treinamento completo switch metro rev6.0
DESCRIPTION
switch DatacomTRANSCRIPT
-
Treinamento de Configurao, Operao e Manuteno da Linha de
equipamentos Metro Ethernet
Av. Frana, 735 - Porto Alegre, RS - 90230-220
Suporte Tcnico: 51 3358 0122
www.datacom.ind.br
1Verso da Apostila: 6.0Rev1
-
Sistema de Gesto da Qualidade
certificado pela DQS de acordo
com ISO9001 N de registro (287097 QM)
Apesar de terem sido tomadas todas as precaues na elaborao deste documento, a empresa no assume qualquer
responsabilidade por eventuais erros ou omisses, bem como nenhuma obrigao assumida por danos resultantes do uso
das informaes contidas neste manual. As especificaes fornecidas neste manual esto sujeitas a alteraes sem aviso
prvio e no so reconhecidas como qualquer espcie de contrato.
CONTATOS
Para contatar o suporte tcnico, ou o setor de vendas:
Suporte:E-mail: [email protected]
Fone: +55 51 3358-0122
Fax: +55 51 3358-0101
VendasE-mail: [email protected]
Fone: +55 51 3358-0100
Fax: +55 51 3358-0101
Internetwww.datacom.ind.br
EndereoDATACOM
Av. Frana, 735 - Porto Alegre, RS - Brasil
CEP: 90230-220
2Verso da Apostila: 6.0Rev1
-
3Verso da Apostila: 6.0Rev1
Sumrio Introduo 7
DmSwitch2104 8
DmSwitch2104G EDD 9
DmSwitch3000 10
3x24F2 11
3x24F3 12
Instalao do DmSwitch3000 13
Mdulos SFP 14
Stacking 15
DM4001 16
DM4001 Chassi 17
DM4004 18
DM4008 19
DM4004 e DM4008 Chassis 20
MPU DM4000 21
Diagrama da MPU 22
Placas de Interface DM4000 23
Placas de Interface DM4000 24
Placas de Interface DM4000 NEW 25
Mdulos de Conexo 26
Placas de Interface DM4000 NEW 27
ROADMAP DM4000 28
Aplicaes com EDD + E1 29
Aplicaes concentrando DSLAMs 30
Aplicao MPLS 31
Aplicao Anel Metro Ethernet 32
Aplicao Anel Metro Ethernet 33
Gerenciamento 34
Web 35
DmView 36
Command Line Interface (CLI) 37
Arquivos de Configurao - Definio 38
Arquivos de Configurao 39
SNMP Conceitos 40
Gerncia de usurios 41
Autenticao e Criao de Usurios 42
Lista de Controle de Acesso (ACL) 43
Verificando as configuraes 44
Configuraes de Interfaces 45
Configuraes de Velocidade e Duplex 46
Deteco de Loop em Interfaces 47
Alterao do DST-MAC slow protocol 48
Configurao para links intermitentes 49
Port-Channel 50
Configurando Port-Channel 51
Link Layer Discovery Protocol (LLDP) 52
Verificando informaes LLDP 53
OAM EFM 54
OAM PDUs 55
OAM Deteco de falhas 56
OAM Configuraes 57
Visualizao da Config do OAM 58
-
Sumrio
4Verso da Apostila: 6.0Rev1
Manuteno 59
Shows na CPU 60
SNTP 61
Logging 62
Atualizao e Escolha de Firmware 63
Atualizao firmware DmSwitch3000 64
Debug 65
Port Mirroring via porta fsica 66
Port Mirroring via fluxo de dados 67
Agendamento de Aes 68
Recuperao Senha Local 69
Virtual LAN 70
Conceito de VLAN (IEEE 802.1q) 71
Tagged & Untagged 72
Configurando VLANs 73
Exemplo topologia com QinQ 74
QinQ (IEEE 802.1ad) 75
Configurando QinQ 76
Resilincia 77
Spanning-Tree Protocol (STP) 78
Convergncia do STP 79
Root Bridge 80
Rapid STP (RSTP) IEEE802.1w 81
Multiple STP (MSTP) IEEE 802.1s 82
Configurando o xSTP 83
Ethernet Automatic Protection Switching 84
EAPS - Caractersticas 85
Configurando o EAPS 86
Tunelamento Protocolos L2 87
Tunelamento de Protocolos nvel 2 (L2TP) 88
Segurana 89
Proteo da CPU 90
Limite Broadcast e Multicast por interface 91
Estrutura dos Filtros 92
Proteo Broadcast 93
Proteo Multicast 94
Pacotes com IP Options e DLF 95
Consumo de memria 96
Encaminhamento pacotes para a CPU 97
Qualidade de Servios 98
Rate-limit por interface 99
Rate-limit por fluxo de dados 100
IEEE 802.1p 101
Configurando CoS default por interface 102
Configurando o cos-map 103
Match 104
Action 105
Contador por fluxo de dados 106
Exemplos de filtros 107
Configurando o Queue Scheduling Mode 108
Configurando SP 109
Configurando WRR 110
Configurando WFQ 111
Configurando Banda Mxima 112
-
Sumrio
5Verso da Apostila: 6.0Rev1
Conectivity Fault Management 113
Introduo 114
Conceitos 115
Protocolos CFM 116
Y.1731 117
Configuraes MD 118
Configuraes MA 119
Configuraes MIP e MEP 120
Configuraes MEP 121
Configraes AIS 122
Gerenciamento Via DmView 123
Introduo 124
Informaes de portas 125
Descoberta de links 126
verificao de links 127
Gerencia de equipamentos Remotos 128
Adicionando equipamento Remoto 129
Grupos de VLAN 130
Domnios L2 131
Configurando STP 132
Configurando EAPS 133
Importao EAPS 134
Configurando Metro Ethernet Circuit 135
Configurando Metro Ethernet Circuit-cont 136
Importao de Circuitos Metro Ethernet 137
Importao de Circuitos Metro Ethernet 138
Alteraes na Topologia 139
Busca de circuitos Metro Ethernet 140
Mismatch de Configuraes 141
Solucionando Mismatch 142
Contatos 143
-
6Verso da Apostila: 6.0Rev1
-
Neste capitulo sero informadas todas as caractersticas de Hardware e Software da linha de equipamentos Metro Ethernet. Aps
este captulo o aluno ser capaz de:
Reconhecer os diferentes equipamentos da Linha Metro Ethernet;
Entender as caractersticas de trfego de cada modelo de equipamento;
Reconhecer e entender as caractersticas das placas de interface da linha DM4000;
Reconhecer e entender as caractersticas das MPUs da linha DM4000;
Reconhecer os diferentes mdulos de interface SFP/XFP;
Entender algumas das diferentes topologias onde os equipamentos podem ser utilizados
Neste capitulo so descritas as caractersticas fsicas da linha de equipamentos.
Aps este capitulo o aluno deve ser capaz de:
Conhecer as caractersticas eltricas da linha de equipamentos Metro Ethernet;
Instalar mdulos SFP;
Reconhecer e instalar o mdulo de ventilao da linha DM4000;
Reconhecer, inserir e retirar as placas de interface da linha DM4000;
Reconhecer, inserir e retirar as placas de MPU da linha DM4000.
7Verso da Apostila: 6.0Rev1
-
Gerenciamento da conexo
O DmSwitch 2104G EDD oferece o gerenciamento de conexo alinhado com as mais recentes normas do IEEE 802.3ah (OAM) e 802.1ag (CFM).Isto permite ao operador da rede Metro Ethernet a deteco, o isolamento e a verificao de falhas fim a fim.
Facilidades para a implementao de QoS
O DmSwitch 2104G EDD possui 4 filas por porta (ou 3 filas por porta no caso do DmSwitch 2104G EDD com a porta E1 opcional), com algoritmosde escalonamento que permitem definir que determinado fluxo de dados sempre ter prioridade (SP), configurar pesos para cada fila (WRR), definir
taxas mximas de encaminhamento, ou ainda uma combinao dessas tcnicas.
A definio do fluxo de dados ao qual pertence cada pacote e conseqente priorizao deste dentro do switch definida pela porta de entrada deste
pacote, ou pelo MAC destino deste, ou ainda pela marcao IEEE 802.1p ou DSCP.
O controle de banda permite a definio de PIR (Peak Information Rate) por porta, podendo ser aplicado ao trfego de entrada ou sada da mesma.
VLANs
A construo de Virtual LANs no DmSwitch pode utilizar a totalidade das 4.094 VLANs definidas na norma IEEE 802.1Q simultaneamente,
oferecendo ainda a funcionalidade de double tagging (QinQ), permitindo desta forma a criao de servios TLS.
Gerenciamento
Gerenciamento distribudo acessando cli via interface RS232 ou telnet e centralizado atravs do DmView, sobre plataformas Windows e Solaris.
Funcionalidade de gerncia remota sem IP. Quando o DmSwitch2104G gerenciado pelo DmView atravs dos demais equipamentos da linha
(DmSwitch3000 e 4000) em topologia ponto a ponto, no necessrio configurar seu IP ou rotas L3, basta conectar o elemento com a opo
configurada que o mesmo tornase acessvel via DmView.*
Emulao de circuitos
Com a montagem do mdulo E1 (DmSwitch2000E1) o DmSwitch 2104G EDD pode ainda suportar a emulao de circuitos TDM sobre a redeEthernet. A emulao de circuitos e a estrutura de multiplexao dos quadros seguem as rfcs 5086 (StructureAware Time Division Multiplexed (TDM)
Circuit Emulation Service over Packet Switched Network (CESoPSN)) e 4553 (StructureAgnostic Time Division Multiplexing (TDM) over Packet
(SAToP)).
Mecanismos de Proteo
Esto disponveis os protocolos de Spanning Tree, incluindo o RSTP que possui tempos de convergncia menores e MSTP para melhor
aproveitamento de recursos e maior escalabilidade, assim como o protocolo EAPS, especfico para proteo sub50ms em anis Ethernet. Estes
mecanismos permitem a construo de topologias com proteo e rapidez na restaurao de falhas, para aplicaes Metro Ethernet.
8Verso da Apostila: 6.0Rev1
-
Condies Fsicas, Ambientais e Eltricas
Dimenses (A x L x P): 44mm x 195mm x 200mm
Peso aproximado: 1kg
Condies ambientais:
Temperatura de Operao: 0o a 50oC
Armazenamento / Transporte: -20o a 65oC
Umidade: 10% a 90% (no-condensada)
Condies Eltricas:
Alimentao: 93 a 250 VAC ou -36 a -72 VDC, seleo automtica
Consumo de Potncia: 20 W (AC) / 25 W (DC)
Verso da Apostila: 6.0Rev1 9
-
A linha de produtos DmSwitch 3000 composta por equipamentos de comutao wire speed, com nmero fixo de portas Fast eGigabit Ethernet, e possibilidade de empilhamento de at 8 unidades. Atravs das funcionalidades de QoS, possvel manipular epriorizar pacotes at o L7, como tambm controlar a banda disponibilizada para cada usurio.
Os modelos DmSwitch 3200 oferecem comutao de pacotes em nvel 2 (16K MAC Address, 4K VLANs simultneas, QiQ P2P eMP2MP), enquanto os modelos DmSwitch 3300 possuem roteamento nvel 3 (4K host e 16K LPM entries, 512 virtual routerinterfaces). Suporta RIPv2, OSPFv2, BGPv4, VRRP. Alm das funcionalidades de roteador IP.
