Roteadores MSR – Exemplo de Configuração: OSPF + BFD

Exemplo de Configuração OSPF com BFD

Comware 7 – Configurações iniciais para o TRILL

O protocolo TRILL fornece uma alternativa ao Spanning-Tree em ambientes de Data Center provendo balanceamento de tráfego para caminhos redundantes e prevenção de loop de camada 2. No post http://www.comutadores.com.br/resumo-sobre-trill/ fizemos um breve resumo sobre o protocolo.

A configuração do TRILL é bastante simples conforme script abaixo:

TRILL Comware cenario

Configurando o TRILL globalmente

– Habilite o TRILL em todos os RBridges

[RB1] trill 

– Apesar do nickname e do system-id do TRILL ser gerado automaticamente, a configuração manual facilita o troubleshooting. Uma boa dica é incluir o nickname também na documentação e topologia.

[RB1-trill] nickname 0001
[RB1-trill] system-id 0001.0001.0001

Configurando as interfaces

– Configurando os Uplinks

[RB1] interace Ten1/0/49
[RB1-Ten-GigabitEthernet1/0/49] trill enable
[RB1-Ten-GigabitEthernet1/0/49] trill link-type trunk
[RB1-Ten-GigabitEthernet1/0/49] undo stp enable

Validando a conexão entre  RBridges

[RB1]display  trill peer
System ID: 0002.0002.0002
Interface: Ten-GigabitEthernet1/0/49
Circuit ID: 0002.0002.0002.01
State: Up
Holdtime: 6s
DRB priority: 64
Nickname: 0x0002
Uptime: 00:01:03

System ID: 0003.0003.0003
Interface: Ten-GigabitEthernet1/0/50
Circuit ID: 0003.0003.0003.01
State: Up
Holdtime: 8s
DRB priority: 64

Nickname: 0x0003
Uptime: 00:00:39

System ID: 0004.0004.0004
Interface: Ten-GigabitEthernet1/0/51
Circuit ID: 0004.0004.0004.02
State: Up
Holdtime: 6s
DRB priority: 64
Nickname: 0x0004
Uptime: 00:00:21

Configurando as portas conectadas aos Switches CE e endpoints

Conexão para Switches CE

[RB1] interace Ten1/0/10
[RB1-Ten-GigabitEthernet1/0/10] trill enable
[RB1-Ten-GigabitEthernet1/0/10] trill link-type access
[RB1-Ten-GigabitEthernet1/0/10] undo stp enable

A configuração como “trill link-type access” permite o envio de mensagens TRILL para eleição DRB para escolha dos AVF.

Conexão para Endpoints

[RB4] interace Ten1/0/11
[RB4-Ten-GigabitEthernet1/0/11] trill enable
[RB4-Ten-GigabitEthernet1/0/11] trill link-type access alone
[RB4-Ten-GigabitEthernet1/0/11] undo stp enable

A configuração com “trill link-type access alone” atribui a porta no modo ‘silent’ para frames TRILL

Tree Root Bridge

O protocolo TRILL utiliza uma topologia similar ao STP para o envio de mensagens broadcast, multicast e unknown unicast, criando uma árvore para o envio desse tipo de tráfego.

TRILL tree root

O primeiro critério para eleição do root bridge é a configuração do priority value. O root pode requerer múltiplas arvores para cálculo e encaminhamento ECMP do tráfego multicast.

[RB1] trill
[RB1-trill] tree-root priority 65535

Conclusão

Para aqueles que desejam aprender um pouco mais sobre o  TRILL em Switches HP, o simulador HCL permite a configuração de cenários utilizando o protocolo. Já para consulta, o site da HP possui bastante material e basta uma pesquisa rápida no google para encontrar bastante material

Até logo.

Referências

Building HP FlexFabric Data Centers-Rev. 14.41
HP Configuration Guide – Configuring TRILL

Resumo sobre TRILL

O protocolo TRILL (Transparent Interconnection of Lots of Links) é um padrão IETF que fornece a funcionalidade de roteamento em camada 2 em Data Centers. O protocolo permite a extensão de domínios de broadcast entre os equipamentos que rodam o TRILL e fornece alta disponibilidade para cenários de falha nos uplinks, funcionando como uma alternativa para substituição do protocolo Spanning-Tree.

