Switches 3Com 4800G – GVRP uma solução ao VTP

Publicado originalmente em 17 DE JUNHO DE 2011

Em diversos treinamentos e projetos recebo perguntas de alunos e clientes sobre a utilização de protocolos com função similar ao VTP da Cisco. Os Switches 3Com/HP trabalham com o protocolo aberto para registro dinâmico de VLANs chamado GVRP.

A utilização do GVRP é bem simples e pode trabalhar resumidamente nos 3 seguintes modos:

  • Normal: permite que o Switch envie e receba mensagens para aprendizado de VLANs dinâmicas.
  • Fixed: permite que o Switch envie mensagens GVRP com as VLANs geradas localmente, mas o dispositivo não insere na tabela dinâmica as VLANs anunciadas por outros Switches.
  • Forbidden: permite que o Switch ignore as mensagens do protocolo.

Diferente do VTP, devemos ativar o processo globalmente no Switch e configurar nas interfaces Trunk qual o perfil que ela terá (Normal, Fixed ou Forbidden).

No exemplo abaixo configuramos o GVRP em todas as interfaces Trunk para consistência de VLANs na topologia e criamos as VLANs 4 e 5 no SWA.


Ao visualizarmos as VLANs dinamicas no SWC, veremos a saída na tabela:

[SWC] display vlan dynamic
Total 2 dynamic VLAN exist(s).
The following dynamic VLANs exist:
4-5

Configuração

A configuração do GVRP é bem simples:

#
gvrp
! Habilitando o GVRP globalmente no Switch
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
gvrp
! Habilitando a(s) interface(s) trunk(s) para propagação das mensagens GVRP
 (por default as interfaces funcionam no modo Normal).

Com a configuração dos comandos acima em todos os Switches é possível verificar quais VLANs estão configuradas localmente ou aprendidas de forma dinâmica utilizando os comandos “display vlan static” ou “display vlan dynamic”:

 

[SWB]display vlan static
Total 1 static VLAN exist(s).
The following static VLANs exist:
1(default),

[SWB]display vlan dynamic
Total 4 dynamic VLAN exist(s).
The following dynamic VLANs exist:
3-4,

Para habilitar os modos forbidden ou fixed, utilize os comandos abaixo interface-view:

[SWC-GigabitEthernet1/0/1]gvrp registration ?
fixed Fixed type
forbidden Forbidden type
normal Normal type

Como recomendação, sugerimos a criação de VLANs somente no Switch Core com as interfaces Trunk em modo forbidden para proteção e controle de tráfego em caso de erro na configuração dos Switches de acesso.

Obs: Lembrando que ao criamos ou deletarmos determinada VLAN (estática, não aprendida via GVRP) no Switch em modo normal e fixed, a informação será replicada a todos dispositivos da rede, caso nenhum Switch possua a VLAN estática e a mesma for deletada, a VLAN será apagada em todos equipamentos!

Até logo!

 

 

 

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Publicado originalmente em 30 DE DEZEMBRO DE 2010

Olá amigos, para comemorar um ótimo ano profissional e para fechar 2010 com “chave de ouro”, hoje eu escrevo a continuação do Post mais popular desse ano. “Switches 3Com 5500 – Guia rápido de Configuração!!!”

Desejo a todos um Feliz 2011!!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!

 

 

VLAN – Trunk utilizando 802.1q (dot1q)

Publicado originalmente em 15 DE OUTUBRO DE 2010

A utilização de VLAN (Virtual Local Area Network) permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch. A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não são pertencentes a mesma VLAN (para isto, é necessário a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).

Se não utilizássemos uma interface como Trunk e precisássemos passar o tráfego da VLAN para o outro Switch, seria necessário a passagem de um cabo de cada VLAN para o outro dispositivo, como no exemplo abaixo.

Como a maioria dos Switches possui entre 24 e 48 portas a solução ficaria inviável , inutilizando a maioria das portas para conexões entre os dispositivos.

O protocolo IEEE 802.1q permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.

A marcação efetuada (chamada de TAG) adiciona aos quadros Ethernet 4 bytes no frame original e calculam um novo valor de checagem de erro para o campo FCS.

