Blog Archives

Dica: Agendando o Reboot no Comware

O Kleber Coelho, enviou a dica abaixo na qual ele precisou mexer em uma configuração sensível no Switch HP 7510 que poderia gerar a perda da gerencia do equipamento.

Inicialmente ele salvou a configuração atual do Switch. Após isso, agendou o reboot para 10 minutos (em caso de perda da gerencia, o Switch reiniciaria e voltaria a ultima configuração salva), aplicou a configuração e após o sucesso dos comandos aplicados, ele cancelou o reboot.

A configuração do schedule reboot deverá ser feita no modo “user-view”

Segue o email do Kleber:

Diego, boa tarde, tudo bem?

Recentemente precisei bloquear da divulgação do OSPF um IP de gerência local em um HP-A7510.
Se for útil para você colocar no blog, sinta-se à vontade!

# salvando a configuração atual
save force
# gatilho de reboot para garantir a recuperação, 
# caso dê algo errado e perca o acesso 
schedule reboot delay 10
# criar ACL com redes bloqueadas
system
acl number 2500 name Remove_BOGON_OSPF
# rule deny source <IP> <Wildcard>
rule deny source 192.168.255.0 0.0.0.255
rule permit
# aplicar ACL na instancia OSPF
ospf 1
filter-policy 2500 export
# Se der algo errado e perder acesso, 
#     basta esperar  o equipamento reiniciar em 10 minutos.
# Se tudo der certo, salve e remova o agendamento de reboot.
save force
quit
quit
undo schedule reboot

Agradeço ao Kleber pela dica enviada. :)

Laboratório para configuração simples de MPLS L3VPN

Comware MPLS L3VPN Lab

Alterando a distancia administrativa para os protocolos de Roteamento em Switches e Roteadores HPN (Comware)

Há alguns posts atrás comentamos sobre a diferença da Distância Administrativa para as rotas aprendidas dinâmicamente em Switches e Roteadores dos fabricantes Cisco e HPN (H3C/3Com) e a atenção que deve ser dada em ambientes com Protocolos de Roteamento que possuem Switches e Roteadores  de ambos fabricantes

http://www.comutadores.com.br/distancia-administrativa-em-switches-l3-e-roteadores-h3c3comhp-serie-a/

A Distância Administrativa possui apenas função local e não é compartilhada pelo protocolo de roteamento.

Como por exemplo, em um Roteador utilizando o OSPF (como IGP) e o BGP para aprender as “rotas externas”, se uma mesma rota fosse aprendida via OSPF e BGP, o comportamento para escolha do melhor caminho seria diferente em Rotadores Cisco (a distancia administrativa para o OSPF é 110 e o  eBGP é 20) e HPN ( o OSPF é 10 e o eBGP é 255). Lembrando que para prefixos iguais aprendido por diferentes protocolos o Roteador escolhe a rota com menor distância administrativa.

Uma coisa bacana do Comware é poder alterar o valor da distância administrativa  baseado no processo de Roteamento, por exemplo, se tivermos 2 processos OSPF rodando no Router/Switch é possível alterar a distancia administrativa em um dos processos sem afetar o outro ( muito útil quando se utiliza VRFs [ vpn-instance] em um mesmo roteador) .

Para redes que utilizam MP-BGP, tambem é possível alterar a distância administrativa no address-family do cliente.

Veja o exemplo abaixo para a tabela de roteamento Global (eBGP e iBGP com a distância adminstrativa em 255) e a tabela de roteamento da vpn-instance cliente-A (com o eBGP como 7 e o iBGP como 100).

<Router>display ip routing-table
Routing Tables: Public
Destinations : 18177     Routes : 18177

Destination/Mask    Proto  Pre  Cost         NextHop         Interface
0.0.0.0/0           BGP    255  0            10.180.226.197  GE3/1/6.100
192.168.9.0/24      BGP    255  0            10.180.226.197  GE3/1/6.100
192.168.10.0/24     BGP    255  0            10.180.226.197  GE3/1/6.100
192.168.11.0/24     BGP    255  0            10.180.226.197  GE3/1/6.100
<saída omitida>