O TRILL pode ser utilizado em Data Centers sem necessidade de configuração IP e mantem a simplicidade tradicional da comunicação de camada 2 com a convergência de redes roteáveis em camada 3.

O protocolo utiliza o a contagem de saltos ou TTL para prevenção de loops, mas roda diretamente sobre a camada 2 de forma que nenhuma configuração IP é necessária.

Se fizermos uma comparação com o protocolo Spanning-tree, o STP, utiliza um único caminho na rede para encaminhar os dados, bloqueando os caminhos redundantes entre os switches, que nem sempre são as melhores escolhas para bloqueio e/ou encaminhamento do fluxo de dados entre dois hosts. O TRILL suporta a seleção de melhor caminho, suportando também caminhos redundantes, e topologias no modelo ativo-ativo.

TRILL and STP

Um Switch com o processo TRILL habilitado é chamado de Routing  Bridge ou RBridge por sua função de roteamento. É baseado no algoritimo link-state do IS-IS para escolha dos caminhos.

Cada RBridge é identificado por um system ID que é automaticamente gerado pelo TRILL. O ID é baseado no endereço MAC por padrão, mas pode ser também configurado manualmente. O system ID não é utilizado para encaminhar os quadros mas serve para identificar cada nó dentro da tabela link-state (LSDB) da rede TRILL.

Um RBridge encaminha os quadros de uma rede TRILL baseado no nickname de origem e destino, utilizando como referência em um valor hexadecimal de 16bits. Os nicknames podem também ser gerados automaticamente pelo sistema.

Cada nickname é distribuído pelo IS-IS para computar as rotas, como em protocolos de roteamento.

O protocolo possui facilidade de extensão utilizando as definições type, length, value (TLV).

Trill Header

Para o encaminhamento dos quadros Ethernet que chegam dos hosts para os RBridges, uma vez que o endereço já é conhecido, a consulta (lookup) acontece com o endereço do RBridge e um segundo lookup é efetuado para a RBridge do próximo salto e também a interface de saída para enviar o frame ao next-hop. Então o frame é encapsulado com o cabeçalho TRILL (TRILL overlay header).

terminologia TRILL

Na terminologia TRILL, há os Switches CE, que são a terminologia para os clássicos switches ethernet que não executam o processo TRILL.

Em resumo, cada RBridge ao receber um frame TRILL irá descartar o cabeçalho externo (inserido pela RBridge anterior), analisará o nickname de destino e selecionará a interface de saída baseado na escolha de melhor caminho. A RBridge então adicionará um novo cabeçalho TRILL, decrementará o valor de TTL e transmitirá o frame para a próxima RBridge.

Se o quadro TRILL tiver como next-hop um endpoint, então o cabeçalho TRILL será removido e  o frame Ethernet original será entregue para a host.

Referências

Using TRILL, FabricPath, and VXLAN – Cisco Press 2014 – Sanjay K. H., Shuyam Kapadia,Padmanabhan Krishnan.

Building HP FlexFabric Data Centers-Rev. 14.41

Publicado originalmente em http://www.rotadefault.com.br/notas-iniciais-sobre-o-trill/

Comware 7 – Autenticação de TACACS com Tac_plus

Galera, durante a criação de um laboratório para testes de autenticação com TACACS de Roteadores MSR com Comware7, utilizamos o Debian com o tac_plus como Servidor.

Segue abaixo os scripts utilizados:

#
# tacacs configuration file
# Pierre-Yves Maunier – 20060713
# /etc/tac_plus.conf
# set the key
key = labcomutadores
accounting file = /var/log/tac_plus.acct
# users accounts
user = student1 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-admin"
       }
}
user = student2 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-operator"	
        }
}

Configuração do Roteador MSR HP

wtacacs scheme tac
primary authentication 192.168.1.10
primary authorization 192.168.1.10
primary accounting 192.168.1.10
! endereço do servidor TACACS
key authentication simple labcomutadores
key authorization simple labcomutadores
key accounting simple labcomutadores
user-name-format without-domain
#
domain tac.com.br
authentication login hwtacacs-scheme tac local
authorization login hwtacacs-scheme tac local
accounting login hwtacacs-scheme tac local
#
domain default enable tac.com.br
#
user-interface vty 0 4
authentication-mode scheme

Até logo

Vídeo: Principais comandos para administrar Switches HP, 3Com, H3C baseados no Comware

Fala Galera, tudo bom!?

