COMUTADORES

Oversubscription para os uplinks em uma rede LAN de duas camadas (two-tier)

December 18, 2024July 7, 2025Diego DiasLeave a comment

O oversubscription, no contexto de redes de computadores, especialmente em data centers, refere-se à prática de dimensionar a capacidade de um switch de forma que a porta de uplink (portas que conectam em outros Switches de camadas superiores) tenha uma capacidade menor do que a soma das portas de downlink (conexão utilizada em endpoint e servidores).

A rede pode tolerar o uso de oversubscritpion em razão de todos os servidores possuírem diferentes perfis de tráfego e não utilizarão toda a banda disponível de suas portas ao mesmo tempo.

Imagine um switch com 48 portas de 10Gbps cada e 4 portas de 40Gbps. A porta de uplink desse switch, que conecta o switch a outro equipamento na rede, pode ter apenas 160Gbps, enquanto o total de portas em uso ao mesmo tempo demandaria 480Gbps. Neste caso, o oversubscription ratio seria de 3:1 (480/160).

O cliente pode especificar a proporção máxima de oversubscription permitida para o projeto. Caso contrário, você geralmente deve buscar fornecer entre 3:1 e 5:1 de oversubscription entre a camada de acesso e a camada core em uma topologia de duas camadas.

Para dimensionar a largura de banda do uplink, use a fórmula:

Largura de banda do uplink = (Soma das portas de acesso) / Oversubscription

Essa fórmula calcula a capacidade mínima necessária no uplink, considerando a razão de oversubscription desejada.”

Exemplo Prático

Imaginando um switch com 10 portas de 1Gbps cada. Você deseja configurar uma proporção de oversubscription de 4:1. Qual será a largura de banda mínima do uplink?

Soma da largura de banda das portas de acesso: 10 portas * 1Gbps/porta = 10Gbps
Proporção de oversubscription: 4
Largura de banda do uplink: 10Gbps / 4 = 2.5Gbps

10*1 / 4 = 2.5Gbps

Portanto, você precisará de um uplink de pelo menos 2.5Gbps para atender a essa configuração. Caso o Switch possua apenas portas de 1Gbps no uplink, seriam necessárias pelo menos 3 portas de 1Gbps.

Observe que, se um cliente exigir um oversubscription muito baixo, você deve projetar uma topologia leaf-spine.

Referências

HPE Aruba Certified Network Architect – Data Center – Official Certification Study Guide (Exam HPE7 -A04)

Comware 7: QoS – Efetuando a marcação de Pacotes com Policy

December 2, 2024November 25, 2024Diego DiasLeave a comment

A densidade de portas e banda disponivel em modernos Switches empilhaveis ou modulares permite um bom desempenho na comunicação entre Serviços na Rede Local.

Em modelos de QoS a utilização de Switches tem a função de permitir a confiança (trust) de pacotes ja marcados na origem como Telefones IP e Aplicações para tratamento em Links congestionados como em uma rede WAN , incluindo tambem a marcação e a remarcação de pacotes para o mesmo fim.

A atribuição de QoS em Roteadores ocorre devido ao gargalo gerado por Links 100/1000/10000Gbps de Switches em contraste com Links de comunicação via Internet ou Redes Privadas que são proporcionamente menores que a vazão do tráfego necessária.

Para a tratativa do tráfego utilizamos filas de prioridade com a utilização de algoritmos como WRR,WFQ,SP e etc.

Na necessidade de atribuir a marcação de um determinado tráfego para diferentes politicas de Qualidade de Serviço (QoS) é possível utilizar o seguinte esquema:

ACL: Não mandatória, permite a seleção de trafego para filtro de classificação de tráfego;

Classifier: Classificação do trágego (baseado em uma ACL, Tag de VLAN, etc)
Behavior: Comportamento para o tráfego , como por exemplo, marcação IP Precedence no pacote IP, descarte de pacote, etc
Policy: Permite o vinculo da classificação com o comportamento para ser atribuido a uma interface.

