Vídeo: Switches ArubaOS-CX – Configurando VLANS
Nesse video, explicamos a configuração de VLANs em Switches Aruba baseados no Aruba-OS-CX.
802.1Q
Switches ArubaOS-CX: Configurando VLANs
A utilização de VLANs (Virtual Local Area Network) permite que a rede seja dividida em várias redes lógicas dentro de um switch.Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em switches divide as portas em 2 grupos: portas de acesso e portas de uplink.
Para a comunicação entre os switches da rede (portas de uplink), configure as interfaces como trunk com as suas respectivas VLANs permitidas.
Para comunicação dos hosts conectados ao switch, configure as interfaces como access em sua respectiva VLAN.
Exemplo de configuração de VLANs nas portas de uplink:
Interface 1/1/x vlan trunk allowed [VLAN-LIST | all]
Exemplo de configuração de VLANs nas portas de acesso:
Interface 1/1/x vlan access [VLAN-ID]
No exemplo abaixo, demonstros a configuração do switch utilizando 2 VLANs na rede para segmentação das máquinas:
#ArubaCX1
vlan 1,3-4
!
interface 1/1/2
vlan trunk native 1
vlan trunk allowed 3-4
interface 1/1/3
vlan access 3
interface 1/1/4
vlan access 4
!
#ArubaCX2
vlan 1,3-4
!
interface 1/1/2
vlan trunk native 1
vlan trunk allowed 3-4
interface 1/1/3
vlan access 3
interface 1/1/4
vlan access 4
!
Dicas
Caso a porta apresente mensagem de erro durante a configuração da VLAN, como ‘Operation not allowed on an interface with routing enabled’, altere o modo de funcionamento da porta de L3 para L2 com o comando no routing.
ArubaCX1(config-if)# interface 1/1/11 ArubaCX2(config-if)# vlan access 4 Operation not allowed on an interface with routing enabled. ArubaCX1(config-if)# no routing ArubaCX2(config-if)# vlan access 4
Para validar a configuração das interfaces e VLAN, utilize os comandos show vlan e show interface brief, entre outros.
A configuração de vlan native é habilitada por default em todas as interfaces configuradas como trunk e ela indica para qual VLAN um quadro não-marcado com o ID da VLAN (untagged) será direcionado. Por padrão de mercado todos os pacotes não tagueados são direcionados para a VLAN 1 em uma porta trunk (uplink).
Vídeo: Switches ArubaOs – VLANs
Nesse vídeo explicamos a configuração de VLANs via CLI em Switches ArubaOs.
Obrigado!
Vídeo:Explicando a Configuração do PVID na porta de um Switch
Nesse vídeo explicamos a configuração do PVID nas portas access e trunk de um switch.
Obrigado.
Switches ArubaOS – Configurando VLANs
A utilização de VLANs (Virtual Local Area Network) na rede local permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch.
A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não pertencem a mesma VLAN (para isto, as boas práticas sugerem a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).
Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em Switches divide as portas Ethernet em 2 grupos: portas de acesso e portas de uplink.
Continue readingSwitches ArubaOS – Guia Rápido de Configuração
Para aqueles que estão começando a gerenciar equipamentos Aruba criamos uma lista de comandos para instalação e configuração de Switches com ArubaOS (parte dos comandos são aceitos na maioria dos modelos); os scripts são simples e bastante úteis!
Algumas funcionalidades podem ser configuradas de diferentes maneiras, mas tentaremos ser o mais abrangente possível nos scripts abaixo:
Continue reading
Vídeo: Guia Rápido para Configuração de Switches 3Com/HP
Nesse vídeo explicamos os principais comandos para a configuração de Switches 3Com/HP.
Até logo!
Vídeo: QinQ (802.1ad)
A feature QinQ (802.1q sobre 802.1q – 802.1ad ), conhecido também como Stacked VLAN ou VLAN sobre VLAN, suporta a utilização de duas TAGs 802.1Q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.