Segue mais uma vídeo-aula sobre os principais comandos para administração e gerenciamento de Switches e Roteadores baseados no Comware (3Com/HP. H3C).

Abração

Introdução ao SPBM

O protocolo SPBM (Shortest Path Bridging Mac-in-Mac mode) permite a implementação de grandes redes Ethernet, mantendo a simplicidade de um Fabric L2, enquanto compartilha a escalabilidade e convergência dos serviços dos protocolos de roteamento.

Enquanto no STP alguns links são colocados no modo de bloqueio para evitar loop, o SPBM utiliza mecanismos de roteamento e todos os links podem ser utilizados para encaminhar o tráfego.

O SPBM é muito similar ao TRILL, mas enquanto o SPB foi desenvolvido pelo IEEE, o TRILL foi proposto pelo IETF. Ambos tem recebidos boa aceitação e utilizados em ambientes de grandes Data Centers.

Existem dois padrões relacionados ao SPBM, o primeiro é o IEEE 802.1ah que define o PBB (Provide Backbone Bridging) e o segundo é o SPB definido pelo IEEE 802.1aq

PBB

O PBB é uma tecnologia L2 VPN baseada no padrão Ethernet, nele, o cabeçalho Ethernet do host (com os endereços MAC de origem e destino) é encapsulado com o endereço MAC do Service Provider. O frame do cliente é transportado como payload dentro do frame Ethernet do provedor, com novo endereço MAC de origem e destino.

O cabeçalho inclui um campo service ID que identifica a rede do cliente, para suporte à ambientes multi-tenant (em resumo, diversos cliente em um mesmo ambiente fisico). O encapsulamento completo do frame Ethernet do cliente ajuda na redução do aprendizado de endereço MAC dos switches intermediários, auxiliando em um melhor uso de recursos de CPU e memória.

Os equipamentos em uma topologia com PBB possuem duas funções:

– Backbone Edge Bridge (BEB)

O BEB recebe o frame original do cliente e encapsula dentro de um novo frame Mac-in-Mac. O endereço MAC de origem é o do próprio BEB e o endereço de destino é o MAC do BEB de destino.

– Backbone Core Bridge (BCB)

O BCB recebe o frame do BEB e encaminha baseando-se no novo cabeçalho, não precisando ter conhecimento do endereço MAC do cliente.

SPBM BEB BCB

O BEB que recebe o frame PBB remove o encapsulamento e baseado no campo I-SID (Instance service ID), dentro do campo I-TAG, encaminha o quadro para o cliente devido.

O PBB é puramente uma tecnologia de encapsulamento no formato MAC-in-MAC e não prove nenhum cálculo de melhor caminho ou redundância.

Comparação PBB QinQ dot1Q

O I-SID é administrativamente configurado, utilizando o range de 255 até 16.777.215.

O endereço MAC de origem e destino, assim como o TAG de VLAN original do cliente é chamado de “C” no cabeçalho. Já as informações do PBB são referenciadas como “B”, conforme comparação dos cabeçalhos acima.

SPB

O SPB entra nessa questão para prover múltiplos caminhos ativos em uma rede Ethernet, baseado no cálculo de melhor caminho utilizando o algoritmo do IS-IS.