Configurando
No script abaixo mostraremos um exemplo de configuração para marcação do tráfego de qualquer origem com destino a porta TCP 50001:

acl number 3000
! Criando uma ACL avançada
rule permit tcp destination-port eq 50001
! Permitindo qualquer origem efetuar conexão TCP na porta de destino 50001
#
traffic classifier AF32 operator and
! Criando a classificaçaõ com o nome AF32
if-match acl 3000
!Dando match na ACL 3000 para futura utilização 
#
traffic behavior AF32
! Criando o comportamento com nome AF32
remark dscp af32
! Marcando/Remarcando o tráfego que será classificado com o valor dscp af32 
!( notação 28 em decimal)
accounting
! Efetuando a contagem dos pacotes marcados (opção não obrigatória)
#
qos policy MARKING
!Criando a policy com o nome MARKING
classifier AF32 behavior AF32
! Vinculando a classificação com nome AF32 com o comportamento com nome AF32 
!( não é obrigatório utilizar o mesmo nome no classifier e no behavior)
#
interface GigabitEthernet1/0/2
description INTERFACE_INBOUND_ACESSO_INTERNO
qos apply policy MARKING inbound 
! Permite a marcação do tráfego com a policy MARKING na entrada do pacote
qos trust dscp
! Não remarca os pacotes não listados na policy.
! Confiando na marcaçaõ dscp do pacote

Obs: No exemplo acima, após satisfazer as condições da politica de marcação IP Precedence, o pacote irá manter o valor até o fim da comunicação para ser tratado pelos dispositivos no caminho caso seja necessário. Como por exemplo, na separação do tráfego, usando a sua marcação AF32( notação 28 em decimal) em contraste com um pacote não marcado.

Uma boa semana a todos!

Comware7: uRPF

December 1, 2024November 25, 2024Diego DiasLeave a comment

A funcionalidade uRPF (Unicast Reverse Path Forwarding) protege a rede contra ataques do tipo spoofing. A técnica de spoofing é utilizada por atacantes que falsificam o endereço IP de origem do pacote para os mais diversos fins.

O uRPF pode impedir esses ataques de spoofing com o endereço de origem. Ele verifica se a interface que recebeu um pacote é a interface de saída na FIB, que corresponde ao endereço de origem do pacote. Caso contrário, a uRPF considera um ataque de falsificação e descarta o pacote.

Lembrando que por padrão, para o encaminhamento de pacotes, o roteador valida apenas o endereço de destino de um pacote IP.

Exemplo

Em um exemplo simples, é como se um roteador com uma interface com o endereço de LAN 192.168.1.0/24 receber um pacote com o endereço de origem 172.16.1.20. Esse endereço não faz parte da rede local.

Modos uRPF

O uRPF possui 2 modos distintos (strict e loose) que podem potencialmente ajudar a reduzir ataques com endereços IP falsificados.

[R2-GigabitEthernet1/0] ip urpf ?
  loose   Don't check interface
  strict  Check interface

Strict uRPF – Para passar a verificação estrita do uRPF, o endereço de origem de um pacote deve ser correspondente ao endereço de destino da interface de saída da FIB. Em alguns cenários (por exemplo, roteamento assimétrico), o Strict uRPF estrito pode descartar pacotes válidos. O Strict uRPF estrito é frequentemente implantado entre um PE e um CE.

[R2-GigabitEthernet1/0] ip urpf strict

Loose uRPF – Para passar a verificação Loose uRPF, o endereço de origem de um pacote deve corresponder o endereço de destino de uma entrada qualquer da FIB. O Loose uRPF pode evitar descartar pacotes válidos, mas pode deixar passar pacotes de um atacante. O Loose uRPF é frequentemente implementado entre ISPs, especialmente em roteamento assimétrico.

