Serie-A

Switches HP A7500 – VRRP Load Balance

Diego Dias4 Comments

Publicado originalmente em 10 DE NOVEMBRO DE 2010

Cada estação de trabalho necessita de um endereço IP, Mascara e Gateway para comunicação com a Internet. Geralmente tais informações são distribuídas via servidor DHCP ou configuradas estaticamente na placa de rede.

Infelizmente tais configurações não são alteradas dinamicamente após mudanças na rede, como por  exemplo, a falha do Switch ou Roteador com papel de Gateway.

Se o default gateway falhar, não haverá conectividade com o acesso fora da LAN. Ao adicionar outro roteador de Backup, ajudará parcialmente, pois precisaremos alterar o endereço do Gateway de todas as máquinas da rede para novo Gateway.

O VRRP (Virtual Router Redundancy Protocol) permite utilizarmos um endereço IP virtual para mais de um Gateway. Baseado na troca de mensagens entre dispositivos com o VRRP ativo, o processo elege um equipamento MASTER e outro BACKUP.

A cada solicitação ARP dos hosts da rede solicitando o endereço MAC do Gateway o dispositivo Master irá responder a solicitação, em caso de falha do Master, o dispositivo de Backup ( que será o Master a partir da falha) irá continuar a responder pelo IP Virtual.

A eleição do MASTER é baseada no equipamento com maior prioridade, valor configurável no dispositivo entre 0 e 255, o valor default é 100. Se os dois Switches tiverem a mesma prioridade, vence a eleição o dispositivo com maior endereço IP configurado.

O MASTER deverá encaminhar anúncios em intervalos constantes, monitorados pelo BACKUP. Em caso de não recebimento de alguns anúncios, será efetuada nova eleição para substituição do Switch MASTER.

Obs: Os anúncios são encaminhados para equipamentos que estão no mesmo segmento. As mensagens VRRP são encaminhadas a cada 1 segundo e o tempo de falha é 3 vezes o valor.

VRRP Load Balance

Uma das desvantagens do VRRP é que o equipamento de Backup sempre estará em modo passivo enquanto não houver uma falha no dispositivo Master, o VRRP Load Balance permite balancearmos o encaminhamento dos tráfego, alterando a resposta ARP, hora com o endereço MAC do Master, hora com o endereço MAC do Backup .

No modo VRRP Load Balance, é criado dinamicamente endereços MAC virtuais para cada dispositivo do Grupo, cabe ao Master, continuar respondendo qual endereço será respondido em cada requisição ARP.

Obs: A feature é similar ao GLBP proprietário da Cisco!

Configurando

Switch Master VRRP

vrrp mode load-balance 
! Habilitando o VRRP em modo de Balanceamento
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
! Endereço IP físico da Interface VLAN 1
vrrp vrid 1 virtual-ip 192.168.1.1
! Endereço IP Virtual do VRRP grupo 1
vrrp vrid 1 priority 120
! Aumentando a Prioridade para eleição do Master 
! (a prioridade default é 100, vence o maior)
vrrp vrid 1 authentication-mode md5 vrrpcomutadores
! Forçando a autenticação dos Switches que participarão do 
! Grupo VRRP 1 com a senha vrrpcomutadores

Switch Backup VRRP

vrrp mode load-balance 
! Habilitando o VRRP em modo de Balanceamento
#
interface Vlan-interface1
ip address 192.168.1.3 255.255.255.0
! Endereço IP físico da Interface VLAN 1
vrrp vrid 1 virtual-ip 192.168.1.1
! Endereço IP Virtual do VRRP grupo 1
vrrp vrid 1 authentication-mode md5 vrrpcomutadores
! Forçando a autenticação dos Switches que participarão do 
! Grupo VRRP 1 com a senha vrrpcomutadores

Display

Comando display no Switch eleito como Master

[SW1]display vrrp verbose 

IPv4 Standby Information:
Run Mode : Load Balance
Run Method : Virtual MAC

Total number of virtual routers : 2
Interface Vlan-interface1
VRID : 1 Adver Timer : 1 

Admin Status : Up State : Master 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time : 5 
Auth Type : MD5 Key : 0-Ma,R:)9P'Q=^Q`MAF4

Virtual IP : 192.168.1.1 
Master IP : 192.168.1.2
Forwarder Information: 2 Forwarders 1 Active 
Config Weight : 255 
Running Weight : 255 
Forwarder 01
State : Listening 
Virtual MAC : 000f-e2ff-0011 (Learnt)
Owner ID : 0024-7399-27f5 
Priority : 127 
Active : 192.168.1.2 
Forwarder 02
State : Active 
Virtual MAC : 000f-e2ff-0012 (Owner)
Owner ID : 0024-7399-27f0 
Priority : 255 
Active : local

Até a próxima!