Dos valores contidos dentro do campo TAG o numero da VLAN é adicionado ao campo VLAN id permitindo a identificação da VLAN entre os Switches.

Uma observação relevante é a utilização do campo Priority (também dentro da TAG) para função de QoS em camada 2 para Ethernet, chamado de 802.1p ou CoS (Class of Services), permitindo a diferenciação de classes de serviços por Switches sem a necessidade de leitura do campo IP.

Já a comunicação entre computadores no mesmo Switch que pertencem a mesma VLAN não são “tagueadas” (untagged). Muitas placas de rede para PC’s e impressoras não são compativéis com o protocolo 802.1Q e ao receberem um frame tagged, não compreenderão o TAG de VLAN e descartarão a informação.
Os Switches que recebem na sua interface Trunk um frame com TAG, irão remover o campo e entregar o quadro ao destino sem a marcação.

A regra é bem simples para a maioria dos casos (salvo exceções):

  • Para comunicação entre Switches, configure as interfaces como Trunk ( Tagged)
  • Para comunicação entre Switches e hosts, servidores, impressoras; configure as interfaces como Access (untagged) com o ID da VLAN

Configuração

Para a maioria dos Switches H3C/3Com configure as portas como trunk da seguinte maneira:

interface GigabitEthernet 1/0/x
! acesso a interface GigabitEthernet
port link-type trunk
! configuração da interface como trunk (frames encaminhados como tagged)
port trunk permit vlan all
! configuração da porta permitindo todas as VLANs no trunk

Porta de acesso

interface GigabitEthernet 1/0/x
! acesso a interface GigabitEthernet
port link-type access
! configuração da interface como acesso (frames encaminhados como untagged)
port access vlan 2
! configuração da porta na vlan 2

Para retornar a porta de alguma VLAN para a VLAN 1, digite o comando undo port access vlan dentro da interface física.

Obs: Por default os frames da VLAN 1 não são encaminhados com TAG dentro do Trunk.

Abraços a todos!!!

 

 

 

 

Switches 3Com 5500 – Guia rápido de Configuração!!!

Publicado originalmente em 24 DE AGOSTO DE 2010

 Olá amigos, os scripts de hoje fazem parte de um manual muito bacana repassado pelo Fabinho e o Índio da Infraero. Os Scripts seguem como um manual rápido para instalação e/ou configuração de Switches 3Com do modelo 5500 ( parte dos comandos são aceitos na maioria dos Switches da 3Com); os scripts são simples e bastante úteis!

Configurando o nome do Switch
[5500G-EI]sysname SW_Core
[SW_Core]

Configuração de Vlans
Criando uma Vlan e colocando-a um nome
[Switch] vlan 3
[Switch-vlan] name

Criando uma Vlan e colocando-a uma descrição
[Switch] vlan 3
[Switch-vlan] description

Criando uma várias vlans ao mesmo tempo
[Switch] vlan to 2 to 5

Apagando uma vlan
[Switch] undo vlan 2

Mostrando quais as vlans que existem no switch
[Switch] display vlan

Mostrando as informações de uma determinada vlan (descrição, endereço IP se houver, portas tagged e untagged)
[Switch] display vlan  2

Definindo o IP para a VLAN 2 
[Switch]interface Vlan-interface 2
[Switch]-Vlan-Interface]ip address 192.168.100.1 255.255.255.0

Configurando o default gateway
[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 (ip do gateway)

Configurações de portas
Entrando no modo de configuração de uma porta
[Switch] interface gigabit-ethernet 1/0/4

Colocando uma descrição na porta
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] description

Adicionando porta a uma vlan 
Configurando o tipo de porta
Porta ACCESS: Porta de acesso, utilizada para ligar hosts (estações, servidores, etc)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port link-type access

Porta TRUNK: Porta que permitirá mais de uma vlan trafegar pela porta(utilizando TAG(802.1q). Utilizada como porta de uplink, nas ligações entre switches.
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port link-type trunk

Associando uma porta access a uma vlan.
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port access vlan 5

Removendo uma vlan de uma porta access. A porta voltará a pertencer a vlan 1 (default)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] undo port access vlan