 [R2-GigabitEthernet1/0] ip urpf loose

Rota Default

Caso o endereço seja apenas conhecido via rota default, o uRPF continuará bloqueando os endereços. Para permitir os endereços a partir da rota default use o comando “allow-default-route” após a configuração do modo strict ou do loose:

[R2-GigabitEthernet1/0]ip urpf strict allow-default-route

É possível validar o descarte de pacotes através do debug ip urpf

<R2> debug ip urpf
*Jan  2 12:21:11:074 2019 R2 URPF/7/debug_info:
uRPF  URPF-Discard: Packet from 10.12.0.27 via GigabitEthernet2/0
*Jan  2 12:21:11:074 2019 R2 URPF/7/debug_info:
uRPF  URPF-Discard: Packet from 10.12.0.27 via GigabitEthernet2/0

Até logo!

Comware 7: Roteamento entre VRFs com MP-BGP

November 30, 2024November 25, 2024Diego DiasLeave a comment

A utilização de VRFs (Virtual Routing and Forwarding) em Roteadores permite a criação de tabelas de roteamentos virtuais que trabalham de forma independente da tabela de roteamento “normal”, protegendo os processos de roteamento de cada cliente de forma individual.

Empresas que prestam serviços de gerenciamento de rede ou monitoração, empresas que vendem serviços em Data Center e provedores de serviço utilizam largamente VRFs, otimizando assim a administração e o retorno financeiro no total do custo de um projeto.

Já o Roteamento entre VRFs ocorre quando há a necessidade de comunicarmos diferentes tabelas de roteamento que estão segregadas por VRF, para compartilharem alguns ou todos os prefixos. Há diversas formas de configurarmos o roteamento entre VRFs, como por exemplo com a utilização de um cabo virado para o próprio roteador com as portas em diferente VRFs [apontando assim uma rota para nexthop da proxima VRF; ou com algum IGP] e também com a utilização de um outro roteador, etc; nesse post explicaremos o roteamento interVRF com o processo MPBGP que é a maneira mais escalável… preparados? Então vamos lá…

Habilitando o import e export das VRFs

Ao configurarmos o processo de roteamento entre VRFs em um mesmo roteador , dois valores de extrema importancia devem ser configurados na VRF: o RD (route distinguisher) e o RT (route target)

RD – Route Distinguisher

Como explicado anteriormente, as VRFs permitem a reutilização de endereços IP em diferentes tabelas de roteamento. Por exemplo, suponha que você tenha que conectar a três diferentes clientes , os quais estão usando 192.168.1.0/24 em sua rede local. Podemos designar a cada cliente a sua própria VRF de modo que as redes sobrepostas são mantidas isoladas em suas VRFs .

O RD funciona mantendo o controle de quais rotas 192.168.1.0/24 pertencem a cada cliente como um diferenciador de rota (RD) para cada VRF. O route distinguisher é um número único adiciondo para cada rota dentro de uma VRF para identificá-lo como pertencente a essa VRF ou cliente particular. O valor do RD é carregado juntamente com uma rota através do processo MP- BGP quando o roteador troca rotas VPN com outros Roteadores PE.

O valor RD é de 64 bits e é sugerido a configuração do valor do RD como ASN::nn ou endereçoIP:nn. Mas apesar das sugestões, o valor é apenas representativo.

[R1-vpn-instance-Cliente_A]route-distinguisher ?
  STRING  ASN:nn or IP_address:nn  VPN Route Distinguisher
!
! Configurando a VRF para os clientes A B e C 
ip vpn-instance Cliente_A
 route-distinguisher 65000:1
!
ip vpn-instance Cliente_B
 route-distinguisher 65000:2
!
ip vpn-instance Cliente_C
route-distinguisher 65000:3

Quando rotas VPN são anunciados entre os roteadores PE via MP-BGP, o RD é incluído como parte da rota, juntamente com o prefixo IP. Por exemplo, uma via para 192.0.2.0/24 na VRF Cliente_B é anunciado como 65000:2:192.0.1.0 / 24.

RT – Route-Target ou VPN-target

Considerando que o valor do RD é utilizado para manter a exclusividade entre rotas idênticas em diferentes VRFs, o RT (route target)é utilizado para compartilhar rotas entre eles. Podemos aplicar o RT para uma VRF com o objetivo de controlar a importação e exportação de rotas entre ela e outras VRFs.