STP desabilitado!!!!

Diego Dias1 Comment

Alguns Switches HPN serie-A, como por exemplo da série 7500, dependendo da versão do Comware, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos Protocolos e Serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite. 😉

[Switch] display stp
Protocol Status :disabled
Protocol Std. :IEEE 802.1s
Version :3
Bridge-Prio. :32768
MAC address :000f-e203-0200
Max age(s) :20
Forward delay(s) :15
Hello time(s) :2
Max hops :20
! Identificando que o STP está desabilitado no Switch

[Switch]stp enable
%Jun 18 16:21:10:253 2012 Switch MSTP/6/MSTP_ENABLE: STP is now
enabled on the device.
! Habilitando o Spanning-Tree

Um grande abraço

Switches 3Com 4500G – Configurando o RIP versão 1

Diego DiasLeave a comment

Publicado originalmente em 26 DE JULHO DE 2010

Olá amigos, já faz um bom tempo que eu venho pensando em escrever um post sobre o RIP. Esses dias durante a leitura de um livro muito bacana chamado Routing TCP/IP, Volume I 2nd Edition (Jeff Doyle, Jennifer Carroll), decidi escrever esse artigo.

Apesar do RIP ser um protocolo de Roteamento simples, sua função é bastante útil em redes pequenas, em comunicações entre Roteadores PE e CPE em redes MPLS, na redistribuição entre protocolos de Roteamento e dispositivos de rede com suporte apenas ao RIP (como protocolo de Roteamento Dinâmico).

O Routing Information Protocol (RIP) utiliza o algoritmo de vetor de distancia (Distance Vector) para escolha de melhor caminho para o destino – o RIP determina a distancia como métrica.

A contagem máxima de distancia para o RIP é 15, o 16º salto é considerado como inalcançável ou infinito.

No exemplo abaixo com todos os Roteadores com RIP ativo, o Roteador W informaria dinamicamente a todos os Roteadores diretamente conectados que possui a Rede 192.168.1.0/24 essas informações são repassadas pelos outros Roteadores até o Roteador X que escolheria o Caminho B como caminho mais curto para acesso a rede 192.168.1.0/24 e incluiria essa informação na tabela de Roteamento.

O RIP encaminha a cada 30 segundos toda a sua tabela de Roteamento em Broadcast (255.255.255.255) na porta 520 UDP.

A regra Split Horizon diz que as atualizações recebidas por uma interface não serão incluídas e/ou encaminhadas de volta nas atualizações para aquela interface. Exemplificando, o Roteador X não encaminhará informações da Rede 192.168.1.0/24 de volta aos Roteadores que lhe encaminharam informações sobre essa rota.

Outra maneira de evitar rotas inconsistentes é a utilização de Route Poisoning, por exemplo, se a rota 192.168.1.0/24 ficar Down o Roteador W iniciará o Route Poisoning anunciando a rede com métrica 16 (como inalcançável). Os roteadores diretamente conectados responderão com a mensagem poison reverse ao Roteador W certificando que receberam a mensagem além de replicarem a rota poisoning aos outros Roteadores.

O RIP encaminha mensagens a cada 30 segundos, o tempo para determinar uma rota como invalida é de 180 segundos.

Obs: o RIP versão 1 não encaminha informações sobre mascara nas atualizações de Rotas para os vizinhos, por isso é considerado um protocolo ClassFull (classe cheia) que obrigatoriamente precisa de consistência na distribuição de sub-redes, não sendo possível trabalhar com mascaras de tamanho variável e redes descontinuas.

