O desenho de uma rede OSPF requer que todas as áreas estejam diretamente conectadas à Area Backbone (Area 0 [zero]) e que os roteadores da Area 0 estejam sempre conectados com roteadores da mesma área.
Para conexão entre roteadores de diferentes áreas, o tráfego deve passar sempre pela Area 0.
Um virtual link é um link lógico que permite a conexão entre equipamentos da Area 0 que estão separados logicamente mas podem utilizar uma outra Area OSPF como trânsito, ou entre áreas não-Backbone que precisam utilizar outra área como transito:
O OSPF virtual link deve ser usado somente em casos específicos, conexões temporárias ou cenários de backup em caso de falha.
Configurando OSPF Virtual link
No exemplo abaixo, o virtual link servirá na conexão entre dois roteadores da Area 0 que estão separados por uma falha no link.
R1
#
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.11.0 0.0.0.255
area 0.0.0.1
network 192.168.12.0 0.0.0.255
vlink-peer 192.168.3.3
#
R3
#
ospf 1
area 0.0.0.0
network 192.168.3.0 0.0.0.255
network 192.168.33.0 0.0.0.255
area 0.0.0.1
network 192.168.23.0 0.0.0.255
vlink-peer 192.168.1.1
#
Comandos display
[R1]display ospf vlink
OSPF Process 1 with Router ID 192.168.1.1
Virtual Links
Virtual-link Neighbor-ID -> 192.168.3.3, Neighbor-State: Full
Interface: 192.168.12.1 (GigabitEthernet0/0)
Cost: 2 State: P-2-P Type: Virtual
Transit Area: 0.0.0.1
Timers: Hello 10, Dead 40, Retransmit 5, Transmit Delay 1
#
[R1]display ospf peer
OSPF Process 1 with Router ID 192.168.1.1
Neighbor Brief Information
Area: 0.0.0.1
Router ID Address Pri Dead-Time State Interface
192.168.12.2 192.168.12.2 1 35 Full/DR GE0/0
Virtual link:
Router ID Address Pri Dead-Time State Interface
192.168.3.3 192.168.23.3 1 36 Full GE0/0
Segue mais uma vídeo-aula produzida por nós, contendo dessa vez o assunto Roteamento entre VLANs utilizando Switches ou Roteadores, além de falarmos também sobre roteamento estático, Topologia, etc.. para equipamentos baseados no Comware (HP , 3Com e H3C) .
Ainda estou apanhando um pouco no formado das vídeo-aulas, mas espero que o vídeo seja útil.
A utilização de VLAN (Virtual Local Area Network) permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch. A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não são pertencentes a mesma VLAN (para isto, é necessário a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).
Se não utilizássemos uma interface como Trunk e precisássemos passar o tráfego da VLAN para o outro Switch, seria necessário a passagem de um cabo de cada VLAN para o outro dispositivo, como no exemplo abaixo.
Como a maioria dos Switches possui entre 24 e 48 portas a solução ficaria inviável , inutilizando a maioria das portas para conexões entre os dispositivos.
O protocolo IEEE 802.1q permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.
A marcação efetuada (chamada de TAG) adiciona aos quadros Ethernet 4 bytes no frame original e calculam um novo valor de checagem de erro para o campo FCS.
Dos valores contidos dentro do campo TAG o numero da VLAN é adicionado ao campo VLAN id permitindo a identificação da VLAN entre os Switches.
Uma observação relevante é a utilização do campo Priority (também dentro da TAG) para função de QoS em camada 2 para Ethernet, chamado de 802.1p ou CoS (Class of Services), permitindo a diferenciação de classes de serviços por Switches sem a necessidade de leitura do campo IP.
Já a comunicação entre computadores no mesmo Switch que pertencem a mesma VLAN não são “tagueadas” (untagged). Muitas placas de rede para PC’s e impressoras não são compativéis com o protocolo 802.1Q e ao receberem um frame tagged, não compreenderão o TAG de VLAN e descartarão a informação. Os Switches que recebem na sua interface Trunk um frame com TAG, irão remover o campo e entregar o quadro ao destino sem a marcação.