O route target assume a forma de uma comunidade BGP estendida com uma estrutura semelhante à de um RD (que é, provavelmente, porque os dois são tão facilmente confundidos).

Segue abaixo um exemplo de configuração, onde o Cliente_A fará o roteamento entre VRFs com o Cliente_B, já o Cliente_C continuará com a sua VRF isolada dos outros clientes.

!
!
ip vpn-instance Cliente_A
 route-distinguisher 65000:1
 vpn-target 65000:1 export-extcommunity
 vpn-target 65000:1 import-extcommunity
 vpn-target 65000:2 import-extcommunity 
!
ip vpn-instance Cliente_B
 route-distinguisher 65000:2
 vpn-target 65000:2 export-extcommunity
 vpn-target 65000:2 import-extcommunity
 vpn-target 65000:1 import-extcommunity  
!
ip vpn-instance Cliente_C
 route-distinguisher 65000:3
 vpn-target 65000:3 export-extcommunity
 vpn-target 65000:3 import-extcommunity
!

egue abaixo a configuração das interfaces de cada VRF , e o processo MP-BGP responsável por funcionar o import/export de prefixos das VRFs.

!
!
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Loopback1
 ip binding vpn-instance Cliente_A
 ip address 1.1.1.1 255.255.255.0
!
interface Loopback2
 ip binding vpn-instance Cliente_B
 ip address 2.2.2.2 255.255.255.0
!
interface Loopback3
 ip binding vpn-instance Cliente_C
 ip address 3.3.3.3 255.255.255.0
!
#
bgp 6500
 undo synchronization
#
 ipv4-family vpn-instance Cliente_A
  import-route direct
#
 ipv4-family vpn-instance Cliente_B
  import-route direct
#
 ipv4-family vpn-instance Cliente_C
  import-route direct
#
!

Segue abaixo os outputs das rotas aprendidas para o roteamento entre VRFs(vpn-instances) e o teste de ICMP

[R1]display ip routing-table vpn-instance Cliente_A
Routing Tables: Cliente_A
        Destinations : 4        Routes : 4
Destination/Mask    Proto  Pre  Cost         NextHop         Interface
1.1.1.1/32          Direct 0    0            127.0.0.1       InLoop0
2.2.2.2/32          BGP    130  0            127.0.0.1       InLoop0
127.0.0.0/8         Direct 0    0            127.0.0.1       InLoop0
127.0.0.1/32        Direct 0    0            127.0.0.1       InLoop0

[R1]ping -vpn-instance Cliente_A 2.2.2.2
  PING 2.2.2.2: 56  data bytes, press CTRL_C to break
    Reply from 2.2.2.2: bytes=56 Sequence=1 ttl=255 time=4 ms
    Reply from 2.2.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms
    Reply from 2.2.2.2: bytes=56 Sequence=3 ttl=255 time=10 ms
    Reply from 2.2.2.2: bytes=56 Sequence=4 ttl=255 time=5 ms
    Reply from 2.2.2.2: bytes=56 Sequence=5 ttl=255 time=4 ms
 --- 2.2.2.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 4/5/10 ms

Para dúvidas em sugestões deixe um comentário.

Switches ArubaOS – Guia Rápido de Configuração

November 29, 2024November 25, 2024Diego DiasLeave a comment

Para aqueles que estão começando a gerenciar equipamentos Aruba criamos uma lista de comandos para instalação e configuração de Switches com ArubaOS (parte dos comandos são aceitos na maioria dos modelos); os scripts são simples e bastante úteis!

