Configuração básica do VRRP entre equipamentos Cisco e HPN

Esses dias durante a finalização do Capítulo sobre VRRP para o segundo eBook “Guia Básico para Configuração de Switches”  com o foco em Alta Disponibilidade” para equipamentos HPN/3Com/H3C, fiz alguns laboratórios com o protocolo VRRP, incluindo a utilização entre diferentes fabricantes. Segue abaixo um mini resumo sobre o protocolo, scripts das configurações e as “saídas” dos dispositivos.

O VRRP permite que 2 ou mais roteadores atuem como um único Roteador Virtual – na visão das máquinas de uma rede local – atuando de forma redundante em caso de falha no Roteador que é o default gateway das estações.
O protocolo é bem simples. Os Roteadores elegem um equipamento para ser o MASTER que é o responsável por encaminhar o tráfego e atuar como gateway para as máquinas da LAN, enquanto os outros Roteadores monitoram as mensagens geradas pelo MASTER e atuam como um Roteador Backup para em caso de falha do equipamento principal.

Atuação principal do Roteador Master é responder as requisições ARP das máquinas da rede local sobre o endereço MAC do Gateway e consequentemente processar o trafego encaminhado.
Em caso de falha do equipamento Master, um dos Roteadores Backup será eleito como novo Master para o grupo VRRP.

O protocolo é descrito pelo IETF na RFC 3768 e permite a configuração entre equipamentos de diferente fabricantes.

Na topologia abaixo, mostraremos um Script com a configuração de um grupo VRRP entre um Roteador Cisco e um Switch e/ou Roteador HPN /H3C.

 

Roteador Cisco

!
interface FastEthernet0/0
 ip address 172.16.0.2 255.255.255.0
 duplex auto
 speed auto
 vrrp 1 ip 172.16.0.1
! Configurando o grupo vrrp 1 com o endereço IP virtual 172.16.0.1
 vrrp 1 priority 120
! Configurando a prioridade do Roteador para 120
 vrrp 1 authentication rdefault
! Configurando a autenticação do grupo VRRP 1 com a “senha” rdefault
end
!

Roteador HPN

#
interface Ethernet0/0
 port link-mode route
 ip address 172.16.0.3 255.255.255.0
vrrp vrid 1 virtual-ip 172.16.0.1
! Configurando o grupo vrrp 1 com o endereço IP virtual 172.16.0.1
 vrrp vrid 1 authentication-mode simple rdefault
! Configurando a autenticação do grupo VRRP 1 com a “senha” rdefault
#

Comandos show e display

Roteador Cisco

Router#show vrrp
FastEthernet0/0 - Group 1
  State is Master
  Virtual IP address is 172.16.0.1
  Virtual MAC address is 0000.5e00.0101
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 120
  Authentication text, string "rdefault"
  Master Router is 172.16.0.2 (local), priority is 120
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.531 sec

Roteador HPN

[H3C]display vrrp  verbose
 IPv4 Standby Information:
     Run Mode       : Standard
     Run Method     : Virtual MAC
 Total number of virtual routers : 1
   Interface Ethernet0/0
     VRID           : 1                    Adver Timer  : 1
     Admin Status   : Up                   State        : Backup
     Config Pri     : 100                  Running Pri  : 100
     Preempt Mode   : Yes                  Delay Time   : 0
     Auth Type      : Simple               Key          : rdefault
     Virtual IP     : 172.16.0.1
     Master IP      : 172.16.0.2

Não esqueça

  • Caso não seja configurada a prioridade do grupo VRRP em um Roteador, o mesmo atribuirá o valor padrão (100) para o equipamento.
  • Se o endereço IP do Roteador for o mesmo do IP virtual, o equipamento será o MASTER.
  • Se o Roteador principal falhar, o novo Master será o Roteador com maior prioridade.