Como mecanismos de proteo esto disponveis protocolos de Spanning Tree Classic, Rapid e Multiple - bem como EAPS(
-
Verso da Apostila: 6.0Rev1 11
-
12Verso da Apostila: 6.0Rev1
-
O DmSwitch pode ser instalado em um rack de 19. Os suportes de fixao (orelhas) acompanham o produto. Para instalar oDmSwitch em um rack, posicione-o no rack e em seguida, insira dois parafusos (no includos) em cada suporte de fixao para
firmar o equipamento ao rack.
O DmSwitch F2/F3 possui dois conectores de alimentao no painel traseiro, um para cada fonte de alimentao. Se voc est
usando fonte de alimentao redundante, use dois cabos de alimentao para conect-los.
Se voc est usando alimentao DC, o cabo de alimentao poderia ser cortado prximo ao plug da tomada de tal forma que o pino
central corresponda ao terra de proteo e os outros dois pinos a fonte de alimentao. A carcaa do equipamento conectada
diretamente ao terra. Em caso de confeco do cabo, deve-se atentar em relao ao pino terra.
Para instalar a fonte de alimentao redundante, proceda da seguinte forma:
1- Utilize uma chave Phillips para remover os parafusos que fixam o painel de proteo do slot da fonte correspondente
2- Insira a fonte de alimentao no slot e deslize-a sobre o trilho. Pressione-a firmimente para assegura que est encaixada
3- Use suas mos para apertar os dois parafusos recartilhados fixando firmimente a fonte de alimentao ao slot.
Status dos LEDs do sistema:
13Verso da Apostila: 6.0Rev1
-
A instalao dos mdulos SFP realizada inserindo o mdulo no slot SFP do equipamento. H somente uma orientao em que o
mdulo pode ser encaixado. Deslize o mdulo e pressione com firmeza para garantir o encaixe. Aps o encaixe do mdulo,
necessrio prender a ala de segurana.
Para remover os mdulos, basta seguir a ordem inversa da instalao, removendo os cordes ticos, baixando a ala de segurana e
puxando o mdulo pela ala.
A instalao e remoo dos mdulos podem ser feitas com o equipamento ligado. Os mdulos SFP so hot-swappable.
14Verso da Apostila: 6.0Rev1
-
As teclas de Stacking podem ser desabilitadas para evitar alteraes acidentais no modo de operao.
DmSwitch3000(config)#no stacking keys
Por padro, ao pressionar uma das teclas, ocorre um atraso na aplicao do novo modo. Ser possvel visualizar atravs dos leds no
painel frontal um contador regressivo mostrando o tempo restante para aplicao da nova configurao. O valor do delay pode ser
configurado entre 3 e 9 segundos. Caso o operador retorne as teclas para a posio original durante este intervalo, no ocorrer a
alterao no modo de operao
DmSwitch3000(config)#stacking key-delay
As unidades que operam como slave no modo stacking, e no esto conectadas a nenhum master, mostram nos leds do painel
frontal as letras NM (No Master). No modo stacking, no possvel configurar a unidade pela porta console.
Todos as unidades em uma pilha so gerenciadas atravs do master, como se fossem um nico equipamento.
O DmSwitch possui das portas DB9 no painel frontal. O conector de alarme acima (3 entradas e 1 sada) e o conector de console
abaixo (RS232). Segue a pinagem do conector de console:
GND4 e 5
TX2
RX3
Porta SerialPino
15Verso da Apostila: 6.0Rev1
-
DM4001 Chassis
Gabinete com placa backplane para bastidores de 19 polegadas e 1U de altura, capaz de acomodar 1 placa de interface.
Compatvel com todas as placas de interfaces da linha DM4000
Permite que as interfaces da linha DM4000 funcionem em uma verso stand alone, no sendo necessrio a utilizao da MPU
Backplane suporta comutao em Wire Speed non-blocking para todas as placas de interface
Chassis suporta 1 placa de interface
Entrada redundante de alimentao -48VDC, com fontes redundantes em cada mdulo de interface
Equipamento gerenciado pelo software de gerncia de rede DmView, disponibilizando vises topolgicas, provisionamento de
circuitos, monitorao de performance e status
Tempo de comutao inferior a 50ms em anis L2 metro Ethernet
Verso da Apostila: 6.0Rev1 16
-
Pinagem do cabo de console para o DM4000 series:
Status dos LEDs do sistema:
17Verso da Apostila: 6.0Rev1
-
DM4004 Chassis
Gabinete com placa backplane para bastidores de 19 polegadas e 6U de altura, capaz de acomodar 4 placas de interface, 2 placas
MPU redundantes, 2 placas GPC, mdulo de ventilao DM4004 FAN e entrada de alimentao redundante. O backplane realiza as
interconexes para trfego de dados e gerncia entre as placas.
Suporte a MPLS: Label Edge (LER) e Label Switch (LSR) Router;
Q-in-Q P2P e MP2MP VLANs, 4K VLANs
Pelo menos 512K MACs ou 256K rotas Ipv4/IPv6 por Interface Card
192 Gbit/s e 384 Gbit/s de capacidade wire speed
Link Aggregation, MSTP e EAPS, com tempo de restaurao < 50ms
L2 e L3 VPN over MPLS
CPU, Switch Fabric e Alimentao redundantes
Backplane passivo
Verso da Apostila: 6.0Rev1 18
-
DM4008 Chassis
Gabinete com placa backplane para bastidores de 19 polegadas e 10U de altura, capaz de acomodar 8 placas de interface, 2 placas
MPU redundantes, 2 placas GPC, mdulo de ventilao DM4008 FAN e entrada de alimentao redundante. O backplane realiza as
interconexes para trfego de dados e gerncia entre as placas.
Suporte a MPLS: Label Edge (LER) e Label Switch (LSR) Router;
Q-in-Q P2P e MP2MP VLANs, 4K VLANs
Pelo menos 512K MACs ou 256K rotas Ipv4/IPv6 por Interface Card
192 Gbit/s e 384 Gbit/s de capacidade wire speed
Link Aggregation, MSTP e EAPS, com tempo de restaurao < 50ms
L2 e L3 VPN over MPLS
CPU, Switch Fabric e Alimentao redundantes
Backplane passivo
Verso da Apostila: 6.0Rev1 19
-
Para instalar o mdulo de ventilao, basta posicion-lo nos trilhos e empurr-lo at o fundo do gabinete. Logo em seguida apertar os
parafusos recartilhados para melhor fixao do mdulo. O processo de manuteno do mdulo deve ser executado com rapidez para
que o conjunto no aquea demasiadamente
Cuidado: Retirar e inserir o mdulo de FAN segurando somente pelos parafusos recartilhados. As FAN podem estar em movimento
podendo ocasionar acidentes.
Para inserir as interfaces no DM4000:
1- As interfaces do DM4000 Series possuem extratores, aps posicionar a interface nos trilhos do slot, abrir os extratores e deslizar a
placa at que toque no backplane.
2- Deslocar os extratores em direo a interface.
3- Pressionar firmemente o extratores para certificar-se que a interface esteja bem fixada.
Para retirar a placa, seguir o procedimento inverso.
Em todos os slots do equipamento que no estiverem em uso devero estar instalados painis de preenchimento. Estes painis tm
por finalidade no apenas garantir o correto fluxo de ar no equipamento, como tambm fazem a blindagem eletromagntica e
protegem o interior.
Deve-se tomar cuidados especiais no manuseio das interfaces. Para a insero e retirada das interfaces, sempre utilizar a pulseira
anti-esttica que acompanha o produto conectando-a ao terminal terra dos Chassis.
O DM4000 series alimentado em 36 72 VDC.
20Verso da Apostila: 6.0Rev1
-
21Verso da Apostila: 6.0Rev1
DM4000 MPU192
Placa central de controle (Main Processor Unit), composta pela CPU principal e matriz de comutao de 192 Gbit/s, podendo ser
utilizada em configurao redundante.
Opera at 8 placas de interface a 24 Gbit/s cada uma (at 12 interfaces Gigabit por placa de interface) ou at 4 placas de interface a
48 Gbit/s cada uma (at 24 interfaces Gigabit por placa de interface).
DM4000 MPU384
Placa central de controle (Main Processor Unit), composta pela CPU principal e matriz de comutao de 384 Gbit/s, podendo ser
utilizada em configurao redundante.
Opera at 8 placas de interface a 48 Gbit/s cada uma (at 24 interfaces Gigabit por placa de interface) ou at 4 placas de interface a
96 Gbit/s cada uma (at 48 interfaces Gigabit por placa de interface).
-
Nos chassis DM4004 e DM4008, o gerenciamento do equipamento feito atravs da MPU. A MPU possui 3 conectores RJ45. A
insero da MPU feita nos slots 1A e 1B quando operando com redundncia.
MGMT ETH: Gerenciamento ethernet outband
Console: Gerenciamento do switch via porta RS232
AUX: Gerenciamento via porta RS232 dos slots 2 5
Status dos LEDs do sistema:
22Verso da Apostila: 6.0Rev1
-
23Verso da Apostila: 6.0Rev1
-
Verso da Apostila: 6.0Rev1 24
-
25Verso da Apostila: 6.0Rev1
-
Descrio dos mdulos SFP ticos:
Fast Ethernet
SFP MS850 100BaseX - Multimode 850nm, 2km
SFP MS13 100BaseX - Multimode 1310nm, 2km
SFP SS13 100BaseX - Singlemode 1310nm, 30km
SFP SL13 100BaseX - Singlemode 1310nm, 60km
SFP SL15 100BaseX - Singlemode 1550nm, 100km
SFP SLx15 100BaseX - Singlemode 1550nm, 120km
SFP SSB13 100BaseBX20-U - Singlemode 1310nm Tx 1550nm Rx, 20km
SFP SSB15 100BaseBX20-D - Singlemode 1550nm Tx 1310nm Rx, 20km
SFP SLB13 100BaseBX60-U - Singlemode 1310nm Tx 1550nm Rx, 60km
SFP SLB15 100BaseBX60-D - Singlemode 1550nm Tx 1310nm Rx, 60km
Gigabit Ethernet
SFP 1000BaseSX - Multimode 850nm, 550m
SFP SS13 1000BaseLX - Singlemode 1310nm, 10km
SFP SS13 1000BaseLX+ - Singlemode 1310nm, 30km
SFP SL15 1000BaseLH - Singlemode 1550nm, 70km
SFP SLx15 1000BaseLZ - Singlemode 1550nm, 110km
SFP SSB13 1000Base BX20-U - Singlemode 1310nm Tx 1550nm Rx, 20km
SFP SSB15 1000Base BX20-D - Singlemode 1550nm Tx 1310nm Rx, 20km
SFP SLB13 1000Base BX60-U - Singlemode 1310nm Tx 1550nm Rx, 60km
SFP SLB15 1000BaseBX60-D - Singlemode 1550nm Tx 1310nm Rx, 60km
10 Gigabit Ethernet
XFP SS13 10GBase-LR/LW, Singlemode 1310nm, 10km
XFP SS15 - 10GBase-ER/EW, Singlemode 1550nm, 40km
XFP SL15 - 10GBase-ZR, Singlemode 1550nm, 80km
XFP SLx15 - 10GBase-ZR+, Singlemode 1550nm, 120km 26Verso da Apostila: 6.0Rev1
-
Verso da Apostila: 6.0Rev1 27
-
Compatvel com os chassis DM4001, DM4004 e DM4008
Operao com os protocolos SAToP / CESoPSN;
Compatvel com os requisitos de sincronismo IEEE1588-2008;
Necessita do painel de conexes RB13 para a interconexo dos E1s.
