A arquitetura Gen7 da HPE Aruba representa um avanço significativo no design de ASICs para redes, superando várias limitações das gerações anteriores. Diferente dos modelos tradicionais com pipelines fixos – que impõem restrições rígidas ao processamento de pacotes – esta nova abordagem introduz maior flexibilidade na manipulação de tráfego. A implementação de mecanismos como Virtual Output Queuing (VoQ) e alocação dinâmica de TCAM que permite um gerenciamento mais eficiente dos recursos de hardware, especialmente em cenários com tráfego heterogêneo.
Do ponto de vista técnico, a principal inovação está na capacidade de adaptação dinâmica. Um chip ASIC ou Circuito Integrado de Aplicação Específica é uma peça especial que é fabricada para executar apenas uma função específica e não pode ter seu funcionamento alterado posteriormente. Enquanto ASICs convencionais exigem reinicializações para reconfigurações profundas, o Gen7 possibilita ajustes em tempo real em parâmetros como QoS e ACLs. Essa característica se mostra particularmente relevante em ambientes com requisitos variáveis, onde a rigidez arquitetural tradicional frequentemente resulta em subutilização de recursos ou necessidade de overprovisioning.
A transição para arquiteturas mais flexíveis reflete uma mudança mais ampla nas demandas das infraestruturas de rede. Com a crescente diversificação de cargas de trabalho e a adoção de novas tecnologias, a capacidade de reconfiguração dinâmica tornou-se um requisito fundamental. Essa evolução não elimina completamente os desafios de projeto – ainda existem trade-offs entre flexibilidade e desempenho bruto – mas oferece um caminho mais sustentável para a evolução das redes corporativas.
O resultado disso é mais estabilidade, confiabilidade e melhor utilização dos recursos de hardware pelo software. Além disso, o Gen 7 inclui alta performance, incluindo VOQ (Virtual Output Queuing) – uma tecnologia que evita o head-of-line blocking e otimiza o fluxo de tráfego nos switches de rede. Esse recurso, comum em switches de data center, também está disponível no ambiente corporativo, como nos modelos CX 6400 e CX 6300.
Por fim, os ASICs oferecem programabilidade flexível, que dependendo do modelo de implantação, do caso de uso e do ambiente, é possível ajustar e programar dinamicamente o ASIC para atender às necessidades específicas.
O VOQ (Virtual Output Queuing) é um mecanismo avançado de gerenciamento de filas em switches e roteadores, projetado para eliminar o problema de head-of-line blocking (HOL blocking) – um gargalo comum em arquiteturas de rede tradicionais.
Como Funciona?
Filas Dedicadas por Porta de Saída
Em switches convencionais, os pacotes são armazenados em uma única fila compartilhada, podendo causar congestionamento se um pacote à frente estiver esperando por uma porta ocupada.
No VOQ, cada porta de saída tem sua própria fila virtual no buffer de entrada. Assim, pacotes destinados a portas diferentes não competem pelo mesmo espaço.
Eliminação do HOL Blocking
Se um pacote não pode ser encaminhado imediatamente (por exemplo, se a porta de destino está ocupada), somente essa fila específica é bloqueada, enquanto pacotes para outras portas continuam fluindo.
Alocação Dinâmica de Largura de Banda
O VOQ permite agendamento inteligente (usando algoritmos como Round Robin ou Weighted Fair Queuing) para priorizar tráfego crítico e otimizar a utilização do switch.
Vantagens do VOQ
Permite maior eficiência na comutação (evita desperdício de largura de banda devido a bloqueios), permite baixa latência (pacotes não ficam presos atrás de outros em filas compartilhadas), oferece justiça no tráfego (prevê starvation, onde alguns fluxos monopolizam a banda) e escalabilidade (essencial para data centers e redes de alta capacidade)
Aplicações Típicas
Data Centers (evita congestionamento em switches spine-leaf)
Redes Corporativas (melhora desempenho em cenários com múltiplos serviços, como VoIP e vídeo)
Switches Programáveis (usado em ASICs modernos)
Comparação com Arquiteturas Tradicionais
Modelo Tradicional
VOQ
Uma fila compartilhada por entrada
Múltiplas filas virtuais (uma por porta de saída)
Risco alto de HOL blocking
Elimina HOL blocking
Ineficiência em tráfego assimétrico
Alta eficiência mesmo com cargas desbalanceadas
Imaginando que o switch é um grande organizador de tráfego de dados, e o VOQ (Virtual Output Queuing) é seu sistema de filas inteligentes. Em vez de uma única fila “desorganizada”, ele cria filas separadas e organizadas para cada destino, evitando congestionamentos no encaminhamento do tráfego.
O tráfego é dividido em dois tipos Unicast e Flood.
No final, o switch usa um sistema de pesos para decidir quanto de cada tipo de tráfego envia – mantendo tudo equilibrado, sem deixar ninguém esperando demais.
Geralmente, para o tráfego unicast, cada módulo de entrada contém oito VOQs por porta de destino (uma para cada nível de prioridade). O perfil da fila define qual VOQ armazena cada pacote, enquanto o perfil de agendamento determina a ordem de transmissão. Os pacotes aguardam nas VOQs até serem selecionados pelo scheduler para cruzar o fabric do switch, sendo temporariamente armazenados em uma fila de transmissão reduzida na porta de saída. Já o tráfego flood (broadcast, multicast e unknown-unicast) segue um caminho separado, com oito VOQs por módulo de destino, onde cópias dos pacotes são replicadas para cada módulo alvo antes da transmissão.
O agendamento final combina ambas as filas (unicast e flood) usando um algoritmo Weighted Fair Queuing (WFQ). Esse scheduler atribui um peso fixo, como por exemplo, de 4 para tráfego unicast e 1 para flood, assegurando que pacotes replicados representem cerca de 20% do tráfego total quando ambas as filas estão ativas. Essa abordagem equilibra eficiência e justiça, priorizando tráfego direcionado sem negligenciar a entrega multidestino (flood).
