Aula 3 do Treinamento Comware para Switches HP. Nesse vídeo demonstramos todos os sabores do Spanning-Tree e como mitigar os ataques (e erros) em uma topologia de rede campus.
Spanning-Tree
Troubleshooting STP
A principal função do STP é proteger a rede de loops criados por links redundantes na LAN. Os loops criados na rede podem causar problemas na topologia Spanning-Tree quando não protegida de forma correta.
Situações como Spanning-tree desabilitado, erros de negociação de duplex, erros dos quadros durante a transmissão/recepção, problemas nos conectores, super utilização de CPU e modificação dos temporizadores são alguns dos cenários que podem comprometer a estabilidade do algoritmo.
Um dos principais sintomas perceptíveis durante problemas de instabilidade do Spanning-Tree é a oscilação da conectividade dos serviços da rede local, flapping de endereços MAC nas interfaces (troca de aprendizado [constante]), troca simultânea do Root da rede (ocasionada pela utilização excessiva de recursos dos Switches que não conseguem processar ou encaminhar BPDU’s)
Restaurando a conectividade
• Passo 1: Conheça a rede
Tenha sempre um diagrama atualizado da sua topologia de rede identificando o seu Switch Root, modo do STP ( STP, RSTP, MSTP, etc) e links redundantes.
• Passo 2: Identifique o Loop na rede
Em situações de problemas na Topologia Spanning-Tree identifique o UpLink que está ocasionando o problema desconectando cada uma das portas para localizar o ponto de loop na LAN.
• Passo 3: Restaure a conectividade
• Passo 4: Verifique o status das portas
Comandos como display stp e display stp brief podem informar status como o Spanning-tree desabilitado, Switch root da rede, portas bloqueadas e etc.
• Passo 5: Verifique os erros
Analise os eventos no servidor Syslog ou o logbuffer nos dispositivos ( tente identificar a partir de qual ação, ocasionou o problema na rede).
• Passo 6: Corrija o problema!
Desabilite ou habilite features que possam corrigir o problema
Features
Features como Edged-port (portfast), BPDU protection, Root Guard, Loop Protection, etc. Podem ser bastante úteis para a proteção de sua rede.
Referencia: Building Cisco Multilayer Switched Networks 4th Edition (Richard Froom, Balaji Sivasubramanian and Erum Frahim)
Vocês já passaram por problemas no STP da sua rede? O que ocasionou? O que fizeram para resolver?
Switches 3Com 5500 – Guia rápido de Configuração!!!
Olá amigos, os scripts de hoje fazem parte de um manual muito bacana repassado pelo Fabinho e o Índio da Infraero. Os Scripts seguem como um manual rápido para instalação e/ou configuração de Switches 3Com do modelo 5500 ( parte dos comandos são aceitos na maioria dos Switches da 3Com); os scripts são simples e bastante úteis!
Configurando o nome do Switch
[5500G-EI]sysname SW_Core
[SW_Core]
Configuração de Vlans
Criando uma Vlan e colocando-a um nome
[Switch] vlan 3
[Switch-vlan] name
Criando uma Vlan e colocando-a uma descrição
[Switch] vlan 3
[Switch-vlan] description
Criando uma várias vlans ao mesmo tempo
[Switch] vlan to 2 to 5
Apagando uma vlan
[Switch] undo vlan 2
Mostrando quais as vlans que existem no switch
[Switch] display vlan
Mostrando as informações de uma determinada vlan (descrição, endereço IP se houver, portas tagged e untagged)
[Switch] display vlan 2
Definindo o IP para a VLAN 2
[Switch]interface Vlan-interface 2
[Switch]-Vlan-Interface]ip address 192.168.100.1 255.255.255.0
Configurando o default gateway
[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 (ip do gateway)
Configurações de portas
Entrando no modo de configuração de uma porta
[Switch] interface gigabit-ethernet 1/0/4
Colocando uma descrição na porta
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] description
Adicionando porta a uma vlan
Configurando o tipo de porta
Porta ACCESS: Porta de acesso, utilizada para ligar hosts (estações, servidores, etc)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port link-type access
Porta TRUNK: Porta que permitirá mais de uma vlan trafegar pela porta(utilizando TAG(802.1q). Utilizada como porta de uplink, nas ligações entre switches.