Verso da Apostila: 6.0Rev1 28
-
Verso da Apostila: 6.0Rev1 29
-
Verso da Apostila: 6.0Rev1 30
-
Verso da Apostila: 6.0Rev1 31
-
Verso da Apostila: 6.0Rev1 32
-
33Verso da Apostila: 6.0Rev1
-
34Verso da Apostila: 6.0Rev1
Neste captulo sero apresentados os principais comandos para a configurao dos equipamentos da linha Metro Ethernet.
Aps este captulo o aluno estar apto :
Identificar as possveis formas de gerenciar os equipamentos da linha Metro Ethernet DATACOM
Entender a interface de linha de comandos
Entender e utilizar os arquivos de configraes
Salvar as configuraes
Configurar o protocolo SNMP
Gerenciar usurios de acesso ao equipamento
Configurar ACLs de gerenciamento
Verificar as configuraes atuais do equipamento
-
Para acessar o DmSwitch via interface web, abrir o browser e inserir o endereo IP de gerncia. Por default, ambos http e httpsesto habilitados no DmSwitch. Ser solicitado a autenticao do usurio. Somente o usurio privilegiado poder logar.
Na parte superior da pgina web, possvel visualizar o status das portas (up ou down), ou o modo duplex de operao (full ou half)para cada unidade no caso dos switches estarem empilhados.
Atravs do Menu de Configurao, localizado no lado esquerdo da pgina, possvel selecionar a opo que ser configurada.
Aps realizar as alteraes na janela de configurao, necessrio aplicar as alteraes atravs do boto Apply que est na parteinferior esquerda da pgina web. Nota que este procedimento no salva as alteraes, apenas aplica estas configuraes para que
fiquem ativas no DmSwitch. Caso o switch seja reinicializado, ele perder as alteraes realizadas.
Para realizar o logoff, necessrio fechar o browser.
35Verso da Apostila: 6.0Rev1
-
O DmView o Sistema Integrado de Gerncia de Rede e de Elemento desenvolvido para supervisionar e configurar os equipamentosDatacom, disponibilizando funes para gerncia de superviso, falhas, configurao, desempenho, inventrio e segurana, segue arecomendao FCAPS*. O sistema pode ser integrado a outras plataformas de gerncia ou pode operar de forma independente.Tambm possvel utilizar diferentes arquiteturas de gerncia, desde a operao em campo via notebook at um projeto centralizadocom servidores de aplicao redundantes e mltiplos servidores de terminal para acesso remoto.
O sistema disponibiliza o acesso s suas funcionalidades atravs de uma Interface Grfica amigvel e fcil de ser utilizada. Elepermite o acesso simultneo de mltiplos usurios em estaes de gerncia distintas, possibilitando que operadores diferentespossam gerenciar a mesma rede de equipamentos Datacom. Os usurios do sistema operam com nveis de acesso distintos, sendopossvel restringir a operao por tipo de equipamento ou localidade. Entre as principais funcionalidades do DmView, possvel citar:
Provisionamento fim-a-fim de circuitos: permite a criao, alterao e localizao de circuitos existentes na rede;
Visualizao e monitorao dos equipamentos gerenciados, suas interfaces e CPU, permitindo identificao do estado operacional ealarmes pendentes;
Recepo e tratamento dos eventos gerados pelos equipamentos, com notificao automtica da ocorrncia de falhas e opo paraexecutar ao especfica quando evento recebido;
Execuo de aes de diagnstico de falhas;
Configurao da operao dos equipamentos;
Cadastro de dados de identificao dos elementos;
Visualizao de parmetros e contadores de performance;
Ferramentas para localizao de equipamentos e suas interfaces, incluindo localizao segundo estado operacional, dadoscadastrais, etc;
Controle de acesso para usurios com nveis de acesso distintos para as funcionalidades do sistema e para a operao e gernciados dispositivos;
Ferramenta para visualizao e correlao de eventos customizveis pelo usurio;
Alta disponibilidade, suporte a servidores redundantes e rotinas de backup das bases de dados do sistema;
Suporte a diferentes sistemas operacionais (Microsoft Windowse Sun Solaris) e bases de dados (OracleeInterbase/Firebird).
*FCAPS:
Fault, Configuration, Accounting, Performance e Security.
36Verso da Apostila: 6.0Rev1
-
O Command Line Interface (CLI) utilizado para configurar o switch localmente via porta console, ou remotamente via Telnet ou
SSH. Quando acessar o DmSwitch, voc dever efetuar logon antes de inserir qualquer comando. Por questes de segurana, o
DmSwitch possui dois nveis de usurio:
Usurio Normal- As tarefas tpicas incluem aquelas que verificam o status do switch. Neste modo, no so permitidas alteraes na
configurao do switch.
Acesso com usurio normal padro:
DmSwitch3000 login: guest
Password: guest
Usurio Privilegiado - As tarefas tpicas incluem aquelas que alteram a configurao do switch.
Quando efetuar logon como usurio normal, voc ver um prompt do modo usurio >. Os comandos disponveis nesse nvel so umsubconjunto dos comandos disponveis no nvel privilegiado. Na sua grande maioria, esses comandos permitem que voc exiba as
informaes sem alterar as definies de configurao do roteador. Para acessar o conjunto completo de comandos, voc deve
efetuar login no modo privilegiado. O prompt #", indica que voc est no modo privilegiado. Para efetuar logoff, digite exit.
O endereo IP padro para acesso ao Switch o 192.168.0.25/24. Para Alterar este endereo conecte ao Switch via porta console(9600 8N1) como usurio privilegiado:
DmSwitch3000 login: admin
Password: admin
Configurando o IP na vlan default
DmSwitch3000#
DmSwitch3000#configure
DmSwitch3000(config)#interface vlan 1
DmSwitch3000(config-if-vlan-1)# ip address
Configurando o IP na interface de gerenciamento
DM4000#configure
DM4000(config)#interface mgmt-eth
DM4000(config-if-mgmt-eth)#ip address
37Verso da Apostila: 6.0Rev1
-
Todas as configuraes efetuadas no switch so aplicadas instantneamente aps pressionar a tecla enter para confirmar o
comando. Porm, esta configurao fica em memoria RAM ou running config (configurao corrente) como tratada normalmente.
Caso o equipamento seja desligado toda a configurao que est na running config ser perdida.
Para salvar a configurao, deve-se copiar o conteudo da running config para um dos arquivos na memria flash do equipamento. A
linha de equipamentos DmSwitch3000 possui 4 flash-config e na linha DM4000 a partir do firmware 7.4 so disponibilizados 10
arquivos de flash-config.
possvel definir qual flash-config ser usado toda vez que o equipamento for iniciado selecionando uma das flash-config com a flag
de startup. A startup config no um arquivo fisico e sim um apontamento para um dos arquivos.
38Verso da Apostila: 6.0Rev1
-
Por CLI, a manipulao dos arquivos de configurao tambm feita atravs do comando copy. Este comando possui vrias
combinaes de parmetros que permitem selecionar diversas origens e destinos para as configuraes. possvel armazenar at 4configuraes diferentes no switch. Atravs do comando show flash, pode-se verificar qual a flash-config est marcada com a flag
de startup (S). Por default, nenhuma das 4 posies da flash, est marcada como startup.
DmSwitch3000#show flash
BootLoader version: 1.1.2-11
Flash firmware:
ID Version Date Flags Size
1 5.0 26/12/2007 20:05:59 RS 9834560
2 E
Flash config:
ID Name Date Flags Size
1 treinamento 01/01/1970 00:15:17 S 12685
2 E
3 E
4 E
Flags:
R - Running firmware.
S - To be used upon next startup.
E - Empty/Error
Para deletar uma das 4 configuraes armazenadas na flash, utilizar o comando erase:
DmSwitch3000#erase flash-config
39Verso da Apostila: 6.0Rev1
-
Definio
O protocolo de gerenciamento de rede simples (SNMP) um padro de gerenciamento de rede amplamente usado em redes
TCP/IP.
O SNMP fornece um mtodo de gerenciamento de hosts de rede, como computadores servidores ou estaes de trabalho,
roteadores, switches e concentradores a partir de um computador com uma localizao central em que est sendo executado o
software de gerenciamento de rede. O SNMP executa servios de gerenciamento utilizando uma arquitetura distribuda de sistemas
de gerenciamento e agentes. Sua especificao est contida no RFC 1157.
Parmetros para configurao do SNMP:
DmSwitch3000(config)#ip snmp-server [?]
community Define SNMP community access string
contact Set system contact string
host Specify SNMP notification operation recipients
location Set system location information
traps Enable sending of SNMP traps
user Define a SNMPv3 user
Enable SNMP server
Configurando uma community de leitura e escrita:
DmSwitch3000(config)#ip snmp-server community rw
Configurando um gerente SNMP para receber as traps:
DmSwitch3000(config)#ip snmp-server host version
Configurando Informaes de contato e localizao do switch:
DmSwitch3000(config)#ip snmp-server contact
DmSwitch3000(config)#ip snmp-server location
40Verso da Apostila: 6.0Rev1
-
O DmSwitch permite que os usurios sejam autenticados em um servidor remoto RADIUS ou TACACS+.
O DmSwitch suporta mltiplos mtodos de autenticao, sendo possvel configurar a autenticao na base local e atravs de servidor
remoto:
Quando configurado como primeira opo a autenticao em servidor remoto e aps na base local, e ocorra uma falha no servidorremoto, ser feita a busca pelo usurio na base de dados local. Mas se o servidor remoto esteja ativo e no encontre em sua base de
dados o usurio que est tentando realizar o login, o acesso ser negado e no ser feita a busca na base de dados local do
DmSwitch nem em outros servidores remotos caso estejam configurados.
No caso em que seja configurado o login local como primeira opo, se o usurio no constar na base de dados local, ser feita abusca nos servidores remotos.
Podem ser configurados at 5 servidores RADIUS e at 5 servidores TACACS+ para garantir disponibilidade caso algum dos
servidores falhe. O servidor estar em falha quando o servio no esteja ativo, neste caso o DmSwitch ir buscar em outro servidor
conforme a ordem em que foram configurados. Os parmetros do servidor RADIUS podem ser configurados de forma global, ou
individual por servidor.
Deve-se tomar o cuidado de manter pelo menos um usurio criado localmente e habilitar login local. Na falta de um usurio
local, e no caso de falha de todos os servidores remotos, no ser possvel logar no DmSwitch.