Algumas funcionalidades podem ser configuradas de diferentes maneiras, mas tentaremos ser o mais abrangente possível nos scripts abaixo:

Configurando o nome do Switch

Switch(config)# hostname Sw_Core
Sw_Core(config)#

Configuração de VLANs

vlan 2
name ADM

Mostrando quais as VLANs que existem no switch

show vlans

Mostrando as informações de uma determinada vlan (descrição, portas tagged e untagged)

show vlans 3

Definindo o IP para a VLAN 1

vlan 1
ip address 192.168.2.254 255.255.255.0

Configurando o default gateway

ip route 0.0.0.0 0.0.0.0 192.168.2.1

Habilitando o roteamento

ip routing

Configurações de portas
Entrando no modo de configuração de uma porta

interface 1

Colocando uma descrição na porta

interface 1
name "ROTEADOR"
exit

VLAN
Adicionando uma VLAN em uma porta de acesso

interface 2
untagged vlan 2

Adicionando VLANs em uma porta de uplink (as VLANs necessitam estar previamente configuradas)

interface ethernet 24
tag vlan 2,4,5,6,7,8,9,101,192,200

ou ….
Adicionando a porta a uma vlan

vlan 1
untagged 1
! Adicionando a porta 1 na VLAN 1

vlan 3
untagged 3,5-7
! Adicionando a porta 3,5,6 e 7 na VLAN 3

Para as portas utilizadas na conexão entre switches, todo o trafego de VLANs é encaminhado para essas portas como tagged (utilizando a TAG 802.1Q), exceto para a VLAN 1, que será encaminhada como untagged.

Criando usuário
Definindo a senha do usuário diego como s3nha

password manager user-name "diego" plaintext s3nha

SNMPv2

snmp-server community s1ro restricted
! Comunidade SNMP de Leitura como s1ro
snmp-server community s1rw unrestricted
! Comunidade SNMP de Leitura e Escrita como s1rw

Habilitando o spanning tree protocol

spanning-tree

Configurando a versão do MSTP (802.1s)

spanning-tree mode mstp

Configurando o switch como root bridge do STP. O comando stp root primary configura automaticamente o valor do Bridge Priority para 0 (zero)

spanning-tree root primary
ou
spanning-tree priority 0

Criando um LINK AGGREGATION

No exemplo abaixo, exemplificamos a configuração das portas 23 e 24 como trunk (agregação de portas) com o protocolo LACP. Os Switches ArubaOs nomeiam as interfaces Link-Aggregation como trunk e nomeiam cada interface como trk[numero].

trunk 23-24 trk1 lacp

Syslog

logging 10.0.100.111

NTP

timesync ntp
ntp enable
ntp server 10.0.100.112
ntp unicast

Salvando as configurações do Switch

save

Apagando todas as configurações do Switch

erase startup-config

Comandos show

show interface brief
! Mostrando um resumo de TODAS as portas
show trunks
! Mostrando quais portas do Switch utilizam link-aggregation
show running-config
show running-config structured
! Mostrando a configuração do Switch atual
show spanning-tree
show spanning-tree config
! Mostrando informações do STP, quais portas estão BLOQUEADAS e FORWARDING
show mac-address
show arp
! Mostrando a tabela MAC e tabela ARP
show logging
! Visualizando os logs no Switch

E vocês, possuem mais alguma sugestão de comando para os Switches ArubaOS?
Sintam-se à vontade…

Conectando-se a Switches Comware 7 via Ansible

November 28, 2024November 16, 2024Diego DiasLeave a comment

A automação de tarefas em redes de computadores é fundamental para otimizar processos, reduzir erros e aumentar a eficiência. O Ansible, uma ferramenta de automação poderosa e flexível, oferece uma excelente solução para gerenciar e configurar dispositivos de rede, incluindo os switches Comware 7. Neste artigo, exploraremos como conectar-se a switches Comware 7 via Ansible e automatizar diversas tarefas.

Por que usar Ansible com Comware 7?

A combinação de Ansible e Comware 7 oferece inúmeros benefícios:

Agilidade: Automatize tarefas repetitivas e economize tempo.
Consistência: Garanta que as configurações sejam aplicadas de forma uniforme em todos os dispositivos.
Escalabilidade: Gerencie grandes quantidades de switches de forma eficiente.
Idempotência: As tarefas podem ser executadas várias vezes sem causar efeitos colaterais indesejados.
Integração: Combine com outras ferramentas de automação e infraestrutura como código.

