treinamento completo switch metro rev6.0

Treinamento de Configurao, Operao e Manuteno da Linha de

equipamentos Metro Ethernet

Av. Frana, 735 - Porto Alegre, RS - 90230-220

Suporte Tcnico: 51 3358 0122

www.datacom.ind.br

1Verso da Apostila: 6.0Rev1

Sistema de Gesto da Qualidade

certificado pela DQS de acordo

com ISO9001 N de registro (287097 QM)

Apesar de terem sido tomadas todas as precaues na elaborao deste documento, a empresa no assume qualquer

responsabilidade por eventuais erros ou omisses, bem como nenhuma obrigao assumida por danos resultantes do uso

das informaes contidas neste manual. As especificaes fornecidas neste manual esto sujeitas a alteraes sem aviso

prvio e no so reconhecidas como qualquer espcie de contrato.

CONTATOS

Para contatar o suporte tcnico, ou o setor de vendas:

Suporte:E-mail: [email protected]

Fone: +55 51 3358-0122

Fax: +55 51 3358-0101

VendasE-mail: [email protected]

Fone: +55 51 3358-0100

Fax: +55 51 3358-0101

Internetwww.datacom.ind.br

EndereoDATACOM

Av. Frana, 735 - Porto Alegre, RS - Brasil

CEP: 90230-220



Sumrio Introduo 7

DmSwitch2104 8

DmSwitch2104G EDD 9

DmSwitch3000 10

3x24F2 11

3x24F3 12

Instalao do DmSwitch3000 13

Mdulos SFP 14

Stacking 15

DM4001 16

DM4001 Chassi 17

DM4004 18

DM4008 19

DM4004 e DM4008 Chassis 20

MPU DM4000 21

Diagrama da MPU 22

Placas de Interface DM4000 23

Placas de Interface DM4000 24

Placas de Interface DM4000 NEW 25

Mdulos de Conexo 26

Placas de Interface DM4000 NEW 27

ROADMAP DM4000 28

Aplicaes com EDD + E1 29

Aplicaes concentrando DSLAMs 30

Aplicao MPLS 31

Aplicao Anel Metro Ethernet 32

Aplicao Anel Metro Ethernet 33

Gerenciamento 34

Web 35

DmView 36

Command Line Interface (CLI) 37

Arquivos de Configurao - Definio 38

Arquivos de Configurao 39

SNMP Conceitos 40

Gerncia de usurios 41

Autenticao e Criao de Usurios 42

Lista de Controle de Acesso (ACL) 43

Verificando as configuraes 44

Configuraes de Interfaces 45

Configuraes de Velocidade e Duplex 46

Deteco de Loop em Interfaces 47

Alterao do DST-MAC slow protocol 48

Configurao para links intermitentes 49

Port-Channel 50

Configurando Port-Channel 51

Link Layer Discovery Protocol (LLDP) 52

Verificando informaes LLDP 53

OAM EFM 54

OAM PDUs 55

OAM Deteco de falhas 56

OAM Configuraes 57

Visualizao da Config do OAM 58

Sumrio


Manuteno 59

Shows na CPU 60

SNTP 61

Logging 62

Atualizao e Escolha de Firmware 63

Atualizao firmware DmSwitch3000 64

Debug 65

Port Mirroring via porta fsica 66

Port Mirroring via fluxo de dados 67

Agendamento de Aes 68

Recuperao Senha Local 69

Virtual LAN 70

Conceito de VLAN (IEEE 802.1q) 71

Tagged & Untagged 72

Configurando VLANs 73

Exemplo topologia com QinQ 74

QinQ (IEEE 802.1ad) 75

Configurando QinQ 76

Resilincia 77

Spanning-Tree Protocol (STP) 78

Convergncia do STP 79

Root Bridge 80

Rapid STP (RSTP) IEEE802.1w 81

Multiple STP (MSTP) IEEE 802.1s 82

Configurando o xSTP 83

Ethernet Automatic Protection Switching 84

EAPS - Caractersticas 85

Configurando o EAPS 86

Tunelamento Protocolos L2 87

Tunelamento de Protocolos nvel 2 (L2TP) 88

Segurana 89

Proteo da CPU 90

Limite Broadcast e Multicast por interface 91

Estrutura dos Filtros 92

Proteo Broadcast 93

Proteo Multicast 94

Pacotes com IP Options e DLF 95

Consumo de memria 96

Encaminhamento pacotes para a CPU 97

Qualidade de Servios 98

Rate-limit por interface 99

Rate-limit por fluxo de dados 100

IEEE 802.1p 101

Configurando CoS default por interface 102

Configurando o cos-map 103

Match 104

Action 105

Contador por fluxo de dados 106

Exemplos de filtros 107

Configurando o Queue Scheduling Mode 108

Configurando SP 109

Configurando WRR 110

Configurando WFQ 111

Configurando Banda Mxima 112

Sumrio


Conectivity Fault Management 113

Introduo 114

Conceitos 115

Protocolos CFM 116

Y.1731 117

Configuraes MD 118

Configuraes MA 119

Configuraes MIP e MEP 120

Configuraes MEP 121

Configraes AIS 122

Gerenciamento Via DmView 123

Introduo 124

Informaes de portas 125

Descoberta de links 126

verificao de links 127

Gerencia de equipamentos Remotos 128

Adicionando equipamento Remoto 129

Grupos de VLAN 130

Domnios L2 131

Configurando STP 132

Configurando EAPS 133

Importao EAPS 134

Configurando Metro Ethernet Circuit 135

Configurando Metro Ethernet Circuit-cont 136

Importao de Circuitos Metro Ethernet 137

Importao de Circuitos Metro Ethernet 138

Alteraes na Topologia 139

Busca de circuitos Metro Ethernet 140

Mismatch de Configuraes 141

Solucionando Mismatch 142

Contatos 143

Neste capitulo sero informadas todas as caractersticas de Hardware e Software da linha de equipamentos Metro Ethernet. Aps

este captulo o aluno ser capaz de:

Reconhecer os diferentes equipamentos da Linha Metro Ethernet;

Entender as caractersticas de trfego de cada modelo de equipamento;

Reconhecer e entender as caractersticas das placas de interface da linha DM4000;

Reconhecer e entender as caractersticas das MPUs da linha DM4000;

Reconhecer os diferentes mdulos de interface SFP/XFP;

Entender algumas das diferentes topologias onde os equipamentos podem ser utilizados

Neste capitulo so descritas as caractersticas fsicas da linha de equipamentos.

Aps este capitulo o aluno deve ser capaz de:

Conhecer as caractersticas eltricas da linha de equipamentos Metro Ethernet;

Instalar mdulos SFP;

Reconhecer e instalar o mdulo de ventilao da linha DM4000;

Reconhecer, inserir e retirar as placas de interface da linha DM4000;

Reconhecer, inserir e retirar as placas de MPU da linha DM4000.


Gerenciamento da conexo

O DmSwitch 2104G EDD oferece o gerenciamento de conexo alinhado com as mais recentes normas do IEEE 802.3ah (OAM) e 802.1ag (CFM).Isto permite ao operador da rede Metro Ethernet a deteco, o isolamento e a verificao de falhas fim a fim.

Facilidades para a implementao de QoS

O DmSwitch 2104G EDD possui 4 filas por porta (ou 3 filas por porta no caso do DmSwitch 2104G EDD com a porta E1 opcional), com algoritmosde escalonamento que permitem definir que determinado fluxo de dados sempre ter prioridade (SP), configurar pesos para cada fila (WRR), definir

taxas mximas de encaminhamento, ou ainda uma combinao dessas tcnicas.

A definio do fluxo de dados ao qual pertence cada pacote e conseqente priorizao deste dentro do switch definida pela porta de entrada deste

pacote, ou pelo MAC destino deste, ou ainda pela marcao IEEE 802.1p ou DSCP.

O controle de banda permite a definio de PIR (Peak Information Rate) por porta, podendo ser aplicado ao trfego de entrada ou sada da mesma.

VLANs

A construo de Virtual LANs no DmSwitch pode utilizar a totalidade das 4.094 VLANs definidas na norma IEEE 802.1Q simultaneamente,

oferecendo ainda a funcionalidade de double tagging (QinQ), permitindo desta forma a criao de servios TLS.

Gerenciamento

Gerenciamento distribudo acessando cli via interface RS232 ou telnet e centralizado atravs do DmView, sobre plataformas Windows e Solaris.

Funcionalidade de gerncia remota sem IP. Quando o DmSwitch2104G gerenciado pelo DmView atravs dos demais equipamentos da linha

(DmSwitch3000 e 4000) em topologia ponto a ponto, no necessrio configurar seu IP ou rotas L3, basta conectar o elemento com a opo

configurada que o mesmo tornase acessvel via DmView.*

Emulao de circuitos

Com a montagem do mdulo E1 (DmSwitch2000E1) o DmSwitch 2104G EDD pode ainda suportar a emulao de circuitos TDM sobre a redeEthernet. A emulao de circuitos e a estrutura de multiplexao dos quadros seguem as rfcs 5086 (StructureAware Time Division Multiplexed (TDM)

Circuit Emulation Service over Packet Switched Network (CESoPSN)) e 4553 (StructureAgnostic Time Division Multiplexing (TDM) over Packet

(SAToP)).

Mecanismos de Proteo

Esto disponveis os protocolos de Spanning Tree, incluindo o RSTP que possui tempos de convergncia menores e MSTP para melhor

aproveitamento de recursos e maior escalabilidade, assim como o protocolo EAPS, especfico para proteo sub50ms em anis Ethernet. Estes

mecanismos permitem a construo de topologias com proteo e rapidez na restaurao de falhas, para aplicaes Metro Ethernet.


Condies Fsicas, Ambientais e Eltricas

Dimenses (A x L x P): 44mm x 195mm x 200mm

Peso aproximado: 1kg

Condies ambientais:

Temperatura de Operao: 0o a 50oC

Armazenamento / Transporte: -20o a 65oC

Umidade: 10% a 90% (no-condensada)

Condies Eltricas:

Alimentao: 93 a 250 VAC ou -36 a -72 VDC, seleo automtica

Consumo de Potncia: 20 W (AC) / 25 W (DC)

Verso da Apostila: 6.0Rev1 9

A linha de produtos DmSwitch 3000 composta por equipamentos de comutao wire speed, com nmero fixo de portas Fast eGigabit Ethernet, e possibilidade de empilhamento de at 8 unidades. Atravs das funcionalidades de QoS, possvel manipular epriorizar pacotes at o L7, como tambm controlar a banda disponibilizada para cada usurio.