41Verso da Apostila: 6.0Rev1
-
Opes globais e individuais de configurao para autenticao no servidor RADIUS:
DmSwitch3000(config)#radius-server [?]
acct-port RADIUS default server accounting port
auth-port RADIUS default server authentication port
host RADIUS server IP
key RADIUS default server key
retries RADIUS server retries
timeout RADIUS server timeout
DmSwitch3000(config)#radius-server host [?]
accounting Enable RADIUS accounting
acct-port Specify RADIUS server accounting port
authentication Enable RADIUS authentication
auth-port Specify RADIUS server authentication port
address Specify RADIUS server IP address
key Specify RADIUS server key
Opes de configurao para autenticao no servidor TACACS+:
DmSwitch3000(config)#tacacs-server host 1
authentication Enable TACACS authentication
authe-port Specify TACACS server authentication port
authorization Enable TACACS authorization
autho-port Specify TACACS server authorization port
accounting Enable TACACS accounting
acct-port Specify TACACS server accounting port
address Specify TACACS server IP address
key Specify TACACS server key
source-iface Specify TACACS source interface
42Verso da Apostila: 6.0Rev1
-
Exemplos:
Limitar em 16 a quantidade de conexes telnet simultneas (8 por default):
DmSwitch3000(config)#ip telnet max-connections 16
Criar ACL para que somente os IPs da rede 176.18.0.40.0/24 possam gerenciar o switch por http:
DmSwitch3000(config)#management http-client 176.18.40.0/24
DmSwitch3000(config)#show management all-client
Management IP filter:
Telnet client:
HTTP client:
176.18.40.0/24
SNMP client:
SSH client:
DmSwitch3000(config)#
43Verso da Apostila: 6.0Rev1
-
Pode-se verificar o status de hardware:
DM4000
DM4000#show hardware-status [?]
fans Show the fans status
power Show the powers status
transceivers Show the Transceivers status
DmSwitch3000
DmSwitch3000#show hardware-status[?]
tranceivers
DmSwitch3000#show hardware-status [enter]
Power Fans Alarms In Alarm
Unit Main Backup 1 2 3 1 2 3 Out
---- ------ ------ ---- ---- ---- --- --- --- -----
1 Ok Ok Ok Off Off Off Off
DmSwitch3000#show hardware-status transceivers [?]
detail Show detailed Transceivers status
presence Show Transceivers presence table
44Verso da Apostila: 6.0Rev1
-
Neste captulo sero apresentados os principais comandos para a configurao das portas de interface dos equipamentos da linha
Metro Ethernet.
Aps este captulo o aluno estar apto :
Configurar as opes de velocidade e modo duplex das interfaces
Configurar a funcionalidade de loopback
Configurar a funcionalidade para deteco de links intermitentes
Configurar a agregao de links
Configurar o protocolo lldp
Configurar o protocolo OAM
Verso da Apostila: 6.0Rev1 45
-
Configurao de velocidade da porta em modo autonegotiation
DmSwitch3000(config-if-eth-1/1)#capabilities [?]
10full Advertise 10Mbit/s full-duplex operation support
10half Advertise 10Mbit/s half-duplex operation support
100full Advertise 100Mbit/s full-duplex operation support
100half Advertise 100Mbit/s half-duplex operation support
1000full Advertise 1000Mbit/s full-duplex operation support
flow-control Advertise flow control operation support
all Advertise all operation modes supported
Verso da Apostila: 6.0Rev1 46
-
Introduo
A funcionalidade de loopback-detection utilizada por padro para que os DmSwitches protejam-se automaticamente de qualquer
loop externo em suas portas. Este loop poder ser gerado quando ligado acidentalmente ou propositalmente o RX ao TX da mesma
porta. Para proteger-se contra loops feitos entre diferentes portas, pode-se utilizar outros mecanismos presentes no equipamento
como STP, EAPS ou backup-link.
A funcionalidade de loopback-detection est disponvel a partir do firmware 4.0 e j vem habilitada por default nos DmSwitchs. A
deteco de loop na linha DmSwitch foi implementada atravs do envio de um MAC MULTICAST 01:80:C2:00:00:02 ( definido pelo
IEEE Std 802.3 - Slow Protocols multicast address) para a porta a ser verificada. O loop indentificado com o retorno do MAC
MULTICAST pela porta de origem do DmSwitch, colocando a porta instantneamente em modo blocked e gerando log de loopback
detectado.
As portas em estado blocked no recebero nem enviaro nenhum outro pacote alm do slowprotocol de loopback-detection.
Verso da Apostila: 6.0Rev1 47
-
Alguns equipamentos, como os SDHs, por default descartam frames do tipo slow-protocols. Prevendo essa caracterstica o DmSwitch
foi implementado com a possibilidade de enviar um endereo MAC alternativo, cujo endereo 01:04:DF:00:00:02. Podendo ser
configurado individualmente por porta.
Verso da Apostila: 6.0Rev1 48
-
Descrio da funcionalidade:
Link-Flap Detection uma ferramenta que visa eliminar os efeitos colaterais causados por uma porta que esteja com o estado de seu
link variando (UPDOWN) intermitentemente. Essa condio determinada por um determinado nmero de inverses do estado
do link em um determinado intervalo de tempo.
Verso da Apostila: 6.0Rev1 49
-
A funcionalidade de agregao de links, tambm conhecido como port-channel, consiste em agregar vrias interfaces fsicas em uma
nica interface lgica, aumentando a banda disponvel para o trfego de dados. Este recurso pode ser usado tambm como
redundncia em caso de links fsicos falharem dentro de um grupo, pode-se fazer o balanceamento de carga entre os links de um
mesmo grupo aumentando a performance do link.
possvel agregar quantas portas forem necessrias em um grupo de links, no entanto, somente 8 portas do grupo estaro ativas
active state. A quantidade de portas que for alm das 8 ficar desabilitada em modo standby state, se tornando ativas casoproblemas fsicos ocorram em uma das portas funcionais do grupo. O DmSwitch suporta at 32 grupos de agregao com nmero
ilimitado de portas fsicas.
Os tipos mais comuns de agregao de links so: agregao esttica e dinmica.
Na agregao esttica, a configurao deve ser forada manualmente nos dois switches envolvidos, do contrrio, ela no serestabelecida.
J na agregao dinmica, as portas dos switches envolvidos na agregao devem ser configuradas para estabelecer a agregaodos links usando o protocolo LACP (IEEE 802.3ad - Link Aggregation Control Protocol) atravs da troca de informaes de controle
LACP (PDUs LACP).
Load Balance.
O load-balance utilizado para distribuir o trfego igualmente pelas portas que pertencem ao mesmo port-channel. O switch realiza
um clculo utilizando os bits dos campos mac-address de origem/destino ou IP address de origem/destino, para definir por qual porta
cada pacote ser encaminhado. Para um balanceamento de carga eficiente, utilizar como critrio do load-balance, os campos cujos
valores variam frequentemente.
Notas:
Uma porta pode estar associada a somente um grupo port-channel de cada vez;
O link aggregation suportado em links ponto a ponto operando em modo FULL-DUPLEX. O uso do modo HALF-DUPLEX no recomendado
Todos os links aggregations devem operar na mesma velocidade (10/100 ou 1000Mb/s);
recomendado primeiramente configurar o link aggregation e posteriormente conectar os cabos. Dessa forma, evitamos a ocorrncia de loop narede.
Para evitar a perda de dados no ato de remoo de uma porta do link aggregation, remova o cabo primeiro e somente ento remova a configuraoda porta.
Para fins de gerncia e configurao, um grupo de links agregados visto como uma nica interface lgica port-channel. Isso transparente para afamlia de protocolos STP, VLAN, IGMP, EAPS e GVRP.
Quando criado, o link aggregation assume as configuraes da menor interface do grupo.
50Verso da Apostila: 6.0Rev1
-
DmSwitch3000(config)#show interfaces status port-channel 1
Information of Port-Channel 1
Basic information:
Port type: 100TX
MAC address: 00:04:DF:12:B7:93
Configuration:
Name:
Port admin: Up
Speed-duplex: Auto
Capabilities: 40M half, 40M full, 400M half, 400M full
Flow-control: Disabled
MDIX: Auto
Slow Protocols MAC: Standard
OAM: Disabled
Loopback Detection: Disabled
Link-Flap Detection: Enabled - Unblock hysteresis: 30 sec
Load Balance Method: MAC (source and destination)
Current status:
Created by: User
Link status: Up
Members: Eth1/1 (Up/Enabled) - 3m13s
Eth1/2 (Up/Enabled) - 2m56s
Eth1/3 (Up/Enabled) - 3m3s
Eth1/4 (Up/Enabled) - 2m45s
51Verso da Apostila: 6.0Rev1
-
O Link Layer Discovery Protocol (LLDP - 802.1AB) no apenas simplifica a descoberta da topologia e a localizao de dispositivos
de acesso, mas tambm pode ser usada como ferramenta de gerenciamento e troubleshooting. A configurao do LLDP bem
simples, por padro, o LLDP vem desabilitado. Para o seu funcionamento necessrio habilit-lo globalmente. Entretanto existem
configuraes que podem ser executadas nas interfaces afim de se definir estaticamente se a porta aceitar uma solicitao LLDP ou
no, e se a mesma enviar determinadas informaes.
Por default o LLDP vem habilitado em todas as interfaces e todas as TLVs (Type Length Value - Mensagens de informaes do
LLDP) vm habilitadas.
Por questes de segurana, recomendado utilizar o LLDP apenas para verificar a topologia. Aps isso deve-se desabilit-
lo.
52Verso da Apostila: 6.0Rev1
-
53Verso da Apostila: 6.0Rev1
-
Introduo
O protocolo OAM EFM definido no padro IEEE 802.3AH, o OAM prov mecanismos utis para monitorar o status do link como
indicao de falha remota do link ou controle remoto da loopback. O OAM prov aos operadores de rede a habilidade de monitorar a
sade da rede e rapidamente determinar a localizao de links com falhas ou condies de falhas. O OAM prov um mecanismo de
camada de link para complementar aplicaes de camadas mais altas. as informaes do protocolo so transmitidas atrves do
frame slow Protocol chamado de OAM Protocol Data Units (OAMPDUs). o OAMPDUs
contm a informao de status e controle usada para monitorar, testar e solucionar problemas de link atrves do protocolo OAM
quando habilitado nas interfaces. Os PDUS do OAM so ponto-a-ponto, ou seja so trocados somente entre uma interface e outra
no sendo encaminhados por switches.
Verso da Apostila: 6.0Rev1 54
-
Verso da Apostila: 6.0Rev1 55
-
Verso da Apostila: 6.0Rev1 56
-
Alterando MAC de destino das PDUs
Esta opo utilizada em casos de switches que filtrem o MAC padro do Slow Protocols 01:80:C2:00:00:02, desta forma
necessrio configurar o MAC de destino como alternativo, este MAC proprietrio da DATACOM 01:04:DF:00:00:02.
DmSwitch3000#configure
DmSwitch3000(config)#interface ethernet 1/25
DmSwitch3000(config-if-eth-1/25)#slow-protocols destination-address alternative
Para alterar para o MAC de destino padro standard
DmSwitch3000#configure
DmSwitch3000(config)#interface ethernet 1/25
DmSwitch3000(config-if-eth-1/25)#slow-protocols destination-address standard ou atravs do comando
no
DmSwitch3000(config-if-eth-1/25)#no slow-protocols destination-address
Verso da Apostila: 6.0Rev1 57
-
Verso da Apostila: 6.0Rev1 58
-
Neste captulo sero apresentados os principais comandos para a manuteno e verificao dos equipamentos da linha Metro
Ethernet.