As tecnologias de virtualização e computação em nuvem vem tomando espaço nos Data Centers e alterando assim a sugestão do modelo tradicional do modelo rede de três camadas Core, Agregação e Acesso.
O modelo tradicional de 3 camadas é eficiente para o tráfego “Norte-Sul”, onde o tráfego percorre o caminho de dentro para fora do Data Center. Este tipo de tráfego é tipicamente utilizado em serviços web, como exemplo, podemos citar o tráfego norte-sul onde há grande volume no modelo de comunicação cliente remoto/servidor.
Esse tipo de arquitetura tradicional é normalmente construído para redundância e resiliência contra falhas em equipamentos ou cabos, organizando portas de bloqueio pelo protocolo Spanning-Tree (STP), a fim de evitar loops de rede.
A arquitetura Spine Leaf é uma maneira inteligente de organizar redes em data centers. Ela é ótima para ambientes que precisam de alto desempenho e baixa latência. As tendências da comunicação entre máquinas nos Data Centers exigem uma arquitetura que sustente as demandas para o tráfego “Leste-Oeste”, ou tráfego de servidor para servidor.
Dependo da configuração lógica do “antigo” modelo tradicional de 3 camadas, o tráfego poderia atravessar todas as camadas para chegar no host de destino entre máquinas no mesmo Data Center, podendo introduzir dessa maneira uma latência imprevisível ou mesmo falta de largura de banda nos uplinks.
A arquitetura leaf-spine é uma topologia de rede escalável e de alta performance, amplamente utilizada em data centers. Ela é composta por duas camadas principais: a camada leaf (folha), que consiste em switches de acesso conectados diretamente aos servidores ou dispositivos finais, e a camada spine (espinha), formada por switches de núcleo que interconectam todos os switches leaf. Cada switch leaf está conectado a todos os switches spine, criando uma malha completa que oferece múltiplos caminhos entre qualquer par de dispositivos na rede. Essa estrutura é projetada para evitar loops naturalmente, já que os switches leaf não se conectam diretamente entre si, nem os switches spine se interligam, eliminando a possibilidade de caminhos redundantes que possam causar loops.
Para gerenciar o encaminhamento de dados e garantir a prevenção de loops, a arquitetura leaf-spine utiliza protocolos de roteamento modernos, como BGP (Border Gateway Protocol) ou OSPF (Open Shortest Path First), em vez de protocolos tradicionais como o Spanning Tree Protocol (STP). Esses protocolos são capazes de calcular os melhores caminhos com base em métricas, evitando loops de forma eficiente. Além disso, a rede aproveita todos os links ativos por meio de técnicas como o Equal-Cost Multi-Path (ECMP), que distribui o tráfego de forma equilibrada entre os múltiplos caminhos disponíveis. Como todos os caminhos entre leaf e spine têm o mesmo custo (geralmente um número fixo de saltos), o ECMP permite que o tráfego seja balanceado, maximizando a utilização da largura de banda e evitando gargalos.
Essa combinação de prevenção de loops e utilização de todos os links ativos traz diversas vantagens, como alta disponibilidade, baixa latência e escalabilidade. A rede se torna mais resiliente a falhas, pois, se um link ou switch falhar, o tráfego pode ser redirecionado instantaneamente por outros caminhos. A latência é mantida baixa, já que o número de saltos entre qualquer par de dispositivos é sempre o mesmo (normalmente dois saltos: leaf → spine → leaf). Além disso, a arquitetura permite a adição de novos switches leaf ou spine sem interromper o funcionamento da rede, tornando-a ideal para ambientes de data center que exigem alta performance, escalabilidade e confiabilidade.
VxLAN e BGP EVPN
A arquitetura leaf-spine também pode ser aprimorada com a integração de tecnologias como VXLAN (Virtual Extensible LAN) e BGP EVPN (Ethernet VPN), que ampliam sua funcionalidade e eficiência em ambientes de data center modernos. O VXLAN permite a criação de redes overlay sobre a infraestrutura física, encapsulando tráfego de camada 2 em pacotes de camada 3, o que possibilita a extensão de redes locais virtuais (VLANs) além dos limites físicos tradicionais. Já o BGP EVPN atua como protocolo de controle, fornecendo uma maneira eficiente de gerenciar a distribuição de informações de rede e a conectividade entre os dispositivos.
A combinação de VXLAN com BGP EVPN traz benefícios significativos, como a simplificação da segmentação de rede, a melhoria da escalabilidade e a facilitação da migração de cargas de trabalho entre diferentes ambientes. Com o BGP EVPN, a rede pode gerenciar de forma dinâmica os endereços MAC e as informações de roteamento, reduzindo a complexidade operacional e permitindo uma melhor utilização dos recursos. Além disso, essa integração suporta cenários de multi-tenancy, onde múltiplos clientes ou aplicações podem compartilhar a mesma infraestrutura física de forma segura e isolada.
Ao adotar VXLAN com BGP EVPN em uma arquitetura leaf-spine, a rede se torna ainda mais robusta e adaptável, capaz de suportar demandas modernas como virtualização, cloud computing e mobilidade de workloads. Essa combinação não apenas mantém as vantagens já existentes da topologia leaf-spine, como prevenção de loops e uso eficiente de links, mas também adiciona camadas de flexibilidade e controle, tornando-a uma solução ideal para data centers de próxima geração.
Vantagens da arquitetura spine leaf em data centers modernos
A arquitetura Spine Leaf é uma opção interessante para data centers modernos, oferecendo várias vantagens. Aqui estão alguns pontos importantes a considerar:
Redução de latência: Isso significa que os dados são transferidos mais rapidamente, resultando em uma experiência mais ágil para os usuários.
Facilidade de expansão: Você pode adicionar novos dispositivos com facilidade, sem complicações, quando seu negócio cresce.
Gerenciamento de tráfego: Essa arquitetura ajuda a evitar sobrecarga nas redes, melhorando a eficiência.