Associando todas as vlans a porta trunk. Desse modo, todas as vlans passarão pela porta trunk
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port trunk permit vlan all

Copiando as configurações de uma porta para outra (vlan, spanningtree, velocidade etc). Não efetua a copia das configurações de controle de broadcast
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6

Copiando as configurações de uma porta para várias portas
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6 to gigabit-ethernet 1/0/12

Definindo a senha do usuário ADMIN como s3nha
local-user admin
service-type telnet terminal
level 3
password cipher s3nha

Removendo os usuários default MANAGER e MONITOR
[Switch]undo local-user manager
[Switch]undo local-user monitor

Configurando e habilitando o gerenciamento SNMP com as comunidades s1ro e s1rw
[Switch]snmp-agent community read s1ro
[Switch]snmp-agent community write s1rw

Removendo as comunidades default PUBLIC e PRIVATE
[Switch]undo snmp-agent community write private
[Switch]undo snmp-agent community read public

Habilitando o spanning tree protocol (já é habilitado por padrão)
[Switch] stp enable

Configurando a versão do  rapid spanning tree protocol
[Switch] stp mode rstp 

Configurando o switch como root bridge primário do spanning tree
 O comando stp root primary configura automaticamente o valor do Bridge Priority para 0 (zero)
[Switch] stp root primary
ou
[Switch] stp priority 0

Configurando o switch como root bridge secundário do spanning tree
O comando stp root secondary configura automaticamente o valor do Bridge Priority para 4096
[Switch] stp root secondary
ou
[Switch] stp priority 4096

Criando um LINK AGGREGATION entre dois Switches. Não esquecer de executar esses procedimentos em ambos os Switches. Neste exemplo estão sendo utilizadas as portas 1/0/25 e 1/0/26 dos dois Switches.
link-aggregation group 1 mode static
#
interface GigabitEthernet 1/0/25
undo shutdown
port link-aggregation group 1
#
interface GigabitEthernet 1/0/26
undo shutdown
port link-aggregation group 1

Salvando as configurações do Switch
save

Apagando todas as configurações do Switch
reset saved-configuration
reboot

Comandos Display

Informações de uma determinada porta (velocidade, duplex, etc)

display interface GigabitEthernet 1/0/3

Mostrando um resumo de TODAS as portas
display brief interface

Mostrando quais portas do Switch são do tipo TRUNK
display port trunk

Mostrando um sumário do LINK AGGREGATION. 
display link-aggregation summary
display link-aggregation verbose

Mostrando a configuração do Switch atual
display current-configuration

Mostrando informações do Spanning Tree, quais portas estão BLOQUEADAS e quais estão em FORWARDING 
display stp brief
display stp

E vocês, possuem mais alguma sugestão de comando para os Switches da linha 5500?
Sintam-se a vontade…

Um abração! 🙂

 

 

Switches 3Com 4007 – Configurações Básicas – parte 2 de 2

Publicado originalmente em 9 DE ABRIL DE 2010

Criando VLANs

Na criação de VLANs, deveremos tomar os seguintes cuidados:

a) Cada Vlan vai possuir um ID que deverá ser o mesmo para todos os módulos e em todos os equipamentos Gigabit da rede;

b) Será visto o conceito de TAGGED 802.1Q. Quando forem definidas as portas utilizadas pela Vlan, cada porta deve ser definida como TAGGED ou UNTAGGED:

TAGGED 802.1Q – Quando se define que uma porta será TAGGED, está sendo informado que esta porta será utilizada como Backbone Port(UP Link), ou seja, por esta porta poderão passar mais de uma Vlan. Esta definição é usada para as portas de Backplane e portas de fibras. Também pode-se definir uma porta (RJ45) como TAGGED, para interligar com outra porta (RJ45) também definida como TAGGED. Para o outro Switch entender a marcação da VLAN. Esse conceito é similar ao das portas TRUNK.

IMPORTANTE: Porta definida como TAGGED, só funcionará se o dispositivo conectado a porta entender os frames “tagueados” (Switches ou Servidores), e se forem definidas as mesmas Vlans para as duas portas.