Aps este captulo o aluno estar apto :
Verificar informaes sobre a CPU dos equipamentos
Configurar as opes de sincronismo de horrio
Configurar as opes de logging
Verificar os arquivos de log
Atualizao de Firmware e suas particularidades
Utilizar a funcionalidade de DEBUG
Configurar o espelhamento de portas (port mirroring)
Configurar o agendamento de aes
Recuperar a senha de acesso local
Verso da Apostila: 6.0Rev1 59
-
Verso da Apostila: 6.0Rev1 60
-
61Verso da Apostila: 6.0Rev1
-
O logging registra os eventos que ocorrem no switch. Os eventos podem ser salvos na memria RAM, Flash, encaminhados para umservidor syslog ou enviados por e-mail.Por padro o logging est ativo logging on.
Quando configuramos o nvel de evento que ser logado, na verdade estamos configurando o range a partir do nvel 0 (maior
severidade) at o nvel que est sendo configurado. Portanto, uma configurao com nvel de evento 3, ir logar mensagens do nvel
0 3.
62Verso da Apostila: 6.0Rev1
-
A atualizao de firmware pode ser feita via DmView, http/https e por CLI a partir de um servidor TFTP atravs do comando copy.
O arquivo enviado para a memria RAM do switch e aps os procedimentos de validao da imagem, esta gravada em memriasobrescrevendo o firmware que est inativo, sendo possvel armazenar dois firmwares simultneamente. Este processo pode levaralguns minutos. Quando a gravao do novo firmware for concluida, ser necessrio rebootar o switch para que o novo firmwareentre em funcionamento.
Para o DM4000, ser necessrio enviar a imagem do firmware para a MPU e placas de interface
Atravs do comando show firmware, possvel verifcar as verses de firmware que esto armazenadas, qual est ativa (R) e qualest marcada com a flag startup (S).
DmSwitch3000#show firmware
Running firmware:
Firmware version: 5.0
Stack version: 2
Compile date: Fri Sep 21 21:03:31 UTC 2007
Flash firmware:
ID Version Date Flag Size
1 4.3 25/06/2007 17:16:54 8284544
2 5.0 21/09/2007 21:03:44 RS 8725360
Flags:
R - Running firmware.
S - To be used upon next startup.
E - Empty/Error
Para deletar um dos firmwares armazenados na flash, utilizar o comando erase:
DM4000#erase firmware
63Verso da Apostila: 6.0Rev1
-
2. A quantidade de memria livre deve ser maior que 19.000Kb antes do inicio da transferncia (por TFTP, web ou DmView) do novo
firmware para o DmSwitch. Como a imagem do novo firmware igual ou maior que 10.488kB, necessrio
que esteja disponvel aps a transferncia do firmware para a memria RAM mais do que 8.000 kB.
Aps a transferncia do arquivo contendo a imagem do firmware, iniciar a gravao desta imagem na memria flash. Alguns
minutos aps o final da gravao, o DmSwitch ir liberar da memria RAM a imagem do firmware transferido, fazendo com que o
valor da memria livre normalize. Verificar novamente antes do reboot que a memria livre est acima de 19.000kB.
Memria livre baixa:
Se a memria livre estiver abaixo do valor recomendado antes do inicio da transferncia do arquivo, verifique primeiro se h vrios
usurios conectados na gerncia do equipamento atravs de sesses telnet, ssh ou http. Cada sesso ocupa aproximadamente
1.500kB da memria.
Recomendamos que durante a transferncia e gravao do arquivo, apenas 1 (uma) sesso esteja aberta no equipamento para que
se tenha o mximo de recursos disponveis no switch.
A verificao de usurios conectados feita atravs do comando:
DmSwitch3000#show managers
Para desconectar os usurios pode-se efetuar duas opes: reiniciar o equipamento, ou diminuir i tempo do timeout para conexes
de terminal atravs do comando:
DmSwitch3000(config)#Terminal timeout 15 (setando um timeout de 15 segundos) Todos os usurios conectados com
tempo de inatividade maior que 5 segundos sero desconectados.
Verso da Apostila: 6.0Rev1 64
-
O Debug de protocolos utilizado para verificar a troca de mensagens de protocolos em tempo real.
Para habilitar o Debug, basta digitar:
Dmswitch3000#debug
As mensagens iro aparecer na tela do terminal. Para desabilitar o debug, digite mesmo com a tela correndo com as mensagens:
Dmswitch3000#no debug
65Verso da Apostila: 6.0Rev1
-
Para possibilitar a deteco e preveno de ameaas, o DmSwitch suporta espelhamento de portas N-1*. Isto permite o
espelhamento do trfego para uma verificao externa rede tal como um dispositivo para deteco de intruso para uma anlise
minuciosa ou para utilizao por um administrador de rede para diagnstico.
A opo preserve-format deve ser habilitada, para que o trfego espelhado mantenha o mesmo formato do frame (tagged ou
untagged) conforme a configurao da porta espelhada. Caso contrrio, o switch ir usar as configuraes da porta de destino do
mirror para formar os pacotes.
*Podem existir vrias portas de origem, mas somente uma porta de destino.
66Verso da Apostila: 6.0Rev1
-
67Verso da Apostila: 6.0Rev1
-
68Verso da Apostila: 6.0Rev1
-
Em caso de esquecimento da senha de acesso local, possvel executar um procedimento para recuperar a mesma sem que o equipamento percasuas configuraes. Entretanto, para tal procedimento, ser necessrio a interrupo do servio temporariamente (a execuo do procedimento nodura mais que 10 minutos).
Para acessar o boot do equipamento, aps reset pressionar simultaneamente as teclas ctrl+c (deve-se ficar pressionando ambas teclas assim que o
equipamento desligar, pois a opo de acessar o boot ocorre em 3 segundos aps iniciao do sistema do switch)
Exemplo dos comandos:
=>printenv (Atravs deste comando possvel verificar qual a flash atual est sendo utilizada)
bootargs=root=/dev/mtdblock0
serial#=561602
MF=1
ethaddr=00:04:DF:10:44:85
HM=2
HV=1
FBMP=0
TF=1
bootcmd=bootm 70F00000; bootm 70000000; bootp; imsave 1; reset
CATL=2 (observe esta linha: quando mostrado CATL=0, significa que a flash-config usada para startup a 1. Neste exemplo (CATL=2)significa que a flash-config usada a flash-config 3
stdin=serial
stdout=serial
stderr=serial
Environment size: 208/65532 bytes
=>setenv CATL (Este comando configura o equipamento a iniciar com a configurao default)
=>saveenv (depois deste comando, desligue o equipamento e ligue novamente)
Aps Para acessar o equipamento, utilize a senha padro (admin/admin) e carregue a configurao salva.
DM4000#copy flash-config 1 running-config (Carregando a configurao correta)
Loading configuration in flash 1...
Applying configuration...
Done.
DM_CORE#configure
DM_CORE(config)#username admin password 0 admin (Alterando a senha da configurao correta)
DM_CORE#copy running-config startup-config 1
69Verso da Apostila: 6.0Rev1
-
70Verso da Apostila: 6.0Rev1
Neste captulo sero apresentados os conceitos e configuraes sobre VLANs na linha Metro Ethernet DATACOM. Aps o trmino
deste captulo o aluno estar apto :
Entender a diferena entre os formatos de frames ethernet
Configurar as opes de VLANs
Entender o conceito de QinQ
Configurar as opes de QinQ
-
A tcnica de VLAN (Virtual LAN) consiste em criar um agrupamento lgico de portas ou dispositivos de rede. As VLANs podem seragrupadas por funes operacionais ou por departamentos, independentemente da localizao fsica dos usurios. Cada VLAN vista como um domnio de broadcast distinto. O trfego entre VLANs restrito, ou seja, uma VLAN no fala com outra a no ser quese tenha um elemento de nvel 3 que faa o roteamento entre as diferentes VLANs. Um broadcast propagado por um elemento derede pertencente a uma VLAN s vai ser visto pelos elementos que compartilham da mesma VLAN.
As VLANs melhoram o desempenho da rede em termos de escalabilidade, segurana e gerenciamento de rede. Organizaesutilizam VLANs como uma forma de assegurar que um conjunto de usurios estejam agrupados logicamente independentemente dasua localizao fsica. Por exemplo, os usurios do Departamento de Marketing so colocados na VLAN Marketing e os usurios doDepartamento de Engenharia so colocados na VLAN Engenharia. Operadoras tambm utilizam VLANs para oferecer segmentaodos servios oferecidos aos seus diversos clientes.
VLANs podem ser configuradasde duas maneiras:
Estaticamente: Atravs da atribuio de uma porta do switch para uma determinada VLAN. (mais usado)
Dinamicamente: Atravs de protocolos dinmicos que aprendem as VLANs.
Em termos tcnicos o Switch adiciona uma etiqueta (TAG) no quadro ethernet que permite a identificao de qual VLAN pertence oquadro dentre outros parmetros. A especificao 802.1q define dois campos no cabealho ethernet de 2bytes que so inseridos noquadro ethernet a frente do campo Source Address:
TPID (Tag Protocol Identifier) Este campo correspondente ao Ethertype do quadro comum ethernet e est associado a um nmerohexadecimal especfico: 0x8100*
TCI (Tag Control Information). Este campo composto por trs sub-campos:
- PRI: (3bits) Especifica bits de prioridade definidos pelo padro 802.1p e usados para fazer marcao de nvel 2 usando classes deservio distintas (CoS);
- CFI: (1bit) Usado para prover compatibilidade entre os padres Ethernet e Token Ring;
- VLAN ID: (12bits) Este campo identifica de forma nica a VLAN a qual pertence o quadro ethernet. Como o campo possui 12bits,o nmero de VLANs est limitado 4096**.
OBS:
* Este valor indica que o prximo campo uma tag de vlan. A indicao 0x Indica que o prximo nmero um valor hexadecimal.
** Apesar do valor convertido (2^12) ser equivalente 4096, os valores vlidos para id de vlan vai de 1 4094. O primeiro valor 0(000000000000) invlido para vlan e o ltimo valor 4095 (111111111111) est reservado para futuras implementaes. Considera-se uma boa prtica no usar a VLAN 1 como vlan de servio e gerncia, pois esta a vlan default na maioria dos switches eprotocolos.
Fonte: IEEE 802.1q 1998.
71Verso da Apostila: 6.0Rev1
-
Quando o switch recebe um frame, ele verifica se o Tag de VLAN est presente neste frame. Se h um Tag de VLAN (tagged), oframe encaminhado diretamente ao restante das portas membros da VLAN correspondente. Se no h um Tag de VLAN(untagged) no frame recebido, o switch ento encaminha o frame para as portas membros da VLAN de acordo com a configurao deVLAN nativa da porta.
Por default, todas as portas so membros untagged da VLAN 1. Todas as portas que no forem configuradas como membros de umanova VLAN, sero membros da VLAN 1 (Default VLAN). No possvel deletar a VLAN 1.
DmSwitch3000#show vlan table id 1
Membership: (u)ntagged, (t)agged, (d)ynamic, (f)orbidden, (g)uest, (r)estricted, (a)ssignment
uppercase indicates port-channel member
VLAN 1 [DefaultVlan]: static, active
Unit 1 2 4 6 8 10 12 14 16 18 20 22 24 26 28
u u u u u u u u u u u u u u
u u u u u u u u u u u u u u
1 3 5 7 9 11 13 15 17 19 21 23 25 27
72Verso da Apostila: 6.0Rev1
-
A opo ingress-filtering quando habilitada, faz com que pacotes com tag de vlans diferentes das configuradas nasportas sejam descartados.
