Treinamento de Configuração, Operação e Manutenção da Linha de Switches Ethernet.
Av. França, 735 - Porto Alegre, Alegre, RS - 90230-220 Suporte Técnico: 51 3358 0122 www.datacom.ind.br Versão da Apostila: 7.0
1
CONTATOS Para contatar o suporte técnico, ou o setor de vendas: • Suporte: E-mail:
[email protected] Fone: +55 51 3358-0122 Fax: +55 51 3358-0101 • Vendas E-mail:
[email protected] Fone: +55 51 3358-0100 Fax: +55 51 3358-0101 • Internet www.datacom.ind.br • Endereço DATACOM Av. Av. França, França, 735 - Porto Alegre, RS - Brasil CEP: 90230-220
Sistema de Gestão da Qualidade certificado pela DQS de acordo com ISO9001 Nº de registro (287097 QM)
Apesar de terem sido tomadas tomadas todas as precauções na elaboração deste documento, documento, a empresa não assume qualquer responsabilidade por eventuais erros ou omissões, bem como nenhuma obrigação é assumida por danos resultantes do uso das informações contidas neste manual. As especifi cações fornecidas neste manual estão sujeitas a alterações sem aviso prévio e não são reconhecidas como qualquer espécie de contrato.
Versão da Apostila: 7.0
2
Neste capitulo serão informadas todas as características de Hardware e Software da linha de equipamentos Metro Ethernet. Após este capítulo capítulo o aluno será capaz de: • • • • • • • • • • • •
Reconhecer os diferentes equipamentos da Linha Linha Metro Ethernet; Ethernet; Entender as características características de tráfego de de cada cada modelo de equipamento; equipamento; Reconhecer e entender as características das placas placas de interface da linha DM4000; DM4000; Reconhecer e entender entender as características características das MPUs MPUs da linha DM4000; Reconhecer os diferentes módulos de interface SFP/XFP; SFP/XFP; Entender algumas das diferentes diferentes topologias topologias onde os equipamentos podem ser utilizados utilizados Neste capitulo capitulo são descritas descritas as características físicas da linha de equipamentos. Após este capitulo o aluno aluno deve ser capaz de: Conhecer as características elétricas da linha de equipamentos Metro Ethernet; Instalar módulos SFP; Reconhecer e instalar o módulo de ventilação da linha DM4000; Reconhecer, inserir e retirar as placas de interface da linha DM4000; Reconhecer, inserir e retirar as placas placas de MPU da linha DM4000. DM4000.
Versão da Apostila: 7.0
3
Gerenciamento da conexão: O conexão: O DmSwitch 2104G – EDD oferece o gerenciamento de conexão alinhado com as mais recentes normas do IEEE 802.3ah (OAM) e 802.1ag (CFM). Isto permite ao operador da rede Metro Ethernet a detecção, o isolamento e a verificação de falhas fim a fim. Facilidades para a implementação de QoS: O QoS: O DmSwitch 2104G – EDD possui 4 filas por porta (ou 3 filas por porta no caso do DmSwitch 2104G – EDD com a porta E1 opcional), com algoritmos de escalonamento escalonamento que permitem permitem definir que determinado determinado fluxo de dados sempre terá prioridade (SP), configurar pesos para cada fila (WRR), definir taxas máximas de encaminhamento, ou ainda uma combinação dessas técnicas. A definição do fluxo de dados dado s ao qual pertence cada pacote pac ote e conseqüente c onseqüente pri orização deste dentro do switch é definida pela porta de entrada deste pacote, ou pelo MAC destino deste, ou ainda pela marcação IEEE 802.1p ou DSCP. O controle de banda permite a definição de PIR (Peak Information Rate) por porta, podendo ser aplicado ao tráfego de entrada ou saída da mesma. VLANs: Suporte VLANs: Suporte a 4.094 VLANs definidas na norma IEEE 802.1Q simultaneamente, oferecendo ainda a funcionalidade de double tagging (QinQ), permitindo desta forma a criação de serviços TLS. Gerenciamento: Gerenciamento: Distribuído acessando cli via interface RS232 ou telnet e centralizado através do DmView, sobre plataformas Windows® e Solaris®. Funcionalidade de gerência remota sem IP. Quando o DmSwitch2104G é gerenciado pelo DmView através dos demais equipamentos da linha (DmSwitch3000 e 4000) em topologia ponto a ponto, não é necessário configurar seu IP ou rotas L3, basta conectar o elemento com a opção configurada que o mesmo tornase acessível via DmView.* Emulação Emulação de circuitos: circuitos: Com Com a montagem do módulo E1 (DmSwitch2000E1) (DmSwitch2000E1) o DmSwitch DmSwitch 2104G – EDD pode ainda suportar a emulação de circuitos TDM sobre a rede Ethernet. Mecanismos de Proteção: Estão Proteção: Estão disponíveis os protocolos de Spanning Tree, incluindo o RSTP que possui tempos de convergência menores e MSTP para melhor aproveitamento de recursos e maior escalabilidade, assim como o protocolo EAPS, específico para proteção sub50ms em anéis Ethernet. Estes mecanismos permitem a construção de topologias com proteção e rapidez na restauração de falhas, para aplicações Metro Ethernet. Dimensões (A x L x P): Peso aproximado: 1kg Condições ambientais: Temperatura de Operação: Armazenamento / Transporte: Transporte: Umidade: Condições Condições Elétricas: Alimentação: Consumo de Potência:
44mm x 195mm x 200mm
0o a 50oC -20o a 65oC 10% a 90% (não-condensada) 93 a 250 VAC ou -36 a -72 VDC, seleção automática 20 W (AC) / 25 W (DC)
Versão da Apostila: 7.0
4
Wire Speed L2 A comutação de pacotes L2 é feita em silício, com switch fabric de 24Gbit/s suportando suportando jumbo frames. VLANs A construção de Virtual LANs no DmSwitch pode utilizar a totalidade das 4.094 VLANs definidas na norma IEEE 802.1q simultaneamente, oferecendo ainda a funcionalidade funcionalidade de double tagging (Q-in-Q), permitindo a criação de serviços TLS.