Configurando o RIP


Switch 4500-A 
[4500G-A]
vlan 1
#
vlan 2
#
vlan 50
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 1
#
interface Vlan-interface2
ip address 192.168.2.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 2
#
interface Vlan-interface50
ip address 192.168.50.1 255.255.255.0
! Atribuindo o endereço IP a VLAN 50
#
rip 1
! Ativando o processo RIP 1(é possivel trabalharmos com processos RIP 
! independentes no mesmo Switch)
version 1
! O RIP possui 2 versões,a versão 1 trabalha somente com mensagens em  
!  Broadcaste rotas Classfull enquanto o RIP versão 2 oferece suporte 
!  a máscaras de tamanho variável e atualizações em multicast
network 192.168.1.0
network 192.168.2.0
network 192.168.50.0
! Adicionando as redes 192.168.1.0, 192.168.2.0 e 192.168.50.0 ao 
! processo RIP, para encaminhamento de atualizações dessas redes 
! aos vizinhos, incluindo o encaminhamento de mensagens Broadcasts
! por essas VLANs 
#

Switch 4500-B
[4500G-B]
vlan 1
#
vlan 10
#
vlan 17
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
#
interface Vlan-interface10
ip address 10.0.0.1 255.0.0.0
#
interface Vlan-interface17
ip address 172.17.0.1 255.255.0.0
#
rip 1
network 192.168.1.0
network 172.17.0.0
network 10.0.0.0
#

Comandos Display

<4500G-A>display ip routing-table
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.0.0.0/8 RIP 100 1 192.168.1.2 Vlan1
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
172.17.0.0/16 RIP 100 1 192.168.1.2 Vlan1
192.168.1.0/24 Direct 0 0 192.168.1.1 Vlan1
192.168.1.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.2.0/24 Direct 0 0 192.168.2.1 Vlan2
192.168.2.1/32 Direct 0 0 127.0.0.1 InLoop0
192.168.50.0/24 Direct 0 0 192.168.50.1 Vlan50
192.168.50.1/32 Direct 0 0 127.0.0.1 InLoop0

<4500G-A>display rip
RIP process : 1
RIP version : 1
Preference : 100
Checkzero : Enabled
Default-cost : 0
Summary : Enabled
Hostroutes : Enabled
Maximum number of balanced paths : 1
Update time : 30 sec(s) Timeout time : 180 sec(s)
Suppress time : 120 sec(s) Garbage-collect time : 120 sec(s)
update output delay : 20(ms) output count : 3
TRIP retransmit time : 5 sec(s)
TRIP response packets retransmit count : 36
Silent interfaces : None Default routes : Disabled
Verify-source : Enabled
Networks :
192.168.50.0 192.168.2.0
192.168.1.0
Configured peers : None
Triggered updates sent : 43
Number of routes changes : 24
Number of replies to queries : 4

Até logo 🙂

Switches HP A7500 – QoS – Efetuando a marcação de Pacotes com Policy

Diego DiasLeave a comment

A densidade de portas e banda disponivel em modernos Switches empilhaveis ou modulares permite um bom desempenho na comunicação entre Serviços na Rede Local.

Em modelos de QoS a utilização de Switches tem a função de permitir a confiança (trust) de pacotes ja marcados na origem como Telefones IP e Aplicações para tratamento em Links congestionados como em uma rede WAN , incluindo tambem a marcação e a remarcação de pacotes para o mesmo fim.

A atribuição de QoS em Roteadores ocorre devido ao gargalo gerado por Links 100/1000/10000Gbps de Switches em contraste com Links de comunicação via Internet ou Redes Privadas que são proporcionamente menores que a vazão do tráfego necessária.

Para a tratativa do tráfego utilizamos filas de prioridade com a utilização de algoritmos como WRR,WFQ,SP e etc.

Na necessidade de atribuir a marcação de um determinado tráfego para diferentes politicas de Qualidade de Serviço (QoS) é possível utilizar o seguinte esquema:


ACL: Não mandatória, permite a seleção de trafego para filtro de classificação de tráfego;

Classifier: Classificação do trágego (baseado em uma ACL, Tag de VLAN, etc)
Behavior: Comportamento para o tráfego , como por exemplo, marcação IP Precedence no pacote IP, descarte de pacote, etc
Policy: Permite o vinculo da classificação com o comportamento para ser atribuido a uma interface.

