Durante o recebimento de pacotes para comunicação entre máquinas IPv6, o Roteador efetua uma consulta na sua tabela de roteamento IPv6 para verificar se existe alguma rota para o destino. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.
A maior parte dos parâmetros de configuração de rotas estáticas em IPv6 são idênticos ao IPv4. Como por exemplo, rota estática padrão, sumarizada e flutuante.
Os parâmetros para inserir uma rota estática IPv6 em equipamentos baseados no Comware, são:
O next-hop (ou próximo salto) pode ser identificado por um endereço IPv6, interface de saída ou ambos.
É possível verificar a tabela de roteamento IPv6 com o comando display ipv6 routing-table.
A rota “ipv6 route-static ::0 0 [próximo-salto]” é uma “rota padrão” e corresponde a qualquer prefixo IPv6 (utilizado quando uma rota específica não é encontrada na tabela de roteamento).
Exemplo de Configuração
Endereço do next-hop como link-local
Caso haja a necessidade de configurar o endereço de next-hop como endereço IPv6 link-local, é necessário configurar a interface de saída, como no exemplo abaixo:
Uma vez que o Switch root da rede é definido, os Switches não-Root definirão a partir do Switch Root o melhor caminho para ele e bloquearão os caminhos redundantes, afim de evitar loop na rede.
O custo atribuído à velocidade da porta é um fator determinante na escolha do melhor caminho.
No exemplo acima, o Switch SW2 bloqueou o caminho com maior custo para o Switch Root.
Nos casos em que é necessário saber qual o custo de cada porta (em Switches baseados no Comware) verifique com o comando display stp interface[nome-da-interface número-da-interface] :
[Switch]display stp interface GigabitEthernet 1/0/1
----[CIST][Port2(GigabitEthernet1/0/1)][FORWARDING]----
Port protocol : Enabled
Port role : Designated Port (Boundary)
Port ID : 128.2
Port cost(Legacy) : Config=auto, Active=20
Desg.bridge/port : 32768.0837-6c44-0100, 128.2
<saída omitida>
A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.
Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL ao acesso Telnet e SSH.
#
acl basic 2000
rule 0 permit source 192.168.11.1 0
rule 5 permit source 192.168.11.12 0
rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
telnet server enable
telnet server acl 2000
! Habilitando o serviço Telnet e aplicando a ACL 2000
#
Para filtrar o acesso via SSH utilize a mesma lógica.
Nesse vídeo, utilizando o Simulador HCL, demonstramos a configuração do IRF.
O IRF utiliza cabos específicos para interligar os switches da mesa serie, criando um “backbone” de alta velocidade que permite a comunicação fluida entre todos os membros do empilhamento. Através de um algoritmo inteligente, o IRF elege um switch como master e os demais como membros. O switch master assume o controle centralizado, gerenciando a configuração, o tráfego de dados e as tabelas de roteamento de toda a rede empilhada.
Quais os benefícios ?
Escalabilidade: Diga adeus às limitações de um único switch! O IRF permite adicionar mais switches ao empilhamento conforme a necessidade da sua rede cresce, sem precisar investir em novos equipamentos completos.
Disponibilidade de alta performance: A redundância do IRF é imbatível! Se um switch membro falhar, o switch master automaticamente redistribui o tráfego para os demais membros, garantindo que sua rede continue funcionando sem interrupções, mesmo durante falhas.
Gerenciamento simplificado: O IRF permite que você configure e gerencie todo o empilhamento como se fosse um único switch, economizando tempo e esforço.
Maior capacidade de processamento: Com o poder de vários switches combinados, o IRF oferece um desempenho superior, processando dados com mais rapidez e eficiência, mesmo em cenários de tráfego intenso.
E como dar vida a esse gigante da rede?
O processo de configuração do empilhamento IRF é relativamente simples e pode ser realizado através da interface de linha de comando (CLI) ou da interface web dos switches Comware. É importante seguir as instruções do manual do fabricante para garantir uma configuração correta e evitar problemas.
Lembre-se:
O IRF é compatível apenas com switches Comware que suportam essa tecnologia.
É fundamental verificar a compatibilidade dos modelos de switches antes de iniciar o processo de empilhamento.
Nesse vídeo explicamos a configuração do PVID nas portas access e trunk de um switch.
O que é PVID?
O PVID, sigla para Port VLAN ID, é um identificador atribuído a cada porta de um switch. Ele define a VLAN padrão para a qual os quadros não marcados (sem tag) serão enviados quando ingressarem na porta. Imagine cada porta como um portal para uma VLAN específica.
Como funciona o PVID?
Ao receber um quadro não marcado, o switch verifica o PVID da porta de entrada. Se o quadro pertencer à VLAN padrão da porta (definida pelo PVID), o switch o encaminha para os dispositivos dentro dessa VLAN. Já se o quadro precisar ser direcionado para outra VLAN, o switch adiciona a tag da VLAN correspondente ao quadro antes de enviá-lo.
Pessoal, segue abaixo um pequeno resumo sobre a nomenclatura utilizada nas documentações Cisco x HP sobre o assunto VRF. Acredito que possa ajudar de forma rápida a entender alguns conceitos:
VRF: Virtual Routing and Forwarding A utilização de VRFs (Virtual Routing and Forwarding) em Roteadores permite a criação de tabelas de roteamentos virtuais que trabalham de forma independente da tabela de roteamento “normal”, protegendo os processos de roteamento de cada cliente de forma individual. Utilizado em cenários MPLS L3VPN com MP-BGP.
VRF Lite A mesma funcionalidade que a VRF para criação de tabelas de roteamento independentes, mas nomeado para cenários sem MPLS L3VPN. Chamado também de Multi-VRF.
