hp-networking-h3c3com-comparados-com-cisco-cli/

Fizemos também uma lista dos posts mais escondidos do blog (que também são bem legais).

Procedimento de Backout para os equipamentos HPN
http://www.comutadores.com.br/rocedimento_back-out-_para_equipos_hpn/

Comando screen length disable
http://www.comutadores.com.br/comando-screen-length-disable/

Até logo!

Perguntas e Respostas: Substituindo roteamento entre redes do firewall para o Switch L3

Galera, gostaria de compartilhar uma dúvida frequente sobre como alterar o roteamento entre redes que esteja sendo executado por um firewall e mover essa função para um “Switch Core”.

Segue abaixo um dos e-mails:

  “Estou com uma dúvida com relação a gateway padrão da rede. Recentemente adicionei ao core de rede um switch L3, com isto estou projetando adicionar VLANs, mas para haver roteamento entre VLANs é necessário que o gateway padrão seja o switch, assim o firewall que atualmente é o gateway da rede, o deixará de ser. Como posso encaminhar os pacotes o quais atualmente são tratados pelo firewall? ”

Para melhor entendimento dos cenários, fiz um desenho com a topologia das redes sendo roteadas pelo firewall (cenário A) e o roteamento entre a rede executado pelo Switch L3 (cenário B).

Perguntas e respostas Firewall e Switch L3

No cenário A, temos todo tráfego entre redes sendo processado pelo firewall.

Em um cenário que o Switch possa fazer o roteamento entre as redes, você configurará a VLAN e a Interface-VLAN para as respectivas redes (cenário B). Cada rede terá uma VLAN e uma Interface-VLAN. Dessa forma você trabalhará para que o endereço IP da interface-vlan seja o gateway das máquinas (ao invés do firewall). Assim então o Switch fará o roteamento automático das redes, pelo fato de tê-las em sua tabela de roteamento, como diretamente conectadas.
O Switch também deverá ter uma rede de trânsito exclusiva com o firewall e deve apontar uma rota default para o Firewall.

Já o Firewall deverá ter uma rota de retorno para cada rede apontando como next-hop o endereço IP da rede de trânsito, com o IP do Switch (próximo salto).

As regras de Segurança, tradução de endereço, etc, continuam no firewall.

O roteamento entre VLANs acontecerá sem restrições no Switch Core. O Switch só encaminhará para o firewall o tráfego de saída da LAN.

Dúvidas e colocações, deixe um comentário.

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.

Galera, essa semana recebi um email com algumas dúvidas sobre portas Trunk/Hybrid, Link Aggregation e STP. Achei que seria bacana responder na forma de post pois acredito que essas questões podem ser as dúvidas de mais pessoas.

Segue abaixo as questões editadas… sintam-se livres para interagir nos comentários.

Diego,
Se não for muito incomodo pra vc, consegue me responder as questões abaixo?

  1. Diferença do link aggregation em modo static e dynamic, quando usar um ou outro?

O Link-Aggregation permite  agregação de diversas interfaces Ethernet (portas físicas) para a criação de uma única porta lógica com o intuito de prover redundância e aumento de banda. As melhores práticas sugerem a negociação do protocolo LACP (802.3ad) entre os 2 equipamentos que desejam fechar a agregação de portas afim de evitar erros de cabeamento e certificar o meio físico em todo o tempo que o Link-Aggregation estiver ativo, além de agilizar a redundância em caso de falhas.

Exemplo de configuração com LACP: http://www.comutadores.com.br/switches-3com-4800g-link-aggregation/

Mas há também cenários em que um dos equipamentos não utiliza o protocolo LACP  para agregação de links ou então o meio físico oferecido pelo Provedor de Serviços para comunicação Ethernet não permite o encaminhamento de alguns protocolos da camada de enlace como o LLDP, CDP, LACP, STP, etc. Então nesses cenários devemos usar o modo static, isto é, Link-aggregation configurado manualmente sem validação do meio e/ou equipamentos por um protocolo como 802.3ad. Se a porta estiver UP, o modo static irá encaminhar o tráfego, mesmo que o cabeamento esteja conectado em outro equipamento incorretamente.

  1. Diferença de portas trunk e hybrid, quando usar a hybrid?

Enquanto a porta configurada como access permite apenas o tráfego de quadros Ethernet sem marcação de tag 802.1Q, o que faz com que o Switch atribua a comunicação para aquela VLAN, a configuração Trunk e Hybrid permitem a utilização de várias VLANs em uma única porta. As portas configuradas como access são geralmente atribuídas para computadores, servidores, impressoras, etc.