Otimização de recursos: Garante que a largura de banda esteja disponível quando você realmente precisa dela.
Automação nas redes spine leaf
Quando falamos sobre automação e segurança em redes, especialmente na Arquitetura leaf-spine, é importante lembrar como essas ferramentas podem facilitar o dia a dia. Imagine ajustar diversas configurações em poucos cliques, ao invés de gastar horas na configuração de cada equipamento. Isso não só economiza tempo, mas também minimiza erros humanos. Além disso, a segurança é fundamental: com o aumento das ameaças digitais, ter camadas de proteção, como segmentação, firewalls e monitoramento constante, é essencial para proteger os dados. Criar zonas seguras dentro da rede ajuda na detecção de comportamentos estranhos.
Gerenciamento de oversubscription e configuração de switches
Gerenciar a oversubscription é fundamental na Arquitetura Spine Leaf. Basicamente, isso significa conectar mais dispositivos do que a largura de banda permite. Isso pode funcionar bem se for planejado corretamente. Aqui estão alguns pontos a considerar:
Relação de oversubscription: Defina uma relação adequada com base na sua carga de trabalho. Por exemplo, uma relação de 4:1 pode ser ideal para certos cenários.
Configuração dos links: Ajuste bem os links entre os switches spine e leaf para garantir eficiência e reduzir o risco de lentidão.
Monitoramento constante: Acompanhe o tráfego para detectar possíveis gargalos antes que eles se tornem problemas sérios.
Antes de projetar uma arquitetura leaf-spine, é importante saber quais são as necessidades futuras e atuais. Por exemplo, se você tem um número de 100 servidores e que poderá escalar até 500, você precisa ter certeza de o Fabric poderá ser dimensionado para acomodar as necessidades futuras. Há duas variáveis importantes para calcular a sua escalabilidade máxima: o número de uplinks em um switch leaf e o número de portas nos switches spine. O número de uplinks em um switch leaf determina quantos Switches spine você terá no fabric.
Já os equipamentos de WAN podem ser posicionados em um Switch leaf separado para esse fim, nomeado como border-leaf.
O Wi-Fi 7, também conhecido como IEEE 802.11be Extremely High Throughput (EHT), é a próxima geração de tecnologia Wi-Fi, que promete melhorias significativas em relação ao Wi-Fi 6 (802.11ax) e Wi-Fi 6E.
Um dos grandes destaques do Wi-Fi 7 é que ele funciona em várias bandas, como 2.4GHz, 5 GHz e 6 GHz. Isso é ótimo porque é possível fazer um melhor dimensionamento de canais escolhendo a melhor frequência para a conexão dos usuários da rede, evitando congestionamento e/ou interferências.
Entre alguns dos setores e serviços beneficiados pelo Wi-Fi7 serão favorecidas as transmissões 8K, teleconferências imersivas, educação, treinamentos, AR/VR, jogos, Automação e Indústria 4.0.
MLO
Outra novidade é a Multi-Link Operation (MLO). Com ela, seus dispositivos podem usar diferentes frequências ao mesmo tempo para enviar e receber dados (ou vários canais na mesma banda com um rádio duplo de 5 GHz, por exemplo). Isso deixa a conexão mais rápida e estável. No Wi-Fi 6 e anteriores, as faixas de operação eram isoladas, exigindo configuração manual para cada dispositivo escolher qual faixa usar na primeira conexão.
Já no Wi-Fi 7, a unificação das faixas é padrão, e introduz a “ Multi-Link Operation (MLO)“. Isso permite que um único dispositivo se conecte simultaneamente a múltiplas faixas, otimizando a operação e melhorando o desempenho da conexão. Em outras palavras, o Wi-Fi 7 automatiza e aprimora a gestão das faixas de frequência, permitindo conexões mais eficientes e estáveis ao usar múltiplas faixas simultaneamente.
Com todas essas melhorias, o padrão 802.11be atenderá às necessidades cada vez maiores por velocidade, experiencia do usuário e eficiência na internet, sendo também compatível com versões anteriores como o Wi-Fi 6 e 5 – mas para realmente aproveitar todas as suas vantagens, você precisará de dispositivos que tenham suporte ao padrão.
Se você está pensando em adotar o Wi-Fi 7, é importante avaliar sua rede atual. Isso inclui não só os pontos de acesso, mas também garantir que todos os seus dispositivos clientes sejam compatíveis. A interoperabilidade entre as diferentes gerações de Wi-Fi é chave para garantir uma transição tranquila e aproveitar ao máximo essa nova tecnologia.
4K QAM
O ponto forte do padrão é a modulação 4K QAM. Mas o que isso significa? Em termos simples, é como se a rede pudesse empacotar mais dados em menos tempo. Isso se traduz em uma conexão mais rápida e eficiente.
320 MHz
Outra inovação importante são os canais de 320 MHz. As gerações anteriores do Wi-Fi utilizavam larguras de canal de 160MHz ou menos. O Wi-Fi 7 aumenta essa largura para 320MHz (somente em 6GHz)
Temos também o Preamble Puncturing, que pode parecer complicado, mas basicamente ajuda a reduzir atrasos e melhora a qualidade da conexão. Em caso de interferências em determinado canal, o “preamble puncturing” permitirá que um ponto de acesso use a largura de banda restante desse canal para uso sem qualquer interferência.
Quando dispositivos mais antigos (legados) estão usando parte de um canal Wi-Fi, normalmente um ponto de acesso (AP) Wi-Fi 6 poderia não usar esse canal completamente para trafegar dados. Com o “preamble puncturing”, o AP pode “perfurar” a parte ocupada e usar o restante do canal, resultando em uma largura de banda menor, mas ainda assim maior do que se o canal inteiro fosse evitado devido à interferência dos dispositivos legados. Em outras palavras, ele contorna a interferência para aproveitar melhor o espectro disponível.
