O DHCPv6 (Dynamic Host Configuration Protocol for IPv6) é o protocolo responsável por atribuir automaticamente endereços IP, configurações de rede e outros parâmetros a dispositivos em uma rede IPv6. Ao configurar o DHCPv6 em um switch Comware 7, você habilitará a capacidade do dispositivo de fornecer essas informações aos clientes IPv6 conectados à rede.
Passos para Configuração via CLI:
Habilitar o DHCPv6:
Entre no modo de configuração global:
<Switch> system-view
Habilite o servidor DHCPv6:
<Switch> ipv6 dhcp server enable
Criar um Pool de Endereços:
Crie um pool de endereços IPv6 para alocar aos clientes:
<Switch> ipv6 dhcp pool <pool-name>
ipv6-prefix <prefix>/<prefix-length>
dns-server <dns-server-address>
default-router <default-router-address>
quit
pool-name: Nome do pool de endereços.
prefix: Prefixo de rede IPv6.
prefix-length: Tamanho do prefixo.
dns-server: Endereço do servidor DNS.
default-router: Endereço do gateway padrão.
Associar o Pool a uma Interface:
Associe o pool de endereços a uma interface do switch:
<Switch> interface <interface>
ipv6 enable
ipv6 dhcp select pool <pool-name>
quit
interface: Nome da interface (por exemplo, GigabitEthernet0/1).
Exemplo Completo:
<Switch> system-view
<Switch> ipv6 dhcp server enable
<Switch> ipv6 dhcp pool my-pool
ipv6-prefix 2001:db8::/64
dns-server 2001:db8::1
default-router 2001:db8::1
quit
<Switch> interface GigabitEthernet0/1
ipv6 enable
ipv6 dhcp select pool my-pool
quit
Verificando a Configuração:
Exibir a configuração: Use o comando display ipv6 dhcp server para verificar a configuração do servidor DHCPv6.
Verificar os leases: Use o comando display ipv6 dhcp binding para visualizar os leases atribuídos aos clientes.
Em equipamentos de rede que utilizam o sistema operacional Comware, as portas são classificadas em dois tipos principais: bridge (ponte) e routed (roteada). Essa classificação é crucial para entender como esses dispositivos encaminham o tráfego de rede e como as diferentes interfaces interagem entre si.
O modo Bridge (port link-mode bridge) trabalha da mesma maneira que utilizamos em nossos Switches de acesso, com a configuração de VLAN e atribuição do gateway das estações para o Switch Core ou Roteador.
O modo Route (port link-mode route) permite a atribuição de endereço IP para porta física do Switch e não permite a atribuição de VLAN para aquela interface. A porta não encaminhará BPDU’s e ignorará as mensagens STP recebidas.
Configuração
#
interface GigabitEthernet4/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet4/0/2
port link-mode bridge
port link-type access
port access vlan 2
#
O GRE (Generic Routing Encapsulation) é um protocolo de tunelamento que pode encapsular diversos protocolos dentro de tuneis IP, criando links ponto-a-ponto virtuais entre roteadores remotos.
O protocolo é extremamente funcional em diversos cenários, pois foi desenvolvido para permitir que redes remotas pareçam estar diretamente conectadas. Como o GRE não faz a criptografia, o GRE pode trabalhar em conjunto com IPsec para garantir a integridade das informações quando necessário.
Abaixo podemos observar a representação do encapsulamento de um pacote IP pelo GRE como também a inclusão de um novo cabeçalho.
O interessante é que o protocolo de transporte poderia ser o IPv6 e o protocolo encapsulado poderia ser o IPX, tráfego Multicast, etc; E ao ser entregue ao roteador de destino, o novo cabeçalho é removido e o pacote é entregue intacto.
Segue abaixo um exemplo de configuração de um túnel GRE para Roteadores com o Comware 7, fechando a adjacência OSPF entre 2 roteadores separados por uma rede MPLS. Nos testes usamos o roteador HP VSR1000.
Tabela de Rotas e tracert do Roteador R2
[R2]disp ip routing-table | inc O
192.168.1.0/24 O_INTRA 10 1563 192.168.13.1 Tun0
<R2>tracert 192.168.13.1
traceroute to 192.168.13.1 (192.168.13.1), 30 hops at most, 52 bytes each packet, press CTRL_C to break
1 192.168.23.2 (192.168.23.2) 0.488 ms 0.523 ms 1.668 ms
2 192.168.13.1 (192.168.13.1) 0.962 ms 5.463 ms 0.881 ms
<R2>tracert 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops at most, 52 bytes each packet, press CTRL_C to break
1 192.168.1.1 (192.168.1.1) 1.116 ms 2.588 ms 1.731 ms
O GRE (Generic Routing Encapsulation) é um protocolo de tunelamento que pode encapsular diversos protocolos dentro de túneis IP, criando links ponto-a-ponto virtuais entre roteadores remotos.