Segurança A linha DmSwitch possui mecanismos que garantem segurança na operação e manutenção da planta instalada. Através de Syslog local e remoto, relógio único via SNTP, e proteção contra ataques ataques de Denial of Service, é possível construir uma estrutura de gerenciamento confiável. Estão disponíveis mecanismos de de AAA com garantia de entrega via RADIUS e TACACS+. Mecanismos de Proteção Estão disponíveis os protocolos de Spanning Tree, incluindo o RSTP que possui tempos de convergência menores, o MSTP para melhor aproveitamento de recursos e maior escalabilidade, assim como o protocolo EAPS, específico para proteção sub-50ms em anéis Ethernet. Pseudowire Projetado para atender as aplicações de convergência dos serviços legados para a nova rede de pacotes, o DmSwitch possibilita o uso da tecnologia pseudowire (PWE3) para emulação dos atributos essenciais do serviço T DM. As interfaces E1 elétricas presentes presentes no equipamento equipamento são emuladas dentro da rede Ethernet com o uso de pseudowires. pseudowires. As interfaces E1 suportam tanto a utilização em modo framed (estruturado) como unframed, possibilitando transporte de dados “bit transparent”.
Versão da Apostila: 7.0
5
Equipamentos da família DmSwitch 2100 EDD (Ethernet Demarcation Device), possui gabinete plástico. Possui funcionalidades avançadas avançadas para rede Metro L2, como VLAN, QoS, EAPS, xSTP, OAM entre outras
Versão da Apostila: 7.0
6
Wire Speed L2 A comutação de pacotes L2 é feita em silício, com switch fabric de 24Gbit/s suportando suportando jumbo frames. VLANs A construção de Virtual LANs no DmSwitch pode utilizar a totalidade das 4.094 VLANs definidas na norma IEEE 802.1q simultaneamente, oferecendo ainda a funcionalidade funcionalidade de double tagging (Q-in-Q), permitindo a criação de serviços TLS.
Segurança A linha DmSwitch possui mecanismos que garantem segurança na operação e manutenção da planta instalada. Através de Syslog local e remoto, relógio único via SNTP, e proteção contra ataques ataques de Denial of Service, é possível construir uma estrutura de gerenciamento confiável. Estão disponíveis mecanismos de de AAA com garantia de entrega via RADIUS e TACACS+. Mecanismos de Proteção Estão disponíveis os protocolos de Spanning Tree, incluindo o RSTP que possui tempos de convergência menores, o MSTP para melhor aproveitamento de recursos e maior escalabilidade, assim como o protocolo EAPS, específico para proteção sub-50ms em anéis Ethernet. Pseudowire Projetado para atender as aplicações de convergência dos serviços legados para a nova rede de pacotes, o DmSwitch possibilita o uso da tecnologia pseudowire (PWE3) para emulação dos atributos essenciais do serviço T DM. As interfaces E1 elétricas presentes presentes no equipamento equipamento são emuladas dentro da rede Ethernet com o uso de pseudowires. pseudowires. As interfaces E1 suportam tanto a utilização em modo framed (estruturado) como unframed, possibilitando transporte de dados “bit transparent”.
