Comware 3

Comware: Elegendo o Switch Root do Spanning-Tree

Diego DiasLeave a comment

Protocolo Spanning-Tree ( STP) foi desenvolvido para evitar que loops físicos interfiram no desempenho da rede. O protocolo consegue detectar onde estão os loops na rede bloqueando os caminhos redundantes.

“Quando um Switch recebe um broadcast, ele o repete em cada porta (exceto naquela em que foi recebido). Em um ambiente com loop, os broadcasts podem ser repetidos infinitamente” Gary A. Donahue , Network Warrior, O’Reilly, 2007, p59)

Em caso de caminhos redundantes sem a utilização do Spanning-Tree, o processo de encaminhamento de broadcast só será interrompido quando o loop for desfeito, com a remoção de cabos ou o desligando o equipamento. Em diversas situações, uma tempestade de broadcast “derruba” a comunicação da rede.

O Switch Root

A utilização do STP é geralmente imperceptível na grande maioria das redes devido ao fato da convergência ocorrer sem a necessidade de configurações adicionais. Todo Switch da LAN , recebe informações sobre os outros Switches da rede através da troca de mensagens chamadas de BPDUs (Bridge Protocol Data Units).

Ao tirarmos um Switch da caixa ( preferencialmente gerenciável) e colocarmos em nossa rede, haverá a comunicação com todos os Switches da rede para convergência com o novo dispositivo.

A partir das mensagens trocadas pelos Switches, é efetuada uma eleição para escolha de um Switch Raiz (Root) que será o responsável por alimentar a topologia da Rede pela geração de BPDUs e todos os Switches não-Raiz bloquearão as portas com caminhos redundantes para o Raiz.

Os BPDUs são encaminhados pelo Root a cada 2 segundos em todas as portas para garantir a estabilidade da rede; e então os BPDUs re-encaminhados pelos outros Switches.

As mensagens BPDU contêm informações suficientes para que os Switches elejam quais portas encaminharão os dados, baseando-se em custo do caminho, informações do Switch e informações da porta.

Obs: a porta em estado de Bloqueio continuará a ouvir os BPDUs pois em caso de perda de comunicação do enlace principal, a porta bloqueada estará pronta para encaminhar os quadros! 

Elegendo o Switch Root

O primeiro processo para uma topologia livre de Loops utilizando o protocolo Spanning-Tree é a eleição do Switch Root. Vence a eleição o Switch quem possuir o menor Bridge ID.

O Bridge ID é composto dos campos Prioridade (Bridge Priority) e o endereço MAC do Switch. Por padrão a prioridade dos Switches é 32768 (o Switch com menor prioridade vence) e em caso de empate vence a eleição o Switch que possui o menor endereço MAC.

Após a eleição, se houver algum caminho redundante, o mesmo será bloqueado!

Escolhendo quem será o Root da rede

As melhores práticas sugerem configurarmos o Switch Core da rede como Root com o comando stp root primary pela posição privilegiada na rede, melhor arquitetura,processamento, etc. O comando nos Switches 3Com alterará a prioridade para o valor0 (zero) forçando o dispositivo a ser o Root.

Uma segunda maneira de alterar a prioridade Switch é utilizando o comando stp priority 4096 ( sempre escolha valores múltiplos de 4096)

Obs:Se houver mais de um Switch com a prioridade 0, vence a eleição quem possuir o menor endereço MAC. 

Display STP

O comando display stp em Switches basedos no Comware, exibe informações como o valor do Bridge ID (Bridge priority e endereço MAC) do Switch e do Root, timers,etc. O comando display stp brief exibe o estado das portas na Topologia.

display stp
-------[CIST Global Info][Mode STP]-------
CIST Bridge :32768.000f-cbb8-6329
! Lista a Prioridade do Switch como 32768 e o endereço MAC 000f-cbb8-6329
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0.000f-cbb8-8f55/ 20000
! A linha exibe a prioridade do Switch Root da Topologia como 0
! (zero nesse caso) e o endereço MAC 000f-cbb8-8f55
CIST RegRoot/IRPC :32768.000f-cbb8-63c0 / 0
CIST RootPortId :128.28
BPDU-Protection :disabled
Bridge Config
Digest Snooping :disabled
TC or TCN received :7
Time since last TC :0 days 24h:20m:51s
! Contador exibindo a última vez que houve uma mudança na topologia STP

Roteamento entre VLANs e configuração de rota estática para Switches HP, 3Com e H3C

Diego DiasLeave a comment

Fala Galera, tudo bom!?