VPN-Instance Termo utilizado nas documentações HP para VRF no Comware.
MCE (Multi CE) Termo utilizado nas documentações HP para VRF-Lite.
A configuração de Politicas de QoS visam oferecer qualidade de serviço para o tráfego da Rede. Nesse vídeo falamos da configuração de CAR (Commited Access Rate) para limitar a banda trafegada em uma porta VLAN e etc.
QoS CAR, sigla para Committed Access Rate (Taxa de Acesso Comprometida), é um recurso utilizado em redes de computadores para realizar policiamento de tráfego como parte do Quality of Service (QoS). Ele funciona na camada de enlace de dados (camada 2) do modelo OSI, garantindo que o tráfego na rede respeite limites predefinidos de taxa de bits.
Como funciona o QoS CAR?
O QoS CAR utiliza um algoritmo baseado no modelo do balde com token para controlar o tráfego. Imagine um balde com um tamanho fixo (taxa de acesso comprometida) e tokens sendo adicionados a ele a uma taxa fixa (taxa de token). Cada pacote de dados que chega na interface requer um token para passar.
Pacotes conformes: Se o balde possui tokens suficientes, o pacote é considerado conforme e é liberado para seguir adiante.
Pacotes excedentes: Se o balde estiver vazio e o pacote chegar em um pico de tráfego, o pacote é considerado excedente. Ações predefinidas, como marcar o pacote com baixa prioridade ou descartá-lo, são então aplicadas.
Benefícios do QoS CAR:
Controle de largura de banda: O QoS CAR permite limitar a taxa de tráfego de um fluxo específico, garantindo banda mínima para aplicações críticas, como VoIP ou videoconferência.
Prevenção de congestionamento: Ao limitar o tráfego excedente, o QoS CAR evita o congestionamento da rede, assegurando o bom desempenho para todos os usuários.
Melhora da prioridade de tráfego: O QoS CAR possibilita a marcação de pacotes com diferentes níveis de prioridade, permitindo que aplicações sensíveis à latência recebam tratamento diferenciado.
Considerações importantes:
Configuração: O QoS CAR requer a definição de parâmetros como taxa de acesso comprometida, taxa de token e ações para pacotes excedentes. A configuração adequada é crucial para o bom funcionamento do QoS CAR.
Não é modelagem de tráfego: O QoS CAR não garante a entrega de pacotes em intervalos regulares, apenas limita a taxa de tráfego. Para garantir a entrega em tempo real, técnicas de modelagem de tráfego podem ser utilizadas em conjunto com o QoS CAR.
Aplicações do QoS CAR:
O QoS CAR é amplamente utilizado em redes com tráfego heterogêneo, onde é necessário garantir a performance de aplicações críticas e evitar congestionamento. Alguns exemplos de cenários onde o QoS CAR é útil incluem:
Redes corporativas: Para priorizar o tráfego de VoIP e videoconferência sobre downloads ou uploads de arquivos grandes.
Redes de provedores de serviços de internet (ISP): Para garantir a qualidade de serviços como streaming de vídeo e jogos online.
Em resumo, o QoS CAR é uma ferramenta valiosa para o gerenciamento de tráfego em redes de computadores. Ao controlar a taxa de acesso e priorizar fluxos específicos, o QoS CAR contribui para uma rede mais estável e performática.
A agregação de links, também conhecida como Link Aggregation (IEEE 802.3ad), é um protocolo padronizado que permite combinar múltiplas conexões Ethernet em um único canal virtual, aumentando significativamente a largura de banda disponível e aprimorando a redundância da rede. Essa tecnologia é comumente utilizada em ambientes de alta performance e missão crítica,
Nesse vídeo, utilizando o Simulador HCL, demonstramos a configuração do Link-Aggregation.
O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. Ele opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinâmicamente por equipamentos diretamente conectados.
O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes.
Em resumo, o LLDP oferece:
Descoberta automática de dispositivos na rede: Imagine um mapa detalhado da sua rede, com a localização e características de cada dispositivo. O LLDP torna isso possível!
Comunicação transparente entre diferentes marcas: Chega de barreiras de comunicação! O LLDP facilita a interoperabilidade, permitindo que dispositivos de diferentes fabricantes se conectem e colaborem sem problemas.
Simplificação do gerenciamento de rede: Com o LLDP, você tem acesso a informações valiosas sobre seus dispositivos, facilitando o monitoramento, a solução de problemas e a otimização da performance da rede.
O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vínculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes etc.
O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.
Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.
Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:
Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.
Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.
Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.
O suplicante envia uma mensagem start para o autenticador.
O autenticador envia uma mensagem solicitando um login ao suplicante.
O suplicante responde com o login com as credenciais do usuário ou do equipamento.
O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.
Exemplo de Configuração em Switches HP baseados no Comware
Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.
Passo 1: Configure o servidor RADIUS radius scheme <nome do radius scheme> primary authentication <ip do servidor> key <chave> ! Configure o IP do servidor RADIUS e a chave user-name-format without-domain ! o formato do nome de usuário sem o envio do @dominio nas-ip <endereço IP do Switch> ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS quit
Passo 2: Configure o Domínio domain <nome do domain> authentication lan-access radius-scheme <nome do radius scheme> authorization lan-access radius-scheme <nome do radius scheme> ! Configurando a autenticação e a autorização do acesso a LAN quit
Passo 3: Configure o 802.1x globalmente no Switch dot1x dot1x authentication-method eap
Passo 4: Configure o dot1x nas portas do switch interface GigabitEthernet 1/0/x dot1x ! A porta utiliza o modo auto do 802.1x e solicita autenticação
COMUTADORES 