Os modelos DmSwitch 3200 oferecem comutao de pacotes em nvel 2 (16K MAC Address, 4K VLANs simultneas, QiQ P2P eMP2MP), enquanto os modelos DmSwitch 3300 possuem roteamento nvel 3 (4K host e 16K LPM entries, 512 virtual routerinterfaces). Suporta RIPv2, OSPFv2, BGPv4, VRRP. Alm das funcionalidades de roteador IP.

Como mecanismos de proteo esto disponveis protocolos de Spanning Tree Classic, Rapid e Multiple - bem como EAPS(

O DmSwitch pode ser instalado em um rack de 19. Os suportes de fixao (orelhas) acompanham o produto. Para instalar oDmSwitch em um rack, posicione-o no rack e em seguida, insira dois parafusos (no includos) em cada suporte de fixao para

firmar o equipamento ao rack.

O DmSwitch F2/F3 possui dois conectores de alimentao no painel traseiro, um para cada fonte de alimentao. Se voc est

usando fonte de alimentao redundante, use dois cabos de alimentao para conect-los.

Se voc est usando alimentao DC, o cabo de alimentao poderia ser cortado prximo ao plug da tomada de tal forma que o pino

central corresponda ao terra de proteo e os outros dois pinos a fonte de alimentao. A carcaa do equipamento conectada

diretamente ao terra. Em caso de confeco do cabo, deve-se atentar em relao ao pino terra.

Para instalar a fonte de alimentao redundante, proceda da seguinte forma:

1- Utilize uma chave Phillips para remover os parafusos que fixam o painel de proteo do slot da fonte correspondente

2- Insira a fonte de alimentao no slot e deslize-a sobre o trilho. Pressione-a firmimente para assegura que est encaixada

3- Use suas mos para apertar os dois parafusos recartilhados fixando firmimente a fonte de alimentao ao slot.

Status dos LEDs do sistema:


A instalao dos mdulos SFP realizada inserindo o mdulo no slot SFP do equipamento. H somente uma orientao em que o

mdulo pode ser encaixado. Deslize o mdulo e pressione com firmeza para garantir o encaixe. Aps o encaixe do mdulo,

necessrio prender a ala de segurana.

Para remover os mdulos, basta seguir a ordem inversa da instalao, removendo os cordes ticos, baixando a ala de segurana e

puxando o mdulo pela ala.

A instalao e remoo dos mdulos podem ser feitas com o equipamento ligado. Os mdulos SFP so hot-swappable.


As teclas de Stacking podem ser desabilitadas para evitar alteraes acidentais no modo de operao.

DmSwitch3000(config)#no stacking keys

Por padro, ao pressionar uma das teclas, ocorre um atraso na aplicao do novo modo. Ser possvel visualizar atravs dos leds no

painel frontal um contador regressivo mostrando o tempo restante para aplicao da nova configurao. O valor do delay pode ser

configurado entre 3 e 9 segundos. Caso o operador retorne as teclas para a posio original durante este intervalo, no ocorrer a

alterao no modo de operao

DmSwitch3000(config)#stacking key-delay

As unidades que operam como slave no modo stacking, e no esto conectadas a nenhum master, mostram nos leds do painel

frontal as letras NM (No Master). No modo stacking, no possvel configurar a unidade pela porta console.

Todos as unidades em uma pilha so gerenciadas atravs do master, como se fossem um nico equipamento.

O DmSwitch possui das portas DB9 no painel frontal. O conector de alarme acima (3 entradas e 1 sada) e o conector de console

abaixo (RS232). Segue a pinagem do conector de console:

GND4 e 5

TX2

RX3

Porta SerialPino


DM4001 Chassis

Gabinete com placa backplane para bastidores de 19 polegadas e 1U de altura, capaz de acomodar 1 placa de interface.

Compatvel com todas as placas de interfaces da linha DM4000

Permite que as interfaces da linha DM4000 funcionem em uma verso stand alone, no sendo necessrio a utilizao da MPU

Backplane suporta comutao em Wire Speed non-blocking para todas as placas de interface

Chassis suporta 1 placa de interface

Entrada redundante de alimentao -48VDC, com fontes redundantes em cada mdulo de interface

Equipamento gerenciado pelo software de gerncia de rede DmView, disponibilizando vises topolgicas, provisionamento de

circuitos, monitorao de performance e status

Tempo de comutao inferior a 50ms em anis L2 metro Ethernet


Pinagem do cabo de console para o DM4000 series:



DM4004 Chassis

Gabinete com placa backplane para bastidores de 19 polegadas e 6U de altura, capaz de acomodar 4 placas de interface, 2 placas

MPU redundantes, 2 placas GPC, mdulo de ventilao DM4004 FAN e entrada de alimentao redundante. O backplane realiza as

interconexes para trfego de dados e gerncia entre as placas.

Suporte a MPLS: Label Edge (LER) e Label Switch (LSR) Router;

Q-in-Q P2P e MP2MP VLANs, 4K VLANs

Pelo menos 512K MACs ou 256K rotas Ipv4/IPv6 por Interface Card

192 Gbit/s e 384 Gbit/s de capacidade wire speed

Link Aggregation, MSTP e EAPS, com tempo de restaurao < 50ms

L2 e L3 VPN over MPLS

CPU, Switch Fabric e Alimentao redundantes

Backplane passivo


DM4008 Chassis

Gabinete com placa backplane para bastidores de 19 polegadas e 10U de altura, capaz de acomodar 8 placas de interface, 2 placas

MPU redundantes, 2 placas GPC, mdulo de ventilao DM4008 FAN e entrada de alimentao redundante. O backplane realiza as

interconexes para trfego de dados e gerncia entre as placas.

Suporte a MPLS: Label Edge (LER) e Label Switch (LSR) Router;

Q-in-Q P2P e MP2MP VLANs, 4K VLANs

Pelo menos 512K MACs ou 256K rotas Ipv4/IPv6 por Interface Card

192 Gbit/s e 384 Gbit/s de capacidade wire speed

Link Aggregation, MSTP e EAPS, com tempo de restaurao < 50ms

L2 e L3 VPN over MPLS

CPU, Switch Fabric e Alimentao redundantes

Backplane passivo


Para instalar o mdulo de ventilao, basta posicion-lo nos trilhos e empurr-lo at o fundo do gabinete. Logo em seguida apertar os

parafusos recartilhados para melhor fixao do mdulo. O processo de manuteno do mdulo deve ser executado com rapidez para

que o conjunto no aquea demasiadamente

Cuidado: Retirar e inserir o mdulo de FAN segurando somente pelos parafusos recartilhados. As FAN podem estar em movimento

podendo ocasionar acidentes.

Para inserir as interfaces no DM4000:

1- As interfaces do DM4000 Series possuem extratores, aps posicionar a interface nos trilhos do slot, abrir os extratores e deslizar a

placa at que toque no backplane.

2- Deslocar os extratores em direo a interface.

3- Pressionar firmemente o extratores para certificar-se que a interface esteja bem fixada.

Para retirar a placa, seguir o procedimento inverso.

Em todos os slots do equipamento que no estiverem em uso devero estar instalados painis de preenchimento. Estes painis tm

por finalidade no apenas garantir o correto fluxo de ar no equipamento, como tambm fazem a blindagem eletromagntica e

protegem o interior.

Deve-se tomar cuidados especiais no manuseio das interfaces. Para a insero e retirada das interfaces, sempre utilizar a pulseira

anti-esttica que acompanha o produto conectando-a ao terminal terra dos Chassis.

O DM4000 series alimentado em 36 72 VDC.



DM4000 MPU192

Placa central de controle (Main Processor Unit), composta pela CPU principal e matriz de comutao de 192 Gbit/s, podendo ser

utilizada em configurao redundante.

Opera at 8 placas de interface a 24 Gbit/s cada uma (at 12 interfaces Gigabit por placa de interface) ou at 4 placas de interface a

48 Gbit/s cada uma (at 24 interfaces Gigabit por placa de interface).

DM4000 MPU384

Placa central de controle (Main Processor Unit), composta pela CPU principal e matriz de comutao de 384 Gbit/s, podendo ser

utilizada em configurao redundante.

Opera at 8 placas de interface a 48 Gbit/s cada uma (at 24 interfaces Gigabit por placa de interface) ou at 4 placas de interface a

96 Gbit/s cada uma (at 48 interfaces Gigabit por placa de interface).

Nos chassis DM4004 e DM4008, o gerenciamento do equipamento feito atravs da MPU. A MPU possui 3 conectores RJ45. A

insero da MPU feita nos slots 1A e 1B quando operando com redundncia.

MGMT ETH: Gerenciamento ethernet outband

Console: Gerenciamento do switch via porta RS232

AUX: Gerenciamento via porta RS232 dos slots 2 5



Descrio dos mdulos SFP ticos:

Fast Ethernet

SFP MS850 100BaseX - Multimode 850nm, 2km

SFP MS13 100BaseX - Multimode 1310nm, 2km

SFP SS13 100BaseX - Singlemode 1310nm, 30km

SFP SL13 100BaseX - Singlemode 1310nm, 60km

SFP SL15 100BaseX - Singlemode 1550nm, 100km

SFP SLx15 100BaseX - Singlemode 1550nm, 120km

SFP SSB13 100BaseBX20-U - Singlemode 1310nm Tx 1550nm Rx, 20km

SFP SSB15 100BaseBX20-D - Singlemode 1550nm Tx 1310nm Rx, 20km

SFP SLB13 100BaseBX60-U - Singlemode 1310nm Tx 1550nm Rx, 60km

SFP SLB15 100BaseBX60-D - Singlemode 1550nm Tx 1310nm Rx, 60km

Gigabit Ethernet

SFP 1000BaseSX - Multimode 850nm, 550m

SFP SS13 1000BaseLX - Singlemode 1310nm, 10km

SFP SS13 1000BaseLX+ - Singlemode 1310nm, 30km

SFP SL15 1000BaseLH - Singlemode 1550nm, 70km

SFP SLx15 1000BaseLZ - Singlemode 1550nm, 110km

SFP SSB13 1000Base BX20-U - Singlemode 1310nm Tx 1550nm Rx, 20km

SFP SSB15 1000Base BX20-D - Singlemode 1550nm Tx 1310nm Rx, 20km

SFP SLB13 1000Base BX60-U - Singlemode 1310nm Tx 1550nm Rx, 60km

SFP SLB15 1000BaseBX60-D - Singlemode 1550nm Tx 1310nm Rx, 60km

10 Gigabit Ethernet

XFP SS13 10GBase-LR/LW, Singlemode 1310nm, 10km

XFP SS15 - 10GBase-ER/EW, Singlemode 1550nm, 40km

XFP SL15 - 10GBase-ZR, Singlemode 1550nm, 80km

XFP SLx15 - 10GBase-ZR+, Singlemode 1550nm, 120km 26Verso da Apostila: 6.0Rev1

Compatvel com os chassis DM4001, DM4004 e DM4008

Operao com os protocolos SAToP / CESoPSN;

Compatvel com os requisitos de sincronismo IEEE1588-2008;

Necessita do painel de conexes RB13 para a interconexo dos E1s.