Abaixo, listamos as principais novidades e características do Wi-Fi 7:
1. Maior Largura de Banda e Velocidade
Banda de 320 MHz: O Wi-Fi 7 suporta canais com largura de até 320 MHz, o dobro do Wi-Fi 6 (160 MHz). Isso permite taxas de transferência de dados muito mais altas.
Velocidades de até 46 Gbps: Com a combinação de canais mais largos e outras melhorias, o Wi-Fi 7 pode atingir velocidades teóricas de até 46 Gbps, significativamente mais rápido que os 9,6 Gbps do Wi-Fi 6.
2. Modulação 4096-QAM
O Wi-Fi 7 introduz a modulação 4096-QAM (Quadrature Amplitude Modulation), que permite uma maior densidade de dados transmitidos por símbolo, aumentando a eficiência espectral e as taxas de transferência em até 20% em comparação com o 1024-QAM do Wi-Fi 6.
3. Multi-Link Operation (MLO)
O MLO permite que dispositivos se conectem simultaneamente a múltiplas bandas de frequência (2,4 GHz, 5 GHz e 6 GHz) ou múltiplos canais dentro da mesma banda. Isso melhora a confiabilidade, reduz a latência e aumenta a eficiência geral da rede.
4. Redução de Latência
O Wi-Fi 7 é projetado para oferecer latência extremamente baixa, o que é crucial para aplicações em tempo real, como jogos online, realidade virtual (VR), realidade aumentada (AR) e videoconferências.
5. Melhorias no MU-MIMO e OFDMA
O Wi-Fi 7 aprimora as tecnologias MU-MIMO (Multi-User Multiple Input Multiple Output) e OFDMA (Orthogonal Frequency-Division Multiple Access), permitindo que mais dispositivos se conectem simultaneamente com maior eficiência e menor interferência.
6. Preamble Puncturing
Esta funcionalidade permite que o Wi-Fi 7 utilize partes do espectro que podem estar ocupadas por interferências, ignorando essas áreas e utilizando apenas as partes limpas do canal. Isso melhora a eficiência e a confiabilidade da conexão.
7. Suporte a Mais Dispositivos
Com melhorias na capacidade de gerenciamento de múltiplos dispositivos, o Wi-Fi 7 é ideal para ambientes com alta densidade de conexões, como estádios, aeroportos e escritórios lotados.
8. Compatibilidade com Frequências de 2,4 GHz, 5 GHz e 6 GHz
O Wi-Fi 7 continua a suportar as bandas de 2,4 GHz, 5 GHz e 6 GHz, oferecendo flexibilidade e compatibilidade com dispositivos mais antigos, ao mesmo tempo em que aproveita a banda de 6 GHz para maior largura de banda e menos interferência.
9. Melhorias na Segurança
O Wi-Fi 7 deve continuar a evoluir em termos de segurança, com suporte a protocolos mais recentes e robustos para proteger as comunicações sem fio.
10. Eficiência Energética
Assim como o Wi-Fi 6, o Wi-Fi 7 também visa melhorar a eficiência energética, o que é benéfico para dispositivos móveis e IoT (Internet das Coisas), prolongando a vida útil da bateria.
What you should know (O que você deve saber)
Nem todos os países adotaram 6GHz (ou podem possuir restrições de uso);
O Standard Power, que é necessário para uso externo, está aguardando aprovações;
O uso de taxas de dados QAM 4096 exige uma alta relação sinal-ruído (SNR) e exige uma proximidade de um AP;
O protocolo IRF v2 permite o “empilhamento” de Switches modulares e empilháveis (stackable), trazendo inúmeras vantagens como redundância, facilidade no gerenciamento, etc.
O IRF pode trazer problemas quando há a quebra do Link 10G que mantém o IRF ativo, essa quebra é chamada de SPLIT. Quando um equipamento percebe que o Master não está respondendo ele assume as suas funções, e nesse caso, com os 2 equipamentos funcionando, ocorrerá a duplicação de alguns serviços e trazendo diversos conflitos na Rede(lembrando que apenas a fibra que sincroniza as informações para o IRF foi danificada).
Publicamos alguns posts no blog com a configuração de proteção para que os equipamentos percebam quando ocorre um SPLIT e bloqueiem um dos equipamentos colocando-o em estado de Recovery, deixando todas as portas inutilizáveis.
É possível utilizar features como BFP e o LACP para monitoração do IRF v2 e escolher algumas interfaces mais críticas para continuarem encaminhando no caso de falha no cabo que conecta o IRF.
Um detalhe importante a ser percebido é que após a correção do SPLIT (com reparo do cabo 10G danificado) o Switch que estava em estado de Recovery reiniciará automaticamente para efetuar o merge (junção) novamente no IRF. Segue abaixo as saídas após a quebra do IRF
[Switch]
#May 29 04:12:18:253 2000 Switch IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.3: Interface 11796529 is Down,
ifAdminStatus is 1, ifOperStatus is 2
%May 29 04:12:18:254 2000 Switch IFNET/3/LINK_UPDOWN:
Ten-GigabitEthernet1/0/50 link status is DOWN.
System is busy with VIU configuration recovery, please wait a moment...
[Switch]disp mad verbose
Current MAD status: Recovery
Excluded ports(configurable):
Excluded ports(can not be configured):
Ten-GigabitEthernet1/0/50
MAD ARP disabled.
MAD LACP disabled.
MAD BFD enabled interface:
Vlan-interface10
mad ip address 192.168.1. 1 255.255.255.252 member 1
mad ip address 192.168.1. 2 255.255.255.252 member 2
! Após reconectarmos as portas do IRF o Switch reiniciará automaticamente
%May 29 04:13:55:028 2000 Switch STM/6/STM_LINK_STATUS_UP:
IRF port 2 is up.
O IRF (Intelligent Resilient Framework) é uma tecnologia de virtualização de switches com o sistema Comware que permite interconectar múltiplos switches físicos, transformando-os em um único switch lógico.