DmSwitch3000(config-if-eth-1/1)#switchport ingress-filtering
A opo acceptable-frames-types quando habilitada define o tipo de pacote que ser permitido na porta. Caso cheguena porta um pacote diferente que configurado, este descartado.
DmSwitch3000(config-if-eth-1/1)#switchport acceptable-frame-types
Pode-se verificar o status das VLANs:
DmSwitch3000(config)#show vlan
Global VLAN Settings:
QinQ: Disabled
VLAN: 1 [DefaultVlan]
Type: Static
Status: Active
IP Address: 192.168.0.25/24
Aging-time: 300 sec.
Learn-copy: Disabled
MAC maximum: Disabled
EAPS: protected on domain(s) 1
Proxy ARP: Disabled
Members: All Ethernet ports (static, untagged)
Forbidden: (none)
73Verso da Apostila: 6.0Rev1
-
Verso da Apostila: 6.0Rev1 74
-
Geralmente, ISPs possuem clientes associados a VLANs especficas que necessitam comunicar com seus sites remotos. Uma
soluo para atender esta aplicao, utilizar-se da tcnica de transportar a tag da VLAN do cliente atravs da rede do ISP at o site
remoto. Contudo, esta alternativa traz um problema: o nmero de VLANs que podem ser criadas em um switch est limitado a 4094
e portanto, a medida que a demanda por VLANs cresce, este nmero pode ser facilmente extrapolado.
Uma maneira de se resolver o problema supramencionado seria usando o mecanismo de QinQ (802.1q Tunneling). O QinQ um
mtodo de tunelamento que permite ISPs oferecerem servios de transporte de tag de vlans de clientes de maneira transparente
atravs da rede do ISP. O tunelamento transparente dos tags de vlans feito adicionando-se um segundo tag, tambm chamado de
OUTER TAG ou mesmo METRO TAG. Todos quadros de vlans de clientes so marcados com um METRO TAG especfico(atribudo de forma transparente pelo ISP na borda da sua rede), e ento, transportado pela rede do ISP at o seu destino (ponto de
interconexo entre o ISP e o cliente), onde o METRO TAG extrado e o quadro original com o tag da vlan do cliente encaminhado.
75Verso da Apostila: 6.0Rev1
-
QinQ Mode:
external: o padro para as portas FastEthernet do DmSwitch 3000. No modo external, todos os frames que forem recebidos nainterface iro receber mais um Tag de VLAN. Geralmente usado nas portas de acesso. A VLAN que o frame ir receber a VLAN
configurada como NATIVE VLAN da porta de interface e o tipo de VLAN configurada deve ser do tipo untagged.
internal: o padro para as portas GBE. No modo internal, somente os frames que forem recebidos na interface com o valor docampo TPID diferente daquele configurado na prpria interface, iro receber mais um Tag de VLAN. O TPID so os primeiros 2 bytes
no Tag de VLAN que tambm corresponde ao campo ethertype nos frames untagged. O valor defaut 0x8100. A VLAN deve ser
configurada no tipo tagged e associada nas portas onde o trfego dever ser comutado.
Exemplo de configurao
DmSwitch3000(config)#vlan qinq
DmSwitch3000(config)#interface vlan 100 (s-vlan, outer-vlan)
DmSwitch3000(config-if-vlan-100)#set-member tagged ethernet 25 (Interface de ligao ao backbone)
DmSwitch3000(config-if-vlan-100)#set-member tagged ethernet 26 (Interface de ligao ao backbone)
DmSwitch3000(config-if-vlan-100)#set-member untagged ethernet 2 (Interface de Acesso)
DmSwitch3000(config-if-vlan-100)#interface ethernet 2
DmSwitch3000(config-if-eth-1/2)#switchport native vlan 100
DmSwitch3000(config-if-eth-1/2)#switchport qinq external
76Verso da Apostila: 6.0Rev1
-
77Verso da Apostila: 6.0Rev1
Neste captulo sero apresentados os conceitos e configuraes utilizados nos protocolos de proteo de trfego e loop de ethernet.
Aps o trmino deste captulo o aluno estar apto :
Entender as diferenas entre os protocolos da famlia Spanning-tree
Entender e configurar o funcionamento do protocolo EAPS
Entender o uso de vlan-group
-
O Protocolo Spanning-Tree um protocolo bridge-to-bridge desenvolvido pela DEC (Digital Equipament Corporation) e foi
posteriormente revisado pelo IEEE sendo especificado no padro 802.1d.
O propsito do STP permitir a redundncia de links sem que loopings de rede ocorram. O STP monitora a rede constantemente
bloqueando as portas redundantes e evitando assim a ocorrncia indesejada de loopings. Ele faz isso construindo uma topologia STP
(rvore STP ) de forma que uma falha ou adio de um link seja descoberta rapidamente.
O STP estabelece um n raiz chamado de ROOT BRIDGE (switch raiz). Esse n constri uma topologia que determina um caminho
para alcanar todos os ns da rede. A rvore tem sua origem na bridge raiz. Os links redundantes que no fazem parte da rvore do
caminho mais curto so bloqueados. Pelo fato de alguns caminhos serem bloqueados, possvel obter uma topologia sem loop. Os
quadros de dados recebidos em links bloqueados so descartados.
O STP requer que os dispositivos de rede troquem mensagens (BPDUs) para detectar loop de rede. Os links que causam loop so
colocados em estado de bloqueio. Os switches propagam as BPDUs (Bridge Protocol Data Units) via multicast, em intervalos
constantes de 2s. As BPDUs so trocadas por todos switches permitindo assim o clculo da topologia STP livre de loop. BPDUs
continuam a ser recebidas nas portas bloqueadas. Isso garante que se um caminho ou dispositivo ativo falhar, uma nova topologia
STP poder ser calculada. Abaixo, os campos de uma BPDU:
78Verso da Apostila: 6.0Rev1
-
O protocolo STP implementa alguns timers que obrigam as portas a aguardarem por um perodo de tempo antes de tomar decises
prematuras em relao a eventos de mudana na topologia STP. So eles:
HELLO: (2s) Corresponde ao intervalo de tempo atravs do qual BPDUs so propagadas entre os switches.
MAX AGE: (20s) Este timer informa o perodo de armazenamento da ltima BPDU que o switch recebeu. Caso este timer se esgote,o switch concluir que uma alterao na topologia ocorreu. O MAX AGE um tempo para que o switch possa reagir qualquer
alterao na topologia STP evitando assim que decises prematuras sejam tomadas.
FORWARD DELAY: (30s) Corresponde a perodo de tempo que encerra a alternncia entre os modos learning e listening.
Todas as portas que participam do processo STP devero passar pelos quatro estados citados abaixo. Um switch no deve mudar o
estado de uma porta de inativo para ativo imediatamente, pois isso pode causar loop. Os estados de porta do STP 802.1d so:
BLOCKING: Portas neste estado s podem receber BPDUs. Os quadros de dados so descartados e nenhum endereo pode seraprendido. A passagem para o estado seguinte pode levar at 20 segundos (MAX-AGE), tempo este necessrio para o switch
concluir que ocorreu uma mudana na topologia SPT.
LISTENING: Neste estado, os switches determinam se h outros caminhos at a bridge raiz. O caminho que no for o caminho demenor custo at a bridge raiz volta para o estado de bloqueio. O perodo de escuta chamado de atraso de encaminhamento e dura
15 segundos. No estado de escuta, no ocorre encaminhamento de dados nem aprendizagem de endereos MAC. As BPDUs so
enviadas e transmitidas. O estado LISTENING realmente usado para indicar que a porta est se preparando para transmitir, mas
que gostaria de escutar o meio mais um pouco para certificar que a porta no criar loopings.
LEARNING: Neste estado, no ocorre encaminhamento de dados de usurios, mas h aprendizagem de endereos MAC a partir dotrfego recebido. O estado de aprendizagem dura 15 segundos e tambm chamado de atraso de encaminhamento. As BPDUs so
transmitidas e recebidas.
FORWARDING: Neste estado, ocorre o encaminhamento de dados e os endereos MAC continuam a ser aprendidos. As BPDUsso transmitidas e recebidas.
DISABLED: Esse estado pode ocorrer quando um administrador desativa a porta ou a porta falha.
79Verso da Apostila: 6.0Rev1
-
O primeiro passo na criao da Topologia STP livre de loop o processo de eleio do ROOT BRIDGE (SWITCH RAIZ). O ROOT
BRIDGE o ponto de referncia que todos os switches usaro para determinar se h loopings na rede. Ele o mestre da topologia
STP.
Todo switch recm inserido na rede assume ser o ROOT BRIDGE e ajusta o campo ROOT BID igual ao seu BRIDGE ID. Isso ocorre
s no primeiro boot. Da em diante ele iniciar o processo de propagao de BPDUs para que os outros switches da rede tomem
conhecimento da sua insero e para que ele possa se situar na topologia.
O ROOT BRIDGE ser o switch que tiver o menor BID (8 bytes PRIORITY + MAC). Caso a prioridade dos switches for igual, oswitch que tiver o menor endereo MAC ser eleito o ROOT BRIDGE. Todas as portas do ROOT BRIDGE so chamadas
DESIGNATED PORTS (PORTAS DESIGNADAS) e encontram-se em modo FORWARDING. Todos os switches restantes da
topologia so chamados de NON ROOT (NO RAIZ).
A porta do switch NON ROOT (no RAIZ) de menor custo (Largura de banda do link) em relao ao ROOT BRIDGE chamada
ROOT PORT (PORTA RAIZ), e encontra-se em modo FORWARDING. As portas restantes que participam do processo STP so
bloqueadas e, portanto, encontram-se em modo BLOCKED. Essas portas continuam a receber BPDUs, mas no enviam e recebem
dados.
Quando a rede est estabilizada, os seguintes elementos devem existir:
Uma ROOT BRIDGE por topologia STP;
Uma ROOT PORT por bridge no raiz;
Uma DESIGNATED PORT por segmento (onde h mais de uma porta por segmento, apenas uma delas dever atuar como portadesignada e a outra dever ser bloqueada);
Critrio para a eleio da ROOT PORT :
1 Menor ROOT PATH COST;
2 Menor SENDER BRIDGE ID;
3 Menor SENDER PORT ID.
80Verso da Apostila: 6.0Rev1
-
Diferenas entre os STP e o RSTP:
Three port states: O RSTP possui apenas 3 port states, enquanto o STP possui 4 + 1 port states. Isto significa que os estados"Blocking, Listening e Disabled" foram condensados em um nico estado para o 802.1w, o "Discarding state".
Alternative Port e Backup Port: Em situaes onde temos duas ou mais portas presentes no mesmo segmento, apenas umadelas poder desempenhar a funo de "Designated Port". As outras portas sero rotuladas "Alternative Port" e, caso existam trs ou
mais portas, "Backup Port", respectivamente. A Alternative Port uma porta que oferece um caminho alternativo para o ROOT
BRIDGE da topologia no switch no designado. Em condies normais, a Alternative Port assume o estado de discarding na
topologia RSTP. Caso a Designated Port do segmento falhe, a Alternative Port ir assumir a funo de Designated Port. J a Backup
Port uma porta adicional no switch no designado. Ela no recebe BPDUs.