UNTAGGED – Quando se define que uma porta será UNTAGGED, está sendo informado que a porta será dedicada a uma determinada Vlan, ou seja, somente uma Vlan funcionará nesta porta. Esta definição é usada geralmente em portas de usuários finais (RJ45). Não há marcação no quadro com TAG.

 

CB9000> connect 7.1 // conectando ao Fabric
Menu options (Corebuilder 9000-1A97FC):

CB9000@slot 7.1 [24G-FAB-T] ():

Menu options (Corebuilder 9000-1A97FC): ----------------
module - Administer module-level functions
ethernet - Administer Ethernet ports
bridge - Administer bridging/VLANs
snmp - Administer SNMP
disconnect - Disconnect and return to Management Console

Type ? for help.
--------------------------------------------------------
CB9000@slot 7.1 [24G-FAB-T] (): bridge

Menu options (Corebuilder 9000-1A97FC): ----------------
display - Display bridge information
agingTime - Set the bridge address aging time
spanningTree - Administer spanning tree
cos - Administer COS priority queues
port - Administer bridge ports
multicast - Administer multicast filtering
vlan - Administer VLANs
trunk - Administer trunks
link - Administer resilient links

Type "q" to return to the previous menu or ? for help.
----------------------------------------------------------
CB9000@slot 7.1 [24G-FAB-T] (bridge): vlan

Menu options (Corebuilder 9000-1A97FC): ------------------
summary - Display summary information
detail - Display detail information
define - Define a VLAN
modify - Modify a VLAN
remove - Remove a VLAN
mode - Configure VLAN mode

// criaremos aqui uma Vlan com nome TESTE

Type "q" to return to the previous menu or ? for help.
-----------------------------------------------------------
CB9000@slot 7.1 [24G-FAB-T] (bridge/vlan): define
Enter VID (1 Default-VLAN,2-4094) [2]: 2 // ID da VLAN
Select bridge ports (1,5,9,13-17,21all?): all
Configure per-port tagging? (n,y) [y]: [Enter]
Enter port 1-4 tag type (none,802.1Q) [none]: 802.1Q
Enter port 5-8 tag type (none,802.1Q) [none]: 802.1Q
Enter port 9-12 tag type (none,802.1Q) [none]: 802.1Q
Enter port 13 tag type (none,802.1Q) [none]: 802.1Q
Enter port 14 tag type (none,802.1Q) [none]: 802.1Q
Enter port 15 tag type (none,802.1Q) [none]: 802.1Q
Enter port 16 tag type (none,802.1Q) [none]: 802.1Q
Enter port 17-20 tag type (none,802.1Q) [none]: 802.1Q
Enter port 21-24 tag type (none,802.1Q) [none]: 802.1Q
Enter VLAN Name {?} [ ]: teste

Adicionando Portas a uma VLAN

CB9000> connect 6.1

Menu options (Corebuilder 9000-1C0F38): -------------------
module - Administer module-level functions
ethernet - Administer Ethernet ports
bridge - Administer bridging/VLANs
snmp - Administer SNMP
analyzer - Administer Roving Analysis
disconnect - Disconnect and return to Management Console

Type ? for help.
-----------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (): bridge

Menu options (Corebuilder 9000-1C0F38): -------------------
display - Display bridge information
agingTime - Set the bridge address aging time
spanningTree - Administer spanning tree
cos - Administer COS priority queues
port - Administer bridge ports
multicast - Administer multicast filtering
vlan - Administer VLANs
trunk - Administer trunks
link - Administer resilient links

Type "q" to return to the previous menu or ? for help.
-----------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (bridge): vlan 

Menu options (Corebuilder 9000-1C0F38): -------------------
summary - Display summary information
detail - Display detail information
define - Define a VLAN
modify - Modify a VLAN
remove - Remove a VLAN
mode - Configure VLAN mode
Type "q" to return to the previous menu or ? for help.
-----------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (bridge/vlan): modify
Enter VID (2-4094) [2]:
Select bridge ports (1-24all?) [1-24]: 2
Configure per-port tagging? (n,y) [y]:
Enter port 2 tag type (none,802.1Q) [none]: none
// configurando a porta 2 untagged
Enter port 37 tag type (none,802.1Q) [none]: 802.1Q
// porta taggeada
Enter port 38 tag type (none,802.1Q) [none]: 802.1Q
Enter VLAN Name {?} []: teste