Uma das coisas bacanas da utilização do IRF é a possibilidade de transformarmos diversos Switches físicos em um único Switch lógico facilitando o modo de gerenciamento. Todos os equipamentos serão visualizados como uma única “caixa”. Na versão 2 do protocolo é possível efetuar o Stacking utilizando links de 10G.
O “split brain” é um problema crítico que pode ocorrer em tecnologias de clusterização ou virtualização de dispositivos, como o IRF (Intelligent Resilient Framework) em switches Comware e ocorre quando a comunicação entre os membros do cluster é interrompida, fazendo com que cada parte do cluster passe a operar como um sistema independente, acreditando ser o único ativo. No contexto do IRF, isso significa que cada conjunto de switches isolados passa a se comportar como um switch lógico separado.
Para prevenir o split brain, o IRF utiliza o mecanismo MAD (Multi-Active Detection). O MAD monitora a conectividade entre os membros do IRF e toma medidas para evitar problemas em caso de falha na comunicação.
Como o LACP se integra ao MAD?
O LACP pode ser usado como um método de detecção MAD, oferecendo uma camada extra de proteção. A ideia principal é usar os pacotes LACP trocados entre os switches do IRF e um switch intermediário (ou outro dispositivo de rede) para monitorar a integridade da conexão.
Uma das features que podem ser utilizadas nesse cenário é a utilização de Link Aggregation distribuído (Ditribuited Link Aggregation) entre os equipamentos do IRF com Switches de acesso (sem configuração adicional no Link Aggregation).
Se um Switch empilhado apresentar algum problema, como por exemplo, problemas elétricos, o(s) outro(s) Switches serão capazes de permitir a continuidade do encaminhamento em Camada 2 e 3 (incluindo processos de Roteamento Dinâmico).
Porém, um dos problemas que o IRF pode trazer é quando ocorre uma quebra do Link 10G que mantém o IRF ativo, chamado de SPLIT. Cada caixa ira agir como se fosse o MASTER do IRF, duplicando alguns serviços e trazendo diversos conflitos na Rede.
O MAD é uma das formas para os Switches do Stack detectarem que houve o SPLIT no IRF colocando o Equipamento com o maior Member ID do IRF (não Master) em modo Recovery, bloqueando assim todas as suas portas.
Após restaurado o Link do IRF as portas serão vinculadas novamente o Stack e ao seu estado normal de encaminhamento.
Uma das formas utilizadas pelo MAD para detecção de falha é utilizando uma extensão do protocolo LACP ( Link Aggregation). No TLV do protocolo é inserido o ID do Switch membro do IRF. Nesse caso os Switches da outra ponta do Link Aggregation, encaminham de forma transparente os LACP’s para os Switches Membros do IRF.
Como no exemplo acima, se não há SPLIT no IRF, todas mensagens serão geradas pelo ID do MASTER.
Em caso de quebra do SPLIT as mensagens serão geradas com o ID de cada equipamento e nesse caso o bloqueio das portas do não-Master.
Após detecção as portas bloqueadas do IRF pelo LACP com MAD.
Configuração
A configuração abaixo deverá ser aplicada somente no Switch com o IRF versão 2 “já ativo”.
[S7500]interface bridge-aggregation 1
!Criando a Interface Bridge-Aggregation 1
[S7500-Bridge-Aggregation1] link-aggregation mode dynamic
! Ativando a troca do protocol LACP no Link Aggregation
[S7500-Bridge-Aggregation1] mad enable
! Ativando a extensão MAD no protocol LACP
[S7500-Bridge-Aggregation1] quit
[S7500] interface gigabitethernet 1/3/0/2
[S7500-GigabitEthernet1/3/0/2] port link-aggregation group 1
!Adicionando a interface ao Link Aggregation 1
[S7500-GigabitEthernet1/3/0/2] quit
[S7500] interface gigabitethernet 2/3/0/2
[S7500-GigabitEthernet2/3/0/2] port link-aggregation group 1
!Adicionando a interface ao Link Aggregation 1
[S7500-GigabitEthernet2/3/0/2] quit
Obs: Os switches de acesso conectados ao IRF pelo Link Aggregation não necessitam da configuração do MAD. Mas o fabricante sugere que esse Switch seja um equipamento H3C.
“Requires an intermediate switch, which must be an H3C switch that supports the extended LACP.”
Comandos Display
S7500] display mad
MAD LACP enabled.
Comando display após SPLIT do IRF no Switch não Master
[S7500]display mad verbose
Current MAD status: Recovery
! Switch não-Master em modo recovery após perceber o SPLIT no IRF
! (bloqueando todas as portas)
…………………………
MAD enabled aggregation port:
Bridge-Aggregation1
Obs: o modo Recovery também permite excluímos algumas portas para que continuem em estado de encaminhamento. Há também um segundo modo de utilizar o MAD para detecção de SPLIT utilizando o Protocolo BFD.
O protocolo IRF v2 permite o “empilhamento” de Switches modulares e empilháveis, trazendo inúmeras vantagens como redundância, facilidade no gerenciamento, etc.
Como citado em outros posts, um dos problemas que o IRF pode trazer ocorre quando há uma quebra do Link 10G que mantém o IRF ativo, chamado de SPLIT. Cada caixa ira agir como se fosse o MASTER do IRF, duplicando alguns serviços e trazendo diversos conflitos na Rede.
O “split brain” é um problema crítico que pode ocorrer em tecnologias de clusterização ou virtualização de dispositivos, como o IRF (Intelligent Resilient Framework) em switches Comware. Ele ocorre quando a comunicação entre os membros do cluster é interrompida, fazendo com que cada parte do cluster passe a operar como um sistema independente, acreditando ser o único ativo. No contexto do IRF, isso significa que cada conjunto de switches isolados passa a se comportar como um switch lógico separado.