O protocolo é extremamente funcional em diversos cenários, pois foi desenvolvido para permitir que redes remotas pareçam estar diretamente conectadas. Como GRE não criptografa as informações que são transmitidas através do túnel, podemos utilizar o GRE em conjunto com IPsec para garantir a integridade das informações.
Abaixo podemos observar a representação de encapsulamento de um pacote IP pelo GRE e a inclusão de um novo cabeçalho.
O interessante é que o protocolo de transporte poderia ser o IPv6 e o protocolo encapsulado poderia ser o IPX, tráfego Multicast, etc; E ao ser entregue ao roteador de destino, o novo cabeçalho é removido e o pacote é entregue intacto.
Agora você deve estar se perguntando. Em quais situações podemos usar o GRE ? Veja o cenário:
Você em um dia normal como analista de redes e seu gerente de TI te informa que sua empresa acaba de adquirir uma nova filial e eles precisam ter acesso a alguns servidores que estão na rede local do ambiente que você administra. Depois de concluir todo processo de contratação do link e a conectividade com a filial estar finalizada, seu gerente de TI lhe informa que na nova filial utilizará OSPF para declarar as redes locais.
Agora você pensa: como podemos configurar o OSPF nesses roteadores se eles não estão diretamente conectados? Como administrar o processo de roteamento via uma rede gerenciada pela Operadora como por exemplo, com MPLS, que não está emulando um Lan-to-Lan ? É ai que entra o Túnel GRE.
Configuração
Antes de criar o tunnel, certifique-se que a origem e o destino mapeados na Interface Tunnel estejam acessíveis via roteamento. No nosso exemplo, usaremos a Loopback.
Como os roteadores simularão uma conexão ponto-a-ponto, eles irão trocar informações de roteamento através do túnel como se estivessem diretamente conectados.
Por padrão o Comware habilita o protocolo GRE em túneis sem a necessidade de configuração adicional. Caso você precise utilizar uma Interface Tunnel para alguma outra função, segue abaixo algumas possibilidades:
Considerações para a utilização de Tunnel em Switches HP baseados no Comware
A utilização de interface Tunnel em Switches HP baseados no Comware pode ser um pouco mais complicada que em roteadores. Antes de utilizarmos o processo acima é necessário criar uma configuração de “Service Loopback” (em alguns modelos de Switches), vincular à uma porta não utilizada (vazia) e também vincular o serviço ao Tunnel. Segue abaixo os passos:
• Crie um “tunnel-type service loopback group’.
• Adicione uma porta não utilizada ao “Service loopback group”.
# Criando o “Service-loopback” group 1 e especificando o tipo como tunnel.
[SwitchA] service-loopback group 1 type tunnel
# Vinculando a porta Giga 1/0/3 para o “Service-loopback” group 1.
#Desabilite o STP e o LLDP da interface.
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] undo stp enable
[SwitchA-GigabitEthernet1/0/3] undo lldp enable
[SwitchA-GigabitEthernet1/0/3] port service-loopback group 1
[SwitchA-GigabitEthernet1/0/3] quit
# Aplique o “Service-loopback” group 1 à interface tunnel.
[SwitchA] interface tunnel 0
[SwitchA-Tunnel0] service-loopback-group 1
[SwitchA-Tunnel0] quit
# O tunnel ficará up mesmo que a outra ponta não esteja configurada
O desenho de uma rede OSPF requer que todas as áreas estejam diretamente conectadas à Area Backbone (Area 0 [zero]) e que os roteadores da Area 0 estejam sempre conectados com roteadores da mesma área.
Para conexão entre roteadores de diferentes áreas, o tráfego deve passar sempre pela Area 0.
Um virtual link é um link lógico que permite a conexão entre equipamentos da Area 0 que estão separados logicamente mas podem utilizar uma outra Area OSPF como trânsito, ou entre áreas não-Backbone que precisam utilizar outra área como transito:
O OSPF virtual link deve ser usado somente em casos específicos, conexões temporárias ou cenários de backup em caso de falha.
Configurando OSPF Virtual link
No exemplo abaixo, o virtual link servirá na conexão entre dois roteadores da Area 0 que estão separados por uma falha no link.