Para o cliente é como se o provedor de serviços tivesse estendido o cabo entre os seus Switches. Já para a operadora não importa se o cliente está mandando um frame com TAG ou sem TAG, pois ele adicionará mais uma TAG ao cabeçalho e removerá na outra ponta apenas a ultima TAG inserida.
Obrigado!
Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
Galera, essa semana recebi um email com algumas dúvidas sobre portas Trunk/Hybrid, Link Aggregation e STP. Achei que seria bacana responder na forma de post pois acredito que essas questões podem ser as dúvidas de mais pessoas.
Segue abaixo as questões editadas… sintam-se livres para interagir nos comentários.
Diego,
Se não for muito incomodo pra vc, consegue me responder as questões abaixo?
- Diferença do link aggregation em modo static e dynamic, quando usar um ou outro?
O Link-Aggregation permite agregação de diversas interfaces Ethernet (portas físicas) para a criação de uma única porta lógica com o intuito de prover redundância e aumento de banda. As melhores práticas sugerem a negociação do protocolo LACP (802.3ad) entre os 2 equipamentos que desejam fechar a agregação de portas afim de evitar erros de cabeamento e certificar o meio físico em todo o tempo que o Link-Aggregation estiver ativo, além de agilizar a redundância em caso de falhas.
Exemplo de configuração com LACP: http://www.comutadores.com.br/switches-3com-4800g-link-aggregation/
Mas há também cenários em que um dos equipamentos não utiliza o protocolo LACP para agregação de links ou então o meio físico oferecido pelo Provedor de Serviços para comunicação Ethernet não permite o encaminhamento de alguns protocolos da camada de enlace como o LLDP, CDP, LACP, STP, etc. Então nesses cenários devemos usar o modo static, isto é, Link-aggregation configurado manualmente sem validação do meio e/ou equipamentos por um protocolo como 802.3ad. Se a porta estiver UP, o modo static irá encaminhar o tráfego, mesmo que o cabeamento esteja conectado em outro equipamento incorretamente.
- Diferença de portas trunk e hybrid, quando usar a hybrid?
Enquanto a porta configurada como access permite apenas o tráfego de quadros Ethernet sem marcação de tag 802.1Q, o que faz com que o Switch atribua a comunicação para aquela VLAN, a configuração Trunk e Hybrid permitem a utilização de várias VLANs em uma única porta. As portas configuradas como access são geralmente atribuídas para computadores, servidores, impressoras, etc.
A porta Trunk é utilizada para o encaminhamento e recebimento de tráfego Ethernet tagueado com o ID da VLAN mas com a exceção de permitir apenas uma VLAN não tagueada, dita explicitamente na configuração. Por padrão o tráfego não tagueado de uma porta trunk é direcionado para a VLAN 1 (mas isso pode ser modificado). As portas trunk são configuradas na comunicação entre Switches e também com Servidores que possuem Switches virtuais internos para VMs, etc.
Exemplos:
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/
Já a porta Hybrida permite encaminhar o tráfego de inúmeras VLAN tagueadas ou não. Por exemplo, se você precisa que o tráfego de duas máquinas que estão atrás de um HUB seja separado dinamicamente entre duas VLANs diferentes, a configuração de porta hybrida permite que o Switch leia marcações como endereço MAC, 802.1p, cabeçalho IP e etc, para dinamicamente efetuar diferenciação do tráfego para as suas respectivas VLANs (lembrando que o tráfego nesse caso pode vir sem TAG das máquinas).
Exemplo de configuração de porta Híbrida:
http://www.comutadores.com.br/mac-based-vlans/
- O spanning tree é habilitado nas portas (uma a uma) ou no switch?
Para habilitar (ou desabiltar) o spanning-tree no Switch é preciso a configuração no modo global.