Verificando as portas adicionadas as VLANs

Menu options (Corebuilder 9000-1C0F38): -------------------
summary - Display summary information
detail - Display detail information
define - Define a VLAN
modify - Modify a VLAN
remove - Remove a VLAN
mode - Configure VLAN mode

Type "q" to return to the previous menu or ? for help.
-----------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (bridge/vlan): sumary

 

 

 

Switches HPN A5800 – Configurando QinQ

Publicado originalmente em 25 DE JANEIRO DE 2012
Um dos primeiros tópicos do site Comutadores, no ano de 2010, explicava a configuração de uma topologia com a configuração do QinQ em um Switch 5500. Após a aquisição da 3Com por parte da HP, houveram algumas mudanças na linha de equipamentos, com alguns modelos sendo descontinuados e outros alteraram apenas os seus Part Numbers.

As sintaxes de algumas features foram atualizadas e pelo o que temos visto até agora, a mudança tem sido bastante positiva.

A feature QinQ (802.1q sobre 802.1q), conhecido também como Stacked VLAN ou VLAN sobre VLAN, suporta a utilização de duas TAGs 802.1q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.

Para o cliente é como se a operadora tivesse estendido o cabo entre os seus Switches. Já para a Operadora não importa se o cliente está mandando um frame com TAG ou sem TAG, pois ele adicionará mais uma TAG ao cabeçalho e removerá na outra ponta apenas a ultima TAG inserida.

Em resumo, o tráfego no sentido  de entrada na porta configurada com QinQ, adicionará uma TAG 802.1q ao quadro, mesmo em casos que já houver a marcação de VLANs, entretanto no sentido de saída, é removido apenas a última TAG acrescentada, sendo mantida a TAG 802.q inserida pelo cliente.

Configurando

No Exemplo acima deveremos configurar nos Switches A e B uma VLAN para cada cliente e a configurar as interfaces conectadas aos Switches do cliente, como qinq enable. Como detalhe, percebam que é necessário desabilitar o STP em cada interface para os BPDU’s de cada empresa não interferir na topologia STP de cada uma. Segue abaixo a configuração dos Switches A e B:

Vlan 10
name clienteA
!
Vlan 11
name clienteB
!
Vlan 12
name clienteC
!
Interface GigabitEthernet x/y/z
port link-type access
qinq enable
stp disable
Em caso de necessidade de transporte de protocolos de camada 2 como CDP, LLDP, STP e etc, é possivel utilizar na interface algum dos comandos abaixo:

bpdu-tunnel dot1q cdp dldp eoam gvrp hgmp lacp lldp |pagp pvst
stp udld vtp }

A configuração dos Switches de cada cliente não sofre nenhuma alteração em particular e a visão de cada um  será  como se os Switches estivessem diretamente conectados.
Abraços a Todos! 🙂

Switches 3Com 4800G – RRPP (Topologia Single Ring)

Publicado originalmente em 21 DE JULHO DE 2010

O RRPP (Rapid Ring Protection Protocol) é um protocolo da camada de Enlace para topologias Ethernet em anel para prevenção de tempestades de Broadcast como alternativa para o Spanning-Tree.

O Rapid Ring Protection Protocol permite isolamento de domínios do STP (802.1d, 802.1s e 802.1w), muito utilizado em redes MetroEthernet para que a convergência do Spanning-Tree de cada site seja independente.

Em comparação com o 802.1d (STP), o RRPP possui as seguintes vantagens:

• Rápida convergência da topologia (por default 3 segundos em caso de não detecção dos pacotes Hello [as documentações do fabricante informam  o tempo de convergência menores que 50 milisegundos])

• Tempo de convergência independente do tamanho do anel (possibilita o diâmetro de 16 Switches em comparação de 7 do Spanning-tree)

No cenário abaixo, o Site 2 não troca mensagens BPDU’s com o Site 3, isto é, cada site teria o seu próprio Switch Root e tempo de convergência independente do outro, apesar de continuarem trocando mensagens de Broadcast que permitirão a comunicação entre todos os Sites como se os Switches estivessem fisicamente no mesmo local.