Imagine um IRF com quatro switches. Se o link que conecta esses switches for interrompido no meio, o IRF se divide em dois grupos de dois switches. Cada grupo agora opera independentemente, com seus próprios endereços MAC, endereços IP de gerenciamento e tabelas de roteamento. Isso leva a sérios problemas na rede:
Duplicação de endereços IP e MAC: Cada parte do IRF agora pode ter o mesmo endereço IP de gerenciamento e os mesmos endereços MAC virtuais, causando conflitos na rede e tornando a comunicação imprevisível.
Loop de Camada 2: Se houver caminhos redundantes na rede que conectam as duas partes divididas, loops de Camada 2 podem se formar, causando tempestades de broadcast e paralisando a rede.
Inconsistências de roteamento: Cada parte do IRF terá suas próprias tabelas de roteamento, levando a decisões de roteamento incorretas e pacotes sendo enviados para destinos errados.
Perda de conectividade: Dispositivos conectados a diferentes partes do IRF dividido não conseguirão se comunicar entre si.
Causas do Split Brain em IRF:
Falha física nos links de interconexão: Cabos danificados, problemas nas portas dos switches ou falhas em equipamentos intermediários podem interromper a comunicação entre os membros do IRF.
Problemas de software: Bugs no software dos switches ou configurações incorretas podem levar à perda de comunicação entre os membros do IRF.
Sobrecarga da rede: Em casos extremos, uma sobrecarga massiva na rede pode afetar a comunicação entre os switches do IRF.
Mecanismos de Prevenção: MAD (Multi-Active Detection)
O MAD é uma das formas para os Switches do Stack detectarem o SPLIT no IRF colocando o Equipamento com o maior Member ID do IRF (não Master) em modo Recovery, bloqueando assim todas as suas portas.
Uma das técnicas para detecção do SPLIT é com é com a utilização do protocolo BFD, criando uma VLAN somente para gerenciamento do IRF com um IP primário e secundário para comunicação do protocolo e um meio físico para conexão das “caixas” (fibra ou UTP) independente da comunicação do IRF.
Configuração
A configuração abaixo deverá ser aplicada somente no Switch com o IRF versão 2 formado.
#
Vlan 900
#
interface Vlan-interface900
description Monitoracao IRFv2 (MAD + BFD)
mad bfd enable
!Ativando o MAD + BFD
mad ip address 192.168.0.1 255.255.255.252 member 1
! Configurando o IP do Switch “1”
mad ip address 192.168.0.2 255.255.255.252 member 2
! Configurando o IP do Switch “2”
#
Obs: cada Switch deverá ter uma porta na VLAN 900 para comunicação do BFD.
As interfaces não participarão do STP.
Comandos Display
[S7500] display mad
MAD LACP enabled.
Comando display após SPLIT do IRF no Switch não Master
[S7500]display mad verbose
Current MAD status: Detect
! Em caso de SPLIT o Switch não-Master exibiria o status como Recovery
Excluded ports(configurable):
Excluded ports(cannot be configured):
Ten-GigabitEthernet1/8/0/1
Ten-GigabitEthernet1/9/0/2
Ten-GigabitEthernet2/8/0/1
Ten-GigabitEthernet2/9/0/2
MAD LACP disabled.
MAD BFD enabled interface:
Vlan-interface900
mad ip address 192.168.0.1 255.255.255.252 member 1
mad ip address 192.168.0.2 255.255.255.252 member 2
Eu já escrevi alguns post sobre a atenção que deve ser dada para a integração entre Switches e Roteadores baseados no Cowmare quando há a necessidade de compartilhar o roteamento dinâmico.
Como no exemplo abaixo, podemos ver que por padrão, toda rota estática é atribuída com o valor 60 para a distância administrativa. De forma didática, faço a comparação nas duas saídas do comando “display ip routing-table” da escolha da tabela de Roteamento pela rota aprendida com a menor distância adminstrativa (no primeiro quadro via rota estática e no segundo exemplo via OSPF).
[Switch] ip route-static 192.168.10.0 255.255.255.0 192.168.12.2 [Switch] [Switch] display ip routing-table Routing Tables: Public Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost NextHop Interface
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 192.168.10.0/24 Static 60 0 192.168.12.2 Eth0/0/0 192.168.12.0/30 Direct 0 0 192.168.12.1 Eth0/0/0 192.168.12.1/32 Direct 0 0 127.0.0.1 InLoop0
Com a rota aprendida dinâmicamente via OSPF (e a estática ainda configurada), percebam que o roteador insere apenas a rota com a menor distância administrativa (valor 10 para o OSPF).
[Switch]display ip routing-table Routing Tables: Public Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost NextHop Interface
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 192.168.10.0/24 OSPF 10 2 192.168.12.2 Eth0/0/0 192.168.12.0/30 Direct 0 0 192.168.12.1 Eth0/0/0 192.168.12.1/32 Direct 0 0 127.0.0.1 InLoop0
Apesar da rota aprendida dinâmicamente “tomar” o lugar da rota estática e possuir o mesmo next-hop (no caso 192.168.12.2, interface Eth0/0/0), em redes mais complexas, o roteamento poderia escolher um caminho menos desejado pelo administrador de rede, visto que em equipamentos de outros fabricantes as rotas estáticas são atribuídas com a distâncias administrativa 1 ( e isso pode passar desapercebido ).
O comando “ip route-static default-preference 1” ajuda aqueles que estão acostumados a trabalhar com ambos roteamento dinâmico e estático, permitindo que as novas rotas configuradas possuam a distância adminstrativa 1 (nesse caso, melhor que todos os protocolos de Roteamento Dinâmico).
[Switch] ip route-static default-preference 1
Caso você prefira escolher manualmente o peso que cada rota terá, basta adicionar o “preference” no final de cada rota.
[Switch] ip route-static 192.168.20.0 255.255.255.0 192.168.12.2 preference ? INTEGER Preference value range
O Aruba Central é uma solução de gerenciamento de rede baseada em nuvem da Hewlett Packard Enterprise (HPE) Aruba Networking. Ele oferece às equipes de TI que gerenciam a rede, insights orientados por IA, visualizações intuitivas, automação de fluxo de trabalho e segurança de ponta a ponta para gerenciar redes de campus, filiais, locais remotos, data centers e IoT a partir de um único painel.