Pré-requisitos

Para começar, você precisará de:

Ansible: Instale o Ansible em sua máquina seguindo as instruções oficiais.
Credenciais: Tenha em mãos as credenciais de acesso (usuário e senha) para os switches Comware 7.
Biblioteca pyhpecw7: Essa biblioteca Python é essencial para interagir com os switches Comware 7 via Ansible. Instale-a usando pip install pyhpecw7.
Inventário Ansible: Crie um inventário Ansible com os detalhes dos seus switches.

Criando seu primeiro playbook

Um playbook Ansible é um arquivo YAML que define as tarefas a serem executadas nos dispositivos. Vamos criar um playbook simples para configurar uma interface em um switch Comware 7:

YAML

- name: Configurar interface GigabitEthernet0/1

  hosts: all

  gather_facts: no

  become: yes

  tasks:

    - name: Configurar interface

      comware_command:

        command: interface GigabitEthernet0/1; ip address 192.168.1.10/24; quit

Neste exemplo:

hosts: all: Indica que a tarefa será executada em todos os hosts definidos no inventário.
gather_facts: no: Desativa a coleta de fatos, otimizando a execução.
become: yes: Permite que o Ansible execute comandos com privilégios elevados.
comware_command: Módulo específico para executar comandos no Comware.

Executando o playbook

Para executar o playbook, utilize o comando:

Bash

ansible-playbook playbook.yml

Utilizando a biblioteca pyhpecw7

A biblioteca pyhpecw7 oferece uma interface mais Pythonica para interagir com os switches Comware 7. Veja um exemplo de como criar uma VLAN:

YAML

- name: Configurar VLAN

  hosts: all

  gather_facts: no

  become: yes

  tasks:

    - name: Criar VLAN 10

      pyhpecw7_vlan:

        name: VLAN10

        vlan_id: 10

Dicas e Considerações

Modularização: Divida seus playbooks em módulos menores para facilitar a manutenção e a reutilização.
Teste: Sempre teste seus playbooks em um ambiente de testes antes de aplicá-los em produção.
Controle de versão: Utilize um sistema de controle de versão como o Git para gerenciar seus playbooks.
Segurança: Utilize SSH keys para autenticação e proteja suas credenciais.

Conclusão

Ao utilizar o Ansible para configurar switches Comware 7, você aumenta significativamente a eficiência e a precisão de suas tarefas de gerenciamento de rede. A capacidade de automatizar processos complexos e garantir a consistência das configurações é fundamental para qualquer ambiente de TI.

Próximos passos

Explore os diversos módulos disponíveis para o Ansible e a biblioteca pyhpecw7.
Crie playbooks mais complexos para automatizar tarefas como configuração de ACLs, criação de VRFs e muito mais.
Integre o Ansible com outras ferramentas de automação e orquestração.

Recursos Adicionais:

Repositório Ansible-HPE-CW7: https://github.com/CodethinkLabs/ansible-hpe-cw7
Documentação da biblioteca pyhpecw7: Consulte a documentação da biblioteca para obter mais informações sobre as funcionalidades disponíveis.

Configuração do DHCPv6 em Switches Comware 7

November 27, 2024November 16, 2024Diego DiasLeave a comment

O DHCPv6 (Dynamic Host Configuration Protocol for IPv6) é o protocolo responsável por atribuir automaticamente endereços IP, configurações de rede e outros parâmetros a dispositivos em uma rede IPv6. Ao configurar o DHCPv6 em um switch Comware 7, você habilitará a capacidade do dispositivo de fornecer essas informações aos clientes IPv6 conectados à rede.

Passos para Configuração via CLI:

Habilitar o DHCPv6:
- Entre no modo de configuração global:
- <Switch> system-view
- Habilite o servidor DHCPv6:
- <Switch> ipv6 dhcp server enable
Criar um Pool de Endereços:
- Crie um pool de endereços IPv6 para alocar aos clientes:
- <Switch> ipv6 dhcp pool <pool-name>
- ipv6-prefix <prefix>/<prefix-length>
- dns-server <dns-server-address>
- default-router <default-router-address>
- quit
  - pool-name: Nome do pool de endereços.
  - prefix: Prefixo de rede IPv6.
  - prefix-length: Tamanho do prefixo.
  - dns-server: Endereço do servidor DNS.
  - default-router: Endereço do gateway padrão.
Associar o Pool a uma Interface:
- Associe o pool de endereços a uma interface do switch:
- <Switch> interface <interface>
- ipv6 enable
- ipv6 dhcp select pool <pool-name>
- quit
  - interface: Nome da interface (por exemplo, GigabitEthernet0/1).