Segue mais uma vídeo-aula produzida por nós, contendo dessa vez o assunto Roteamento entre VLANs utilizando Switches ou Roteadores, além de falarmos também sobre roteamento estático, Topologia, etc.. para equipamentos baseados no Comware (HP , 3Com e H3C) .

Ainda estou apanhando um pouco no formado das vídeo-aulas, mas espero que o vídeo seja útil. 

Comware: VLAN – Trunk utilizando 802.1q (dot1q)

Diego DiasLeave a comment

A utilização de VLAN (Virtual Local Area Network) permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch. A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não são pertencentes a mesma VLAN (para isto, é necessário a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).

Se não utilizássemos uma interface como Trunk e precisássemos passar o tráfego da VLAN para o outro Switch, seria necessário a passagem de um cabo de cada VLAN para o outro dispositivo, como no exemplo abaixo.

Como a maioria dos Switches possui entre 24 e 48 portas a solução ficaria inviável , inutilizando a maioria das portas para conexões entre os dispositivos.

O protocolo IEEE 802.1q permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.

A marcação efetuada (chamada de TAG) adiciona aos quadros Ethernet 4 bytes no frame original e calculam um novo valor de checagem de erro para o campo FCS.

Dos valores contidos dentro do campo TAG o numero da VLAN é adicionado ao campo VLAN id permitindo a identificação da VLAN entre os Switches.

Uma observação relevante é a utilização do campo Priority (também dentro da TAG) para função de QoS em camada 2 para Ethernet, chamado de 802.1p ou CoS (Class of Services), permitindo a diferenciação de classes de serviços por Switches sem a necessidade de leitura do campo IP.

Já a comunicação entre computadores no mesmo Switch que pertencem a mesma VLAN não são “tagueadas” (untagged). Muitas placas de rede para PC’s e impressoras não são compativéis com o protocolo 802.1Q e ao receberem um frame tagged, não compreenderão o TAG de VLAN e descartarão a informação.
Os Switches que recebem na sua interface Trunk um frame com TAG, irão remover o campo e entregar o quadro ao destino sem a marcação.

A regra é bem simples para a maioria dos casos (salvo exceções):

  • Para comunicação entre Switches, configure as interfaces como Trunk ( Tagged)
  • Para comunicação entre Switches e hosts, servidores, impressoras; configure as interfaces como Access (untagged) com o ID da VLAN

Configuração

Para a maioria dos Switches H3C/3Com configure as portas como trunk da seguinte maneira:

interface GigabitEthernet 1/0/x
! acesso a interface GigabitEthernet
port link-type trunk
! configuração da interface como trunk (frames encaminhados como tagged)
port trunk permit vlan all
! configuração da porta permitindo todas as VLANs no trunk

Porta de acesso

interface GigabitEthernet 1/0/x
! acesso a interface GigabitEthernet
port link-type access
! configuração da interface como acesso (frames encaminhados como untagged)
port access vlan 2
! configuração da porta na vlan 2

Para retornar a porta de alguma VLAN para a VLAN 1, digite o comando undo port access vlan dentro da interface física.

Obs: Por default os frames da VLAN 1 não são encaminhados com TAG dentro do Trunk.

Abraços a todos!!!

Agendando o Reboot no Comware

Diego DiasLeave a comment

O Kleber Coelho, enviou a dica abaixo na qual ele precisou mexer em uma configuração sensível no Switch HP 7510 que poderia gerar a perda da gerencia do equipamento.

Inicialmente ele salvou a configuração atual do Switch. Após isso, agendou o reboot para 10 minutos (em caso de perda da gerencia, o Switch reiniciaria e voltaria a ultima configuração salva), aplicou a configuração e após o sucesso dos comandos aplicados, ele cancelou o reboot.

A configuração do schedule reboot deverá ser feita no modo “user-view”

Segue o email do Kleber:

Diego, boa tarde, tudo bem?

