Multitenant Device Context (MDC)

O Multitenant Device Context (MDC) é uma tecnologia que permite o particionamento de um dispositivo  em diversos equipamentos lógicos (Switches ou Roteadores HP baseado no Comware).

Cada MDC utilizará uma porção do hardware e os seus recursos, rodando os processos de forma independente dos outros MDCs. Uma simples ação de criar, iniciar, reiniciar ou deletar um MDC não afeta outros MDCs.

Da perspectiva do cliente, o MDC é um equipamento individual.

MDC 1

IRF e o MDC

A tecnologia IRF permite agregarmos 2 ou mais equipamentos em um único dispositivo lógico facilitando assim a administração dos equipamentos.

Já o MDC permite que diferentes clientes utilizem os recursos do equipamento de forma independente. Features como VLAN IDs, roteamento e protocolos  de gerenciamento atuam de forma isolada dentro do “contexto”. Gerando assim economia na venda de serviços, espaço em rack, energia eletrica, etc.

Para permitir a comunicação entre MDCs é necessário conectar um cabo entre os MDCs.

O gerenciamento dos MDCs que estão no mesmo equipamento é efetuado pelo MDC default (admin MDC). É possível logar  individualmente e diretamente nos MDCs com protocolos como SSH ou telnet.

Diferente de VRFs (vpn-instances) que apenas virtualizam a tabela de roteamento sobre uma única administração, o MDC permite a separação do gerenciamento e processos.

Arquitetura e Features MDC

Um MDC pode ser considerado um equipamento individual baseando-se no conceito de container para virtualização do SO(sistema operacional) Comware 7. Um container é uma forma de virtualização no nível do SO, um ambiente totalmente isolado, simulando um sistema independente no mesmo host.

Cada MDC é um equipamento lógico definido em um equipamento fisico. O equipamento físico pode ser um único Switch ou um par de Switches em IRF.

Cada MDC tem também o data plane isolado, permitindo que o ID das VLAN sejam definidos e repetidos em cada MDC mas funcionando de maneira independente. As portas são reservadas ao nivel de cada ASICs por MDC, já a CPU é compartilhada e concorre por recursos. A documentação diz que se um MDC necessita de recursos enquanto um segundo MDC está ocioso, o primeiro MDC pode alocar mais recursos de CPU.

MDC 2

 

A configuração do MDC só é possível até o momento em Switches modulares com o suporte ao Comware7. A quantidade de MDCs pode variar dependendo da capacidade computacional do Main Process Unit (MPU) do Switch Chassis.

Os Switches com a feature MDC tem um admin MDC (MDC número 1) que pode gerenciar todos os recursos de hardware dos outros MDCs, permitindo a criação e a remoção do MDC. O mesmo não pode ser removido.

Mesmo com a utilização de diversos MDCs em um device, apenas um kernel é inicializado e por isso os MDCs precisam executar a mesma versão de firmware. A documentação diz que o equipamento que suporta os MDCs é chamado de Admin MDC e é o MDC 1 e por padrão quando o kernel é iniciado, o MDC 1 é  o utilizado para administrar os outros MDCs.

Na definição de um MDC é possível a alocação de peso para de uso de CPU por MDC afim de priorizar MDCs especificos, é possível também definir a alocação de disco, uso de memória, grupos de processos restritos, etc. Para o MDC admin não há limitação de recursos.

Para a alocação de interfaces, é necessario a reserva por grupo de ASICs. Em um Switch modular cada modulo/cartão (LPUs) tem um ou mais ASICs. Quando um frame chega ao Switch funções como analise de VLANs, endereços MAC são executados pelos ASICs e um ASIC pode ter diversas interfaces físicas.

No exemplo abaixo, durante a alocação de apenas uma porta para o MDC2, o switch apresenta  a mensagem que a interface FortyGigE 1/1/0/1 participa do mesmo port-group que as interfaces listadas.

[Switch-mdc-2-mdc2]allocate interface FortyGigE 1/1/0/1
Configuration of the interfaces will be lost. Continue? [Y/N]:y
Group error: all interfaces of one group must be allocated to the same mdc.
FortyGigE1/1/0/1
Port list of group 5:
FortyGigE1/1/0/1 FortyGigE1/1/0/2
FortyGigE1/1/0/3 FortyGigE1/1/0/4
FortyGigE1/1/0/5 FortyGigE1/1/0/6
FortyGigE1/1/0/7 FortyGigE1/1/0/8

A tabela abaixo apresenta o grupo de portas de alguns módulos nos Switches 12500.