A regra é bem simples para a maioria dos casos (salvo exceções):
Para comunicação entre Switches, configure as interfaces como Trunk ( Tagged)
Para comunicação entre Switches e hosts, servidores, impressoras; configure as interfaces como Access (untagged) com o ID da VLAN
Configuração
Para a maioria dos Switches H3C/3Com configure as portas como trunk da seguinte maneira:
interface GigabitEthernet 1/0/x! acesso a interface GigabitEthernetport link-type trunk! configuração da interface como trunk (frames encaminhados como tagged)port trunk permit vlan all! configuração da porta permitindo todas as VLANs no trunk
Porta de acesso
interface GigabitEthernet 1/0/x! acesso a interface GigabitEthernetport link-type access! configuração da interface como acesso (frames encaminhados como untagged)port access vlan 2! configuração da porta na vlan 2
Para retornar a porta de alguma VLAN para a VLAN 1, digite o comando undo port access vlan dentro da interface física.
Obs: Por default os frames da VLAN 1 não são encaminhados com TAG dentro do Trunk.
Um Site Survey Preditivo é uma simulação realizada antes da implementação de uma rede Wi-Fi. Através de softwares especializados, é possível criar um modelo virtual do ambiente onde a rede será implantada. Dependendo do software utilizado e das informações fornecidas a assertividade da simulação fica muito próxima de uma rede sem fio com a qualidade esperada para uso de aplicações e serviços.
Durante o processo da Predição, são considerados diversos fatores, como o layout do ambiente que inclui paredes, pisos, móveis, obstáculos físicos, os materiais de construção como concreto, madeira, vidro etc., os dispositivos eletrônicos que podem gerar interferência na rede a quantidade de usuários e o perfil de tráfego que será utilizado na rede, como por exemplo voz e vídeo, comunicações síncronas, assíncronas etc.
Qual a importância do Site Survey Preditivo?
O Site Survey Preditivo permite identificar os melhores locais para instalar os pontos de acesso (Access Points), garantindo uma cobertura Wi-Fi uniforme em toda a área, prevendo e ajudando na minimização de interferências, evitando áreas com sinal fraco ou com interferências de outros dispositivos, melhorando a qualidade da conexão, permite o dimensionamento correto da quantidade de equipamentos necessários, evitando custos desnecessários e identifica problemas antes da instalação, evitando a necessidade de refazer a configuração da rede posteriormente.
Como funciona um Site Survey Preditivo?
Coleta de dados: São coletadas informações detalhadas sobre o ambiente, como plantas baixas, materiais de construção e a localização de obstáculos.
Criação do modelo virtual: Um software especializado é utilizado para criar um modelo tridimensional do ambiente, simulando a propagação das ondas de rádio.
Simulação da rede: São configurados os pontos de acesso no modelo virtual e simulada a performance da rede em diferentes pontos do ambiente.
Análise dos resultados: Os resultados da simulação são analisados para identificar as áreas com sinal fraco, interferências e a cobertura geral da rede.
Ajustes e otimização: A partir dos resultados, são feitas as devidas ajustes na posição dos pontos de acesso e na configuração da rede, visando otimizar o desempenho.
Ambientes de escritório muitas vezes têm áreas difíceis, como áreas de lobby projetadas com grandes espaços abertos. O sinal de muitos APs propagados em ambientes abertos, com diferentes andares, pode atravessar e propagar além do espaço aberto. Outros desafios que podem ser encontrados em grandes salas de reunião ou auditórios, é a densidade muito alta de usuários, às vezes várias centenas. Devido ao tamanho desse tipo de sala, o uso de APs padrão com antenas internas muitas vezes não é viável. Você pode ter que encontrar soluções criativas, como antenas direcionais ou uma alta densidade de APs configurados para baixa potência.
Por último, você pode precisar saber se o prédio do escritório é totalmente propriedade de uma única corporação ou se seu cliente ocupa apenas uma estrutura em um andar. Se seu cliente ocupar apenas um andar, você deve esperar sinal Wi-Fi de vizinhos que gerarão interferências que não se pode controlar. Eles podem usar todos os canais possíveis e estar configurados para potência máxima. Você deve estar preparado para trabalhar em torno dessas limitações, medindo os níveis de sinal dos sistemas vizinhos e repensando seu plano de canais de acordo.
Ferramentas de Predição
Essas ferramentas permitem que você carregue um mapa, especifique sua escala e projete o número de APs necessários. Algumas ferramentas são genéricas; outras permitem que você escolha o fornecedor e modelo do AP, a densidade de usuários, desenhe obstáculos, especifique o aplicativo alvo, defina a altura esperada do AP, etc.