Neste captulo sero apresentados os principais comandos para a configurao dos equipamentos da linha Metro Ethernet.

Aps este captulo o aluno estar apto :

Identificar as possveis formas de gerenciar os equipamentos da linha Metro Ethernet DATACOM

Entender a interface de linha de comandos

Entender e utilizar os arquivos de configraes

Salvar as configuraes

Configurar o protocolo SNMP

Gerenciar usurios de acesso ao equipamento

Configurar ACLs de gerenciamento

Verificar as configuraes atuais do equipamento

Para acessar o DmSwitch via interface web, abrir o browser e inserir o endereo IP de gerncia. Por default, ambos http e httpsesto habilitados no DmSwitch. Ser solicitado a autenticao do usurio. Somente o usurio privilegiado poder logar.

Na parte superior da pgina web, possvel visualizar o status das portas (up ou down), ou o modo duplex de operao (full ou half)para cada unidade no caso dos switches estarem empilhados.

Atravs do Menu de Configurao, localizado no lado esquerdo da pgina, possvel selecionar a opo que ser configurada.

Aps realizar as alteraes na janela de configurao, necessrio aplicar as alteraes atravs do boto Apply que est na parteinferior esquerda da pgina web. Nota que este procedimento no salva as alteraes, apenas aplica estas configuraes para que

fiquem ativas no DmSwitch. Caso o switch seja reinicializado, ele perder as alteraes realizadas.

Para realizar o logoff, necessrio fechar o browser.


O DmView o Sistema Integrado de Gerncia de Rede e de Elemento desenvolvido para supervisionar e configurar os equipamentosDatacom, disponibilizando funes para gerncia de superviso, falhas, configurao, desempenho, inventrio e segurana, segue arecomendao FCAPS*. O sistema pode ser integrado a outras plataformas de gerncia ou pode operar de forma independente.Tambm possvel utilizar diferentes arquiteturas de gerncia, desde a operao em campo via notebook at um projeto centralizadocom servidores de aplicao redundantes e mltiplos servidores de terminal para acesso remoto.

O sistema disponibiliza o acesso s suas funcionalidades atravs de uma Interface Grfica amigvel e fcil de ser utilizada. Elepermite o acesso simultneo de mltiplos usurios em estaes de gerncia distintas, possibilitando que operadores diferentespossam gerenciar a mesma rede de equipamentos Datacom. Os usurios do sistema operam com nveis de acesso distintos, sendopossvel restringir a operao por tipo de equipamento ou localidade. Entre as principais funcionalidades do DmView, possvel citar:

Provisionamento fim-a-fim de circuitos: permite a criao, alterao e localizao de circuitos existentes na rede;

Visualizao e monitorao dos equipamentos gerenciados, suas interfaces e CPU, permitindo identificao do estado operacional ealarmes pendentes;

Recepo e tratamento dos eventos gerados pelos equipamentos, com notificao automtica da ocorrncia de falhas e opo paraexecutar ao especfica quando evento recebido;

Execuo de aes de diagnstico de falhas;

Configurao da operao dos equipamentos;

Cadastro de dados de identificao dos elementos;

Visualizao de parmetros e contadores de performance;

Ferramentas para localizao de equipamentos e suas interfaces, incluindo localizao segundo estado operacional, dadoscadastrais, etc;

Controle de acesso para usurios com nveis de acesso distintos para as funcionalidades do sistema e para a operao e gernciados dispositivos;

Ferramenta para visualizao e correlao de eventos customizveis pelo usurio;

Alta disponibilidade, suporte a servidores redundantes e rotinas de backup das bases de dados do sistema;

Suporte a diferentes sistemas operacionais (Microsoft Windowse Sun Solaris) e bases de dados (OracleeInterbase/Firebird).

*FCAPS:

Fault, Configuration, Accounting, Performance e Security.


O Command Line Interface (CLI) utilizado para configurar o switch localmente via porta console, ou remotamente via Telnet ou

SSH. Quando acessar o DmSwitch, voc dever efetuar logon antes de inserir qualquer comando. Por questes de segurana, o

DmSwitch possui dois nveis de usurio:

Usurio Normal- As tarefas tpicas incluem aquelas que verificam o status do switch. Neste modo, no so permitidas alteraes na

configurao do switch.

Acesso com usurio normal padro:

DmSwitch3000 login: guest

Password: guest

Usurio Privilegiado - As tarefas tpicas incluem aquelas que alteram a configurao do switch.

Quando efetuar logon como usurio normal, voc ver um prompt do modo usurio >. Os comandos disponveis nesse nvel so umsubconjunto dos comandos disponveis no nvel privilegiado. Na sua grande maioria, esses comandos permitem que voc exiba as

informaes sem alterar as definies de configurao do roteador. Para acessar o conjunto completo de comandos, voc deve

efetuar login no modo privilegiado. O prompt #", indica que voc est no modo privilegiado. Para efetuar logoff, digite exit.

O endereo IP padro para acesso ao Switch o 192.168.0.25/24. Para Alterar este endereo conecte ao Switch via porta console(9600 8N1) como usurio privilegiado:

DmSwitch3000 login: admin

Password: admin

Configurando o IP na vlan default

DmSwitch3000#

DmSwitch3000#configure

DmSwitch3000(config)#interface vlan 1

DmSwitch3000(config-if-vlan-1)# ip address

Configurando o IP na interface de gerenciamento

DM4000#configure

DM4000(config)#interface mgmt-eth

DM4000(config-if-mgmt-eth)#ip address


Todas as configuraes efetuadas no switch so aplicadas instantneamente aps pressionar a tecla enter para confirmar o

comando. Porm, esta configurao fica em memoria RAM ou running config (configurao corrente) como tratada normalmente.

Caso o equipamento seja desligado toda a configurao que est na running config ser perdida.

Para salvar a configurao, deve-se copiar o conteudo da running config para um dos arquivos na memria flash do equipamento. A

linha de equipamentos DmSwitch3000 possui 4 flash-config e na linha DM4000 a partir do firmware 7.4 so disponibilizados 10

arquivos de flash-config.

possvel definir qual flash-config ser usado toda vez que o equipamento for iniciado selecionando uma das flash-config com a flag

de startup. A startup config no um arquivo fisico e sim um apontamento para um dos arquivos.


Por CLI, a manipulao dos arquivos de configurao tambm feita atravs do comando copy. Este comando possui vrias

combinaes de parmetros que permitem selecionar diversas origens e destinos para as configuraes. possvel armazenar at 4configuraes diferentes no switch. Atravs do comando show flash, pode-se verificar qual a flash-config est marcada com a flag

de startup (S). Por default, nenhuma das 4 posies da flash, est marcada como startup.

DmSwitch3000#show flash

BootLoader version: 1.1.2-11

Flash firmware:

ID Version Date Flags Size

1 5.0 26/12/2007 20:05:59 RS 9834560

2 E

Flash config:

ID Name Date Flags Size

1 treinamento 01/01/1970 00:15:17 S 12685

2 E

3 E

4 E

Flags:

R - Running firmware.

S - To be used upon next startup.

E - Empty/Error

Para deletar uma das 4 configuraes armazenadas na flash, utilizar o comando erase:

DmSwitch3000#erase flash-config


Definio

O protocolo de gerenciamento de rede simples (SNMP) um padro de gerenciamento de rede amplamente usado em redes

TCP/IP.

O SNMP fornece um mtodo de gerenciamento de hosts de rede, como computadores servidores ou estaes de trabalho,

roteadores, switches e concentradores a partir de um computador com uma localizao central em que est sendo executado o

software de gerenciamento de rede. O SNMP executa servios de gerenciamento utilizando uma arquitetura distribuda de sistemas

de gerenciamento e agentes. Sua especificao est contida no RFC 1157.

Parmetros para configurao do SNMP:

DmSwitch3000(config)#ip snmp-server [?]

community Define SNMP community access string

contact Set system contact string

host Specify SNMP notification operation recipients

location Set system location information

traps Enable sending of SNMP traps

user Define a SNMPv3 user

Enable SNMP server

Configurando uma community de leitura e escrita:

DmSwitch3000(config)#ip snmp-server community rw

Configurando um gerente SNMP para receber as traps:

DmSwitch3000(config)#ip snmp-server host version

Configurando Informaes de contato e localizao do switch:

DmSwitch3000(config)#ip snmp-server contact

DmSwitch3000(config)#ip snmp-server location


O DmSwitch permite que os usurios sejam autenticados em um servidor remoto RADIUS ou TACACS+.

O DmSwitch suporta mltiplos mtodos de autenticao, sendo possvel configurar a autenticao na base local e atravs de servidor

remoto:

Quando configurado como primeira opo a autenticao em servidor remoto e aps na base local, e ocorra uma falha no servidorremoto, ser feita a busca pelo usurio na base de dados local. Mas se o servidor remoto esteja ativo e no encontre em sua base de

dados o usurio que est tentando realizar o login, o acesso ser negado e no ser feita a busca na base de dados local do

DmSwitch nem em outros servidores remotos caso estejam configurados.

No caso em que seja configurado o login local como primeira opo, se o usurio no constar na base de dados local, ser feita abusca nos servidores remotos.

Podem ser configurados at 5 servidores RADIUS e at 5 servidores TACACS+ para garantir disponibilidade caso algum dos

servidores falhe. O servidor estar em falha quando o servio no esteja ativo, neste caso o DmSwitch ir buscar em outro servidor

conforme a ordem em que foram configurados. Os parmetros do servidor RADIUS podem ser configurados de forma global, ou

individual por servidor.

Deve-se tomar o cuidado de manter pelo menos um usurio criado localmente e habilitar login local. Na falta de um usurio

local, e no caso de falha de todos os servidores remotos, no ser possvel logar no DmSwitch.