Fast Aging: Na implementao 802.1d, somente o Root bridge poder notificar via BPDUs eventos de mudana na rede. Osdemais switches simplesmente fazem a alterao nos campos necessrios e, em seguida, efetuam o "relay" desta BPDU para os
outros switches atravs de suas designated ports. Isto mudou com a chegada do RSTP - 802.1w. No RSTP, todos os switches so
capazes notificar eventos de mudana na topologia em suas BPDUs e "anunci-los" em intervalos regulares definidos pelo hello-time.
Portanto, a cada 2 segundos (Hellotime) os switches criaro os seus prprios BPDUs e enviaro estes atravs de suas designated
ports. Se num intervalo de 6s (3 BPDUs consecutivas) o swich no receber BPDUs do seu vizinho, o mesmo ir assumir que o n
vizinho no faz mais parte da topologia RSTP e ir fazer o estorno das informaes de nvel 2 da porta conectada ao vizinho. Isso
permite a deteco de eventos de mudana mais rapidamente do que o MAX AGE do STP 802.1d, sendo a convergncia agora feita
LINK by LINK.
Edge e Non-edge ports: O RSTP define dois tipos de portas: Edge e Non-edge ports. As Edge ports so portas que devem estarconectadas a apenas um n de servio. Elas so uma evoluo do mecanismo de port-fast usado no STP, no entanto,
diferentemente do port-fast que bloqueia a porta ao receber BPDUs, a edge port se transforma em non-edge ports. Non-edge ports
so portas point-to-point ou portas shared, ou seja, so portas que esto conectadas ao outro switch na outra ponta ou ento a um
hub respectivamente. Non-edge ports devem operar em FULL-DUPLEX obrigatoriamente.
81Verso da Apostila: 6.0Rev1
-
O MSTP (Multiple STP) definido sobre o padro IEEE 802.1s uma evoluo do RSTP, cujo o objetivo possibilitar mltiplas
instncias RSTP.
O MSTP reduz o nmero total de instncias RSTP gerada pelo clculo de uma instncia para cada vlan. Atravs do agrupamento de
mltiplas vlans em uma nica instncia RSTP compartilhando a mesma topologia lgica, o switch tem o seu overhead de BPDUs
reduzido e um tempo de convergncia mais rpido.
Cada instncia MSTP possui um topologia lgica independente das outras instncias MSTP. Dessa forma, o MSTP permite o load
balance das instncias de tal maneira que o trfego das vlans que foram mapeadas para uma determinada instncia possa usar
caminhos diferentes de outras instncias.
Uma instncia MSTP corresponde a um grupo de VLANs que compartilham a mesma topologia lgica RSTP, pertencentes a uma
REGION. Por default, todas as vlans que participam do processo MSTP pertencem a Ist0 (Instncia 0). atravs da Ist0 que as
diferentes REGIONs se comunicam trocando BPDUs. Instncias MSTPs no enviam BPDUs fora da REGION, somente a Ist0 faz
isso. Dentro da REGION os switches trocam BPDUs inerentes s diferentes instncias que podem existir, cada uma delas contendo o
id da instncia de origem alm de outras informaes pertinentes ao processo.
Ist0s em diferentes REGIONs so interconectadas por uma Cst (Common Spanning-Tree), permitindo assim a comunicao entre
diferentes REGIONs e a inter-operabilidade entre os padres de protocolos STP. Assim sendo, todas as REGIONs podem ser vistas
como uma bridge virtual rodando uma Cst.
Para que switches estejam numa REGION, cada switch deve ter as mesmas configuraes de vlans mapeadas para suas respectivas
instncias e nmero de reviso. No vantajoso segmentar a rede em diferentes REGIONs, pois isso acarretaria em aumento
significativo do overhead de CPU e tambm administrativo.
A coleo de Ists em cada REGION MSTP e as Cst que interconectam as Ists so chamadas de Cist (Common and Internal
Spanning-Tree).
NOTA: O REVISION NUMBER um decimal usado para manter o controle das atualizaes MSTP em uma REGION. Ele deve ser o
mesmo em todos os switches pertencentes a mesma REGION, assim como o as configuraes de vlans mapeadas para cada
instncia MSTP
82Verso da Apostila: 6.0Rev1
-
83Verso da Apostila: 6.0Rev1
-
Introduo:
Muitas Redes Metropolitanas (MANs) e algumas redes locais (LANs) tm uma topologia em anel, normalmente, utilizando para isso
uma estrutura de fibras ticas. O Ethernet Automatic Protection Switching (EAPS foi desenvolvido para atender somente as
topologias em anel, normalmente utilizadas em redes ethernet metropolitanas. Devido a grande capacidade de transmisso das
redes Metro Ethernet existe a necessidade de haver redundncia/proteo do trfego em caso de falha. O EAPS converge em at 50
milissegundos, o que suficiente para que trfegos sensveis (voz, por exemplo) no percebam a falha. Esta tecnologia no tem
limite de quantidade de equipamentos no anel, e o tempo de convergncia independente do nmero de equipamentos no anel.
Conceito de Operao:
Um domnio EAPS existe em um nico anel Ethernet. Qualquer VLAN que ser protegida configurada em todas as portas do
domnio EAPS. Cada domnio EAPS tem um equipamento designado como MESTRE". Todos os outros equipamentos do anel soreferidos como equipamentos "TRANSITO".
Por se tratar de uma topologia em anel, obviamente, cada equipamento ter 2 portas conectadas ao anel. Uma porta do equipamento
MESTRE designada como primria" enquanto a outra porta designada como "porta secundria". Em operao normal, oequipamento MESTRE bloqueia a porta secundria para todos os quadros Ethernet que no sejam de controle do EAPS evitando
assim um loop no anel.
Se o equipamento MESTRE detecta uma falha do anel ele desbloqueia a porta secundria permitindo assim que os frames de dados
Ethernet possam passar por essa porta.
Nos equipamentos TRANSITO, h configurao de portas primria e secundria, no entanto, o seu funcionamento no como no
MESTRE. Nestes equipamentos as portas SEMPRE ficam transmitindo frames.
Existe uma VLAN especial denominada "Control VLAN", que pode sempre passar por todas as portas do domnio EAPS, incluindo a
porta secundria do equipamento MESTRE. Por esta VLAN passam quadros do prprio EAPS que so utilizados tanto como
mecanismo de verificao quanto mecanismo de alerta.
84Verso da Apostila: 6.0Rev1
-
Deteco de Falhas
Alerta de Link Down: Quando um equipamento trnsito detecta um link down em qualquer uma das suas portas do domnio EAPS,o equipamento envia imediatamente uma mensagem de link down atravs da VLAN de controle para o equipamento mestre. Quando
este recebe esta mensagem o estado do anel alterado de "normal" para o estado de falha e desbloqueia a porta secundria.Neste momento o equipamento MESTRE efetuar um flush de sua tabela de MAC Addresses, e tambm o envia um frame de controle
para que todos os demais equipamentos do anel faam o mesmo.
Ring Polling: O equipamento MESTRE envia um frame do tipo health-check na sua VLAN de controle com intervalo configurvelpelo usurio. Se o anel estiver concludo, o frame de health-check ser recebido em sua porta secundria, onde o equipamento
mestre ir redefinir o seu timer e continuar a operao normal.
Se o equipamento MESTRE no receber o frame de health-check antes do prazo do fail-timer expirar, o estado do anel passar de
normal para estado de falha e a porta secundria ser desbloqueada. O equipamento MESTRE efetua um flush em sua tabela *FDB
e envia um quadro de controle para todos os outros equipamentos, instruindo-os a limpar a suas tabelas. Imediatamente aps o
flush, cada equipamento comea a aprender a nova topologia (mac learning). Este mecanismo de ring polling fornece ao anel uma
contingncia em caso dos quadros de link down se perderem por algum motivo imprevisto.
Restaurao do Anel: O equipamento mestre continua o envio peridico de frames health-check atravs sua porta primria, mesmoquando operando com o anel em estado de falha. Uma vez o anel restaurado, o prximo health-check ser recebido na porta
secundria do equipamento mestre. Isto far com que o equipamento mestre volte o anel em estado normal, logicamente bloqueando
os frames que no sejam de controle em sua porta secundria, at que o mesmo limpe sua tabela MAC, e envie um frame de
controle para os equipamentos transito, instruindo-os a efetuar um flush de suas tabelas e re-aprender a topologia.
Durante o tempo entre o equipamento de TRNSITO detectar que o link foi restaurado e o equipamento MESTRE detectar que o
anel foi restaurado, o porta secundria do equipamento mestre ainda est aberta (UP) criando a possibilidade de um looptemporrio na topologia. Para evitar isso o equipamento TRNSITO vai colocar a porta que voltou ao normal estado de bloqueio
temporrio, chamado de "pr-forwarding. Quando o equipamento trnsito est com uma de suas portas em estado de " pr-forwarding somente os quadros de controle trafegam, assim que o mesmo receber um quadro de controle instruindo-o para efetuarum flush tabela FDB, assim que o fizer, ser liberado o trfego de todas as VLANs protegidas restaurando o estado do anel para
normal.
*FDB=Forward Data Base
85Verso da Apostila: 6.0Rev1
-
As portas que conectam o switch ao anel devem ser membros tagged da VLAN de controle. O comando show EAPS mostra o status
dos domnios configurados:
DmSwitch3000#show eaps
ID Domain State M Pri Sec Ctrl Protected#
--- --------------- --------------- --- ----- ----- ------ -----------
1 Treinamento Links-Up T 1/25 1/26 4094 0
SW3-3000#show eaps detail
Domain ID: 0
Domain Name: Transit
State: Links-Down
Mode: Transit
Hello Timer interval: 1 sec
Fail Timer interval: 3 sec
Pre-forwarding Timer: 6 sec (learned) Remaining: 0 sec
Last update from: 00:04:DF:10:98:93, Eth 1/26, Sat Jan 3 21:50:05 1970
Primary port: Eth1/25 Port status: Up
Secondary port: Eth1/26 Port status: Down
Control VLAN ID: 4094
Protected VLAN group IDs: 0
86Verso da Apostila: 6.0Rev1
-
87Verso da Apostila: 6.0Rev1
Neste captulo sero apresentados os conceitos e configuraes de tunelamento de protocolos de nvel 2.
Aps o trmino deste captulo o aluno estar apto :
Entender o conceito de l2tp
Configurar o l2tp
-
Por definio, Switches descartam MAC addresses para destinos conhecidos como sendo protocolos de nvel 2. O tunelamento de
protocolos layer 2 baseado na modificao do MAC address de destino para os frames de controle de protocolos. Frames de
protocolos recebidos em uma interface habilitada para tunelamento tero seu MAC address de destino alterado para outro endereo
que deve ser o mesmo em todo o caminho por onde os frames tunelados iro trafegar. Com este novo MAC address de destino os
frames sero transportados (flooded) de forma transparente pela rede at alguma outra porta com tunelamento habilitado. O
tunelamento deve ser habilitado somente nas portas que iro converter o frames de protocolos em frames tunelados e/ou frames
tunelados em frames de protocolos. Nas portas intermedirias no caminho do tunelamento o mesmo deve ser habilitado.