Voltando ao SPBM…

Uma vez que o SPBM é baseado no PBB as mesmas funções de BCB e BRB são utilizadas.  Diferente do TRILL que faz encapsulamento e remove o encapsulamento do frame a cada nó, o SPBM apenas encapsula o frame no dispositivo BEB e esse encapsulamento atravessa todo backbone SPM.

topologia SPBM

Referências

http://www.brocade.com/content/html/en/configuration-guide/netiron-05900-switchingguide/GUID-39750C1A-4994-4B7C-B988-1254C87F859E.html

Building HP FlexFabric Data Centers-Rev. 14.41

http://www.rotadefault.com.br/introducao-ao-spbm/

Perguntas e Respostas: VRF x VPN-instance

Galera, segue abaixo um pequeno resumo sobre a nomenclatura utilizada nas documentações Cisco x HP sobre o assunto VRF. Acredito que possa ajudar de forma rápida a entender alguns conceitos:

VRF: Virtual Routing and Forwarding
A utilização de VRFs (Virtual Routing and Forwarding) em Roteadores permite a criação de tabelas de roteamentos virtuais que trabalham de forma independente da tabela de roteamento “normal”, protegendo os processos de roteamento de cada cliente de forma individual. Utilizado em cenários MPLS L3VPN com MP-BGP.

PeR-VRF

VRF Lite
A mesma funcionalidade que a VRF para criação de tabelas de roteamento independentes, mas nomeado para cenários sem MPLS L3VPN. Chamado também de Multi-VRF.

PeR-VRF-lite

VPN-Instance
Termo utilizado nas documentações HP para VRF no Comware.

MCE (Multi CE)
Termo utilizado nas documentações HP para VRF-Lite.

 

Dúvidas e colocações, deixe um comentário.

Comware – Limpando a lixeira

O comando dir, permite visualizarmos os arquivos dentro de um diretório. Caso estejamos na raiz (sem digitar em nenhum comando para mover-se no modo user-view), o comando irá exibir o conteúdo da memória flash:

<4800G>dir
Directory of flash:/

   0     -rw-    483956  Jun 26 2000 10:45:17   a5500ei-btm-715-us.btm
   1     -rw-  13940314  Jun 26 2000 10:49:24   a5500ei-cmw520-r2220p02.bin
   2     drw-         -  Apr 26 2000 12:00:31   seclog
   3     drw-         -  Apr 26 2000 13:14:20   oldcfg

31496 KB total (7164 KB free)

As vezes para atualizar o sistema operacional do Switch ou Roteador precisamos liberar espaço na memória flash. Utilize o comando delete para remover os arquivos:

<4800G>delete a5500ei-cmw520-r2220p02.bin
Delete flash:/a5500ei-cmw520-r2220p02.bin?[Y/N]:
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
.
%Delete file flash:/a5500ei-cmw520-r2220p02.bin...Done.

O comando dir /all exibe quais arquivos estão na lixeira exibindo o nome do arquivo entre colchetes( [ ] ).

<4800G>dir /all
Directory of flash:/
   0     -rwh         4  Apr 26 2000 12:19:54   snmpboots
   1     -rwh      4184  Apr 26 2000 13:23:14   private-data.txt
   2     drw-         -  Apr 26 2000 12:00:31   seclog
   3     drw-         -  Apr 26 2000 13:14:20   oldcfg
   4     -rwh      8221  Apr 26 2000 13:23:19   qosindex
   5     -rw-      7638  Apr 26 2000 13:20:14   [3comoscfg.cfg]
   5     -rw-  10315278  Jun 26 2000 10:39:39   [s4800g-cmw520-r2102p02.bin]
   5     -rw-      9811  Apr 26 2000 13:14:55   [teste-qos.cfg]
   5     -rw-     23867  Apr 26 2000 13:15:18   [atual.cfg]
   5     -rw-     23867  Apr 26 2000 13:15:39   [atual.cfg.bkp]
   5     -rw-     12611  Apr 26 2000 13:15:59   [3comoscfg.cfg.old]
   5     -rw-    483956  Apr 26 2000 14:13:07   [a5500ei-btm-715-us.btm]
   5     -rw-  13940314  Apr 26 2000 14:13:20   [a5500ei-cmw520-r2220p02.bin]

Após a exclusão do arquivo, o mesmo ficará na lixeira até efetuarmos a limpeza com o comando reset recycle-bin.

Para deletar o arquivo de forma que o mesmo não vá para lixeira utilize o comando delete /unreserved [nome do arquivo].