Opes globais e individuais de configurao para autenticao no servidor RADIUS:

DmSwitch3000(config)#radius-server [?]

acct-port RADIUS default server accounting port

auth-port RADIUS default server authentication port

host RADIUS server IP

key RADIUS default server key

retries RADIUS server retries

timeout RADIUS server timeout

DmSwitch3000(config)#radius-server host [?]

accounting Enable RADIUS accounting

acct-port Specify RADIUS server accounting port

authentication Enable RADIUS authentication

auth-port Specify RADIUS server authentication port

address Specify RADIUS server IP address

key Specify RADIUS server key

Opes de configurao para autenticao no servidor TACACS+:

DmSwitch3000(config)#tacacs-server host 1

authentication Enable TACACS authentication

authe-port Specify TACACS server authentication port

authorization Enable TACACS authorization

autho-port Specify TACACS server authorization port

accounting Enable TACACS accounting

acct-port Specify TACACS server accounting port

address Specify TACACS server IP address

key Specify TACACS server key

source-iface Specify TACACS source interface


Exemplos:

Limitar em 16 a quantidade de conexes telnet simultneas (8 por default):

DmSwitch3000(config)#ip telnet max-connections 16

Criar ACL para que somente os IPs da rede 176.18.0.40.0/24 possam gerenciar o switch por http:

DmSwitch3000(config)#management http-client 176.18.40.0/24

DmSwitch3000(config)#show management all-client

Management IP filter:

Telnet client:

HTTP client:

176.18.40.0/24

SNMP client:

SSH client:

DmSwitch3000(config)#


Pode-se verificar o status de hardware:

DM4000

DM4000#show hardware-status [?]

fans Show the fans status

power Show the powers status

transceivers Show the Transceivers status

DmSwitch3000

DmSwitch3000#show hardware-status[?]

tranceivers

DmSwitch3000#show hardware-status [enter]

Power Fans Alarms In Alarm

Unit Main Backup 1 2 3 1 2 3 Out

---- ------ ------ ---- ---- ---- --- --- --- -----

1 Ok Ok Ok Off Off Off Off

DmSwitch3000#show hardware-status transceivers [?]

detail Show detailed Transceivers status

presence Show Transceivers presence table


Neste captulo sero apresentados os principais comandos para a configurao das portas de interface dos equipamentos da linha

Metro Ethernet.


Configurar as opes de velocidade e modo duplex das interfaces

Configurar a funcionalidade de loopback

Configurar a funcionalidade para deteco de links intermitentes

Configurar a agregao de links

Configurar o protocolo lldp

Configurar o protocolo OAM


Configurao de velocidade da porta em modo autonegotiation

DmSwitch3000(config-if-eth-1/1)#capabilities [?]

10full Advertise 10Mbit/s full-duplex operation support

10half Advertise 10Mbit/s half-duplex operation support


100half Advertise 100Mbit/s half-duplex operation support


flow-control Advertise flow control operation support

all Advertise all operation modes supported


Introduo

A funcionalidade de loopback-detection utilizada por padro para que os DmSwitches protejam-se automaticamente de qualquer

loop externo em suas portas. Este loop poder ser gerado quando ligado acidentalmente ou propositalmente o RX ao TX da mesma

porta. Para proteger-se contra loops feitos entre diferentes portas, pode-se utilizar outros mecanismos presentes no equipamento

como STP, EAPS ou backup-link.

A funcionalidade de loopback-detection est disponvel a partir do firmware 4.0 e j vem habilitada por default nos DmSwitchs. A

deteco de loop na linha DmSwitch foi implementada atravs do envio de um MAC MULTICAST 01:80:C2:00:00:02 ( definido pelo

IEEE Std 802.3 - Slow Protocols multicast address) para a porta a ser verificada. O loop indentificado com o retorno do MAC

MULTICAST pela porta de origem do DmSwitch, colocando a porta instantneamente em modo blocked e gerando log de loopback

detectado.

As portas em estado blocked no recebero nem enviaro nenhum outro pacote alm do slowprotocol de loopback-detection.


Alguns equipamentos, como os SDHs, por default descartam frames do tipo slow-protocols. Prevendo essa caracterstica o DmSwitch

foi implementado com a possibilidade de enviar um endereo MAC alternativo, cujo endereo 01:04:DF:00:00:02. Podendo ser

configurado individualmente por porta.


Descrio da funcionalidade:

Link-Flap Detection uma ferramenta que visa eliminar os efeitos colaterais causados por uma porta que esteja com o estado de seu

link variando (UPDOWN) intermitentemente. Essa condio determinada por um determinado nmero de inverses do estado

do link em um determinado intervalo de tempo.


A funcionalidade de agregao de links, tambm conhecido como port-channel, consiste em agregar vrias interfaces fsicas em uma

nica interface lgica, aumentando a banda disponvel para o trfego de dados. Este recurso pode ser usado tambm como

redundncia em caso de links fsicos falharem dentro de um grupo, pode-se fazer o balanceamento de carga entre os links de um

mesmo grupo aumentando a performance do link.

possvel agregar quantas portas forem necessrias em um grupo de links, no entanto, somente 8 portas do grupo estaro ativas

active state. A quantidade de portas que for alm das 8 ficar desabilitada em modo standby state, se tornando ativas casoproblemas fsicos ocorram em uma das portas funcionais do grupo. O DmSwitch suporta at 32 grupos de agregao com nmero

ilimitado de portas fsicas.

Os tipos mais comuns de agregao de links so: agregao esttica e dinmica.

Na agregao esttica, a configurao deve ser forada manualmente nos dois switches envolvidos, do contrrio, ela no serestabelecida.

J na agregao dinmica, as portas dos switches envolvidos na agregao devem ser configuradas para estabelecer a agregaodos links usando o protocolo LACP (IEEE 802.3ad - Link Aggregation Control Protocol) atravs da troca de informaes de controle

LACP (PDUs LACP).

Load Balance.

O load-balance utilizado para distribuir o trfego igualmente pelas portas que pertencem ao mesmo port-channel. O switch realiza

um clculo utilizando os bits dos campos mac-address de origem/destino ou IP address de origem/destino, para definir por qual porta

cada pacote ser encaminhado. Para um balanceamento de carga eficiente, utilizar como critrio do load-balance, os campos cujos

valores variam frequentemente.

Notas:

Uma porta pode estar associada a somente um grupo port-channel de cada vez;

O link aggregation suportado em links ponto a ponto operando em modo FULL-DUPLEX. O uso do modo HALF-DUPLEX no recomendado

Todos os links aggregations devem operar na mesma velocidade (10/100 ou 1000Mb/s);

recomendado primeiramente configurar o link aggregation e posteriormente conectar os cabos. Dessa forma, evitamos a ocorrncia de loop narede.

Para evitar a perda de dados no ato de remoo de uma porta do link aggregation, remova o cabo primeiro e somente ento remova a configuraoda porta.

Para fins de gerncia e configurao, um grupo de links agregados visto como uma nica interface lgica port-channel. Isso transparente para afamlia de protocolos STP, VLAN, IGMP, EAPS e GVRP.

Quando criado, o link aggregation assume as configuraes da menor interface do grupo.


DmSwitch3000(config)#show interfaces status port-channel 1

Information of Port-Channel 1

Basic information:

Port type: 100TX

MAC address: 00:04:DF:12:B7:93

Configuration:

Name:

Port admin: Up

Speed-duplex: Auto

Capabilities: 40M half, 40M full, 400M half, 400M full

Flow-control: Disabled

MDIX: Auto

Slow Protocols MAC: Standard

OAM: Disabled

Loopback Detection: Disabled

Link-Flap Detection: Enabled - Unblock hysteresis: 30 sec

Load Balance Method: MAC (source and destination)

Current status:

Created by: User

Link status: Up

Members: Eth1/1 (Up/Enabled) - 3m13s

Eth1/2 (Up/Enabled) - 2m56s




O Link Layer Discovery Protocol (LLDP - 802.1AB) no apenas simplifica a descoberta da topologia e a localizao de dispositivos

de acesso, mas tambm pode ser usada como ferramenta de gerenciamento e troubleshooting. A configurao do LLDP bem

simples, por padro, o LLDP vem desabilitado. Para o seu funcionamento necessrio habilit-lo globalmente. Entretanto existem

configuraes que podem ser executadas nas interfaces afim de se definir estaticamente se a porta aceitar uma solicitao LLDP ou

no, e se a mesma enviar determinadas informaes.

Por default o LLDP vem habilitado em todas as interfaces e todas as TLVs (Type Length Value - Mensagens de informaes do

LLDP) vm habilitadas.

Por questes de segurana, recomendado utilizar o LLDP apenas para verificar a topologia. Aps isso deve-se desabilit-

lo.


Introduo

O protocolo OAM EFM definido no padro IEEE 802.3AH, o OAM prov mecanismos utis para monitorar o status do link como

indicao de falha remota do link ou controle remoto da loopback. O OAM prov aos operadores de rede a habilidade de monitorar a

sade da rede e rapidamente determinar a localizao de links com falhas ou condies de falhas. O OAM prov um mecanismo de

camada de link para complementar aplicaes de camadas mais altas. as informaes do protocolo so transmitidas atrves do

frame slow Protocol chamado de OAM Protocol Data Units (OAMPDUs). o OAMPDUs

contm a informao de status e controle usada para monitorar, testar e solucionar problemas de link atrves do protocolo OAM

quando habilitado nas interfaces. Os PDUS do OAM so ponto-a-ponto, ou seja so trocados somente entre uma interface e outra

no sendo encaminhados por switches.


Alterando MAC de destino das PDUs

Esta opo utilizada em casos de switches que filtrem o MAC padro do Slow Protocols 01:80:C2:00:00:02, desta forma

necessrio configurar o MAC de destino como alternativo, este MAC proprietrio da DATACOM 01:04:DF:00:00:02.


DmSwitch3000(config)#interface ethernet 1/25

DmSwitch3000(config-if-eth-1/25)#slow-protocols destination-address alternative

Para alterar para o MAC de destino padro standard


DmSwitch3000(config)#interface ethernet 1/25

DmSwitch3000(config-if-eth-1/25)#slow-protocols destination-address standard ou atravs do comando

no

DmSwitch3000(config-if-eth-1/25)#no slow-protocols destination-address


Neste captulo sero apresentados os principais comandos para a manuteno e verificao dos equipamentos da linha Metro

Ethernet.


Verificar informaes sobre a CPU dos equipamentos

Configurar as opes de sincronismo de horrio

Configurar as opes de logging

Verificar os arquivos de log

Atualizao de Firmware e suas particularidades

Utilizar a funcionalidade de DEBUG

Configurar o espelhamento de portas (port mirroring)

Configurar o agendamento de aes

Recuperar a senha de acesso local


O logging registra os eventos que ocorrem no switch. Os eventos podem ser salvos na memria RAM, Flash, encaminhados para umservidor syslog ou enviados por e-mail.Por padro o logging est ativo logging on.