Algumas dessas ferramentas vêm na forma de um aplicativo rodando em um laptop ou tablet (instalação local), outras requerem uma instalação de servidor (servidor LAN), enquanto outras são completamente online (nuvem e acesso web).
Exemplo de mapa posicionamento dos APs e Mapa de Calor pela ferramenta Ekahau
Levantamento de campo pós-implantação
Uma vez que a rede WLAN foi implementada utilizando como referência o Site Survey Preditivo, as melhores sugerem a execução do Site Survey onsite pós a instalação, para validação e otimização de canais, potência e interferências na rede instalada.
Referencias:
CCNP Enterprise Wireless Design ENWLSD 300-425 and Implementation ENWLSI 300-430 Official Cert Guide: Designing & Implementing Cisco Enterprise Wireless Networks
A arquitetura Microbranch da Aruba foi projetada para fornecer a ambientes de pequenas filiais a segurança, escalabilidade e facilidade de gerenciamento que as grandes redes corporativas possuem, mas de forma mais simples e econômica. A arquitetura pode ser bastante útil para escritórios remoto, talvez apenas uma sala ou um pequeno grupo de funcionários trabalhando em casa, conectando-se a Internet e a matrix.
O AOS-10 (arquitetura com Aruba Central) suporta a implantação de um único Access Point, como um AP Microbranch, para locais remotos, como escritórios domésticos, pequenos escritórios de filial etc. O AOS-10 permite que os Access Point nesses locais remotos sejam configurados e gerenciados pelo Aruba Central, permitindo que os Access Point formem um túnel IPsec para o cluster de Gateway , suportando modo de split tunnel e roteamento baseado em políticas SD-WAN para maior segurança e melhor experiência do usuário.
A solução Microbranch estende o framework Zero Trust para orquestrar túneis e direcionar o tráfego de usuários remotos específicos para uma solução SSE (Security Service Edge), seja com o HPE Aruba Networking SSE ou outras soluções SSE de terceiros.
As políticas de inspeção de segurança na nuvem podem ser configuradas diretamente através do Aruba Central para simplificar as operações. Uma vez configuradas, as capacidades do microbranch automaticamente tunelam o tráfego para a solução SSE via IPsec para o POP mais disponível, permitindo que a equipe de TI suporte múltiplos locais de trabalho remoto sem a necessidade de implantar dispositivos adicionais ou agentes de endpoint.
Gateways na arquitetura AOS-10
Com a gestão dos APs sendo efetuada pelo Aruba Central, solução em Cloud na modalidade SaaS, as controladoras wireless que eram elementos importantes na arquitetura on-prem AOS-8, tornam-se na versão AOS-10 elementos importantes para atendimento a elementos de SD-WAN, SSE e tunelamento de tráfego Wi-Fi para atendimento a requisitos de segurança.
Modos de operação
Microbranch suporta três modelos operacionais de SSID:
SSIDs de Camada 3 Roteados: Otimiza padrões de tráfego, permitindo acesso a recursos corporativos internos.
SSIDs de Camada 3 NATeados: Fornece acesso a serviços de Internet, mas não permitem acesso à rede corporativa interna.
SSIDs de Camada 2 Tunelados: Encaminha todo o tráfego para o VPNC (VPN Concentrator) do data center, incluindo o tráfego de Internet. Observe que tunelar tráfego de Camada 2 pode introduzir padrões de tráfego sub-otimizaos.
O serviço de orquestração de túneis WLAN do AOS-10 em implantações Microbranch automatiza a formação de túneis IPsec entre os APs de um site remoto e o cluster Gateway da rede WLAN. A solução suporta a configuração de túneis IPsec em APs para o seguinte cenário de implantação:
Túnel Completo (Full Tunnel): Nesse modo, o AP e o cluster Gateway são gerenciados pelo HPE Aruba Networking Central. Os túneis IPsec entre o AP e o cluster Gateway em um data center são orquestrados pelo serviço de orquestração de túneis. O servidor DHCP no data center atribui endereços IP aos clientes. As regras de firewall e as políticas de modelagem de tráfego são aplicadas a partir do AP, do cluster Gateway ou de ambos.
Túnel Dividido (Split Tunnel): Nesse modo, os administradores podem configurar uma política de túnel dividido nas regras de acesso e aplicá-la ao papel do usuário no SSID WLAN. Com base nas ACLs configuradas para um SSID, o tráfego do cliente para o domínio corporativo é tunelado para o Gateway no data center e o tráfego para o domínio não corporativo é encaminhado para a Internet.