Recentemente precisei bloquear da divulgação do OSPF um IP de gerência local em um HP-A7510.
Se for útil para você colocar no blog, sinta-se à vontade!

# salvando a configuração atual
save force
# gatilho de reboot para garantir a recuperação, 
# caso dê algo errado e perca o acesso 
schedule reboot delay 10
# criar ACL com redes bloqueadas
system
acl number 2500 name Remove_BOGON_OSPF
# rule deny source <IP> <Wildcard>
rule deny source 192.168.255.0 0.0.0.255
rule permit
# aplicar ACL na instancia OSPF
ospf 1
filter-policy 2500 export
# Se der algo errado e perder acesso, 
#     basta esperar  o equipamento reiniciar em 10 minutos.
# Se tudo der certo, salve e remova o agendamento de reboot.
save force
quit
quit
undo schedule reboot

Agradeço ao Kleber pela dica enviada.

Switches 3Com 5500 – Configurando XRN

Diego DiasLeave a comment

O XRN é uma tecnologia proprietária da 3Com que permite a diversos Switches de Camada 3 o comportamento de um único dispositivo de comutação lógico chamado Fabric.

O gerenciamento desses dispositivos aparecem na CLI (linha de comando) como um único dispositivo para informações e configuração de Camada 2 e Camada 3.

O XRN oferece ao Fabric alta disponibilidade e melhor performance para os Switches da pilha.

Configurando XRN via portas de UpLink em 2 Switches 5500-EI de 28 portas 

Para evitarmos confusão chamaremos os Switches de A e Switch B.

A 3Com recomenda efetuarmos o empilhamento em Switches da mesma Familia e mesma versão de Sistema Operacional.

Switch A
system-view
fabric-port GigabitEthernet 1/0/25 enable
#
change unit-id 1 to 1
#
set unit 1 name Switch1
#
sysname Switch_Core
#
xrn-fabric authentication-mode simple senha 

Switch B
system-view
fabric-port GigabitEthernet 1/0/26 enable
#
change unit-id 1 to 2
#
set unit 2 name Switch2
#
sysname Switch_Core
#
xrn-fabric authentication-mode simple senha

Segue abaixo alguns commandos display

display xrn-fabric
Fabric name is Switch_Core, system mode is L3.
Unit Name Unit ID
Switch1 1(*)
Switch2 2

display xrn-fabric portGigabitEthernet1/0/25
Fabric peer: GigabitEthernet2/0/26
Fabric Status: Active
Fabric mode: Auto-speed(1000M), Auto-duplex(Full)
input: 22944 packets, 2089000 bytes, 0 input errors
output: 26381 packets, 2572664 bytes, 0 output errors
GigabitEthernet2/0/26
Fabric peer: GigabitEthernet1/0/25
Fabric Status: Active
Fabric mode: Auto-speed(1000M), Auto-duplex(Full)
input: 25903 packets, 2523607 bytes, 0 input errors
output: 22676 packets, 2060448 bytes, 0 output errors

Verificação do Spanning-tree

É interessante verificarmos que mesmo com a existência da conexão física entre o Switch A pela porta Giga 1/0/25 e o Switch B com a porta Giga1/0/26 (no Fabric 2/0/26), as portas não são tratadas como uma conexão entre duas Bridges distintas, isto é, o cabo que interliga os dois Switches atua como um barramento “rudimentar” para comunicação e sincronização de informação entre os dois equipamentos.

Para testes, configuramos a VLAN 2 nas portas Ethernet 1/0/1 e Ethernet 2/0/1 e efetuamos o teste de PING com 2 máquina na mesma subrede. A Comunicação entre os dois hosts foi efetuado com sucesso. Com o comando display interface nas portas de empilhamento é possível visualizar o tipo da porta como stack e a comunicação de todas as VLANs configuradas no Fabric, mesmo sem configurarmos explicitamente as portas com permissão para todas as VLANs.