Exemplo para habilitar o STP:
http://www.comutadores.com.br/stp-desabilitado/
Apesar de ser o protocolo mais utilizado para prevenção de loop, o Spanning-Tree não se encaixa em todos os cenários de rede e o seu algoritmo pode as vezes prejudicar a integração de diferentes ambiente. Nesse caso é possível adicionar algumas features individualmente nas portas para ajuste fino, como por exemplo o stp-edged port (portfast) ou então desabilitar o STP somente em determinadas portas. Mas cada caso deve ser estudado minuciosamente para evitar situações de loop.
Exemplos de tuning para o STP:
http://www.comutadores.com.br/protegendo-o-spanning-tree/
http://www.comutadores.com.br/switches-hpn7500-configurando-filtros-para-bpdus-bpdu-filtering/
http://www.comutadores.com.br/switches-3com-4800g-edged-port-bpdu-protection/
- Diferença do spanning tree para o rapid spanning tree, quando usar o rapid spanning tree?
O Rapid Spanning-Tree (802.1w) é uma evolução do Spanning-Tree inicial (802.1d) com um significativa melhora no tempo de convergência e conectividade da rede.
Uma das grandes limitações do STP não foi corrigida na versão 802.1w que é o bloqueio de todos os caminhos redundantes como prevenção de Loop. Esse tipo de cenário acaba gerando ocasionando gargalos pois a empresa gasta uma quantidade significativa de dinheiro para a extensão de fibra redundante deixando um dos links sobrecarregados enquanto o outro está ocioso.
A versão Multiple Spanning-Tree (802.1s) permite a criação de instancias independentes do STP para balanceamento de VLAN permitindo a alteração do root para determinadas VLANs ou o custo para o root. O protocolo é um pouco complexo quando você deseja conectar grandes domínios 802.1s entre si, por exemplo estender a LAN de duas empresas, mas com um bom planejamento o protocolo torna-se uma ferramenta poderosa.
Todos os Switches HP baseados no comware, ao habilitar o STP, iniciam a versão 802.1s. Caso você não faça nenhuma configuração de ajuste o 802.1s terá o comportamento da versão Rapid-Spanning Tree.
Artigos sobre STP
http://www.comutadores.com.br/rapid-spanning-tree-802-1w/
http://www.comutadores.com.br/elegendo-o-switch-root-do-spanning-tree/
http://www.comutadores.com.br/introducao-ao-multiple-spanning-tree-802-1s/
- Para habilitar o spanning tree, basta dar um enable stp na porta de uplink ou é necessario configurar algo a mais (ou quando habilitamos para a switch, já é aplicado para todas as interfaces)?
Ao habilitar o STP no Switch a configuração é atribuída a todas as portas e as mesmas iniciam o encaminhamento de BPDUs para prevenção de loop.
- Devo usar os mesmo comandos do stp (ex: “stp edged-port enable”, “stp cost”, ) quando utilizado o rstp?
Sim, o comando é o mesmo para as versões 802.1w e 802.1s
- Nas interfaces de uplink, entre switchs que nao sao cores, as portas stp devem ficar como DESIGNATED, PORT ROOT ou ALTERNATE PORT?
Tudo vai depender de quem será o Switch Root da sua rede. Se o Switch Core for o root, os uplinks do Switch Core estarão como DESIGNATED, já os Switches não-Core, conectados a ele, terão suas portas como ROOT PORT (melhor caminho para o Switch ROOT) ou ALTERNATE PORT (porta redundante bloqueada para prevenção de Loop)
- Em qual interface, dos switchs roots, devo usar o comando stp root-protection?
A configuração da porta como Root Guard permite à uma porta Designada a prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root. A feature força a porta a cessar comunicação toda vez quem um Switch tiver o Priority ID mais favoravel para tornar-se Root, então o Switch Root isola assim o segmento para o Switch indesejado. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente
Essa feature é geralmente configurada em portas Designadas do Switch Root.