Obs: Tome cuidado para não desligar o equipamento caso tenha removido os arquivos do Comware.

O comando boot-loader define qual imagem será escolhida como principal e a de  backup na inicialização do Switch.

Por Exemplo, após atualização por TFTP da imagem atual do Switch de s4800g-cmw520-r2102p02.bin para s4800g-cmw520-r2202p15-s56.bin, precisaremos informar ao equipamento qual versão do Sistema Operacional iremos utilizar no próximo boot.

<4800G>boot-loader file S4800G-cmw520-r2202p15-s56.bin main

Faça a validação com o comando display boot-loader

Bootrom

No documento de liberação de releases para alguns modelos de Switches será solicitado o upgrade do bootrom .

<4800G>bootrom update file s4800g-btm_604.btm

Após efetuados os passos acima, reinicie o equipamento com o comando reboot.

Inté!  🙂

Roteadores HP: OSPF Virtual Link

O desenho de uma rede OSPF requer que todas as áreas estejam diretamente conectadas à Area Backbone (Area 0 [zero]) e que os roteadores da Area 0 estejam sempre conectados com roteadores da mesma área.

Para conexão entre roteadores de diferentes áreas, o tráfego deve passar sempre pela Area 0.

OSPF Areas

Um virtual link é um link lógico que permite a conexão entre equipamentos da Area 0 que estão separados logicamente mas podem utilizar uma outra Area OSPF como trânsito, ou entre áreas não-Backbone que precisam utilizar outra área como transito:

OSPF Virtual link

O OSPF virtual link deve ser usado somente em casos específicos, conexões temporárias ou cenários de backup em caso de falha.

Configurando OSPF Virtual link

No exemplo abaixo, o virtual link servirá na conexão entre dois roteadores da Area 0 que estão separados por uma falha no link.

OSPF Virtual link - AREA 0

R1
#
ospf 1
  area 0.0.0.0
  network 192.168.1.0 0.0.0.255
  network 192.168.11.0 0.0.0.255
 area 0.0.0.1
  network 192.168.12.0 0.0.0.255
  vlink-peer 192.168.3.3
#
R3
#
ospf 1
 area 0.0.0.0
  network 192.168.3.0 0.0.0.255
  network 192.168.33.0 0.0.0.255
 area 0.0.0.1
  network 192.168.23.0 0.0.0.255
  vlink-peer 192.168.1.1
#

Comandos display

[R1]display  ospf vlink
         OSPF Process 1 with Router ID 192.168.1.1
                 Virtual Links
 Virtual-link Neighbor-ID  -> 192.168.3.3, Neighbor-State: Full
 Interface: 192.168.12.1 (GigabitEthernet0/0)
 Cost: 2  State: P-2-P  Type: Virtual
 Transit Area: 0.0.0.1
 Timers: Hello 10, Dead 40, Retransmit 5, Transmit Delay 1

#
 [R1]display ospf peer
         OSPF Process 1 with Router ID 192.168.1.1
               Neighbor Brief Information
 Area: 0.0.0.1
 Router ID       Address         Pri Dead-Time  State             Interface
 192.168.12.2    192.168.12.2    1   35         Full/DR           GE0/0
 Virtual link:
 Router ID       Address         Pri Dead-Time  State             Interface
 192.168.3.3     192.168.23.3    1   36         Full              GE0/0

Até breve

Comware 7: ACL para gerenciamento Telnet

A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.

Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL  ao acesso Telnet e SSH.

#
acl basic 2000
 rule 0 permit source 192.168.11.1 0
 rule 5 permit source 192.168.11.12 0
 rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
 telnet server enable
 telnet server acl 2000
! Habilitando o serviço Telnet e aplicando  a ACL 2000
#

Para filtrar o acesso via SSH utilize a mesma lógica.

ssh server enable
ssh server acl 2000

Caso o seu switch/roteador não suportar os comandos citados, veja o script citado por esse mesmo blog no post: http://www.comutadores.com.br/acl-para-gerenciamento-telnet-ssh-snmp/

Até logo