No exemplo da Figura 1, os switches no conseguem trocar BPDUs fazando com que cada switch ache que o root bridge natopologia STP colocando suas portas no estado de encaminhamento de pacotes. Nesta condio ocorrer um loop pois no h uma
porta bloqueada abrindo o anel.
Na figurado 2, com o tunelamento habilitado, os switches do cliente podero trocar BPDUs fazendo com que a correta topologia do
STP seja aplicada evitando o loop.
88Verso da Apostila: 6.0Rev1
-
89Verso da Apostila: 6.0Rev1
Neste captulo sero apresentados os recursos de segurana e configuraes necessrias para evitar que um atacante possa
comprometer o trfego de dados.
Aps o trmino deste captulo o aluno estar apto :
Entender o conceito de proteo de CPU
Entender a estrutura de facilidade de filtros
Entender e configurar as protees contra ataques de DoS
Configurar filtros para barrar trfegos nocivos
Configurar prioridades de trfegos com destino CPU
-
Introduo
A natureza das redes de computadores traz a importncia da proteo dos elementos que a compe, de forma a manter o bom
funcionamento dela como um todo. Neste documento ser introduzido o funcionamento das protees contra ataques, loops e/ou m
configuraes em pontos da rede que possam vir a afetar a CPU controladora do DmSwitch.
Dentre as protees existentes pode-se citar aquelas para mitigar o poder destrutivo do excesso dos seguintes tipos:
pacotes direcionados CPU, por exemplo ICMP PING direcionados a um IP configurado no equipamento;
pacotes broadcast em VLANs e portas, tais como ARP REQUEST; pacotes multicast; loops na rede, como pacotes Ethernet
repetidos;
acessos indevidos CPU do equipamento, atravs dos servios de gerncia.
Caso tais configuraes de proteo no sejam realizadas, o equipamento funcionar normalmente. Todavia, em situaes com
problemas mais srios como um loop na rede ou mesmo algum outro evento no desejado, podem ocorrer instabilidades. Entre tais
instabilidades, so reconhecidas:
queda de servios;
desconexo lgica de placas do chassis;
perda de trfego por reprogramao de interfaces.
Verso da Apostila: 6.0Rev1 90
-
Verso da Apostila: 6.0Rev1 91
-
Os filtros de pacotes so regras que permitem fazer a definio de polticas de QoS, segurana, monitoramento de trfego e limitao
de banda. Seu funcionamento baseia-se na classificao ou marcao do trfego a ser tratado, definio da ao a ser tomada e em
quais interfaces o filtro ser aplicado.
Por padro, todo trfego que entra numa interface permitido e no recebe nenhum tipo de restrio ou marcao. Cabe ao
administrador de rede definir as polticas e aplic-las nas interfaces caso se faa necessrio.Atravs do comando filter possivel criar um filtro ou editar um filtro j existente. A ordem em que os parmetros do filtro so
criados no mandatria, pode-se comear o filtro tanto com o parmetro match quanto action ou outro parmetro disponvel
DmSwitch3000(config)#filter [?]
new Create a new filter
1-1280 Select a filter to edit by ID
DmSwitch3000(config)#filter new remark [?]
action Add an action to the filter
disable Disable the filter
enable Enable the filter
ingress Apply the filter to an ingress port
match Set a packet field to be matched
meter Set a meter to be associated to this filter
priority Configure the filter priority
remark Add a remark text
Pode-se criar um filtro desabilitado atravs do parmetro disable. Por default, os filtros estaro ativos a partir de sua criao.
O parmetro priority no tem relao com a prioridade do pacote e sim com a prioridade do filtro. Este parmetro aplica prioridades
diferentes a filtros concorrentes. Ao criar um novo filtro, poder aparecer a mensagem abaixo. Neste caso, deve-se criar o filtro com
uma prioridade diferente.
% 124: Filter conflict: check required and available priorities
92Verso da Apostila: 6.0Rev1
-
Os pacotes broadcast naturalmente so encaminhados a todos os elementos pertencentes VLAN que foram enviados, inclusive a
CPU do switch quando este contiver algum endereo IP nesta VLAN. Mesmo os switches Layer 2, que no fazem roteamento IP,
recebem estes pacotes pois como aprendem os respectivos endereos MAC que esto comunicando.
Para evitar que um nmero abusivo de pacotes broadcast possa influenciar o comportamento, so criadas regras para limitar a ao
destes.
O novo filtro criado far o comutador descartar quando o trfego com destino ao MAC especial FF-FF-FF-FF-FF-FF, destino nico
dos pacotes broadcast, ultrapassar os limites estipulados pelo meter.
Recomenda-se utilizar em todas as portas das VLANs que tenham um IP, inclusive em port-channels.
Mesmo para o caso onde existam muitas VLANs com IP, recomenda-se colocar a opo match vlan para cada uma das VLANs,
evitando que o comutador aja em VLANs em que seja necessrio alto trfego broadcast, como numa VLAN de algum cliente que
tenha esta necessidade. Em especial, recomenda-se o uso de filtros nas VLANs com endereos IP.
NOTA IMPORTANTE: caso exista alguma VLAN (com IP) no protegida por estes filtros, no ser possvel garantir que o elemento
esteja protegido. muito importante configurar estas protees em todas as VLANs criadas e com IP atribudo. Pode-se tambm
utilizar a opo de range de VLANs num mesmo filtro.
No caso de redes que utilizem multicast, importante o controle destes protocolo que podem afetar a CPU, se houver algum
excesso. O procedimento basicamente o mesmo realizado para o broadcast, apenas com alteraes no endereo MAC a ser
conferido pelo filtro.
Verso da Apostila: 6.0Rev1 93
-
Uma diferena importante no comando do multicast em relao ao do broadcast o uso de mscara no destination-mac: todos
endereos MAC que comeando com 01 so de multicast, por isso o uso da mscara 01-00-00-00-00-00. Maiores informaes sobre
os endereos MAC de uso especial est disponvel na RFC 5342.
IMPORTANTE: no necessrio criar outro meter para cada nova VLAN a ser protegida contra excessos de Broadcast/Multicast.
importante que exista apenas um meter para cada tipo de trfego, e que os filtros estejam devidamente configurados. A criao de
mais meters far com que a CPU possa receber mais pacotes do que o desejado para estes tipos de trfego. Ou seja, deve-se usar o
mesmo meter como parmetro em todos os filtros com mesmo intuito.
Verso da Apostila: 6.0Rev1 94
-
Na arquitetura de comutao utilizada nas famlias DmSwitch 3000 e DM4000 previsto que certos tipos de pacotes sejam sempre
encaminhados para anlise na CPU, para que possam ser tratados de formas diferenciadas. Algumas RFCs, inclusive, trazem este
aspecto como algo desejvel (vide RFC 2113 IP Router Alert Option e RFC 2711 - IPv6 Router Alert Option).
Porm nem todas as topologias possuem os mesmos requisitos, sejam por questes de desempenho ou de segurana. Alguns
documentos propostos (vide draft-rahman-rtg-router-alert-dangerous-00) chegam a recomendar que estas RFC citadas acima sejam
desconsideradas e obsoletadas.
Dentro da gama de opes da famlia DmSwitch, a partir do release 7.8.2, possvel configurar se o switch deve ou no receber
pacotes que requisitarem anlise no chamado slow path, ou seja, a CPU. Tais opes esto disponveis apenas quando o
equipamento no ser utilizado para Roteamento IP, pois ao habilitar a opo ip routing necessrio o recebimento dos pacotes para
uma srie de verificaes.
Verso da Apostila: 6.0Rev1 95
-
Com este parmetro de configurao, aps o usurio que estiver conectado interface de gerncia do switch ficar vrios segundos
sem nenhuma nova ao, ele ser desconectado. Isso muito importante quando, por exemplo, um usurio conectado via telnet
deixa sua sesso aberta por tempo indefinido. Dado o nmero de usurios conectados via telnet, SSH, WEB, ou mesmo o uso do
DmView, h um certo consumo de memria. O terminal timeout traz a confiana de que este consumo no seja aumentado por
clientes inativos.
Verso da Apostila: 6.0Rev1 96
-
O nmero ao lado do grupo representa qual fila 802.1P que ser atribuida no campo CoS do pacote quando este for enviado para a
CPU. Caso esta informao de CoS tenha sido modificada na topologia geral da rede, em casos onde filas especficas esto
configuradas para certos servios, a alterao atravs do menu de configurao.
Os pacotes so divididos em quatro grupos, acima listados. Eles significam, respectivamente, pacotes de:
controle L2 (i.e., STP, EAPS);
origem/destino desconhecido (i.e., Destination Lookup Failure, L3 para host no na hosts-table);
tunelamento/tunelados;
trfego padro.
Verso da Apostila: 6.0Rev1 97
-
98Verso da Apostila: 6.0Rev1
Neste captulo sero apresentados os conceitos e configuraes necessrias para a aplicao de qualidade de servio e controle de
congestionamento em L2. Aps o trmino deste captulo o aluno estar apto :
Entender o conceito de rate-limit por interface
Entender o algortimo de limitao de trfego token bucket
Configurar o rate-limit por interface
Entender o conceito de CoS
Configurar o CoS default por interface
Entender o conceito de filas de priorizao (802.1p)
Entender os diferentes algoritmos de enfileiramento de trfego
Entender e configurar o rate-limit por fluxo de trfego usando o conceito de meter
Classificar e priorizar o trfego usando filtros
-
A tcnica de rate-limit usada para controlar a taxa mxima de dados enviados e recebidos em uma interface. A limitao do trfego
de entrada e sada da rede deve ser configurada o mais prximo da origem do trfego.
Dentro do processo de rate-limit existem dois perfis de trfego: in-profile e out-of-profile . O trfego in-profile corresponde aotrfego que se encaixou nas condies de limitao da banda. Todos os pacotes in-profile so encaminhados normalmente. J o
trfego out-of-profile, corresponde ao trfego em excesso, ou seja, que foram alm da banda limitada.
O mecanismo de rate-limit feito em HARDWARE e possibilita uma granularidade de 64kbps at 100Mpbs ou 1Gbps dependendo da
interface. A tcnica de medio do trfego consiste no uso de um modelo matemtico chamado token bucket (balde de fichas). Neste
algoritmo, o balde preenchido com fichas a uma taxa fixa (rate-limit). A capacidade mxima do balde de fichas determinada pelo
Burst. Cada pacote transmitido consome uma ficha do balde. Caso no haja fichas, o pacote no transmitido, podendo ou no ser
armazenado no buffer. A taxa de sada varia de acordo com a taxa de chegada at quando o valor da taxa de chegada for igual ou
menor do que o Rate-limit. As fichas que no so consumidas so acumuladas no balde at ench-lo. A partir da as fichas so
perdidas. Entretanto, quando a taxa de chegada maior do que o Rate-limit a taxa de sada vai depender da quantidade de fichas
armazenadas no balde. Enquanto houver fichas a consumir, a taxa de sada varia de acordo com a taxa de entrada at um mximo
determinado pela velocidade do enlace. Quando no h mais fichas a consumir, o trfego obedece a taxa de gerao de fichas (rate-
limit). Logo este algoritmo permite que ocorram rajadas de trfego c