Em termos mais simples, o Aruba Central permite que você:
Gerencie sua rede de qualquer lugar: Acesse e controle sua infraestrutura de rede de qualquer dispositivo com conexão à internet.
Simplifique as operações de TI: Automatize tarefas rotineiras, como configuração, monitoramento e solução de problemas, liberando tempo para projetos mais estratégicos.
Obtenha visibilidade completa da rede: Monitore o desempenho da rede, identifique gargalos e resolva problemas rapidamente com insights baseados em IA.
Melhore a segurança: Implemente políticas de segurança consistentes em toda a sua rede e proteja-se contra ameaças cibernéticas.
Reduza custos: Elimine a necessidade de hardware e software de gerenciamento local, reduzindo os custos operacionais.
O Aruba Central oferece suporte a uma variedade de dispositivos de rede, incluindo Pontos de acesso (APs), Gateways e controladores (para conectar redes locais à internet e aplicar políticas de segurança) e Switches.
Visibilidade e Monitoramento Abrangentes:
O Aruba Central oferece monitoramento profundo e em tempo real da sua rede, proporcionando insights valiosos para otimizar o desempenho e solucionar problemas. As funcionalidades incluem:
Análise de integridade da rede em tempo real: Monitora a saúde da rede com dashboards intuitivos e alertas proativos.
Listas dinâmicas de clientes e APs: Visualização dos dispositivos conectados e seu status.
Painéis de conectividade Wi-Fi: Analisa o desempenho da rede sem fio, identificando gargalos e pontos de melhoria.
Visualização de topologia de rede: Compreende a estrutura da sua rede com representações gráficas.
Plantas baixas de radiofrequência (RF) visual: Visualiza a cobertura Wi-Fi do espaço físico, otimizando o posicionamento dos APs.
Visibilidade de aplicativos: Monitora o tráfego e o desempenho dos aplicativos da rede.
Regras do WebCC Firewall: Gerencia e monitore as regras do firewall para garantir a segurança da rede.
Trilha de auditoria: Mantem um registro detalhado das atividades na rede para fins de conformidade e segurança.
Integração com sensor UXI (User Experience Insight): Obtem insights sobre a experiência do usuário final, identificando problemas de conectividade e desempenho.
Histórico de dados: Acesse até 30 dias de dados de monitoramento detalhados e um ano de dados de resumo da rede, permitindo análises de tendências e planejamento de capacidade.
IA
O Aruba Central utiliza inteligência artificial para simplificar as operações de rede e fornecer insights preditivos:
Pesquisa e assistência com IA: Resolve problemas de forma mais rápida e eficiente com a ajuda da IA.
Insights preditivos: Obtem insights sobre conectividade Wi-Fi, disponibilidade de AP e qualidade sem fio, antecipando potenciais problemas.
Troubleshooting simplificado:
O Aruba Central oferece ferramentas para diagnosticar e resolver problemas de rede:
Verificação de rede: Identifica rapidamente problemas de configuração e conectividade.
Captura de pacotes: Analisa o tráfego de rede para diagnosticar problemas complexos.
Acesso CLI (Command-Line Interface): Permite a utilização de comandos CLI para configurações e solução de problemas avançados.
Serviços de Rede Avançados:
O Aruba Central oferece recursos adicionais para melhorar a experiência do usuário e otimizar a rede:
AirGroup: Habilita a compatibilidade perfeita com aplicativos de terceiros, como AirPlay e AirPrint da Apple, em ambientes corporativos e educacionais.
Serviços de gerenciamento de RF: Otimiza a cobertura e o desempenho da rede sem fio.
Análise de presença: Obtem insights sobre o movimento e a densidade de usuários em um determinado local.
Segurança Robusta:
WIPS/WIDS (Wireless Intrusion Prevention System/Wireless Intrusion Detection System): Monitoramento contínuo para detectar e prevenir ameaças à rede sem fio.
Segmentação de perfis de convidado e cliente: Isola o tráfego de convidados do tráfego corporativo, minimizando riscos de segurança.
Acesso Guest e integração dom IDPs.
Integração Flexível com APIs:
API Northbound: Permite a integração com outras plataformas e ferramentas, suportando até 1.000 chamadas de API por cliente diariamente.
Equipamentos suportados
Os seguintes Access Point e Gateways (Controllers) podem ser gerenciados pelo Aruba Central:
AP-324 , AP-325 Os modelos AP da série 320 com 256 MB de SDRAM, fabricados entre agosto de 2015 e janeiro de 2016, não são suportados com AOS-10 . Esses modelos AP da série 320 têm um número de série que começa com DD (por exemplo, DD0003824).
Obs: Até o momento, os equipamentos baseados no Comware, InstantOn e ou Juniper não podem ser gerenciados pelo Aruba Central.
Licenciamento
Atualmente o licenciamento do Aruba Central é baseado em assinaturas, tornando o processo simplificado e direto:
Assinaturas baseadas em tempo: Você adquire assinaturas com duração de 1, 3, 5, 7 ou 10 anos. Essa flexibilidade permite escolher o período que melhor se adapta às suas necessidades e orçamento.
Modelo unificado: Um único tipo de licença cobre o gerenciamento dos dispositivos (APs e switches) e os serviços oferecidos pelo Aruba Central.
Níveis de assinatura (Foundation, Advanced, etc.): O Aruba Central oferece diferentes níveis de assinatura, cada um com um conjunto específico de recursos e funcionalidades. A escolha do nível depende das suas necessidades de gerenciamento e dos recursos que você deseja utilizar.
Assinaturas cobrem tudo: A assinatura do Aruba Central engloba o gerenciamento dos dispositivos e os serviços da plataforma.
Para escolher a licença adequada, você precisa considerar:
Duração da assinatura: Avalie o período que você deseja utilizar o Aruba Central. Assinaturas mais longas geralmente oferecem um melhor custo-benefício.