Exemplo Completo:

<Switch> system-view

<Switch> ipv6 dhcp server enable

<Switch> ipv6 dhcp pool my-pool

ipv6-prefix 2001:db8::/64

dns-server 2001:db8::1

default-router 2001:db8::1

quit

<Switch> interface GigabitEthernet0/1

ipv6 enable

ipv6 dhcp select pool my-pool

quit

Verificando a Configuração:

Exibir a configuração: Use o comando display ipv6 dhcp server para verificar a configuração do servidor DHCPv6.
Verificar os leases: Use o comando display ipv6 dhcp binding para visualizar os leases atribuídos aos clientes.

Comware 7: Port Link-mode Bridge vs Port Link-mode Route

November 26, 2024November 16, 2024Diego DiasLeave a comment

Em equipamentos de rede que utilizam o sistema operacional Comware, as portas são classificadas em dois tipos principais: bridge (ponte) e routed (roteada). Essa classificação é crucial para entender como esses dispositivos encaminham o tráfego de rede e como as diferentes interfaces interagem entre si.

O modo Bridge (port link-mode bridge) trabalha da mesma maneira que utilizamos em nossos Switches de acesso, com a configuração de VLAN e atribuição do gateway das estações para o Switch Core ou Roteador.

O modo Route (port link-mode route) permite a atribuição de endereço IP para porta física do Switch e não permite a atribuição de VLAN para aquela interface. A porta não encaminhará BPDU’s e ignorará as mensagens STP recebidas.

Configuração

#
interface GigabitEthernet4/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet4/0/2
port link-mode bridge
port link-type access
port access vlan 2
#

Abraços!

Comware 7 – Configurando o GRE

November 25, 2024November 16, 2024Diego DiasLeave a comment

O GRE (Generic Routing Encapsulation) é um protocolo de tunelamento que pode encapsular diversos protocolos dentro de tuneis IP, criando links ponto-a-ponto virtuais entre roteadores remotos.

O protocolo é extremamente funcional em diversos cenários, pois foi desenvolvido para permitir que redes remotas pareçam estar diretamente conectadas. Como o GRE não faz a criptografia, o GRE pode trabalhar em conjunto com IPsec para garantir a integridade das informações quando necessário.

Abaixo podemos observar a representação do encapsulamento de um pacote IP pelo GRE como também a inclusão de um novo cabeçalho.

O interessante é que o protocolo de transporte poderia ser o IPv6 e o protocolo encapsulado poderia ser o IPX, tráfego Multicast, etc; E ao ser entregue ao roteador de destino, o novo cabeçalho é removido e o pacote é entregue intacto.

Segue abaixo um exemplo de configuração de um túnel GRE para Roteadores com o Comware 7, fechando a adjacência OSPF entre 2 roteadores separados por uma rede MPLS. Nos testes usamos o roteador HP VSR1000.

Tabela de Rotas e tracert do Roteador R2

[R2]disp ip routing-table | inc O
192.168.1.0/24     O_INTRA 10  1563        192.168.13.1    Tun0

<R2>tracert 192.168.13.1
traceroute to 192.168.13.1 (192.168.13.1), 30 hops at most, 52 bytes each packet, press CTRL_C to break
 1  192.168.23.2 (192.168.23.2)  0.488 ms  0.523 ms  1.668 ms
 2  192.168.13.1 (192.168.13.1)  0.962 ms  5.463 ms  0.881 ms

<R2>tracert 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops at most, 52 bytes each packet, press CTRL_C to break
 1  192.168.1.1 (192.168.1.1)  1.116 ms  2.588 ms  1.731 ms

Comware 5: Protocolo de Tunelamento GRE

November 24, 2024November 16, 2024Diego DiasLeave a comment

O GRE (Generic Routing Encapsulation) é um protocolo de tunelamento que pode encapsular diversos protocolos dentro de túneis IP, criando links ponto-a-ponto virtuais entre roteadores remotos.