Quando configuramos o nvel de evento que ser logado, na verdade estamos configurando o range a partir do nvel 0 (maior

severidade) at o nvel que est sendo configurado. Portanto, uma configurao com nvel de evento 3, ir logar mensagens do nvel

0 3.


A atualizao de firmware pode ser feita via DmView, http/https e por CLI a partir de um servidor TFTP atravs do comando copy.

O arquivo enviado para a memria RAM do switch e aps os procedimentos de validao da imagem, esta gravada em memriasobrescrevendo o firmware que est inativo, sendo possvel armazenar dois firmwares simultneamente. Este processo pode levaralguns minutos. Quando a gravao do novo firmware for concluida, ser necessrio rebootar o switch para que o novo firmwareentre em funcionamento.

Para o DM4000, ser necessrio enviar a imagem do firmware para a MPU e placas de interface

Atravs do comando show firmware, possvel verifcar as verses de firmware que esto armazenadas, qual est ativa (R) e qualest marcada com a flag startup (S).

DmSwitch3000#show firmware

Running firmware:

Firmware version: 5.0

Stack version: 2

Compile date: Fri Sep 21 21:03:31 UTC 2007

Flash firmware:

ID Version Date Flag Size

1 4.3 25/06/2007 17:16:54 8284544

2 5.0 21/09/2007 21:03:44 RS 8725360

Flags:

R - Running firmware.

S - To be used upon next startup.

E - Empty/Error

Para deletar um dos firmwares armazenados na flash, utilizar o comando erase:

DM4000#erase firmware


2. A quantidade de memria livre deve ser maior que 19.000Kb antes do inicio da transferncia (por TFTP, web ou DmView) do novo

firmware para o DmSwitch. Como a imagem do novo firmware igual ou maior que 10.488kB, necessrio

que esteja disponvel aps a transferncia do firmware para a memria RAM mais do que 8.000 kB.

Aps a transferncia do arquivo contendo a imagem do firmware, iniciar a gravao desta imagem na memria flash. Alguns

minutos aps o final da gravao, o DmSwitch ir liberar da memria RAM a imagem do firmware transferido, fazendo com que o

valor da memria livre normalize. Verificar novamente antes do reboot que a memria livre est acima de 19.000kB.

Memria livre baixa:

Se a memria livre estiver abaixo do valor recomendado antes do inicio da transferncia do arquivo, verifique primeiro se h vrios

usurios conectados na gerncia do equipamento atravs de sesses telnet, ssh ou http. Cada sesso ocupa aproximadamente

1.500kB da memria.

Recomendamos que durante a transferncia e gravao do arquivo, apenas 1 (uma) sesso esteja aberta no equipamento para que

se tenha o mximo de recursos disponveis no switch.

A verificao de usurios conectados feita atravs do comando:

DmSwitch3000#show managers

Para desconectar os usurios pode-se efetuar duas opes: reiniciar o equipamento, ou diminuir i tempo do timeout para conexes

de terminal atravs do comando:

DmSwitch3000(config)#Terminal timeout 15 (setando um timeout de 15 segundos) Todos os usurios conectados com

tempo de inatividade maior que 5 segundos sero desconectados.


O Debug de protocolos utilizado para verificar a troca de mensagens de protocolos em tempo real.

Para habilitar o Debug, basta digitar:

Dmswitch3000#debug

As mensagens iro aparecer na tela do terminal. Para desabilitar o debug, digite mesmo com a tela correndo com as mensagens:

Dmswitch3000#no debug


Para possibilitar a deteco e preveno de ameaas, o DmSwitch suporta espelhamento de portas N-1*. Isto permite o

espelhamento do trfego para uma verificao externa rede tal como um dispositivo para deteco de intruso para uma anlise

minuciosa ou para utilizao por um administrador de rede para diagnstico.

A opo preserve-format deve ser habilitada, para que o trfego espelhado mantenha o mesmo formato do frame (tagged ou

untagged) conforme a configurao da porta espelhada. Caso contrrio, o switch ir usar as configuraes da porta de destino do

mirror para formar os pacotes.

*Podem existir vrias portas de origem, mas somente uma porta de destino.


Em caso de esquecimento da senha de acesso local, possvel executar um procedimento para recuperar a mesma sem que o equipamento percasuas configuraes. Entretanto, para tal procedimento, ser necessrio a interrupo do servio temporariamente (a execuo do procedimento nodura mais que 10 minutos).

Para acessar o boot do equipamento, aps reset pressionar simultaneamente as teclas ctrl+c (deve-se ficar pressionando ambas teclas assim que o

equipamento desligar, pois a opo de acessar o boot ocorre em 3 segundos aps iniciao do sistema do switch)

Exemplo dos comandos:

=>printenv (Atravs deste comando possvel verificar qual a flash atual est sendo utilizada)

bootargs=root=/dev/mtdblock0

serial#=561602

MF=1

ethaddr=00:04:DF:10:44:85

HM=2

HV=1

FBMP=0

TF=1

bootcmd=bootm 70F00000; bootm 70000000; bootp; imsave 1; reset

CATL=2 (observe esta linha: quando mostrado CATL=0, significa que a flash-config usada para startup a 1. Neste exemplo (CATL=2)significa que a flash-config usada a flash-config 3

stdin=serial

stdout=serial

stderr=serial

Environment size: 208/65532 bytes

=>setenv CATL (Este comando configura o equipamento a iniciar com a configurao default)

=>saveenv (depois deste comando, desligue o equipamento e ligue novamente)

Aps Para acessar o equipamento, utilize a senha padro (admin/admin) e carregue a configurao salva.

DM4000#copy flash-config 1 running-config (Carregando a configurao correta)

Loading configuration in flash 1...

Applying configuration...

Done.

DM_CORE#configure

DM_CORE(config)#username admin password 0 admin (Alterando a senha da configurao correta)

DM_CORE#copy running-config startup-config 1



Neste captulo sero apresentados os conceitos e configuraes sobre VLANs na linha Metro Ethernet DATACOM. Aps o trmino

deste captulo o aluno estar apto :

Entender a diferena entre os formatos de frames ethernet

Configurar as opes de VLANs

Entender o conceito de QinQ

Configurar as opes de QinQ

A tcnica de VLAN (Virtual LAN) consiste em criar um agrupamento lgico de portas ou dispositivos de rede. As VLANs podem seragrupadas por funes operacionais ou por departamentos, independentemente da localizao fsica dos usurios. Cada VLAN vista como um domnio de broadcast distinto. O trfego entre VLANs restrito, ou seja, uma VLAN no fala com outra a no ser quese tenha um elemento de nvel 3 que faa o roteamento entre as diferentes VLANs. Um broadcast propagado por um elemento derede pertencente a uma VLAN s vai ser visto pelos elementos que compartilham da mesma VLAN.

As VLANs melhoram o desempenho da rede em termos de escalabilidade, segurana e gerenciamento de rede. Organizaesutilizam VLANs como uma forma de assegurar que um conjunto de usurios estejam agrupados logicamente independentemente dasua localizao fsica. Por exemplo, os usurios do Departamento de Marketing so colocados na VLAN Marketing e os usurios doDepartamento de Engenharia so colocados na VLAN Engenharia. Operadoras tambm utilizam VLANs para oferecer segmentaodos servios oferecidos aos seus diversos clientes.

VLANs podem ser configuradasde duas maneiras:

Estaticamente: Atravs da atribuio de uma porta do switch para uma determinada VLAN. (mais usado)

Dinamicamente: Atravs de protocolos dinmicos que aprendem as VLANs.

Em termos tcnicos o Switch adiciona uma etiqueta (TAG) no quadro ethernet que permite a identificao de qual VLAN pertence oquadro dentre outros parmetros. A especificao 802.1q define dois campos no cabealho ethernet de 2bytes que so inseridos noquadro ethernet a frente do campo Source Address:

TPID (Tag Protocol Identifier) Este campo correspondente ao Ethertype do quadro comum ethernet e est associado a um nmerohexadecimal especfico: 0x8100*

TCI (Tag Control Information). Este campo composto por trs sub-campos:

- PRI: (3bits) Especifica bits de prioridade definidos pelo padro 802.1p e usados para fazer marcao de nvel 2 usando classes deservio distintas (CoS);

- CFI: (1bit) Usado para prover compatibilidade entre os padres Ethernet e Token Ring;

- VLAN ID: (12bits) Este campo identifica de forma nica a VLAN a qual pertence o quadro ethernet. Como o campo possui 12bits,o nmero de VLANs est limitado 4096**.

OBS:

* Este valor indica que o prximo campo uma tag de vlan. A indicao 0x Indica que o prximo nmero um valor hexadecimal.

** Apesar do valor convertido (2^12) ser equivalente 4096, os valores vlidos para id de vlan vai de 1 4094. O primeiro valor 0(000000000000) invlido para vlan e o ltimo valor 4095 (111111111111) est reservado para futuras implementaes. Considera-se uma boa prtica no usar a VLAN 1 como vlan de servio e gerncia, pois esta a vlan default na maioria dos switches eprotocolos.

Fonte: IEEE 802.1q 1998.


Quando o switch recebe um frame, ele verifica se o Tag de VLAN est presente neste frame. Se h um Tag de VLAN (tagged), oframe encaminhado diretamente ao restante das portas membros da VLAN correspondente. Se no h um Tag de VLAN(untagged) no frame recebido, o switch ento encaminha o frame para as portas membros da VLAN de acordo com a configurao deVLAN nativa da porta.

Por default, todas as portas so membros untagged da VLAN 1. Todas as portas que no forem configuradas como membros de umanova VLAN, sero membros da VLAN 1 (Default VLAN). No possvel deletar a VLAN 1.

DmSwitch3000#show vlan table id 1

Membership: (u)ntagged, (t)agged, (d)ynamic, (f)orbidden, (g)uest, (r)estricted, (a)ssignment

uppercase indicates port-channel member

VLAN 1 [DefaultVlan]: static, active

Unit 1 2 4 6 8 10 12 14 16 18 20 22 24 26 28

u u u u u u u u u u u u u u

u u u u u u u u u u u u u u

1 3 5 7 9 11 13 15 17 19 21 23 25 27


A opo ingress-filtering quando habilitada, faz com que pacotes com tag de vlans diferentes das configuradas nasportas sejam descartados.

DmSwitch3000(config-if-eth-1/1)#switchport ingress-filtering

A opo acceptable-frames-types quando habilitada define o tipo de pacote que ser permitido na porta. Caso cheguena porta um pacote diferente que configurado, este descartado.