Configurando
No script abaixo mostraremos um exemplo de configuração para marcação do tráfego de qualquer origem com destino a porta TCP 50001:

acl number 3000
! Criando uma ACL avançada
rule permit tcp destination-port eq 50001
! Permitindo qualquer origem efetuar conexão TCP na porta de destino 50001
#
traffic classifier AF32 operator and
! Criando a classificaçaõ com o nome AF32
if-match acl 3000
!Dando match na ACL 3000 para futura utilização 
#
traffic behavior AF32
! Criando o comportamento com nome AF32
remark dscp af32
! Marcando/Remarcando o tráfego que será classificado com o valor dscp af32 
!( notação 28 em decimal)
accounting
! Efetuando a contagem dos pacotes marcados (opção não obrigatória)
#
qos policy MARKING
!Criando a policy com o nome MARKING
classifier AF32 behavior AF32
! Vinculando a classificação com nome AF32 com o comportamento com nome AF32 
!( não é obrigatório utilizar o mesmo nome no classifier e no behavior)
#
interface GigabitEthernet1/0/2
description INTERFACE_INBOUND_ACESSO_INTERNO
qos apply policy MARKING inbound 
! Permite a marcação do tráfego com a policy MARKING na entrada do pacote
qos trust dscp
! Não remarca os pacotes não listados na policy.
! Confiando na marcaçaõ dscp do pacote

Obs: No exemplo acima, após satisfazer as condições da politica de marcação IP Precedence, o pacote irá manter o valor até o fim da comunicação para ser tratado pelos dispositivos no caminho caso seja necessário. Como por exemplo, na separação do tráfego, usando a sua marcação AF32( notação 28 em decimal) em contraste com um pacote não marcado. 

Uma boa semana a todos! 🙂

Procedimento de Back-out para equipamentos HPN

Diego DiasLeave a comment

Segue abaixo uma dica bacana enviada pelo Paulo Roque…
Alguns Switches HPNs suportam uma funcionalidade de back-out que permite retornar a configuração ao um estado anterior com um único comando.  Basta salvar a configuração antes de iniciar o processo de mudança da configuração e em necessidade de retorno da configuração anterior por problemas de feature, planejamento e etc, basta retornar para a última configuração salva 😉

A vantagem é que minimiza erros em caso de problemas durante uma janela de mudança… 

 Funciona assim:

Salvar a configuração antes da alteração.

# <Switch>save current-config flash:change123.cfg

Fazer back-out

# <Switch> config replace file flash:change123.cfg

 

Obs: Em caso de dúvidas sobre o procedimento, sempre execute testes em laboratório,se possível 😉

Mac-based VLANs

Diego Dias7 Comments

A feature MAC-based VLANs, permite que multiplos usuarios conectados na mesma porta Ethernet, como por exemplo atrás de um HUB ou Switches não-gerenciaveis, “caiam” em suas respectivas VLANs utilizando o endereço MAC de cada máquina.

A feature pode ser utilizada com um servidor RADIUS ou por mapeamento com configuração manual no Switch do endereço MAC + a VLAN do usuário/host.

No exemplo abaixo mostraremos uma configuração manual no Switch para a utilização da feature MAC-based VLAN.

Configuração

mac-vlan mac-address 0050-56bc-3c33 vlan 10
mac-vlan mac-address 0050-56bc-2c44 vlan 20
mac-vlan mac-address 0050-56bc-2c55 vlan 20 

interface GigabitEthernet1/0/10
port link-type hybrid
undo port hybrid vlan 1
! Prevenindo que hosts não mapeados caiam na VLAN 1
port hybrid vlan 2 10 untagged
mac-vlan enable
! Ativando o direcionamento de trafego baseado no mapeamento MAC + VLAN
quit

O Switch encaminhará o tráfego de cada host para as VLANs correspondents conforme mapeamento MAC. 😉
Até logo!

Interface Null 0

Diego Dias2 Comments

A Interface Null é uma interface lógica disponível em Switches e Roteadores para manipulação  em processos de Roteamento.