O protocolo é extremamente funcional em diversos cenários, pois foi desenvolvido para permitir que redes remotas pareçam estar diretamente conectadas. Como GRE não criptografa as informações que são transmitidas através do túnel, podemos utilizar o GRE em conjunto com IPsec para garantir a integridade das informações.

Abaixo podemos observar a representação de encapsulamento de um pacote IP pelo GRE e a inclusão de um novo cabeçalho.

Agora você deve estar se perguntando. Em quais situações podemos usar o GRE ? Veja o cenário:

Você em um dia normal como analista de redes e seu gerente de TI te informa que sua empresa acaba de adquirir uma nova filial e eles precisam ter acesso a alguns servidores que estão na rede local do ambiente que você administra. Depois de concluir todo processo de contratação do link e a conectividade com a filial estar finalizada, seu gerente de TI lhe informa que na nova filial utilizará OSPF para declarar as redes locais.

Agora você pensa: como podemos configurar o OSPF nesses roteadores se eles não estão diretamente conectados? Como administrar o processo de roteamento via uma rede gerenciada pela Operadora como por exemplo, com MPLS, que não está emulando um Lan-to-Lan ? É ai que entra o Túnel GRE.

Configuração

Antes de criar o tunnel, certifique-se que a origem e o destino mapeados na Interface Tunnel estejam acessíveis via roteamento. No nosso exemplo, usaremos a Loopback.

Como os roteadores simularão uma conexão ponto-a-ponto, eles irão trocar informações de roteamento através do túnel como se estivessem diretamente conectados.

Por padrão o Comware habilita o protocolo GRE em túneis sem a necessidade de configuração adicional. Caso você precise utilizar uma Interface Tunnel para alguma outra função, segue abaixo algumas possibilidades:

[RA-Tunnel10]tunnel-protocol ?
  dvpn       Dynamic Virtual Private Network
  gre        Generic Routing Encapsulation
  ipsec      IPsec tunnel encapsulation
  ipv4-ipv4  tunnel mode ipv4 over ipv4
  ipv4-ipv6  tunnel mode ipv4 over ipv6
  ipv6-ipv4  tunnel mode ipv6 over(to) ipv4
  ipv6-ipv6  tunnel mode ipv6 over ipv6
  mpls       Multiprotocol Label Switching

Considerações para a utilização de Tunnel em Switches HP baseados no Comware

A utilização de interface Tunnel em Switches HP baseados no Comware pode ser um pouco mais complicada que em roteadores. Antes de utilizarmos o processo acima é necessário criar uma configuração de “Service Loopback” (em alguns modelos de Switches), vincular à uma porta não utilizada (vazia) e também vincular o serviço ao Tunnel. Segue abaixo os passos:

• Crie um “tunnel-type service loopback group’.

• Adicione uma porta não utilizada ao “Service loopback group”.

# Criando o “Service-loopback” group 1 e especificando o tipo como tunnel.
[SwitchA] service-loopback group 1 type tunnel

# Vinculando a porta Giga 1/0/3 para o “Service-loopback” group 1. 
#Desabilite o STP e o LLDP da interface.
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] undo stp enable
[SwitchA-GigabitEthernet1/0/3] undo lldp enable
[SwitchA-GigabitEthernet1/0/3] port service-loopback group 1
[SwitchA-GigabitEthernet1/0/3] quit

# Aplique  o “Service-loopback” group 1 à interface tunnel.
[SwitchA] interface tunnel 0
[SwitchA-Tunnel0] service-loopback-group 1
[SwitchA-Tunnel0] quit
# O tunnel ficará up mesmo que a outra ponta não esteja configurada

Até a próxima