- Devo setar o comando “stp loop-protection” nas interfaces “ALTERNATE PORT” (caminho secundário) das switchs não core. Correto?
Correto, a configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, a função de se proteger contra cenários de loop na rede quando há falhas no recebimento de BPDU’s em portas ALTERNATE.
Quando uma porta ALTERNATE parar de receber BPDU’s ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root.
Obs: Dica! Simule as features em ambiente de laboratório antes de aplicar em uma rede de produção. Isso permitirá ao administrador conhecer melhor os cenários, equipamentos, falhas e troubleshooting.
Até logo.
Utilizando sub-interfaces nos Rotadores HP MSR’s, 8800 e 6600
A utilização de sub-interfaces em Roteadores permite a multiplexação/divisão de um único link físico em múltiplos links lógicos.
Como exemplo nos cenários abaixo, o Roteador poderá atuar tanto como Gateway para roteamento entre as VLANs X e Y no cenário A para casos em que o Roteador possua possua poucas portas disponíveis, por exemplo; como também em casos para rotear pacotes sem que as redes X e Y tenham acesso uma a outra com a utilização de VRFs , chamadas de VPN-Instance nos Roteadores HPN ( para o cenário B).
Para configurar uam sub-interface em um Roteador 8800, utilize o “.”(ponto) + o id da VLAN após o numero indicativo da porta em uma interface no modo routed.
[Roteador]interface Ten-GigabitEthernet 2/1/1.? #
Segue um exemplo da configuração para o cenário A
interface Ten-GigabitEthernet 2/1/1.30 description VLAN_X ip adress 192.168.20.1 255.255.255.0 quit # interface Ten-GigabitEthernet 2/1/1.31 description VLAN_Y ip adress 192.168.30.1 255.255.255.0 quit #
Em alguns modelos de Roteadores como a Serie 6600 será necessário configurar o VLAN ID, com a configuração do vlan-type dot1q vid [id da vlan] dentro da sub-interface, isto em razão do SO do Roteador não entender que é explicito o ID da VLAN no número da sub-interface. Roteadores Cisco funcionam da mesma forma.
interface Ten-GigabitEthernet 2/1/1.30 description VLAN_X ip adress 192.168.20.1 255.255.255.0 vlan-type dot1q vid 30 quit # interface Ten-GigabitEthernet 2/1/1.31 description VLAN_Y ip adress 192.168.30.1 255.255.255.0 vlan-type dot1q vid 31 quit #
… então como as sub-interfaces estão diretamente conectadas, as rotas são adicionadas à tabela de roteamento, o equipamento fará o roteamento de pacotes.
Já para o segundo cenário, a mesma configuração é válida, bastando apenas configurar a sub-interface com a configuração da vpn-instance antes de configurar o endereço IP.
#Criando a VRF para o cliente X ip vpn-instance clientex route-distinguisher 65000:1 vpn-target 65000:1 export-extcommunity vpn-target 65000:1 import-extcommunity # #Criando a VRF para o cliente Y ip vpn-instance clientey route-distinguisher 65000:2 vpn-target 65000:2 export-extcommunity vpn-target 65000:2 import-extcommunity # interface Ten-GigabitEthernet 2/1/1.30 description ip binding vpn-instance clientex ip adress 192.168.20.1 255.255.255.0 quit # interface Ten-GigabitEthernet 2/1/1.31 description VLAN_Y ip binding vpn-instance clientey ip adress 192.168.30.1 255.255.255.0 quit # # as configurações do compartimento WAN de cada VRF foram omitidas #
obs: Uma rede não será roteada para outra a menos que estejam na mesma VRF.
Já para a configuração do Switch basta apenas configurar a interface como trunk permitindo as vlans correspondente. Se o Roteador for da Serie 6600 a configuração vlan-type dot1q vid … também será necessária (para o segundo cenário).
Um grande abraço e a Paz! 🙂