Recursos necessários: Analise os recursos e funcionalidades que você precisa para gerenciar sua rede. Compare os diferentes níveis de assinatura (Foundation, Advanced, etc.) para identificar qual deles atende às suas necessidades.
Número de dispositivos: O licenciamento é baseado no número de dispositivos que serão gerenciados pelo Aruba Central. Certifique-se de adquirir licenças suficientes para todos os seus APs e switches.
Onde encontrar informações detalhadas sobre licenciamento?
A melhor fonte de informações sobre licenciamento do Aruba Central é a documentação oficial da Aruba Networks. Lá, você encontrará detalhes sobre os diferentes níveis de assinatura, os recursos inclusos em cada um deles e as opções de licenciamento disponíveis. Atualmente o documento de referencia está disponível em: https://www.hpe.com/psnow/doc/a00125615enw
Caso o link esteja quebrado, pesquise em seu buscador favorito como “Aruba Central Ordering Guide” ou “HPE Aruba Networking Central SaaS Subscriptions”.
Versão on-prem ?
Há uma versão on-prem do Aruba Central e caso haja a necessidade de um projeto que o Aruba Central deva ser executado na infraestrutura do cliente, alinhe com o seu integrador Representante da HPE ou diretamente com o fabricante.
O IRF (Intelligent Resilient Framework) é uma tecnologia de virtualização de switches baseados no Comware que permite interconectar múltiplos switches físicos, transformando-os em um único switch lógico. Todos os equipamentos serão visualizados como uma única “caixa”, aumentando a disponibilidade da rede.
Uma das facilidades da versão 2 é a possibilidade de utilizarmos interfaces 10G para a construção IRF (sem a necessidade de cabos ou módulos específicos ) e possibilidade da utilização de Switches Modulares para construção da topologia.
Em resumo, o IRF simplifica a administração, aumenta a resiliência e a escalabilidade da rede, tratando vários switches como um só. É como se você tivesse um único switch com mais recursos computacionais e alta disponibilidade.
Pontos importantes sobre o IRF:
Conexão física: Os switches são conectados através de portas específicas de alta velocidade, geralmente 10G ou superiores.
Topologia: O IRF suporta diferentes topologias, como anel ou estrela.
Configuração: A configuração do IRF é relativamente simples, envolvendo a definição de um ID para cada switch e a configuração das portas de conexão.
Split Brain: Um problema que pode ocorrer no IRF é o “split brain”, onde a conexão entre os switches é interrompida, fazendo com que cada parte do IRF se comporte como um switch independente, o que pode causar problemas na rede. Mecanismos como o MAD (Multi-Active Detection) ajudam a prevenir esse problema.
Configuração
A configuração do IRF é dividida nos passos abaixo ( utilizaremos[Sw1] e [Sw2] antes dos comandos para diferenciarmos os dispositivos):
1º Converta os 2 Switches no modo IRF
[Sw1]chassis convert mode irf ! Convertendo o Switch 1 no modo IRF
[Sw2]chassis convert mode irf ! Convertendo o Switch 2 no modo IRF
Após a conversão dos Chassis para modo IRF, reinicie os Switches. Os equipamentos subirão com a configuração dos módulos como 1/2/0/1 ( para a porta antes exibida na configuração como 2/0/2; e assim por diante)
2º Renumere o Segundo Switch
[Sw2]irf member 1 renumber 2 ! Forçaremos as portas do Switch 2 para exibirem no formato 2/2/0/x
Reinicie o Switch
3º Altere a prioridade do Switch Master
[Sw1]irf member 1 priority 32 ! O Switch com maior prioridade será eleito o Master ( por default a prioridade de todos os Switches será 1)
4º Deixe as portas 10G que participarão do IRF em shutdown.
[Sw1] interface Ten-GigabitEthernet1/3/0/2 [Sw1-Ten-GigabitEthernet1/3/0/2] shutdown ! Configurando a porta 10G 1/3/0/1 do Switch 1 em shutdown
[Sw2] interface Ten-GigabitEthernet2/3/0/2 [Sw2-Ten-GigabitEthernet2/3/0/2] shutdown ! Configurando a porta 10G 2/3/0/1 do Switch 2 em shutdown
5º Crie a interface lógica para o IRF
[Sw1] irf-port 1/2 ! Criando a interface lógica IRF 1/2 [Sw1-irf-port 1/2] port group interface Ten-GigabitEthernet1/3/0/2 mode enhanced ! Adicionando a porta 10G 1/3/0/2 do Switch 1 na interface IRF no modo enhanced
[Sw2] irf-port 2/1 ! Criando a interface lógica IRF 2/1 [Sw2-irf-port 2/1] port group interface Ten-GigabitEthernet2/3/0/2 mode enhanced ! Adicionando a porta 10G 2/3/0/2 do Switch 1 na interface IRF no modo enhanced
Obs: O fabricante sugere a configuração das portas IRF em modo cruzado, como por exemplo, a porta IRF 1/2 do Switch 1 conectado na porta IRF 2/1 do Switch 2
Após removermos a porta do Switch 2 participante do IRF do shutdown, será exibida a seguinte mensagem:
IRF merge occurs and the IRF system needs a reboot.
Salve a configuração dos 2 Switches e reinicie o Segundo Switch ( o dispositivo não-Master). Espere os módulos subirem e os Switches tornarem-se um só! Display
Para verificar o IRF podemos utilizar os comandos abaixo
[SW1]display irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 1 disable Ten-GigabitEthernet1/3/0/2
2 2 Ten-GigabitEthernet2/3/0/2 disable
[SW1]display irf topology
Topology Info
---------------------------------------
IRF-Port1 IRF-Port2
Switch Link neighbor Link neighbor Belong To
1 DIS -- UP 2 00e0-fc0a-15e0
2 UP 1 DIS -- 00e0-fc0a-15e0
COMUTADORES 