MDC 3

Configurando um MDC

  1. Defina o MDC com o ID e nome
  2. Configure a autorização de alocação da line card (LPU)
  3. Aloque as interfaces por grupo baseado no ASIC
  4. Inicie o MDC
  5. Acesse o MDC utilizando o comando switchto

 

[Switch] mdc clientex id 2
! criando o MDC clientec com o id 2
[Switch-mdc-2-clientex] location slot 2
!  autorizando o uso da LPU no slot 2
[Switch-mdc-2-clientex] allocate interface giga 2/0/1 to 2/0/48
! alocando as interfaces na LPU no slot 2
!
[Switch-mdc-2-clientex] mdc start
! iniciando o mdc
[Switch-mdc-2-clientex] quit
!
[Switch] switchto mdc clientex
! conectando no mdc clientex

Validando as portas reservadas por MDC no admin MDC

[Switch]display  mdc interface
 MDC Admin's interface(s):
  M-Ethernet0/0/0

 MDC clientex's interface(s):
  GigabitEthernet2/0/1                 GigabitEthernet2/0/2                 
  GigabitEthernet2/0/3                 GigabitEthernet2/0/4
  GigabitEthernet2/0/5                 GigabitEthernet2/0/6
  GigabitEthernet2/0/7                 GigabitEthernet2/0/8

!output omitido

Até logo

Referência

Building HP FlexFabric Data Centers student guide – HP Expert one – Rev14.41

Comware 7 : Configurando PBR (Policy-Based Routing)

A maneira como efetuamos o roteamento de pacotes baseado endereço de destino do cabeçalho IP  possui algumas restrições que não permitem o balanceamento de tráfego de maneira granular de acordo com perfis das aplicações, dessa forma todos os pacotes são roteados para o mesmo lugar sem levarmos em conta a rede de origem, protocolo, etc.

A utilização de PBR, policy-based routing, permite ao engenheiro de rede a habilidade de alterar o comportamento padrão de roteamento baseando-se em diferentes critérios ao invés de somente a rede de destino, incluindo o endereço de rede de origem, endereços TCP/UDP de origem e/ou destino, tamanho do pacote, pacotes classificados com fins de QoS, etc.

Mas por qual razão utilizaremos PBR ?

O PBR pode ser utilizado em diversos cenários, para os mais diversos fins. No exemplo abaixo a rede 192.168.1.0/24 acessa a rede 172.16.0.1 com uma rota default configurada para o Link A, imaginando que uma segunda demanda surge para que a rede de homologação 192.168.2.0/24 acesse assim a Internet pelo Link A mas já o acesso para rede 172.16.0.1, deva ocorrer preferivelmente pelo link B. Nesse caso o PBR entraria para corrigir essa questão (lembrando que na tabela de roteamento o acesso para rede 172.16.0.1 é apontado para o Link A, criaríamos uma exceção somente para a nova rede).

PBR

Segue exemplo da configuração:

#
acl number 2000
 rule 0 permit source 192.168.2.0 0.0.0.255
! ACL para match na rede 192.168.2.0
#
policy-based-route XYZ permit node 10
 if-match acl 2000
 apply next-hop 192.168.223.3
! PBR dando match na ACL 2000 e encaminhar o 
! tráfego para o next-hop do link B
#
#
interface GigabitEthernet0/0/3
 port link-mode route
 ip address 192.168.12.2 255.255.255.0
 ip policy-based-route XYZ
! Aplicando o PBR na interface Giga0/0/3
#

A implementação da PBR é bastante simples, ele é definido para ser configurado usando o processo policy-based routing que é muito similar a configuração de uma route-policy (route-map) . O tráfego a ser tratado pelo PBR será comparado (match) utilizando uma ACL e em seguida tem o novo destino ou parâmetros alterados usando um comando apply + atributo.

Se o pacote não corresponder à política de PBR ou se o encaminhamento baseado em PBR falhar, o dispositivo utilizará a tabela de roteamento para encaminhar os pacotes.

Outros parametros dentro do PBR

PBR options Comware

Entre os outros parametros do PBR está o output-interface, default-next-hop e o default-output-interface.

Output-interface: Esse comando permite atribuir a interface de saída do trafego ao invés do IP do next-hop.

Default-next-hop / default-output-interface:Se o processo de roteamento baseado na tabela de rotas falhar, o equipamento utilizará o default next hop ou default output interface definido no PBR para encaminhar os pacotes.

Ao utilizar qualquer combinação destes comandos dentro de um PBR os comandos são avaliados na seguinte ordem:

apply next-hop
apply output-interface
apply default-next-hop
apply default-output-interface

O PBR é uma ferramenta muito poderosa que pode ser usada para controlar os caminhos específicos de tráfego de rede, porém certifique-se de usar apenas PBR quando for necessário. Como muitas outras features oferecidas em qualquer tipo de roteador, elas são projetadas para um conjunto específico de circunstâncias, o mesmo e deve ser utilizado para esses fins para assim manter a eficiência.

Referências

http://blog.pluralsight.com/pbr-policy-based-routing

HP 5920 & 5900 Switch Series- Layer 3 – IP Routing – Configuration Guide

Comware 7: Utilizando o “RBAC – Role Based Access Control”

A feature RBAC – Role Based Access Control permite administrarmos a forma como os outros usuários locais poderão interagir com a configuração do Switch/Roteador (com o Comware 7) para os seguintes parametros:

  • VLANs
  • Interfaces (físicas e lógicas)
  • features : read/write/execute
  • comandos CLI
  • Processo da VRF (VPN instances)

Por exemplo, vamos imaginar que você queira permitir para um usuário apenas o acesso para leitura das configurações.

role name usuarioX
 rule 1 permit read feature
! A regra permitirá apenas a leitura do arquivo de configuração
quit
#
 local-user usuarioX 
 password simple 123
 service-type ssh telnet terminal
 authorization-attribute user-role usuarioX
! Vinculando a regra usuarioX 
undo authorization-attribute user-role network-operator
! removendo a regra padrão de novos usuários
 quit  
#

Caso não tenha configurado a interface VTY aplique os comandos abaixo

#
 line vty 0 63
 authentication-mode scheme
 quit
#

Durante o teste é possível acessar o modo system-view e visualizar os comandos “display”. Mas para alterar as configurações o usuário terá a permissão negada.