Agora uma pergunta: – É possível decrementar a prioridade de um Roteador/ Switch  VRRP  para em caso de falha no Link para Internet no Roteador principal  o outro equipamento Backup assumir como Master ? Se sim… deixem comentários! ;)

Outras referências e links:

Viva o linux http://www.vivaolinux.com.br/artigo/Firewalls-redundantes-utilizando-VRRP
Diferença entre VRRP, HSRP e GLBP http://blog.ccna.com.br/2008/12/16/pr-vrrp-x-hsrp-x-glbp/
RFC em inglês para suporte também a IPv6 http://tools.ietf.org/html/rfc5798
VRRP Load-Balance em Switches HPN http://www.comutadores.com.br/switches-hp-a7500-vrrp-load-balance/

Publicado originalmente em http://www.rotadefault.com.br/2012/09/26/configuracao-basica-do-vrrp-entre-equipamentos-cisco-e-hpn/

 

 

Comando “default interface” em Switches HPN

O Adilson Florentino publicou em seu blog  Netfinders Brasil sobre a utilização do comando “default interface” dentro de uma porta Ethernet  para zerar a configuração da interface em Roteadores e Switches Cisco http://netfindersbrasil.blogspot.com/2012/10/como-remover-as-configuracoes-de-uma.html

O comando é bastante útil em ambientes de Data Center ou onde se é necessário a troca de toda configuração de uma porta sem ter que descobrir qual o comando “no” ou “undo” de cada feature.

As últimas atualizações para o Comware 5 dos Switches HPN atribuiu o comando “default” para ser aplicado dentro de uma porta para zerar a configuração da mesma.

Segue abaixo a configuração ( o comando foi testado em Switches 7500 com o Release 6626P02)

 

[HP-GigabitEthernet1/0/1] disp this
! verificando a configuração antiga da porta
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
return

[HP-GigabitEthernet1/0/1]default
This command will restore the default settings. Continue? [Y/N]:y
! Aplicando o comando default na interface
!
[HP-GigabitEthernet1/0/1]disp this
#
interface GigabitEthernet1/0/1
port link-mode bridge
#

Até logo 😉

Switches HPN – Configurando Sflow

Sflow(RFC 3176) é um protocolo que permite a coleta de estatísticas de tráfego de rede baseado em  amostras (formatadas) enviadas para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem “bruta” para o servidor. O protocolo exibe informações referente aos protocolos de rede. A feature é similar ao Netflow e não é proprietária.

A configuração do Sflow envolve 2 componentes:

  • Sflow Agent:  função atribuída a Switches , Roteadores, Access-Point que coletam as informações dos pacotes transmitidos e encaminham as amostras.
  • Sflow Collector: função atribuída de analizar as informações de cada Sflow Agent criando um modelo estatístico para exibição das informações.

Com base em uma taxa de amostragem definidos, tanto para o Agente ou para completar uma única interface, 1 de N pacotes são capturados e enviados para um Servidor de coleta. Este tipo de amostragem não fornece um resultado 100% de precisão na análise, mas que faz prever um resultado com precisão quantificáveis.

Os dados da amostra é enviado em UDP para o coletor sFlow. A porta padrão é 6343. A falta de confiabilidade no transporte UDP não afeta significativamente a precisão das medidas obtidas a partir de um agente sFlow. Se as amostras de contador são perdidas , a  perda de amostras de fluxo de pacotes é uma ligeira redução na taxa de amostragem efetiva.

A carga contém o datagrama UDP sFlow. Cada datagrama fornece informações sobre a versão sFlow, endereço de seu agente, IP de origem, número sequencial, quantas amostras ele contém e, geralmente, até 10 amostras de fluxo ou contra-amostras.

A técnia de amostragem pode ser utilizada com o seguinte critério

  • Flow sampling: Baseado na amostra de pacotes, usado para obter informações do conteúdo do pacote como protocolos e etc.
  • Counter sampling: Baseado na amostra de tempo,usado para obter estatisticas de interfaces.