Mecanismo do RRPP

Cada Switch do Anel em uma topologia Simples (Single Ring) possui uma porta Primária (Primary) e uma porta Secundária (Secondary) que são definidas para identificação do estado da topologia.

Para prevenção de Loops a porta Primaria do único Switch Master do Anel encaminha mensagens Hello através da VLAN de controle a cada 1 segundo que será reencaminhada pelos Switches Transit (não Master).

Se a porta Secundária do Switch Master receber a mensagemHello encaminhada anteriormente pela porta Primária do Master, a porta Secundária irá bloquear os dados e permitirá somente as mensagens encaminhadas pela VLAN de controle, protegendo assim a topologia de Loops na rede.

Quando o anel é desfeito (por problemas no link), a porta secundária do Switch Master irá permitir tráfego de todas as VLANs.

Quando o Switch Transit percebe uma falha no link, ele encaminhará imediatamente uma mensagem Link-Down para o Switch Master. Após receber a mensagem, o nó Master irá permitir as VLANs da porta Secundária (anteriormente em estado de bloqueio).

Após receber a mensagem Link-Down, o Switch Master encaminhará para todos os nós Transit uma mensagemCommon-Flush-FDB para os nós atualizarem suas entradas ARP e MAC.

Quando o Nó Master identifica que o Anel foi restaurado, encaminha uma mensagem Complete-Flush-FDB para os outros nós do Anel para atualização das entradas ARP e MAC, pois a porta Secundária do Master entrará novamente em estado de bloqueio.

Obs: o Hello timer encaminhado pelo Master é de 1 segundo e o fail-timer (tempo para detecção da falha) é de 3 segundos. A rápida convergência do RRPP é provida pelas mensagens encaminhadas imediatamente dos Switches Transit para o Master quando é detectado uma falha no link que compõe o Anel.

Configuração

#
rrpp domain 1
!Criando o dominio RRPP 1
control-vlan 4093
!Especificando a VLAN 4093 para controle das mensagens RRPP
protected-vlan reference-instance 0 to 32
! Protegendo as VLANs mapeadas nas Instancias MSTP 0 a 32 como potegidas pelo RRPP
ring 1 node-mode master primary-port GigabitEthernet1/0/25 secondary-port GigabitEthernet1/0/26 level 0
!Especificando o Switch como Master ,a porta Gi1/0/25 como Primária e a Giga 1/0/26 como Secundária
ring 1 enable
!Ativando o anel 1
#
interface GigabitEthernet1/0/25
port link-type trunk
!Configurando a porta como trunk
port trunk permit vlan all
!Configurando o trunk para permitir todas as VLANs
stp disable
! Desabilitando o STP na interface Giga 1/0/25
qos trust dot1p
!Confiando na marcação 802.1p nas portas RRPP do Anel de cada dispositivo.
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
stp disable
qos trust dot1p
#
rrpp enable
!Ativando o RRPP

Segue abaixo a configuração dos nós Transit:

#
rrpp domain 1
!Criando o dominio RRPP 1
control-vlan 4093
!Especificando a VLAN 4093 para controle das mensagens RRPP
protected-vlan reference-instance 0 to 32
! Protegendo as VLANs mapeadas nas Instancias MSTP 0a 32 como potegidas pelo RRPP
ring 1 node-mode transit primary-port GigabitEthernet1/0/25 secondary-port GigabitEthernet1/0/26 level 0
!Especificando o Switch como Transit ,a porta Gi1/0/25 como Primária e a Giga 1/0/26 como Secundária
ring 1 enable
!Ativando o anel 1
#
interface GigabitEthernet1/0/25
port link-type trunk
port trunk permit vlan all
stp disable
qos trust dot1p
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
stp disable
qos trust dot1p
#
rrpp enable
!Ativando o RRPP

Comando Display

[Site1]display rrpp verbose domain 1

Domain ID : 1
Control VLAN : Major 4093 Sub 4094
Protected VLAN: Reference Instance 0 to 32
Hello Timer : 1 sec Fail Timer : 3 sec