R1
#
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.11.0 0.0.0.255
area 0.0.0.1
network 192.168.12.0 0.0.0.255
vlink-peer 192.168.3.3
#
R3
#
ospf 1
area 0.0.0.0
network 192.168.3.0 0.0.0.255
network 192.168.33.0 0.0.0.255
area 0.0.0.1
network 192.168.23.0 0.0.0.255
vlink-peer 192.168.1.1
#
Comandos display
[R1]display ospf vlink
OSPF Process 1 with Router ID 192.168.1.1
Virtual Links
Virtual-link Neighbor-ID -> 192.168.3.3, Neighbor-State: Full
Interface: 192.168.12.1 (GigabitEthernet0/0)
Cost: 2 State: P-2-P Type: Virtual
Transit Area: 0.0.0.1
Timers: Hello 10, Dead 40, Retransmit 5, Transmit Delay 1
#
[R1]display ospf peer
OSPF Process 1 with Router ID 192.168.1.1
Neighbor Brief Information
Area: 0.0.0.1
Router ID Address Pri Dead-Time State Interface
192.168.12.2 192.168.12.2 1 35 Full/DR GE0/0
Virtual link:
Router ID Address Pri Dead-Time State Interface
192.168.3.3 192.168.23.3 1 36 Full GE0/0
A utilização de VLAN (Virtual Local Area Network) permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch. A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não são pertencentes a mesma VLAN (para isto, é necessário a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).
Se não utilizássemos uma interface como Trunk e precisássemos passar o tráfego da VLAN para o outro Switch, seria necessário a passagem de um cabo de cada VLAN para o outro dispositivo, como no exemplo abaixo.
Como a maioria dos Switches possui entre 24 e 48 portas a solução ficaria inviável , inutilizando a maioria das portas para conexões entre os dispositivos.
O protocolo IEEE 802.1q permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.
A marcação efetuada (chamada de TAG) adiciona aos quadros Ethernet 4 bytes no frame original e calculam um novo valor de checagem de erro para o campo FCS.
Dos valores contidos dentro do campo TAG o numero da VLAN é adicionado ao campo VLAN id permitindo a identificação da VLAN entre os Switches.
Uma observação relevante é a utilização do campo Priority (também dentro da TAG) para função de QoS em camada 2 para Ethernet, chamado de 802.1p ou CoS (Class of Services), permitindo a diferenciação de classes de serviços por Switches sem a necessidade de leitura do campo IP.
Já a comunicação entre computadores no mesmo Switch que pertencem a mesma VLAN não são “tagueadas” (untagged). Muitas placas de rede para PC’s e impressoras não são compativéis com o protocolo 802.1Q e ao receberem um frame tagged, não compreenderão o TAG de VLAN e descartarão a informação. Os Switches que recebem na sua interface Trunk um frame com TAG, irão remover o campo e entregar o quadro ao destino sem a marcação.
A regra é bem simples para a maioria dos casos (salvo exceções):
Para comunicação entre Switches, configure as interfaces como Trunk ( Tagged)
Para comunicação entre Switches e hosts, servidores, impressoras; configure as interfaces como Access (untagged) com o ID da VLAN
Configuração
Para a maioria dos Switches H3C/3Com configure as portas como trunk da seguinte maneira:
interface GigabitEthernet 1/0/x! acesso a interface GigabitEthernetport link-type trunk! configuração da interface como trunk (frames encaminhados como tagged)port trunk permit vlan all! configuração da porta permitindo todas as VLANs no trunk
Porta de acesso
interface GigabitEthernet 1/0/x! acesso a interface GigabitEthernetport link-type access! configuração da interface como acesso (frames encaminhados como untagged)port access vlan 2! configuração da porta na vlan 2
Para retornar a porta de alguma VLAN para a VLAN 1, digite o comando undo port access vlan dentro da interface física.
Obs: Por default os frames da VLAN 1 não são encaminhados com TAG dentro do Trunk.
O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.
Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) , a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.
Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.
Assim, todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.
Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.
Uma das funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.
O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.
Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.
Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac deverá mudar…
A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.
interface Vlan-interface1
ip address 192.168.99.1 255.255.255.0
arp send-gratuitous-arp
Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.
A utilização de VRF (Virtual Routing and Forwarding) permite a criação de tabelas de roteamentos virtuais em Switches e Roteadores, independentes da tabela de roteamento “normal”(geralmente chamada de tabela de roteamento global [Global Routing Table]).
Da mesma forma como a utilização de VLANs em Switches Ethernet permitem a divisão de dominios de broadcasts e mapeamentos da tabela MAC, a utilização de VRF permite a virtualização da tabela de roteamento. Nos Switches e Roteadores utilizando o Sistema Operacional Comware (3Com, H3C e HP) a feature é chamada de “vpn-instance“.