Configurando Sflow em Switches com Comware

Para especificar o endereço de origem para envio de pacotes Sflow.
[Switch] sflow agent [ip <ip_address> | ipv6 <ip_address>]


Endereço e grupo do Servidor de coleta (podemos encaminhar para mais de um Servidor)

[Switch] sflow collector <collector_id> ip <ip_address>
[Switch] sflow collector <collector_id> ipv6 <ip_address>


Interface para coleta de informações e amostragem

[Switch] interface <interface_type/interface_number>
[Switch-<interface>] sflow sampling-rate <rate>
[Switch-<interface>] sflow flow collector <collector_id>
[Switch-<interface>] sflow counter interval <interval_time>
[Switch-<interface>] sflow counter collector <collector_id>

Exibição de coleta em um Servidor Sflow

Segue o exemplo da Configuração encamimhada pelo Marcos Schimidt de um Switch 4800G como Agente e um Servidor Solarwinds como Coletor ( a sintaxe pode variar dependendo da familia do Switch):

 

Configuração do switch
 sflow agent ip 172.16.0.254
 sflow collector ip 172.16.1.4
 sflow interval 60

Configuração da Interface
interface GigabitEthernet2/0/7
 sflow enable inbound
 sflow enable outbound
 sflow sampling-rate 100000

Referência

http://pt.wikipedia.org/wiki/SFlow

http://www.sflow.org/

Switches 3Com 4800G – Configurando limite de Banda (CAR)

Publicado originalmente em 27 DE MAIO DE 2010

Olá pessoal, no post de hoje comentaremos sobre a utilização de Policy para limitarmos a banda de uma interface GigabitEthernet no Switch 3Com/H3C 4800G.

Esse cenário é bastante comum para empresas que vendem links para acesso a internet e entregam para o cliente um cabo RJ-45.

Na configuração abaixo, limitaremos a banda de um grupo de máquinas para 64kbps (compartilhado). Utilizaremos a porta de entrada GigabitEthernet 1/0/1

Configuração

acl number 2001
!Criação da ACL 2001 para classificar para selecionar o tráfego
rule permit source any
! permite qualquer origem
rule deny any
! nega qualquer origem
quit

Lembrando que as regras da ACL são lidas de cima para baixo e ao satisfazer a condição o restante das regras não serão lidas.

traffic classifier classe
!criação da classificação de tráfego chamada classe

if-match acl 2001
! vinculando a classificação com as regras da ACL 2001

quit

traffic behavior limitador
! Criação do comportamento chamado limitador
car cir 64
! limitando o comportamento para 64kbps
quit

qos policy clientex
!criação da Policy chamada clientex
classifier classe behavior limitador
! vínculo da classificação classe com o comportamento limitador
quit

interface GigabitEthernet1/0/1
qos apply policy clientex inbound

! aplicação da policy clientex na porta Giga1/0/1 no sentindo inbound para limitação do Download em todo o Switch para 64kbps 

Segue abaixo a taxa de transferência antes e depois da policy ser aplicada na Interface G1/0/1

antes

 

depois

Configuração final

traffic classifier classe
if-match acl 2001
#
traffic behavior limitador car cir 64
#
qos policy clientex
classifier classe behavior limitador 
#
interface GigabitEthernet1/0/1
qos apply policy clientex inbound
#

Outros Cenários

Podemos aplicar diferentes policies no sentido inbound eoutbound.
Para redes que utilizam interface VLAN para Roteamento e saída para a internet, poderíamos aplicar a policy diretamente na VLAN com o comando qos vlan-policy clientex vlan 1 inbound (no modo system-view); basta utilizar a criatividade

Abraços!

Switches HPN 4200G – Configurando a autenticação com TACACS

Compatilho abaixo o script básico (comentado) para a autenticação no acesso em Switches HPN utilizando AAA, com o Servidor ACS da Cisco e o protocolo TACACS. A autenticação para o super usuário em nosso exemplo, está como local.

Configuração

#
super password level 3 simple S3nha
! Criando a senha do super usuário como "S3nha"
#
hwtacacs scheme comutadores
! Criando o esquema TACACS com o nome Comutadores
primary authentication 192.168.1.10
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 148.91.219.56
!Endereço de IP do Switch cadastrado no ACS
key authentication s3nhacom
! Chave para autenticação com o servidor ACS  com a senha"s3nhacom"

key authorization s3nhacom
key accounting s3nhacom
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain comutadores.com.br
authentication login hwtacacs-scheme comutadores local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme comutadores local
accounting login hwtacacs-scheme comutadores local
#
domain default enable comutadores.com.br
! Habilitando o dominio comutadores.com.br como default para auetnticação
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch. 😉

Boa semana!