Modo Local (NAT Camada 3): Nesse modo, um pool DHCP estático local é usado para a atribuição de endereço IP do cliente. O NAT de origem é aplicado tanto ao tráfego corporativo quanto ao de Internet.
O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.
Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) , a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.
Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.
Assim, todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.
Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.
Uma das funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.
O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.
Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.
Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac deverá mudar…
A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.
interface Vlan-interface1
ip address 192.168.99.1 255.255.255.0
arp send-gratuitous-arp
Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.
A utilização de VRF (Virtual Routing and Forwarding) permite a criação de tabelas de roteamentos virtuais em Switches e Roteadores, independentes da tabela de roteamento “normal”(geralmente chamada de tabela de roteamento global [Global Routing Table]).
Da mesma forma como a utilização de VLANs em Switches Ethernet permitem a divisão de dominios de broadcasts e mapeamentos da tabela MAC, a utilização de VRF permite a virtualização da tabela de roteamento. Nos Switches e Roteadores utilizando o Sistema Operacional Comware (3Com, H3C e HP) a feature é chamada de “vpn-instance“.
Durante o congestionamento do tráfego de uma interface, alguns modelos de Qualidade de Serviço permitem administrarmos a maneira como os pacotes são enfileirados em uma interface colocando-os em filas de prioridades, restrição de limite de banda, etc.
A utilização do algoritmo de enfileiramento WFQ (Weighted Fair Queuing) nos Switches Modulares HP Serie A, permite a configuração de filas para reserva de banda para trafego diferenciado, mas que não restringem o limite de banda em caso de disponibilidade de trafego para o link.
Imaginando que o trafego seja marcado na origem e mapeado corretamente para cada uma das 8 filas de prioridade do Switch, o script abaixo demonstra a configuração da interface de saída com reserva de banda em caso de congestionamento.
Se houver banda disponível na interface, o algoritmo de encaminhamento será FIFO (Firt in, First Out).
Configurando o WFQ
interface GigabitEthernet1/0/1
description INTERFACE_OUTBOUND_INTERNET
qos wfq ! Habilita WFQ na interface de saída de tráfegoqos bandwidth queue 1 min 4096! Reserva 4096kbps na fila 1 qos bandwidth queue 2 min 10240
! Reserva 10240kbps na fila 2 qos bandwidth queue 3 min 10240
! Reserva 10240kbps na fila 3 qos bandwidth queue 4 min 2048 ! Reserva 2048kbps na fila 4 qos bandwidth queue 5 min 2048 ! Reserva 2048kbps na fila 5 qos bandwidth queue 6 min 1024 ! Reserva 1024kbps na fila 6 qos bandwidth queue 7 min 1024 ! Reserva 1024kbps na fila 7 qos trust dscp
O tráfego não marcado ( geralmente mapeado para a fila zero) utilizará o restante da banda, mas não terá a garantia de reserva.
A utilização de VLANs (Virtual Local Area Network) na rede local permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch.
A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não pertencem a mesma VLAN (para isto, as boas práticas sugerem a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).
Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em Switches divide as portas Ethernet em 2 grupos: portas de acesso e portas de uplink.
Nos Switches ArubaOS, uma vez que a VLAN já está criada no Switch, siga a seguinte formula:
Para comunicação entre Switches, configure as interfaces como tagged para suas respectivas VLANs.
Para comunicação entre Switches e hosts/servidores/impressoras/etc, configure as interfaces como untagged para a sua respectiva VLAN.
A definição de tagged e untagged, tagueada e não tagueada respectivamente, vem do protocolo IEEE 802.1Q que permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.
Configurando VLANs em Switches ArubaOS via CLI
Os Switches ArubaOS permitem a atribuição de VLANs às portas de duas maneiras:
Acessando a interface e informando se uma um frame será recebido e encaminhado naquela porta como untagged ou tagged;
Acessando a VLAN e informando diretamente nela, quais portas serão untagged ou tagged.