DmSwitch3000(config-if-eth-1/1)#switchport acceptable-frame-types

Pode-se verificar o status das VLANs:

DmSwitch3000(config)#show vlan

Global VLAN Settings:

QinQ: Disabled

VLAN: 1 [DefaultVlan]

Type: Static

Status: Active

IP Address: 192.168.0.25/24

Aging-time: 300 sec.

Learn-copy: Disabled

MAC maximum: Disabled

EAPS: protected on domain(s) 1

Proxy ARP: Disabled

Members: All Ethernet ports (static, untagged)

Forbidden: (none)


Geralmente, ISPs possuem clientes associados a VLANs especficas que necessitam comunicar com seus sites remotos. Uma

soluo para atender esta aplicao, utilizar-se da tcnica de transportar a tag da VLAN do cliente atravs da rede do ISP at o site

remoto. Contudo, esta alternativa traz um problema: o nmero de VLANs que podem ser criadas em um switch est limitado a 4094

e portanto, a medida que a demanda por VLANs cresce, este nmero pode ser facilmente extrapolado.

Uma maneira de se resolver o problema supramencionado seria usando o mecanismo de QinQ (802.1q Tunneling). O QinQ um

mtodo de tunelamento que permite ISPs oferecerem servios de transporte de tag de vlans de clientes de maneira transparente

atravs da rede do ISP. O tunelamento transparente dos tags de vlans feito adicionando-se um segundo tag, tambm chamado de

OUTER TAG ou mesmo METRO TAG. Todos quadros de vlans de clientes so marcados com um METRO TAG especfico(atribudo de forma transparente pelo ISP na borda da sua rede), e ento, transportado pela rede do ISP at o seu destino (ponto de

interconexo entre o ISP e o cliente), onde o METRO TAG extrado e o quadro original com o tag da vlan do cliente encaminhado.


QinQ Mode:

external: o padro para as portas FastEthernet do DmSwitch 3000. No modo external, todos os frames que forem recebidos nainterface iro receber mais um Tag de VLAN. Geralmente usado nas portas de acesso. A VLAN que o frame ir receber a VLAN

configurada como NATIVE VLAN da porta de interface e o tipo de VLAN configurada deve ser do tipo untagged.

internal: o padro para as portas GBE. No modo internal, somente os frames que forem recebidos na interface com o valor docampo TPID diferente daquele configurado na prpria interface, iro receber mais um Tag de VLAN. O TPID so os primeiros 2 bytes

no Tag de VLAN que tambm corresponde ao campo ethertype nos frames untagged. O valor defaut 0x8100. A VLAN deve ser

configurada no tipo tagged e associada nas portas onde o trfego dever ser comutado.

Exemplo de configurao

DmSwitch3000(config)#vlan qinq

DmSwitch3000(config)#interface vlan 100 (s-vlan, outer-vlan)

DmSwitch3000(config-if-vlan-100)#set-member tagged ethernet 25 (Interface de ligao ao backbone)

DmSwitch3000(config-if-vlan-100)#set-member tagged ethernet 26 (Interface de ligao ao backbone)

DmSwitch3000(config-if-vlan-100)#set-member untagged ethernet 2 (Interface de Acesso)

DmSwitch3000(config-if-vlan-100)#interface ethernet 2

DmSwitch3000(config-if-eth-1/2)#switchport native vlan 100

DmSwitch3000(config-if-eth-1/2)#switchport qinq external



Neste captulo sero apresentados os conceitos e configuraes utilizados nos protocolos de proteo de trfego e loop de ethernet.

Aps o trmino deste captulo o aluno estar apto :

Entender as diferenas entre os protocolos da famlia Spanning-tree

Entender e configurar o funcionamento do protocolo EAPS

Entender o uso de vlan-group

O Protocolo Spanning-Tree um protocolo bridge-to-bridge desenvolvido pela DEC (Digital Equipament Corporation) e foi

posteriormente revisado pelo IEEE sendo especificado no padro 802.1d.

O propsito do STP permitir a redundncia de links sem que loopings de rede ocorram. O STP monitora a rede constantemente

bloqueando as portas redundantes e evitando assim a ocorrncia indesejada de loopings. Ele faz isso construindo uma topologia STP

(rvore STP ) de forma que uma falha ou adio de um link seja descoberta rapidamente.

O STP estabelece um n raiz chamado de ROOT BRIDGE (switch raiz). Esse n constri uma topologia que determina um caminho

para alcanar todos os ns da rede. A rvore tem sua origem na bridge raiz. Os links redundantes que no fazem parte da rvore do

caminho mais curto so bloqueados. Pelo fato de alguns caminhos serem bloqueados, possvel obter uma topologia sem loop. Os

quadros de dados recebidos em links bloqueados so descartados.

O STP requer que os dispositivos de rede troquem mensagens (BPDUs) para detectar loop de rede. Os links que causam loop so

colocados em estado de bloqueio. Os switches propagam as BPDUs (Bridge Protocol Data Units) via multicast, em intervalos

constantes de 2s. As BPDUs so trocadas por todos switches permitindo assim o clculo da topologia STP livre de loop. BPDUs

continuam a ser recebidas nas portas bloqueadas. Isso garante que se um caminho ou dispositivo ativo falhar, uma nova topologia

STP poder ser calculada. Abaixo, os campos de uma BPDU:


O protocolo STP implementa alguns timers que obrigam as portas a aguardarem por um perodo de tempo antes de tomar decises

prematuras em relao a eventos de mudana na topologia STP. So eles:

HELLO: (2s) Corresponde ao intervalo de tempo atravs do qual BPDUs so propagadas entre os switches.

MAX AGE: (20s) Este timer informa o perodo de armazenamento da ltima BPDU que o switch recebeu. Caso este timer se esgote,o switch concluir que uma alterao na topologia ocorreu. O MAX AGE um tempo para que o switch possa reagir qualquer

alterao na topologia STP evitando assim que decises prematuras sejam tomadas.

FORWARD DELAY: (30s) Corresponde a perodo de tempo que encerra a alternncia entre os modos learning e listening.

Todas as portas que participam do processo STP devero passar pelos quatro estados citados abaixo. Um switch no deve mudar o

estado de uma porta de inativo para ativo imediatamente, pois isso pode causar loop. Os estados de porta do STP 802.1d so:

BLOCKING: Portas neste estado s podem receber BPDUs. Os quadros de dados so descartados e nenhum endereo pode seraprendido. A passagem para o estado seguinte pode levar at 20 segundos (MAX-AGE), tempo este necessrio para o switch

concluir que ocorreu uma mudana na topologia SPT.

LISTENING: Neste estado, os switches determinam se h outros caminhos at a bridge raiz. O caminho que no for o caminho demenor custo at a bridge raiz volta para o estado de bloqueio. O perodo de escuta chamado de atraso de encaminhamento e dura

15 segundos. No estado de escuta, no ocorre encaminhamento de dados nem aprendizagem de endereos MAC. As BPDUs so

enviadas e transmitidas. O estado LISTENING realmente usado para indicar que a porta est se preparando para transmitir, mas

que gostaria de escutar o meio mais um pouco para certificar que a porta no criar loopings.

LEARNING: Neste estado, no ocorre encaminhamento de dados de usurios, mas h aprendizagem de endereos MAC a partir dotrfego recebido. O estado de aprendizagem dura 15 segundos e tambm chamado de atraso de encaminhamento. As BPDUs so

transmitidas e recebidas.

FORWARDING: Neste estado, ocorre o encaminhamento de dados e os endereos MAC continuam a ser aprendidos. As BPDUsso transmitidas e recebidas.

DISABLED: Esse estado pode ocorrer quando um administrador desativa a porta ou a porta falha.


O primeiro passo na criao da Topologia STP livre de loop o processo de eleio do ROOT BRIDGE (SWITCH RAIZ). O ROOT

BRIDGE o ponto de referncia que todos os switches usaro para determinar se h loopings na rede. Ele o mestre da topologia

STP.

Todo switch recm inserido na rede assume ser o ROOT BRIDGE e ajusta o campo ROOT BID igual ao seu BRIDGE ID. Isso ocorre

s no primeiro boot. Da em diante ele iniciar o processo de propagao de BPDUs para que os outros switches da rede tomem

conhecimento da sua insero e para que ele possa se situar na topologia.

O ROOT BRIDGE ser o switch que tiver o menor BID (8 bytes PRIORITY + MAC). Caso a prioridade dos switches for igual, oswitch que tiver o menor endereo MAC ser eleito o ROOT BRIDGE. Todas as portas do ROOT BRIDGE so chamadas

DESIGNATED PORTS (PORTAS DESIGNADAS) e encontram-se em modo FORWARDING. Todos os switches restantes da

topologia so chamados de NON ROOT (NO RAIZ).

A porta do switch NON ROOT (no RAIZ) de menor custo (Largura de banda do link) em relao ao ROOT BRIDGE chamada

ROOT PORT (PORTA RAIZ), e encontra-se em modo FORWARDING. As portas restantes que participam do processo STP so

bloqueadas e, portanto, encontram-se em modo BLOCKED. Essas portas continuam a receber BPDUs, mas no enviam e recebem

dados.

Quando a rede est estabilizada, os seguintes elementos devem existir:

Uma ROOT BRIDGE por topologia STP;

Uma ROOT PORT por bridge no raiz;

Uma DESIGNATED PORT por segmento (onde h mais de uma porta por segmento, apenas uma delas dever atuar como portadesignada e a outra dever ser bloqueada);

Critrio para a eleio da ROOT PORT :

1 Menor ROOT PATH COST;

2 Menor SENDER BRIDGE ID;

3 Menor SENDER PORT ID.


Diferenas entre os STP e o RSTP:

Three port states: O RSTP possui apenas 3 port states, enquanto o STP possui 4 + 1 port states. Isto significa que os estados"Blocking, Listening e Disabled" foram condensados em um nico estado para o 802.1w, o "Discarding state".

Alternative Port e Backup Port: Em situaes onde temos duas ou mais portas presentes no mesmo segmento, apenas umadelas poder desempenhar a funo de "Designated Port". As outras portas sero rotuladas "Alternative Port" e, caso existam trs ou

mais portas, "Backup Port", respectivamente. A Alternative Port uma porta que oferece um caminho alternativo para o ROOT

BRIDGE da topologia no switch no designado. Em condies normais, a Alternative Port assume o estado de discarding na

topologia RSTP. Caso a Designated Port do segmento falhe, a Alternative Port ir assumir a funo de Designated Port. J a Backup

Port uma porta adicional no switch no designado. Ela no recebe BPDUs.