<Router>display ip routing-table vpn-instance cliente-A
Routing Tables: cliente-A
Destinations : 1789      Routes : 1789
Destination/Mask    Proto  Pre  Cost         NextHop         Interface
1.1.1.1/32          BGP    7    0            192.168.176.217  GE9/1/7
2.2.2.0/29          BGP    7    0            192.168.176.217  GE9/1/7
192.168.80.0/30     BGP    100  0            192.168.229.193  NULL0
10.1.1.1/32         BGP    7    0            192.168.176.217  GE9/1/7
<saída omitida>

Para configurar a distancia administrativa dentro processo BGP ou dentro do processo “ipv4-family vpn-instance [nome da vrf]” no BGP use a sintaxe:

[Router-bgp]preference ?
INTEGER<1-255>  External preference
!Distancia administrativa para rotas aprendidas via eBGP

[Router-bgp]preference 7 ?
INTEGER<1-255>  Internal preference
!Distancia administrativa para rotas aprendidas via iBGP

[Router-bgp]preference 7 100 ?
INTEGER<1-255>  Local preference
!Distancia administrativa para rotas aprendidas via iBGP (locais)

[Router-bgp]preference 7 100 9 

Para o OSPF  utilize o commando preference para alterar a distância administrativa de rotas OSPF e OSPF ASE:

[Router-ospf-1]preference ?
INTEGER<1-255>  Preference value
ase             AS external link states

[Router-ospf-1]preference ase ?
INTEGER<1-255>  Preference value

Até logo!

OSPF – Comando Silent-Interface ( Passive Interface)

Publicado originamente em 28 DE NOVEMBRO DE 2010

Durante as configurações do processo OSPF para Switches, Servidores ou Roteadores, algumas redes precisam ser declaradas no OSPF, mas isso não significa que elas (precisarão) formar adjacência com outros Roteadores – ao inserirmos uma rede com o comando network o equipamento começará a trocar mensagens OSPF por aquela interface.

O fato da interface gerar mensagens pelo protocolo OSPF a deixa vunerável ao aprendizado de mensagens de outros equipamentos que podem por consequência inserir redes por engano ou de forma maliciosa  (perdendo assim o controle sobre o Roteamento da rede).

Nesse caso poderemos deixar as interfaces Fisicas e VLANs em modo silencioso, sem gerar mensagens do protocolo para a LAN.

O comando silent-interface  (em Switches e Roteadores 3Com/H3C/HP ) seguido do numero da interface VLAN ou Interface física, permitirá ao Switch/Roteador não gerar mensagens LSA.

ospf 100
silent-interface Vlan-interface1
! Configurando a interface VLAN 1 em modo silent
area 0.0.0.0
network 192.168.1.2 0.0.0.0
network 172.31.0.1 0.0.0.0

! As melhores práticas sugerem configurarmos todas as interfaces
! como silent ( passive) e habilitarmos somente as VLANs/Interfaces
! de adjacência com o comando undo silent-interface + Interface

silent-interface all
! Configurando todas as Interfaces VLAN como silent
undo silent-interface Vlan-interface 2
! Removendo a interterface VLAN 2 do silent

Dúvidas? Deixe um comentário!

Abraços a todos!

Switches HP 7900 / Roteadores MSR’s – Comando network no OSPF versão 2

Publicado originalmente em 28 DE NOVEMBRO DE 2010

Nos últimos dias durante um treinamento do OSPF fui questionado sobre  a função do comando network dentro do processo OSPF em um Switch/Roteador .

Hoje, por acaso, encontrei um tópico semelhante no Packet Life que serviu de inspiração escrever esse artigo.

Usarei o conceito de interface VLAN para o exemplo,  mas o efeito é o mesmo para Interfaces Ethernet, Serial,etc..

O comando Network

O comando network dentro do Processo OSPF tem a função de PERMITIR uma determinada interface dentro do Protocolo de Roteamento. No exemplo abaixo configuraremos a rede 192.168.1.0/24 e 172.31.0.0/16 como normalmente é executado:

ospf 100
! Configurando o processo OSPF com o número 100
area 0.0.0.0
!Configurando a Aérea 0
network 192.168.1.0 0.0.0.255
! Configurando a rede 192.168.24.0/24 com a wildcard mask (mascara curinga)
network 172.31.0.0 0.0.255.255
! Configurando a rede 172.31.0.0/16 com a wildcard mask (mascara curinga)

Com a configuração efetuada, todas as interfaces com o endereço IP dentro desse range começarão a trocar pacotes Hello para estabelecimento de adjacência OSPF.