A porta Trunk é utilizada para o encaminhamento e recebimento de tráfego Ethernet tagueado com o ID da VLAN mas com a exceção de permitir apenas uma VLAN não tagueada, dita explicitamente na configuração. Por padrão o tráfego não tagueado de uma porta trunk é direcionado para a VLAN 1 (mas isso pode ser modificado). As portas trunk são configuradas na comunicação entre Switches e também com Servidores que possuem Switches virtuais internos para VMs, etc.

Exemplos:

http://www.comutadores.com.br/video-vlans-configuracao-de-porta-access-hybrid-e-trunk-para-switches-hpn-3com-e-h3c/

http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Já a porta Hybrida permite encaminhar o tráfego de inúmeras VLAN tagueadas ou não. Por exemplo, se você precisa que o tráfego de duas máquinas que estão atrás de um HUB seja separado dinamicamente entre duas  VLANs diferentes, a configuração de porta hybrida permite que o Switch leia marcações como endereço MAC, 802.1p, cabeçalho IP e etc, para dinamicamente efetuar diferenciação do tráfego para as suas respectivas VLANs (lembrando que o tráfego nesse caso pode vir sem TAG das máquinas).

Exemplo de configuração de porta Híbrida:

http://www.comutadores.com.br/mac-based-vlans/

http://www.comutadores.com.br/switches-3com-4800g-atribuindo-uma-vlan-dinamicamente-a-uma-porta-baseado-no-ip-de-origem-ip-subnet-based-vlan/

  1. O spanning tree é habilitado nas portas (uma a uma) ou no switch?

Para habilitar (ou desabiltar) o spanning-tree no Switch é preciso a configuração no modo global.

Exemplo para habilitar o STP:

http://www.comutadores.com.br/stp-desabilitado/

Apesar de ser o protocolo mais utilizado para prevenção de loop, o Spanning-Tree não se encaixa em todos os cenários de rede e o seu algoritmo  pode as vezes prejudicar a integração de diferentes ambiente. Nesse caso é possível adicionar algumas features individualmente nas portas para ajuste fino, como por exemplo o stp-edged port (portfast) ou então desabilitar o STP somente em determinadas portas. Mas cada caso deve ser estudado minuciosamente para evitar situações de loop.

Exemplos de tuning para o STP:

http://www.comutadores.com.br/protegendo-o-spanning-tree/

http://www.comutadores.com.br/switches-hpn7500-configurando-filtros-para-bpdus-bpdu-filtering/

http://www.comutadores.com.br/switches-3com-4800g-edged-port-bpdu-protection/

  1. Diferença do spanning tree para o rapid spanning tree, quando usar o rapid spanning tree?

O Rapid Spanning-Tree (802.1w) é uma evolução do Spanning-Tree inicial (802.1d) com um significativa melhora no tempo de convergência e conectividade da rede.

Uma das grandes limitações do STP não foi corrigida na versão 802.1w que é o bloqueio de todos os caminhos redundantes como prevenção de Loop. Esse tipo de cenário acaba gerando ocasionando gargalos pois a empresa gasta uma quantidade significativa de dinheiro para a extensão de fibra redundante deixando um dos links sobrecarregados enquanto o outro está ocioso.

A versão Multiple Spanning-Tree (802.1s) permite a criação de instancias independentes do STP para balanceamento de VLAN permitindo a alteração do root para determinadas VLANs ou o custo para o root. O protocolo é um pouco complexo quando você deseja conectar grandes domínios 802.1s entre si, por exemplo estender a LAN de duas empresas, mas com um bom planejamento o protocolo torna-se uma ferramenta poderosa.

Todos os Switches HP baseados no comware, ao habilitar o STP, iniciam a versão 802.1s. Caso você não faça nenhuma configuração de ajuste o 802.1s terá o comportamento da versão Rapid-Spanning Tree.

Artigos sobre STP

http://www.comutadores.com.br/rapid-spanning-tree-802-1w/

http://www.comutadores.com.br/elegendo-o-switch-root-do-spanning-tree/

http://www.comutadores.com.br/introducao-ao-multiple-spanning-tree-802-1s/

  1. Para habilitar o spanning tree, basta dar um enable stp na porta de uplink ou é necessario configurar algo a mais (ou quando habilitamos para a switch, já é aplicado para todas as interfaces)?

Ao habilitar o STP no Switch a configuração é atribuída a todas as portas e as mesmas iniciam o encaminhamento de BPDUs para prevenção de loop.

  1. Devo usar os mesmo comandos do stp (ex: “stp edged-port enable”, “stp cost”, ) quando utilizado o rstp?

Sim, o comando é o mesmo para as versões 802.1w e 802.1s

  1. Nas interfaces de uplink, entre switchs que nao sao cores, as portas stp devem ficar como DESIGNATED, PORT ROOT ou ALTERNATE PORT?