Fast Aging: Na implementao 802.1d, somente o Root bridge poder notificar via BPDUs eventos de mudana na rede. Osdemais switches simplesmente fazem a alterao nos campos necessrios e, em seguida, efetuam o "relay" desta BPDU para os

outros switches atravs de suas designated ports. Isto mudou com a chegada do RSTP - 802.1w. No RSTP, todos os switches so

capazes notificar eventos de mudana na topologia em suas BPDUs e "anunci-los" em intervalos regulares definidos pelo hello-time.

Portanto, a cada 2 segundos (Hellotime) os switches criaro os seus prprios BPDUs e enviaro estes atravs de suas designated

ports. Se num intervalo de 6s (3 BPDUs consecutivas) o swich no receber BPDUs do seu vizinho, o mesmo ir assumir que o n

vizinho no faz mais parte da topologia RSTP e ir fazer o estorno das informaes de nvel 2 da porta conectada ao vizinho. Isso

permite a deteco de eventos de mudana mais rapidamente do que o MAX AGE do STP 802.1d, sendo a convergncia agora feita

LINK by LINK.

Edge e Non-edge ports: O RSTP define dois tipos de portas: Edge e Non-edge ports. As Edge ports so portas que devem estarconectadas a apenas um n de servio. Elas so uma evoluo do mecanismo de port-fast usado no STP, no entanto,

diferentemente do port-fast que bloqueia a porta ao receber BPDUs, a edge port se transforma em non-edge ports. Non-edge ports

so portas point-to-point ou portas shared, ou seja, so portas que esto conectadas ao outro switch na outra ponta ou ento a um

hub respectivamente. Non-edge ports devem operar em FULL-DUPLEX obrigatoriamente.


O MSTP (Multiple STP) definido sobre o padro IEEE 802.1s uma evoluo do RSTP, cujo o objetivo possibilitar mltiplas

instncias RSTP.

O MSTP reduz o nmero total de instncias RSTP gerada pelo clculo de uma instncia para cada vlan. Atravs do agrupamento de

mltiplas vlans em uma nica instncia RSTP compartilhando a mesma topologia lgica, o switch tem o seu overhead de BPDUs

reduzido e um tempo de convergncia mais rpido.

Cada instncia MSTP possui um topologia lgica independente das outras instncias MSTP. Dessa forma, o MSTP permite o load

balance das instncias de tal maneira que o trfego das vlans que foram mapeadas para uma determinada instncia possa usar

caminhos diferentes de outras instncias.

Uma instncia MSTP corresponde a um grupo de VLANs que compartilham a mesma topologia lgica RSTP, pertencentes a uma

REGION. Por default, todas as vlans que participam do processo MSTP pertencem a Ist0 (Instncia 0). atravs da Ist0 que as

diferentes REGIONs se comunicam trocando BPDUs. Instncias MSTPs no enviam BPDUs fora da REGION, somente a Ist0 faz

isso. Dentro da REGION os switches trocam BPDUs inerentes s diferentes instncias que podem existir, cada uma delas contendo o

id da instncia de origem alm de outras informaes pertinentes ao processo.

Ist0s em diferentes REGIONs so interconectadas por uma Cst (Common Spanning-Tree), permitindo assim a comunicao entre

diferentes REGIONs e a inter-operabilidade entre os padres de protocolos STP. Assim sendo, todas as REGIONs podem ser vistas

como uma bridge virtual rodando uma Cst.

Para que switches estejam numa REGION, cada switch deve ter as mesmas configuraes de vlans mapeadas para suas respectivas

instncias e nmero de reviso. No vantajoso segmentar a rede em diferentes REGIONs, pois isso acarretaria em aumento

significativo do overhead de CPU e tambm administrativo.

A coleo de Ists em cada REGION MSTP e as Cst que interconectam as Ists so chamadas de Cist (Common and Internal

Spanning-Tree).

NOTA: O REVISION NUMBER um decimal usado para manter o controle das atualizaes MSTP em uma REGION. Ele deve ser o

mesmo em todos os switches pertencentes a mesma REGION, assim como o as configuraes de vlans mapeadas para cada

instncia MSTP


Introduo:

Muitas Redes Metropolitanas (MANs) e algumas redes locais (LANs) tm uma topologia em anel, normalmente, utilizando para isso

uma estrutura de fibras ticas. O Ethernet Automatic Protection Switching (EAPS foi desenvolvido para atender somente as

topologias em anel, normalmente utilizadas em redes ethernet metropolitanas. Devido a grande capacidade de transmisso das

redes Metro Ethernet existe a necessidade de haver redundncia/proteo do trfego em caso de falha. O EAPS converge em at 50

milissegundos, o que suficiente para que trfegos sensveis (voz, por exemplo) no percebam a falha. Esta tecnologia no tem

limite de quantidade de equipamentos no anel, e o tempo de convergncia independente do nmero de equipamentos no anel.

Conceito de Operao:

Um domnio EAPS existe em um nico anel Ethernet. Qualquer VLAN que ser protegida configurada em todas as portas do

domnio EAPS. Cada domnio EAPS tem um equipamento designado como MESTRE". Todos os outros equipamentos do anel soreferidos como equipamentos "TRANSITO".

Por se tratar de uma topologia em anel, obviamente, cada equipamento ter 2 portas conectadas ao anel. Uma porta do equipamento

MESTRE designada como primria" enquanto a outra porta designada como "porta secundria". Em operao normal, oequipamento MESTRE bloqueia a porta secundria para todos os quadros Ethernet que no sejam de controle do EAPS evitando

assim um loop no anel.

Se o equipamento MESTRE detecta uma falha do anel ele desbloqueia a porta secundria permitindo assim que os frames de dados

Ethernet possam passar por essa porta.

Nos equipamentos TRANSITO, h configurao de portas primria e secundria, no entanto, o seu funcionamento no como no

MESTRE. Nestes equipamentos as portas SEMPRE ficam transmitindo frames.

Existe uma VLAN especial denominada "Control VLAN", que pode sempre passar por todas as portas do domnio EAPS, incluindo a

porta secundria do equipamento MESTRE. Por esta VLAN passam quadros do prprio EAPS que so utilizados tanto como

mecanismo de verificao quanto mecanismo de alerta.


Deteco de Falhas

Alerta de Link Down: Quando um equipamento trnsito detecta um link down em qualquer uma das suas portas do domnio EAPS,o equipamento envia imediatamente uma mensagem de link down atravs da VLAN de controle para o equipamento mestre. Quando

este recebe esta mensagem o estado do anel alterado de "normal" para o estado de falha e desbloqueia a porta secundria.Neste momento o equipamento MESTRE efetuar um flush de sua tabela de MAC Addresses, e tambm o envia um frame de controle

para que todos os demais equipamentos do anel faam o mesmo.

Ring Polling: O equipamento MESTRE envia um frame do tipo health-check na sua VLAN de controle com intervalo configurvelpelo usurio. Se o anel estiver concludo, o frame de health-check ser recebido em sua porta secundria, onde o equipamento

mestre ir redefinir o seu timer e continuar a operao normal.

Se o equipamento MESTRE no receber o frame de health-check antes do prazo do fail-timer expirar, o estado do anel passar de

normal para estado de falha e a porta secundria ser desbloqueada. O equipamento MESTRE efetua um flush em sua tabela *FDB

e envia um quadro de controle para todos os outros equipamentos, instruindo-os a limpar a suas tabelas. Imediatamente aps o

flush, cada equipamento comea a aprender a nova topologia (mac learning). Este mecanismo de ring polling fornece ao anel uma

contingncia em caso dos quadros de link down se perderem por algum motivo imprevisto.

Restaurao do Anel: O equipamento mestre continua o envio peridico de frames health-check atravs sua porta primria, mesmoquando operando com o anel em estado de falha. Uma vez o anel restaurado, o prximo health-check ser recebido na porta

secundria do equipamento mestre. Isto far com que o equipamento mestre volte o anel em estado normal, logicamente bloqueando

os frames que no sejam de controle em sua porta secundria, at que o mesmo limpe sua tabela MAC, e envie um frame de

controle para os equipamentos transito, instruindo-os a efetuar um flush de suas tabelas e re-aprender a topologia.

Durante o tempo entre o equipamento de TRNSITO detectar que o link foi restaurado e o equipamento MESTRE detectar que o

anel foi restaurado, o porta secundria do equipamento mestre ainda est aberta (UP) criando a possibilidade de um looptemporrio na topologia. Para evitar isso o equipamento TRNSITO vai colocar a porta que voltou ao normal estado de bloqueio

temporrio, chamado de "pr-forwarding. Quando o equipamento trnsito est com uma de suas portas em estado de " pr-forwarding somente os quadros de controle trafegam, assim que o mesmo receber um quadro de controle instruindo-o para efetuarum flush tabela FDB, assim que o fizer, ser liberado o trfego de todas as VLANs protegidas restaurando o estado do anel para

normal.

*FDB=Forward Data Base


As portas que conectam o switch ao anel devem ser membros tagged da VLAN de controle. O comando show EAPS mostra o status

dos domnios configurados:

DmSwitch3000#show eaps

ID Domain State M Pri Sec Ctrl Protected#

--- --------------- --------------- --- ----- ----- ------ -----------

1 Treinamento Links-Up T 1/25 1/26 4094 0

SW3-3000#show eaps detail

Domain ID: 0

Domain Name: Transit

State: Links-Down

Mode: Transit

Hello Timer interval: 1 sec

Fail Timer interval: 3 sec

Pre-forwarding Timer: 6 sec (learned) Remaining: 0 sec

Last update from: 00:04:DF:10:98:93, Eth 1/26, Sat Jan 3 21:50:05 1970

Primary port: Eth1/25 Port status: Up

Secondary port: Eth1/26 Port status: Down

Control VLAN ID: 4094

Protected VLAN group IDs: 0



Neste captulo sero apresentados os conceitos e configuraes de tunelamento de protocolos de nvel 2.


Entender o conceito de l2tp

Configurar o l2tp

Por definio, Switches descartam MAC addresses para destinos conhecidos como sendo protocolos de nvel 2. O tunelamento de

protocolos layer 2 baseado na modificao do MAC address de destino para os frames de controle de protocolos. Frames de

protocolos recebidos em uma interface habilitada para tunelamento tero seu MAC address de destino alterado para outro endereo

que deve ser o mesmo em todo o caminho por onde os frames tunelados iro trafegar. Com este novo MAC address de destino os

frames sero transportados (flooded) de forma transparente pela rede at alguma outra porta com tunelamento habilitado. O

tunelamento deve ser habilitado somente nas portas que iro converter o frames de protocolos em frames tunelados e/ou frames

tunelados em frames de protocolos. Nas portas intermedirias no caminho do tunelamento o mesmo deve ser habilitado.