Configurando uma Rota Estática com o Gateway para NULL fará que os pacotes direcionados para aquela Rede sejam descartados.

ip route-static 192.168.1.0 255.255.255.0 Null 0
! Configurando a rota 192.168.1.0/24  para encaminhar à Interface Null 0

Em processos de Roteamento Dinâmico a Interface Null 0 poderá ser utilizada para manipulação de Rotas como: sumarização, filtro, injeção de prefixos, etc.

Abraços a todos!

Switches 3Com 4500 – Configurando o Espelhamento de Porta ( Port Mirroring)

Diego Dias2 Comments

O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!

Configuração
#
mirroring-group 1 local 
! Criando o Grupo 1 de portas para o Espelhamento
#
interface Ethernet1/0/3
stp disable
! desabilitando o Spanning-Tree da porta para não interferir na coleta
mirroring-group 1 monitor-port
!Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1)
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both
#

Pronto! Configurações efetuadas… 🙂
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatisticas da coleta!

Simples, agora  é só atuar no tráfego e/ou comportamento identificados na rede….
Até logo!

Switches 3Com 7900 – Como o DLDP poderá ajudar a “sua” Fibra Óptica!!

Diego DiasLeave a comment

O DLDP é um protocolo que funciona acima da camada física para detecção de links unidirecionais, como problemas no TX ou RX, colocando a porta em shutdown em caso de falha. A feature é bastante útil para checar a integridade dos 2 pontos da conexão ( Fibra Óptica ou UTP).

Para ativar o dldp é muito simples:
dldp enable 
! Ativando o DLDP globalmente
interface Ten-GigabitEthernet8/0/1
dldp enable
! Ativando o DLDP na interface

Para o correto funcionamento do DLDP é necessário habilitarmos o comando nos 2 Switches do UpLink.

Testando o DLDP

Na imagem abaixo durante uma janela de manutenção das fibras, a equipe de cabeamento acabou conectando o Tx da interface Ten-GigabitEthernet8/0/1 na interface Ten-GigabitEthernet8/0/2. Nesse cenário sem o DLDP os Switches não perceberiam o erro e as interfaces seriam exibidas como UP em qualquer comando display; mas a comunicação lógica estaria com problemas…

Com o DLDP ativo, os Switches exibem o seguinte Log de erro:

#Aug 18 22:03:28:016 2010 7900 DLDP/1/TrapOfUnidirectional:Slot=8;
h3cDLDPUnidirectionalPort : DLDP detects a unidirectional link in port 70516736.

Comando Display

[7900]display int ten8/0/1
Ten-GigabitEthernet8/0/1 current state: DLDP DOWN
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0024-7399-9917
Description: ENLACE_10G_COM_SIA
Loopback is not set
Media type is optical fiber,Port hardware type is 10G_BASE_LR
10Gbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is force link

------

[7900]display dldp Ten-GigabitEthernet 8/0/1

Interface Ten-GigabitEthernet8/0/1
DLDP port state : disable 
DLDP link state : down 
The neighbor number of the port is 0

Após a correção do erro…

o DLDP ajudou a salvar o dia…

[7900]disp interface Ten-GigabitEthernet 8/0/1
Ten-GigabitEthernet8/0/2 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0024-7399-9917
Description: ENALCE_10G_COM_SCN
Loopback is not set

Obs; o método também permite utilizarmos autenticação MD5 entre os Switches que conversam DLDP

[7900]dldp authentication-mode md5 dldp2010
! Habilitando a autenticação do protocolo DLDP com a senha "dldp2010"

Até a próxima!

QoS – Aplicando Line Rate na Interface Física (Policy)

Diego Dias4 Comments

Alguns modelos de Switches HPN Serie-A com o Comware 5 possibilitam a configuração de limite de banda em interfaces físicas de uma maneira bem simples. A feature chama QoS Line Rate.

[Switch-GigabitEthernet1/0/1]qos lr ?
  inbound   Limit the rate on inbound
  outbound  Limit the rate on outbound

[Switch-GigabitEthernet1/0/1]qos lr inbound cir ?
  INTEGER  Committed Information Rate(kbps)

Para a configuração de limite de banda para a interface em 256kbps para pacotes de entrada e saída basta digitar.

[Switch-GigabitEthernet1/0/1]qos lr inbound cir 256
[Switch-GigabitEthernet1/0/1]qos lr outbound cir 256

Até logo 😉