Se o IP da interface VLAN fosse 192.168.1.1/24 poderíamos configurar o comando network como:

network 192.168.1.1 0.0.0.0
! Configurando a Interface VLAN  com IP 192.168.1.1 com mascara curinga de
! 32 bits para participar no processo OSPF.

ou 

network 0.0.0.0 255.255.255.255
! Configurando TODAS Interfaces VLAN do Switch com mascara curinga de
! 0 bits para participar no processo OSPF.

Se analisássemos a Tabela de Roteamento dos Roteadores adjacentes, veríamos que a rede 192.168.1.0/24 seria declarada da mesma maneira.

[7500]disp ip routing-table
Routing Tables: Public

Destination/Mask Proto Pre Cost NextHop      Interface

192.168.1.0/24  OSPF   100  1   172.31.1.2    Vlan2

Com os exemplos apresentados acima para a adjacência OSPF, sugerimos apenas a configuração do IP da Interface que  participará do processo com a mascara curinga 0.0.0.0, para assim não inserir outras redes por engano.  ;)

Distância administrativa em Switches L3 e Roteadores H3C/3Com/HP Serie A

A tabela de roteamento dos Switches L3 e Roteadores, insere os destinos aprendidos manualmente (rotas estáticas ou redes diretamente conectadas) ou dinamicamente (aprendidos via protocolo de roteamento dinâmico).

 
Para os casos de uma destino ser aprendido de diferentes formas, como por exemplo, o prefixo 192.168.1.0/24 ser aprendido via RIP e OSPF, o Roteador dará preferência para a rota com  Distância Administrativa de menor valor, no caso, o destino aprendido via OSPF terá preferência pelo valor 10 em detrimento do protocolo RIP com o valor 100 (nesse exemplo a rota eo gateway da rede que será inserido na tabela de roteamento será o aprendido via OSPF).Perceba que as rotas diretamente conectadas possuem a prioridade 0 (zero) e serão roteadas internamente pelo dispositivo.

 
A Distância Administrativa possui apenas função local e não é compartilhada pelo protocolo de roteamento. Um detalhe importante a ser percebido é a diferença com os valores atribuídos para a distancia administrativa para Roteadores Cisco. Em todo caso para evitar problemas em cenários com mais de 1 protocolo de roteamento, altere a métrica  em um dos dois dispositivos.

 

Distância Adm. HP Serie A
Distância Adm. Cisco
Directly Connected
0
0
OSPF
10
110
IS-IS
15
115
STATIC
60
1
RIP
100
120
OSPF ASE
150
110
OSPF NSSA
150
110
IBGP
255
200
EBGP
255
20
Unknown
256
255

Abraços a todos

Switches HP A7500 – Configurando Autenticação para o OSPF na Área 0

Publicado originalmente em 29 DE JANEIRO DE 2011

Para validar a troca de informações de Roteamento, o protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF  utilizará  a Autenticação e precisaremos habilitar a chave na Interface VLAN que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

Switch A

#
interface Vlan-interface1
ip address 172.31.0.1 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN
(a senha será exibida no arquivo de configuração cifrada)
#
ospf 100 router-id 172.31.0.1
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.1 0.0.0.0
area 2
network 192.168.1.1 0.0.0.0
! Area 2 sem autenticação
#

Switch B

#
interface Vlan-interface1
ip address 172.31.0.2 255.255.0.0
ospf authentication-mode md5 10 cipher testeospf
! Configurando a chave md5 cifrada com a chave numero 10 como testeospf na interface VLAN #
ospf 100 router-id 172.31.0.2
area 0.0.0.0
authentication-mode md5
! Habilitando a autenticação utilizando md5 na Area 0
network 172.31.1.2 0.0.0.0

Display

[SW1] display ospf peer
OSPF Process 100 with Router ID 172.31.0.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID  Address Pri Dead-Time Interface State
172.31.0.2 172.31.0.2 1 36 Vlan1 Full/DR

 

Até a próxima! ;)