display interface g1/0/25 
GigabitEthernet1/0/25 current state : UP
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 001e-c1f0-b35b
Media type is twisted pair, loopback not set
Port hardware type is 1000_BASE_T_AN_SFP
1000Mbps-speed mode, full-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
Flow-control is not enabled
The Maximum Frame Length is 1522
Broadcast MAX-ratio: 100%
Unicast MAX-ratio: 100%
Multicast MAX-ratio: 100%
Allow jumbo frame to pass
PVID: 1Mdi type: auto
Port link-type: stack
Tagged VLAN ID : all
Untagged VLAN ID : none
Last 300 seconds input: 0 packets/sec 49 bytes/sec
Last 300 seconds output: 0 packets/sec 62 bytes/sec
Input(total): 25839 packets, 2341344 bytes
89 broadcasts, 4565 multicasts, 0 pauses
Input(normal): - packets, - bytes
- broadcasts, - multicasts, - pauses
Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC
0 frame, - overruns, 0 aborts, 0 ignored, - parity errors
Output(total): 29543 packets, 2838020 bytes
582 broadcasts, 4622 multicasts, 0 pauses
Output(normal): - packets, - bytes
- broadcasts, - multicasts, - pauses
Output: 0 output errors, - underruns, - buffer failures
0 aborts, 0 deferred, 0 collisions, 0 late collisions
0 lost carrier, - no carrier

Configuração final

#
sysname Switch_Core
#
vlan 1
#
vlan 2
#
interface Ethernet1/0/1
port access vlan 2
#
interface GigabitEthernet1/0/25
#
fabric-port GigabitEthernet1/0/25 enable
xrn-fabric authentication-mode simple 123456
#
interface Ethernet2/0/1
port access vlan 2
#
interface GigabitEthernet2/0/26
#
fabric-port GigabitEthernet2/0/26 enable
xrn-fabric authentication-mode simple 123456
#
return
[Switch_Core]

abração! 

ARP (Address Resolution Protocol)

Diego DiasLeave a comment

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede com endereço IPv4. A principal função do ARP é a tradução de endereço IP em endereço MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Após a resposta da resquição ARP, o mapeamento IP + MAC é armazenado em cache por alguns minutos. Se houver uma nova comunicação com o endereço IP mapeado na tabela ARP, o dispositivo deverá consultar o mapeamento em cache; e não encaminhará uma mensagem em Broadcast solicitando o endereço MAC. Após o  timeout do endereço, uma nova consulta é encaminhada à rede.

Formato da mensagem ARP:

  • Hardware type: Representa o Tipo de endereço de Hardware utilizado ( como por exemplo o endereço MAC). O valor 1 representa Ethernet.
  • Protocol type: Especifica o tipo de Protocolo a ser mapeado. O valor hexadecimal 0x0800 representa o IP.
  • Hardware address length e protocol address length:Representam o tamanho do endereço de Hardware e do Protocolo em bytes.
  • OP, Operation code: Especifica o tipo da mensagem ARP. O valor 1 representa uma requisição ARP e o valor 2 representa uma resposta ARP.
  • Sender hardware address: Representa o endereço de Hardware (MAC) do dispositivo que está encaminhando a mensagem.
  • Sender protocol address: Representa o endereço de Protocolo (IP) do dispositivo que está encaminhando a mensagem.
  • Target hardware address: Representa o endereço de Hardware (MAC) do dispositivo para qual a mensagem deverá ser entregue. Se o valor estiver preenchido com todos os bits em 0 (zero) significa que a mensagem é uma requisição e o valor deverá ser preenchido na resposta ARP ( se o endereço IP solicitado existir na LAN).
  • Target protocol address: Representa o endereço de Protocolo (IP) do dispositivo para qual a mensagem deverá ser entregue.

A principal vantagem do protocolo é a facilidade do mapeamento dinâmico de endereços de hardware (enlace) para endereços de rede (IP).

Para visualizar a tabela ARP dos Switches baseados no Comware digite: display arp

Type: S-Static D-Dynamic
IP Address     MAC Address   VLAN ID Port Name / AL ID Aging Type

192.168.39.52  001b-b96d-2858  4     GigabitEthernet1/0/2 13 D
192.168.38.49  001f-d0fb-7e59  4     GigabitEthernet1/0/3 14 D
192.168.39.251 001b-b96d-1671  4     GigabitEthernet1/0/2 15 D

Obs: Lembrando que os dispositivos só exibirão a tabela ARP das sub-redes que pertencem!

No próximo post citarei algumas técnicas de proteção contra Ataques ao ARP.

Até a próxima!