Ring ID : 1
Ring Level : 0

Node Mode : Master
Ring State : Complete
Enable Status : Yes Active Status: Yes
Primary port : GigabitEthernet1/0/25 Port status: UP
Secondary port: GigabitEthernet1/0/26 Port status: BLOCKED

Comando display após falha no Anel

[Site1]display rrpp verbose domain 1

Domain ID : 1
Control VLAN : Major 4093 Sub 4094
Protected VLAN: Reference Instance 0 to 32
Hello Timer : 1 sec Fail Timer : 3 sec

Ring ID : 1
Ring Level : 0

Node Mode : Master
Ring State : Failed
Enable Status : Yes Active Status: Yes
Primary port : GigabitEthernet1/0/25 Port status: DOWN
Secondary port: GigabitEthernet1/0/26 Port status: UP

Referências

http://www.huawei.com/products/datacomm/pdf/view.do?f=71

http://pt.wikipedia.org/wiki/Ethernet_Automatic_Protection_Switching

 

 

Switches 3Com 5500 – Configurando QinQ (VLAN-VPN)

Publicado originalmente em 22 DE FEVEREIRO DE 2010

Conhecido também como Stacked VLAN, o QinQ suporta a utilização de duas TAGs 802.1q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.

A idéia é prover serviços aos clientes para manterem suas próprias VLANs dentro da rede do PROVEDOR, que poderá configurar uma VLAN para cada cliente independente da marcação 802.1q efetuada.

O comando vlan-vpn enable permite a utilização de QinQ.

Chamaremos os Switches 5500 de equipamentos do Provedor e os Switches 4210 e 4500 como Switches do Cliente.

No exemplo abaixo a comunicação entre o host A e B ocorrerá da seguinte forma:

1º – O Frame encaminhado pelo host A será marcado no Switch 4500 com a TAG 10 para o Switch 5500-A.
2º – O Switch 5500-A irá manter a informação da VLAN 10 e adicionará mais uma marcação com a TAG 100.
3º – O Switch 5500-B removerá a TAG 100 e encaminhará o Frame para o Switch 4210 com a TAG adicionada pelo Switch 4500.
4º – O Switch 4210 irá remover a TAG 10 e encaminhará o frame para o Host B

A estrutura do provedor (Switches 5500-A e 5500-B) será transparente para o cliente.

Segue abaixo as configurações efetuadas:

 

Switch 4210 
vlan 10
#
interface Ethernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/27
port link-type trunk
port trunk permit vlan all

Switch 5500-A
vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Switch 5500-B vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Switch 4500 vlan 10
#
interface Ethernet1/0/1
port access vlan 10
#
interface GigabitEthernet1/0/27
port link-type trunk
port trunk permit vlan all

Percebam que nos equipamentos do Provedor, será necessário a configuração da porta de UpLink com o cliente como Access para não alterarmos a TAG inicial e também desabilitarmos o NTDP e STP.

Na configuração acima, os Switches 4210 e 4500 não irão trocar BPDUs, isto é, não haverá uma topologia única para o Spanning-Tree ( dos Switches do Cliente). Cada Switch do Cliente será Root da sua topologia (Os switches do Provedor, não participarão do Spanning-tree)

Para uma topologia única para o Spanning-tree do Cliente, será necessário configurarmos o comando vlan-vpn tunnel globalmente nos equipamentos da Operadora.
Segue abaixo configuração :

Switch 5500-A 
vlan-vpn tunnel
#
vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Switch 5500-B 
vlan-vpn tunnel
#
vlan 100
#
interface GigabitEthernet1/0/25
stp disable
port access vlan 100
vlan-vpn enable
undo ntdp enable
#
interface GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan 1 100

Comando display STP no Switch 4210:

display stp
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge :32768.0024-73c4-7477
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :32768.0022-5733-5280
CIST RegRoot/IRPC :32768.0024-73c4-7477
CIST RootPortId :128.25

Até logo!

 

 

IPv6 – Descoberta de Roteadores e Descoberta de Vizinhos

Publicado originalmente em 26 DE OUTUBRO DE 2011 em http://www.rotadefault.com.br/2011/10/26/ipv6-%E2%80%93-descoberta-de-roteadores-e-descoberta-de-vizinhos/

A comunicação entre hosts em uma rede local com  IPv6 ocorre inicialmente com a utilização de mensagens ICMPv6 para descoberta de dispositivos vizinhos . O assunto gerou uma discussão bem bacana no ultimo curso de IPv6 que participamos promovido pelo NIC.br na cidade de SP. A equipe está de parabéns pelo serviço oferecido, material e treinamento!