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port link-type trunk
Associando uma porta access a uma vlan.
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port access vlan 5
Removendo uma vlan de uma porta access. A porta voltará a pertencer a vlan 1 (default)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] undo port access vlan
Associando todas as vlans a porta trunk. Desse modo, todas as vlans passarão pela porta trunk
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port trunk permit vlan all
Copiando as configurações de uma porta para outra (vlan, spanningtree, velocidade etc). Não efetua a copia das configurações de controle de broadcast
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6
Copiando as configurações de uma porta para várias portas
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6 to gigabit-ethernet 1/0/12
Definindo a senha do usuário ADMIN como s3nha
local-user admin
service-type telnet terminal
level 3
password cipher s3nha
Removendo os usuários default MANAGER e MONITOR
[Switch]undo local-user manager
[Switch]undo local-user monitor
Configurando e habilitando o gerenciamento SNMP com as comunidades s1ro e s1rw
[Switch]snmp-agent community read s1ro
[Switch]snmp-agent community write s1rw
Removendo as comunidades default PUBLIC e PRIVATE
[Switch]undo snmp-agent community write private
[Switch]undo snmp-agent community read public
Habilitando o spanning tree protocol (já é habilitado por padrão)
[Switch] stp enable
Configurando a versão do rapid spanning tree protocol
[Switch] stp mode rstp
Configurando o switch como root bridge primário do spanning tree
O comando stp root primary configura automaticamente o valor do Bridge Priority para 0 (zero)
[Switch] stp root primary
ou
[Switch] stp priority 0
Configurando o switch como root bridge secundário do spanning tree
O comando stp root secondary configura automaticamente o valor do Bridge Priority para 4096
[Switch] stp root secondary
ou
[Switch] stp priority 4096
Criando um LINK AGGREGATION entre dois Switches. Não esquecer de executar esses procedimentos em ambos os Switches. Neste exemplo estão sendo utilizadas as portas 1/0/25 e 1/0/26 dos dois Switches.
link-aggregation group 1 mode static
#
interface GigabitEthernet 1/0/25
undo shutdown
port link-aggregation group 1
#
interface GigabitEthernet 1/0/26
undo shutdown
port link-aggregation group 1
Salvando as configurações do Switch
save
Apagando todas as configurações do Switch
reset saved-configuration
reboot
Comandos Display
Informações de uma determinada porta (velocidade, duplex, etc)
display interface GigabitEthernet 1/0/3
Mostrando um resumo de TODAS as portas
display brief interface
Mostrando quais portas do Switch são do tipo TRUNK
display port trunk
Mostrando um sumário do LINK AGGREGATION.
display link-aggregation summary
display link-aggregation verbose
Mostrando a configuração do Switch atual
display current-configuration
Mostrando informações do Spanning Tree, quais portas estão BLOQUEADAS e quais estão em FORWARDING
display stp brief
display stp
E vocês, possuem mais alguma sugestão de comando para os Switches da linha 5500?
Sintam-se a vontade…
Um abração!
Switches ArubaOS-CX: Cisco Rapid Per-VLAN Spanning-Tree (RPVST)
O Per VLAN Spanning Tree Protocol (PVST) é uma versão do protocolo Spanning Tree Protocol (STP) que permite que múltiplas instâncias de STP sejam executadas em uma rede local, garantindo que cada VLAN tenha sua própria topologia de spanning tree.
Quando o PVST é ativado em uma VLAN, cada switch na rede mantém uma instância do STP para cada VLAN, em vez de uma única instância do STP para toda a rede. Cada instância de STP cria uma topologia de spanning tree separada para sua VLAN correspondente.