Tudo vai depender de quem será o Switch Root da sua rede. Se o Switch Core for o root, os uplinks do Switch Core estarão como DESIGNATED, já os Switches não-Core, conectados a ele, terão suas portas como ROOT PORT (melhor caminho para o Switch ROOT) ou ALTERNATE PORT (porta redundante bloqueada para prevenção de Loop)

  1. Em qual interface, dos switchs roots, devo usar o comando stp root-protection?

A configuração da porta como Root Guard permite à uma porta Designada a prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root. A feature força a porta a cessar comunicação toda vez quem um Switch tiver o Priority ID mais favoravel para tornar-se Root, então o Switch Root isola assim o segmento para o Switch indesejado. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Essa feature é geralmente configurada em portas Designadas do Switch Root.

  1. Devo setar o comando “stp loop-protection” nas interfaces “ALTERNATE PORT” (caminho secundário) das switchs não core. Correto?

Correto, a configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, a função de se  proteger contra cenários de loop na rede quando há falhas no recebimento de BPDU’s em portas ALTERNATE.

Quando uma porta ALTERNATE parar de receber BPDU’s ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root  continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root.

Obs: Dica! Simule as features em ambiente de laboratório antes de aplicar em uma rede de produção. Isso permitirá ao administrador conhecer melhor os cenários, equipamentos, falhas e troubleshooting.

Até logo.

Video: Roteamento entre VLANs e configuração de rota estática para Switches HPN, 3Com e H3C

Fala Galera, tudo bom!?

Segue mais uma vídeo-aula produzida por nós, contendo dessa vez o assunto Roteamento entre VLANs utilizando Switches ou Roteadores, além de falarmos também sobre roteamento estático, Topologia, etc.. para equipamentos baseados no Comware (HP , 3Com e H3C) .

Ainda estou apanhando um pouco no formado das vídeo-aulas, mas espero que o vídeo seja útil. 😉




Abração

Video: VLANs – Configuração de Porta Access, Hybrid e Trunk para Switches HPN, 3Com e H3C

A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..

Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil! 😉


Abração a todos!

Switches 3Com 4800G – GVRP uma solução ao VTP

Publicado originalmente em 17 DE JUNHO DE 2011

Em diversos treinamentos e projetos recebo perguntas de alunos e clientes sobre a utilização de protocolos com função similar ao VTP da Cisco. Os Switches 3Com/HP trabalham com o protocolo aberto para registro dinâmico de VLANs chamado GVRP.

A utilização do GVRP é bem simples e pode trabalhar resumidamente nos 3 seguintes modos:

  • Normal: permite que o Switch envie e receba mensagens para aprendizado de VLANs dinâmicas.
  • Fixed: permite que o Switch envie mensagens GVRP com as VLANs geradas localmente, mas o dispositivo não insere na tabela dinâmica as VLANs anunciadas por outros Switches.
  • Forbidden: permite que o Switch ignore as mensagens do protocolo.

Diferente do VTP, devemos ativar o processo globalmente no Switch e configurar nas interfaces Trunk qual o perfil que ela terá (Normal, Fixed ou Forbidden).

No exemplo abaixo configuramos o GVRP em todas as interfaces Trunk para consistência de VLANs na topologia e criamos as VLANs 4 e 5 no SWA.


Ao visualizarmos as VLANs dinamicas no SWC, veremos a saída na tabela:

[SWC] display vlan dynamic
Total 2 dynamic VLAN exist(s).
The following dynamic VLANs exist:
4-5

Configuração

A configuração do GVRP é bem simples:

#
gvrp
! Habilitando o GVRP globalmente no Switch
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
gvrp
! Habilitando a(s) interface(s) trunk(s) para propagação das mensagens GVRP
 (por default as interfaces funcionam no modo Normal).

Com a configuração dos comandos acima em todos os Switches é possível verificar quais VLANs estão configuradas localmente ou aprendidas de forma dinâmica utilizando os comandos “display vlan static” ou “display vlan dynamic”:

 

[SWB]display vlan static
Total 1 static VLAN exist(s).
The following static VLANs exist:
1(default),

[SWB]display vlan dynamic
Total 4 dynamic VLAN exist(s).
The following dynamic VLANs exist:
3-4,

Para habilitar os modos forbidden ou fixed, utilize os comandos abaixo interface-view:

[SWC-GigabitEthernet1/0/1]gvrp registration ?
fixed Fixed type
forbidden Forbidden type
normal Normal type

Como recomendação, sugerimos a criação de VLANs somente no Switch Core com as interfaces Trunk em modo forbidden para proteção e controle de tráfego em caso de erro na configuração dos Switches de acesso.

Obs: Lembrando que ao criamos ou deletarmos determinada VLAN (estática, não aprendida via GVRP) no Switch em modo normal e fixed, a informação será replicada a todos dispositivos da rede, caso nenhum Switch possua a VLAN estática e a mesma for deletada, a VLAN será apagada em todos equipamentos!

Até logo!