<pre> system
[Sw1] inter?
permission denied.
[Sw1]

O site http://abouthpnetworking.com/2014/04/03/rbac-protecting-the-bfd-mad-vlan/ nos dá um exemplo bem bacana para a criação de regras para proteger a VLAN e as interfaces do MAD BFD para o IRF.

role name sysadmin
 rule 1 permit read write execute feature
! permitindo todas as features RWX 
 vlan policy deny
  permit vlan 1 to 4000
  permit vlan 4002 to 4094
! Controlando a configuração de VLANs, permitindo todas exceto a vlan 4001
 interface policy deny
  permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/23
  permit interface GigabitEthernet2/0/1 to GigabitEthernet2/0/23
! Controlando a config. de interfaces, permitindo todas exceto as do MAD BFD.
! que são as interfaces Giga 1/0/24 e 2/0/24. 

quit
quit
#
local-user sysadmin 
 password simple hp
 service-type ssh telnet terminal
 authorization-attribute user-role sysadmin
 undo authorization-attribute user-role network-operator
#

Testes

[HP]
# Acesso restrito para as interfaces BFD MAD 
[HP]int g1/0/24
Permission denied.
# Acesso permitido para outras interfaces
interface GigabitEthernet1/0/1
 port link-mode bridge
 shutdown
# Qualquer configuração pode ser aplicada as outras interfaces
[HP-GigabitEthernet1/0/1]undo shut
[HP-GigabitEthernet1/0/1]port link-type trunk

# ...mas o 'permit vlan all' falhará (tentativa para adicionar a vlan 4001)
[HP-GigabitEthernet1/0/1]port trunk permit vlan all
Permission denied.

# A permissão para todas as outras VLANs funcionará normalmente:
[HP-GigabitEthernet1/0/1]port trunk permit vlan 1 to 4000
[HP-GigabitEthernet1/0/1]port trunk permit vlan 4002 to 4094

Até logo.

Laboratório para configuração de VRRP no HP Network Simulator

Galera, montei um laboratório de VRRP no Simulador HP para o Comware 7 com o objetivo de validar a sintaxe dos comandos, além de testar o protocolo conforme cenário abaixo..

Para aqueles que não conhecem o VRRP, o protocolo funciona para redundância de Gateway em uma rede, com o objetivo de 2 ou mais roteadores compartilharem o mesmo IP virtual no modo ativo/backup ou ativo/ativo. O padrão do protocolo é o ativo(Master)/backup

VRRP Simware

Segue a configuração do VRRP nos Roteadores R1 e R2 além da configuração do Switch.

# Switch
vlan 2
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 2
#
Roteador - R1
interface GigabitEthernet 0/0/2
port link-mode route
ip add 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1
vrrp vrid 1 priority 110

Roteador - R2
interface GigabitEthernet 0/0/2
port link-mode route
ip add 192.168.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1

Os comandos display vrrp e display vrrp verbose executados nos roteadores exibem valiosas informações sobre o status do VRRP.

vrrp-device2

A configuração da topologia para HP Network Simulator 7.1.50 pode ser baixada aqui.
Os comandos são identicos para a versão 5 do Comware.

Até logo.

HP Network Simulator – o simulador de equipamentos de rede HP baseado no Comware 7

Recentemente a HP liberou uma nova versão do simulador para testes de comandos e features em equipamentos HP/ H3C /3Com ( baseados no Comware). O software é chamado de Simware ou HP Network Simulator .

A notícia é muito bem vinda e aguardada há um bom tempo por aqueles que administram esses equipamentos.

O  simulador baseia-se a versão 7 do Comware (a maioria dos comandos é muito similar a versão 5 do Sistema Operacional).

Segue o link para download, dentro dele há as instruções para instalação e configuração da topologia (em inglês):

http://h17007.www1.hp.com/ca/en/networking/products/simulator/index.aspx#.Ve12dRFViko

https://support.hpe.com/hpesc/public/home/driverHome?sp4ts.oid=7107839

HP Network Simulator

Obs: Um detalhe importante é a necessidade  do Virtual Box para o funcionamento do Simulador, caso você encontre  algum problema na instalação, utilize a versão 4.3.2  http://download.virtualbox.org/virtualbox/4.3.2/

Apesar da ferramenta trabalhar no modo GUI, a montagem da topologia deverá ser feita via texto em um arquivo de configuração (também explicado no manual do software).

Curtam, compartilhem e façam comentários. É um bom momento para comemorarmos. 🙂

Se o link estiver quebrado, deixe um comentário.

Um grande abraço