Os Switches Aruba CX permitem a configuração do Rapid PerVLAN Spanning-Tree para interoperabilidade com Switches Cisco, por exemplo.
Para efetuar a configuração basta mudar a versão do STP para o RPVST, configurar globalmente as VLANs que terão suas instancias como PerVLAN e alterar a prioridade, se necessário.
spanning-tree mode rpvst
spanning-tree
spanning-tree vlan 35,36,65,66
spanning-tree vlan 35 priority 15
spanning-tree vlan 36 priority 15
spanning-tree vlan 65 priority 15
spanning-tree vlan 66 priority 15
6300# **show spanning-tree summary root**
STP status : Enabled
Protocol : RPVST
System ID : b8:d4:e7:a0:67:00
Root bridge for VLANs :
VLAN Priority Root ID cost Time Age Dly Root Port
—
VLAN35 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
VLAN36 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
VLAN65 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
VLAN66 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
Vídeo: Comware – Resumo Spanning-Tree
O Objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do Switch Root (Raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino mas com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.
Nesse vídeos fazemos um resumo do Spanning-Tree e suas configurações.
Introdução ao Multiple Spanning-Tree (802.1s)
O Protocolo Multiple Spanning-Tree 802.1s permite a criação de Instâncias independentes do Rapid Spanning-Tree para otimização de Links e Processamento, criando topologias únicas para cada Instância.
Por padrão, com a utilização “pura” do STP ou RSTP, todas as VLANs participam da mesma Instância, chamada de CST (Common Spanning-Tree), deixando todas as VLANs com o mesmo ponto de bloqueio na Topologia para os links Redundantes.
O MST permite o mapeamento de VLANs em Instâncias independentes para a mesma topologia, permitindo o balanceamento do tráfego pelos Links Redundantes.
Configurando
Para a utilização do MST devemos configurar o nome da região, o número da revisão e o mapeamento das VLANs para as Instâncias em todos os Switches.
[Switch] stp enable ! Habilitando o STP se estiver desabilitado [Switch] stp mode mstp ! Configurando o STP no modo MST [Switch] stp region-configuration ! Acessando a configuração do MST [Switch-mst-region] region-name comutadores ! Configurando o nome da região como comutadores [Switch-mst-region] revision-level 1 !Configurando a revisão como 1 [Switch-mst-region] instance 1 vlan 2 3 ! Configurando as Vlans 2 e 3 para a Instância 1 [Switch-mst-region] instance 2 vlan 4 5 ! Configurando as Vlans 4 e 5 para a Instância 2 [Switch-mst-region] active region-configuration !Ativando a configuração do MST [Switch-mst-region] quit
Para a configuração de qual switch será o Root de sua Instância, configure em cada Switch Root o comando abaixo:
- Switch Root da Instancia 1
stp instance 1 priority 4096 !Configurando a prioridade da Instância 1 para 4096
- Switch Root da Instancia 2
stp instance 2 priority 4096 !Configurando a prioridade da Instância 2 para 4096
Obs: O protocolo 802.1s possui compatibilidade com as versões 802.1w e802.1 d mas sugerimos a implantação do MST em redes que TODOS os Switches possuam suporte ao protocolo.
Abraços a todos!
Protegendo o Spanning-Tree
O Protocolo Spanning-Tree possui algumas vulnerabilidades pela simplicidade de sua arquitetura, falta de mecanismos de autenticação, etc.
Imaginando que você configurou o Switch Core da Rede como Root com a prioridade 0 (zero) e outros Switches com prioridades inferiores ( vence a eleição o Switch com a prioridade com o menor valor) para estabilidade da rede, não impede que um novo Switch colocado na camada de acesso configurado erradamente com a prioridade 0 (zero) possa tomar o lugar do Switch Root, ocasionando toda a convergência da LAN para a topologia a partir do novo Switch Root.