No exemplo da Figura 1, os switches no conseguem trocar BPDUs fazando com que cada switch ache que o root bridge natopologia STP colocando suas portas no estado de encaminhamento de pacotes. Nesta condio ocorrer um loop pois no h uma

porta bloqueada abrindo o anel.

Na figurado 2, com o tunelamento habilitado, os switches do cliente podero trocar BPDUs fazendo com que a correta topologia do

STP seja aplicada evitando o loop.



Neste captulo sero apresentados os recursos de segurana e configuraes necessrias para evitar que um atacante possa

comprometer o trfego de dados.


Entender o conceito de proteo de CPU

Entender a estrutura de facilidade de filtros

Entender e configurar as protees contra ataques de DoS

Configurar filtros para barrar trfegos nocivos

Configurar prioridades de trfegos com destino CPU

Introduo

A natureza das redes de computadores traz a importncia da proteo dos elementos que a compe, de forma a manter o bom

funcionamento dela como um todo. Neste documento ser introduzido o funcionamento das protees contra ataques, loops e/ou m

configuraes em pontos da rede que possam vir a afetar a CPU controladora do DmSwitch.

Dentre as protees existentes pode-se citar aquelas para mitigar o poder destrutivo do excesso dos seguintes tipos:

pacotes direcionados CPU, por exemplo ICMP PING direcionados a um IP configurado no equipamento;

pacotes broadcast em VLANs e portas, tais como ARP REQUEST; pacotes multicast; loops na rede, como pacotes Ethernet

repetidos;

acessos indevidos CPU do equipamento, atravs dos servios de gerncia.

Caso tais configuraes de proteo no sejam realizadas, o equipamento funcionar normalmente. Todavia, em situaes com

problemas mais srios como um loop na rede ou mesmo algum outro evento no desejado, podem ocorrer instabilidades. Entre tais

instabilidades, so reconhecidas:

queda de servios;

desconexo lgica de placas do chassis;

perda de trfego por reprogramao de interfaces.


Os filtros de pacotes so regras que permitem fazer a definio de polticas de QoS, segurana, monitoramento de trfego e limitao

de banda. Seu funcionamento baseia-se na classificao ou marcao do trfego a ser tratado, definio da ao a ser tomada e em

quais interfaces o filtro ser aplicado.

Por padro, todo trfego que entra numa interface permitido e no recebe nenhum tipo de restrio ou marcao. Cabe ao

administrador de rede definir as polticas e aplic-las nas interfaces caso se faa necessrio.Atravs do comando filter possivel criar um filtro ou editar um filtro j existente. A ordem em que os parmetros do filtro so

criados no mandatria, pode-se comear o filtro tanto com o parmetro match quanto action ou outro parmetro disponvel

DmSwitch3000(config)#filter [?]

new Create a new filter

1-1280 Select a filter to edit by ID

DmSwitch3000(config)#filter new remark [?]

action Add an action to the filter

disable Disable the filter

enable Enable the filter

ingress Apply the filter to an ingress port

match Set a packet field to be matched

meter Set a meter to be associated to this filter

priority Configure the filter priority

remark Add a remark text

Pode-se criar um filtro desabilitado atravs do parmetro disable. Por default, os filtros estaro ativos a partir de sua criao.

O parmetro priority no tem relao com a prioridade do pacote e sim com a prioridade do filtro. Este parmetro aplica prioridades

diferentes a filtros concorrentes. Ao criar um novo filtro, poder aparecer a mensagem abaixo. Neste caso, deve-se criar o filtro com

uma prioridade diferente.

% 124: Filter conflict: check required and available priorities


Os pacotes broadcast naturalmente so encaminhados a todos os elementos pertencentes VLAN que foram enviados, inclusive a

CPU do switch quando este contiver algum endereo IP nesta VLAN. Mesmo os switches Layer 2, que no fazem roteamento IP,

recebem estes pacotes pois como aprendem os respectivos endereos MAC que esto comunicando.

Para evitar que um nmero abusivo de pacotes broadcast possa influenciar o comportamento, so criadas regras para limitar a ao

destes.

O novo filtro criado far o comutador descartar quando o trfego com destino ao MAC especial FF-FF-FF-FF-FF-FF, destino nico

dos pacotes broadcast, ultrapassar os limites estipulados pelo meter.

Recomenda-se utilizar em todas as portas das VLANs que tenham um IP, inclusive em port-channels.

Mesmo para o caso onde existam muitas VLANs com IP, recomenda-se colocar a opo match vlan para cada uma das VLANs,

evitando que o comutador aja em VLANs em que seja necessrio alto trfego broadcast, como numa VLAN de algum cliente que

tenha esta necessidade. Em especial, recomenda-se o uso de filtros nas VLANs com endereos IP.

NOTA IMPORTANTE: caso exista alguma VLAN (com IP) no protegida por estes filtros, no ser possvel garantir que o elemento

esteja protegido. muito importante configurar estas protees em todas as VLANs criadas e com IP atribudo. Pode-se tambm

utilizar a opo de range de VLANs num mesmo filtro.

No caso de redes que utilizem multicast, importante o controle destes protocolo que podem afetar a CPU, se houver algum

excesso. O procedimento basicamente o mesmo realizado para o broadcast, apenas com alteraes no endereo MAC a ser

conferido pelo filtro.


Uma diferena importante no comando do multicast em relao ao do broadcast o uso de mscara no destination-mac: todos

endereos MAC que comeando com 01 so de multicast, por isso o uso da mscara 01-00-00-00-00-00. Maiores informaes sobre

os endereos MAC de uso especial est disponvel na RFC 5342.

IMPORTANTE: no necessrio criar outro meter para cada nova VLAN a ser protegida contra excessos de Broadcast/Multicast.

importante que exista apenas um meter para cada tipo de trfego, e que os filtros estejam devidamente configurados. A criao de

mais meters far com que a CPU possa receber mais pacotes do que o desejado para estes tipos de trfego. Ou seja, deve-se usar o

mesmo meter como parmetro em todos os filtros com mesmo intuito.


Na arquitetura de comutao utilizada nas famlias DmSwitch 3000 e DM4000 previsto que certos tipos de pacotes sejam sempre

encaminhados para anlise na CPU, para que possam ser tratados de formas diferenciadas. Algumas RFCs, inclusive, trazem este

aspecto como algo desejvel (vide RFC 2113 IP Router Alert Option e RFC 2711 - IPv6 Router Alert Option).

Porm nem todas as topologias possuem os mesmos requisitos, sejam por questes de desempenho ou de segurana. Alguns

documentos propostos (vide draft-rahman-rtg-router-alert-dangerous-00) chegam a recomendar que estas RFC citadas acima sejam

desconsideradas e obsoletadas.

Dentro da gama de opes da famlia DmSwitch, a partir do release 7.8.2, possvel configurar se o switch deve ou no receber

pacotes que requisitarem anlise no chamado slow path, ou seja, a CPU. Tais opes esto disponveis apenas quando o

equipamento no ser utilizado para Roteamento IP, pois ao habilitar a opo ip routing necessrio o recebimento dos pacotes para

uma srie de verificaes.


Com este parmetro de configurao, aps o usurio que estiver conectado interface de gerncia do switch ficar vrios segundos

sem nenhuma nova ao, ele ser desconectado. Isso muito importante quando, por exemplo, um usurio conectado via telnet

deixa sua sesso aberta por tempo indefinido. Dado o nmero de usurios conectados via telnet, SSH, WEB, ou mesmo o uso do

DmView, h um certo consumo de memria. O terminal timeout traz a confiana de que este consumo no seja aumentado por

clientes inativos.


O nmero ao lado do grupo representa qual fila 802.1P que ser atribuida no campo CoS do pacote quando este for enviado para a

CPU. Caso esta informao de CoS tenha sido modificada na topologia geral da rede, em casos onde filas especficas esto

configuradas para certos servios, a alterao atravs do menu de configurao.

Os pacotes so divididos em quatro grupos, acima listados. Eles significam, respectivamente, pacotes de:

controle L2 (i.e., STP, EAPS);

origem/destino desconhecido (i.e., Destination Lookup Failure, L3 para host no na hosts-table);

tunelamento/tunelados;

trfego padro.



Neste captulo sero apresentados os conceitos e configuraes necessrias para a aplicao de qualidade de servio e controle de

congestionamento em L2. Aps o trmino deste captulo o aluno estar apto :

Entender o conceito de rate-limit por interface

Entender o algortimo de limitao de trfego token bucket

Configurar o rate-limit por interface

Entender o conceito de CoS

Configurar o CoS default por interface

Entender o conceito de filas de priorizao (802.1p)

Entender os diferentes algoritmos de enfileiramento de trfego

Entender e configurar o rate-limit por fluxo de trfego usando o conceito de meter

Classificar e priorizar o trfego usando filtros

A tcnica de rate-limit usada para controlar a taxa mxima de dados enviados e recebidos em uma interface. A limitao do trfego

de entrada e sada da rede deve ser configurada o mais prximo da origem do trfego.

Dentro do processo de rate-limit existem dois perfis de trfego: in-profile e out-of-profile . O trfego in-profile corresponde aotrfego que se encaixou nas condies de limitao da banda. Todos os pacotes in-profile so encaminhados normalmente. J o

trfego out-of-profile, corresponde ao trfego em excesso, ou seja, que foram alm da banda limitada.

O mecanismo de rate-limit feito em HARDWARE e possibilita uma granularidade de 64kbps at 100Mpbs ou 1Gbps dependendo da

interface. A tcnica de medio do trfego consiste no uso de um modelo matemtico chamado token bucket (balde de fichas). Neste

algoritmo, o balde preenchido com fichas a uma taxa fixa (rate-limit). A capacidade mxima do balde de fichas determinada pelo

Burst. Cada pacote transmitido consome uma ficha do balde. Caso no haja fichas, o pacote no transmitido, podendo ou no ser

armazenado no buffer. A taxa de sada varia de acordo com a taxa de chegada at quando o valor da taxa de chegada for igual ou

menor do que o Rate-limit. As fichas que no so consumidas so acumuladas no balde at ench-lo. A partir da as fichas so

perdidas. Entretanto, quando a taxa de chegada maior do que o Rate-limit a taxa de sada vai depender da quantidade de fichas

armazenadas no balde. Enquanto houver fichas a consumir, a taxa de sada varia de acordo com a taxa de entrada at um mximo

determinado pela velocidade do enlace. Quando no h mais fichas a consumir, o trfego obedece a taxa de gerao de fichas (rate-

limit). Logo este algoritmo permite que ocorram rajadas de trfego c

treinamento completo switch metro rev6.0

Documents