Durante o congestionamento do tráfego de uma interface, alguns modelos de Qualidade de Serviço permitem administrarmos a maneira como os pacotes são enfileirados em uma interface colocando-os em filas de prioridades, restrição de limite de banda, etc.
A utilização do algoritmo de enfileiramento WFQ (Weighted Fair Queuing) nos Switches Modulares HP Serie A, permite a configuração de filas para reserva de banda para trafego diferenciado, mas que não restringem o limite de banda em caso de disponibilidade de trafego para o link.
Imaginando que o trafego seja marcado na origem e mapeado corretamente para cada uma das 8 filas de prioridade do Switch, o script abaixo demonstra a configuração da interface de saída com reserva de banda em caso de congestionamento.
Se houver banda disponível na interface, o algoritmo de encaminhamento será FIFO (Firt in, First Out).
Configurando o WFQ
interface GigabitEthernet1/0/1
description INTERFACE_OUTBOUND_INTERNET
qos wfq ! Habilita WFQ na interface de saída de tráfegoqos bandwidth queue 1 min 4096! Reserva 4096kbps na fila 1 qos bandwidth queue 2 min 10240
! Reserva 10240kbps na fila 2 qos bandwidth queue 3 min 10240
! Reserva 10240kbps na fila 3 qos bandwidth queue 4 min 2048 ! Reserva 2048kbps na fila 4 qos bandwidth queue 5 min 2048 ! Reserva 2048kbps na fila 5 qos bandwidth queue 6 min 1024 ! Reserva 1024kbps na fila 6 qos bandwidth queue 7 min 1024 ! Reserva 1024kbps na fila 7 qos trust dscp
O tráfego não marcado ( geralmente mapeado para a fila zero) utilizará o restante da banda, mas não terá a garantia de reserva.
A feature RBAC – Role Based Access Control permite administrarmos a forma como os outros usuários locais poderão interagir com a configuração do Switch/Roteador (com o Comware 7) para os seguintes parametros:
VLANs
Interfaces (físicas e lógicas)
features : read/write/execute
comandos CLI
Processo da VRF (VPN instances)
Por exemplo, vamos imaginar que você queira permitir para um usuário apenas o acesso para leitura das configurações.
role name usuarioX
rule 1 permit read feature
! A regra permitirá apenas a leitura do arquivo de configuração
quit
#
local-user usuarioX
password simple 123
service-type ssh telnet terminal
authorization-attribute user-role usuarioX
! Vinculando a regra usuarioX
undo authorization-attribute user-role network-operator
! removendo a regra padrão de novos usuários
quit
#
Caso não tenha configurado a interface VTY aplique os comandos abaixo
#
line vty 0 63
authentication-mode scheme
quit
#
Durante o teste é possível acessar o modo system-view e visualizar os comandos “display”. Mas para alterar as configurações o usuário terá a permissão negada.
<pre> system
[Sw1] inter?
permission denied.
[Sw1]
role name sysadmin
rule 1 permit read write execute feature
! permitindo todas as features RWX
vlan policy deny
permit vlan 1 to 4000
permit vlan 4002 to 4094
! Controlando a configuração de VLANs, permitindo todas exceto a vlan 4001
interface policy deny
permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/23
permit interface GigabitEthernet2/0/1 to GigabitEthernet2/0/23
! Controlando a config. de interfaces, permitindo todas exceto as do MAD BFD.! que são as interfaces Giga 1/0/24 e 2/0/24.
quit
quit
#
local-user sysadmin
password simple hp
service-type ssh telnet terminal
authorization-attribute user-role sysadmin
undo authorization-attribute user-role network-operator
#
Testes
[HP]
# Acesso restrito para as interfaces BFD MAD
[HP]int g1/0/24
Permission denied.
# Acesso permitido para outras interfaces
interface GigabitEthernet1/0/1
port link-mode bridge
shutdown
# Qualquer configuração pode ser aplicada as outras interfaces
[HP-GigabitEthernet1/0/1]undo shut
[HP-GigabitEthernet1/0/1]port link-type trunk
# ...mas o 'permit vlan all' falhará (tentativa para adicionar a vlan 4001)
[HP-GigabitEthernet1/0/1]port trunk permit vlan all
Permission denied.
# A permissão para todas as outras VLANs funcionará normalmente:
[HP-GigabitEthernet1/0/1]port trunk permit vlan 1 to 4000
[HP-GigabitEthernet1/0/1]port trunk permit vlan 4002 to 4094
COMUTADORES 