Lembrando que em situações de empate na eleição do Switch Root, vence quem tiver o menor endereço MAC inserido no BPDU. Além do que, a eleição do Root para o Spanning-Tree está sujeita a substituição do Switch Raiz – por situações que envolvem desde falhas do Root até um equipamento com menor prioridade.
Programas como o Yersinia permitem a criação de “tráfego sintético” para ataques ao protocolo.
Há também cenários que envolvem a inserção de Switches não gerenciados e hubs por usuários que desejam prover mais pontos de rede em ambientes que deveriam ser controlados …
Segue abaixo alguns comandos que são bastante uteis em cenários para proteção do STP.
Hardening STP
Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente
Interface GigabitEthernet 1/0/1 stp root-protection
Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Quando uma porta alternativa parar de receber BPDU ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root – melhor caminho para o Switch Raiz – continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root
Interface GigabitEthernet 1/0/1 stp loop-protection
BPDU Guard + Edged-Port: A instalação de Switches em portas configuradas para hosts (edged-port) podem ocasionar pequenos Loops na rede devido a característica da interface. A configuração global do stp bpdu-protection permite o bloqueio da porta “edged” ao receber um BPDU (sendo mandatória a intervenção manual com o comando shutdown e undo shutdown para retorno da porta – após cessar o recebimento de BPDU’s). Caso queira o recovery automático configure o valor do shutdown-interval.
stp bpdu-protection shutdown-interval 300 Interface GigabitEthernet 1/0/1 stp edged-port enable
Loopback Detection: Detecta se uma interface recebeu pacotes que ela mesma gerou, ocasionado provavelmente por Loop em hubs. Se o loop for detectado em uma interface a comunicação será bloqueada.
loopback-detection enable loopback-detection interval-time 30
DLDP: Detecta falhas unidirecionais em links de fibra e/ou UTP cessando a comunicação da interface. Após a normalização do enlace o trafego a interface voltará a comunicar automaticamente.
dldp enable Interface GigabitEthernet 1/0/1 dldp enable
Comware 7 – Configurando Filtros para BPDU’s (bpdu-filtering)
O protocolo Spanning-tree encaminha mensagens a cada 2 segundos para manter a estabilidade da LAN, protegendo o ambiente de loops fisicos (bloqueando o loop lógico) e provendo alta disponibilidade em caso de falhas nos Switches da rede.
Para que isso ocorra, os Switches trocam mensagens chamadas de BPDU’s que são indispensaveis para o correto funcionamento de uma rede descrita com o cenario acima.
Existem cenarios que é preciso desativar o protocolo em uma interface especifica, com a utilização de outros protocolos/features de alta disponibilidade como o RRPP, Smart-Link, Monitor-Link, etc ou também quando o Switch necessita transportar a informação em forma de tunel (transparente), como no caso do QinQ.
Em ambientes compartilhados de clientes, não é desejavel que uma alteração na rede seja avisada para todos os Switches que não pertencem aquela rede e possuem o mesmo Switch em comum, como por exemplo Operadoras e Data Centers.
A principal questão nesse cenario de filtro de BPDUs é certificar que a rede não possui nenhum loop que possa ocasionar um desastre para o projeto do Engenheiro de rede.
Certificada essas questões os Switches baseados no Comware possuem os seguintes comandos que podem auxiliar na solução:
Interface gigabitethernet 1/0/1 stp disable ! Desabilitando o STP somente na interface Giga1/0/1
Ou
stp ignored vlan 10 ! Desabilitando o STP na vlan 10
Obs: Seja bem cuidadoso com a necessidade de desabilitar o recebimento/encaminhamento de BPDUs em uma Interface ou VLAN, principalmente pela similaridade dos comandos para desativar o Spanning-Tree globalmente em um Switch e/ou em uma porta.
Até logo!
COMUTADORES 