Para o  IP versão 6 foram atribuídas funções importantes ao ICMPv6 que combinam as atividades de protocolos como o ARP, ICMP Router Discover, ICMP Redirect e etc, além de adicionar novos métodos não existentes na versão anterior do protocolo IP. A facilidade de comunicação entre equipamentos é muito pratica e em determinados cenários dispensa configuração.

A eliminação de  endereços broadcast para descoberta de dispositivos  foram substituídas no IPv6 por mensagens com endereços Multicast como All-Routers, All-nodes, Solicited-Node, etc.

Para a comunicação entre dispositivos na LAN são utilizada as mensagens NS (Neighbor SolicitationICMPv6 tipo 135) e NA (Neighbor  Advertisement,ICMPv6 tipo 136) para mapeamento de endereço de rede e da camada de enlace, substituindo o ARP do IPv4.

Para a auto-configuração chamada de stateless de endereços globais (únicos, com acesso a Internet) para dispositivos da LAN, são utilizadas mensagens RS (Router Solicitation , ICMPv6 tipo 133) e RA (Router Advertisement, ICMPv6 tipo 134). Nesse caso o roteador encaminhará o prefixo de rede no segmento e os dispositivos interessados “anexarão” dinamicamente a porção de host do endereço (gerada do endereço MAC ou aleatóriamente para criar seu endereço global IPv6) além da rota default para o dispositivo.

Os protocolos de descoberta de vizinhos e descoberta de roteadores traz a possibilidade de desenvolvimento de cenários como a automação residencial onde todos os equipamentos de uma casa conversam entre si e possuem acesso a Internet, entre outros…

Como uma imagem vale mais do que mil palavras, segue um desenho explicativo para a troca de mensagens de solicitação de vizinhos e roteadores elaborado pelo Adilson Florentino no curso de IPv6; e rabiscado abaixo por nós…. ;)

Switches HP A7500 – IPv6, Autoconfiguração Stateless.

Publicado originalmente em 21 DE FEVEREIRO DE 2011

A Autoconfiguração Stateless de endereços para IPv6 permite aos hosts a atribuição automática de endereços de rede sem a necessidade de um servidor DHCP e/ou configuração manual nas máquinas.

O hosts IPv6 são capazes de autoconfigurar o endereço Global baseado no prefixo de rede anunciado pelo Gateway com o protocolo de Discovery, vinculando os 64 bits finais do endereço IPv6 com uma variação do endereço MAC do dispositivo( chamado de Interface Identifier IEEE EUI-64 format).

Por exemplo, digamos que um dispositivo com o endereço MAC 00:26:b9:ce:b8:90 receba do Roteador o prefixo 2001::/64 para autoconfiguração de endereço Stateless; o resultado é o seguinte endereço IPv6: 2001::226:b9ff:fece:b890/64.

Perceba no endereço que a porção responsável pelo identificador da Interface possui uma semelhança no endereço MAC citado anteriormente: 2001::226:b9ff:fece:b890/64

O endereço MAC possui  apenas 48 bits; e para completar os 64bits são inseridos no meio do endereço MAC os valores em hexadecimal FFEE.

Obs: Outro valor alterado para unicidade do endereço é o 7º Bit do endereço, que é alterado para o valor 1 ( chamado de bit  Universal/Local [U/L])

Configurando 

ipv6
#
interface Vlan-interface2
ipv6 address 2001::1/64
undo ipv6 nd ra halt
! Desativando a supressão de mensagens RA
(router advertisement) que são os anúncios do prefixo.

Nesse caso o host autoconfigurará o endereço baseado no prefixo da interface e terá o dispositivo como Gateway da estação.

Porém…
O leitor pode perguntar: – E a configuração de DNS?
Nesse exemplo, ainda precisaremos configurar o resolver para os hosts manualmente em IPv6 ou em IPv4.

Até logo! 🙂