Ambas as formas estão corretas…
Atribuindo a VLAN em uma interface:
Switch# conf t
Switch(eth-24)# interface 10
Switch(eth-24)# untagged 2
! Configurando a interface 10 para untagged para a VLAN 2
Switch(eth-24)# interface 24
Switch(eth-24)# tagged 2,60
! Configurando a interface 24 como tagged para as VLANs 2 e 60
Atribuindo a interface em uma VLAN
Switch# configure t Switch(config)# vlan 1 Switch(vlan-1)# untagged 1 Switch(vlan-1)# exit ! Configurando a porta 1 na VLAN 1 como untagged # Switch(config)# vlan 2 Switch(vlan-2)# untagged 3 ! Configurando a porta 3 como untagged na VLAN 2 Switch(vlan-2)# exit # Switch(config)# vlan 60 Switch(vlan-60)# untagged 2 ! Configurando a porta 2 como untagged na VLAN 60 Switch(vlan-60)# exit
! Abaixo configuraremos a porta 24 pra trafego das VLANs 1, 2 e 60
Switch# conf t Switch(config)# vlan 1 Switch(vlan-1)# untagged 24 ! As boas práticas sugerem o tráfego da VLAN 1 como untagged. Switch(vlan-1)# exit
Switch(config)# vlan 2
Switch(vlan-2)# tagged 24
Switch(vlan-2)# exit
Switch(config)# vlan 60
Switch(vlan-60)# tagged 24
Switch(vlan-60)# exit
Perceba que a porta 24 é configurada como tagged na VLAN 2, e 60. Essa porta será a interface utilizada na comunicação entre os Switches e por isso o tráfego dessas VLANs (e será tagueado).
Verificando as portas atribuídas com o comando show vlan para a VLAN 2:
Switch # show vlan 2
Status and Counters - VLAN Information -
VLAN 2
VLAN ID : 2
Name : VLAN2
Status : Port-based
Voice : No
Jumbo : No
Private VLAN : none
Associated Primary VID : none
Associated Secondary VIDs : none
Port Information Mode Unknown VLAN Status
---------------- -------- ------------
----------
3 Untagged Learn Up
24 Tagged Learn Up
A feature RBAC – Role Based Access Control permite administrarmos a forma como os outros usuários locais poderão interagir com a configuração do Switch/Roteador (com o Comware 7) para os seguintes parametros:
VLANs
Interfaces (físicas e lógicas)
features : read/write/execute
comandos CLI
Processo da VRF (VPN instances)
Por exemplo, vamos imaginar que você queira permitir para um usuário apenas o acesso para leitura das configurações.
role name usuarioX
rule 1 permit read feature
! A regra permitirá apenas a leitura do arquivo de configuração
quit
#
local-user usuarioX
password simple 123
service-type ssh telnet terminal
authorization-attribute user-role usuarioX
! Vinculando a regra usuarioX
undo authorization-attribute user-role network-operator
! removendo a regra padrão de novos usuários
quit
#
Caso não tenha configurado a interface VTY aplique os comandos abaixo
#
line vty 0 63
authentication-mode scheme
quit
#
Durante o teste é possível acessar o modo system-view e visualizar os comandos “display”. Mas para alterar as configurações o usuário terá a permissão negada.
<pre> system
[Sw1] inter?
permission denied.
[Sw1]
role name sysadmin
rule 1 permit read write execute feature
! permitindo todas as features RWX
vlan policy deny
permit vlan 1 to 4000
permit vlan 4002 to 4094
! Controlando a configuração de VLANs, permitindo todas exceto a vlan 4001
interface policy deny
permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/23
permit interface GigabitEthernet2/0/1 to GigabitEthernet2/0/23
! Controlando a config. de interfaces, permitindo todas exceto as do MAD BFD.! que são as interfaces Giga 1/0/24 e 2/0/24.
quit
quit
#
local-user sysadmin
password simple hp
service-type ssh telnet terminal
authorization-attribute user-role sysadmin
undo authorization-attribute user-role network-operator
#
Testes
[HP]
# Acesso restrito para as interfaces BFD MAD
[HP]int g1/0/24
Permission denied.
# Acesso permitido para outras interfaces
interface GigabitEthernet1/0/1
port link-mode bridge
shutdown
# Qualquer configuração pode ser aplicada as outras interfaces
[HP-GigabitEthernet1/0/1]undo shut
[HP-GigabitEthernet1/0/1]port link-type trunk
# ...mas o 'permit vlan all' falhará (tentativa para adicionar a vlan 4001)
[HP-GigabitEthernet1/0/1]port trunk permit vlan all
Permission denied.
# A permissão para todas as outras VLANs funcionará normalmente:
[HP-GigabitEthernet1/0/1]port trunk permit vlan 1 to 4000
[HP-GigabitEthernet1/0/1]port trunk permit vlan 4002 to 4094
COMUTADORES 