Versão da Apostila: 7.0
7
Wire Speed L2 A comutação de pacotes L2 é feita em silício, com switch fabric de 24Gbit/s suportando suportando jumbo frames. VLANs A construção de Virtual LANs no DmSwitch pode utilizar a totalidade das 4.094 VLANs definidas na norma IEEE 802.1q simultaneamente, oferecendo ainda a funcionalidade funcionalidade de double tagging (Q-in-Q), permitindo a criação de serviços TLS. Segurança A linha DmSwitch possui mecanismos que garantem segurança na operação e manutenção da planta instalada. Através de Syslog local e remoto, relógio único via SNTP, e proteção contra ataques ataques de Denial of Service, é possível construir uma estrutura de gerenciamento confiável. Estão disponíveis mecanismos de de AAA com garantia de entrega via RADIUS e TACACS+. Mecanismos de Proteção Estão disponíveis os protocolos de Spanning Tree, incluindo o RSTP que possui tempos de convergência menores, o MSTP para melhor aproveitamento de recursos e maior escalabilidade, assim como o protocolo EAPS, específico para proteção sub-50ms em anéis Ethernet. Pseudowire Projetado para atender as aplicações de convergência dos serviços legados para a nova rede de pacotes, o DmSwitch possibilita o uso da tecnologia pseudowire (PWE3) para emulação dos atributos essenciais do serviço T DM. As interfaces E1 elétricas presentes presentes no equipamento equipamento são emuladas dentro da rede Ethernet com o uso de pseudowires. pseudowires. As interfaces E1 suportam tanto a utilização em modo framed (estruturado) como unframed, possibilitando transporte de dados “bit transparent”. Router L3 Em versões com roteador integrado, estão disponíveis funções de roteamento (RIP, OSPF e BGP), firewall do tipo SPI (Stateful Packet Inspection) para segurança de redes, translação de endereços e portas (NAT/PAT) de forma que máquinas de uma rede local consigam acessar redes externas, estabelecimento de conexões seguras, marcação e priorização de pacotes em L3 (QoS), capacidade de até 100 Mbit/s.
Versão da Apostila: 7.0
8
Versão da Apostila: 7.0
9
A linha de produtos DmSwitch 3000 é composta por equipamentos equipamentos de comutação wire speed, com número fixo de portas Fast e Gigabit Ethernet, e possibilidade de empilhamento de até 8 unidades. Através das funcionalidades de QoS, é possível manipular e priorizar pacotes até o L7, como também controlar a banda disponibilizada disponibilizada para cada usuário. Os modelos DmSwitch 3200 oferecem comutação de pacotes em nível 2 ( 2 (16K 16K MAC Address, 4K VLANs simultâneas, QiQ P2P e MP2MP), MP2MP), enquanto os modelos DmSwitch 3300 possuem roteamento nível 3 (4K host e 16K LPM entries, 512 virtual router interfaces). Suporta RIPv2, OSPFv2, BGPv4, VRRP. Além das funcionalidades de roteador IP. Como mecanismos de proteção estão disponíveis protocolos de Spanning Tree – Classic, Rapid e Multiple - bem como EAPS (<50ms). É possível também utilizar agregação de portas físicas, formando portas lógicas (link aggregation), possibilitando o aumento de banda e proteção automática em caso de falhas. A linha Metro Ethernet pode ser gerenciada de maneira centralizada através do software DmView, plataforma largamente utilizada para gerência dos demais produtos DATACOM. Os equipamentos possuem Command Line Interface (CLI) via SSH, Telnet e Console RS-232, bem como interface Web. Os equipamentos possuem 2 arquivos de firmware e 4 arquivos de configuração, facilitando o upgrade e o controle de modificações. Os equipamentos da linha DmSwitch 3000 possuem 1U de altura, altura, permitem a instalação a instalação em rack de 19” e oferecem fontes oferecem fontes hot-swap redundantes AC/DC fullrange, entradas e saídas de alarmes. As portas SFP disponíveis permitem a utilização de módulos mini-GBIC com diferentes alcances e tipos de fibra. Resumo das características: Wire Speed: a Speed: a comutação de pacotes L2 e L3 é feita em silício, com switch fabric f abric de 12.8Gbit/s e capacidade de 9,5 milhões de pacotes por segundo. Comutação L3: 512 L3: 512 virtual router interfaces, 16.000 rotas LPM, 4.000 hosts e protocolos de roteamento RIPv2, OSPFv2 e BGPv4 Comutação L2: 16.000 L2: 16.000 endereços MAC Stackable: até Stackable: até 8 equipamentos Facilidades para implementação de QoS L2-L4: 8 L2-L4: 8 filas por porta, com algoritmos de priorização de tráfego Mecanismos de Proteção: STP, Proteção: STP, RSTP, MSTP e EAPS •
•
•
•
•
•
Versão da Apostila: 7.0
10
Versão da Apostila: 7.0
11
O DmSwitch pode ser instalado em um rack de 19 ”. Os suportes de fixação (orelhas) acompanham o produto. Para instalar o DmSwitch em um rack, posicione-o no rack e em seguida, insira dois parafusos (não incluídos) em cada suporte de fixação para firmar o equipamento ao rack. O DmSwitch F2/F3 possui dois conectores de alimentação no painel traseiro, um para cada fonte de alimentação. Se você está usando fonte de alimentação redundante, use dois cabos de alimentação para conectá-los. Se você está usando alimentação DC, o cabo de alimentação poderia ser cortado próximo ao plug da tomada de tal forma que o pino central corresponda ao terra de proteção e os outros dois pinos a fonte de alimentação. A carcaça do equipamento é conectada diretamente ao terra. Em caso de confecção do cabo, deve-se atentar em relação ao pino terra. Para instalar a fonte f onte de alimentação redundante, proceda da seguinte forma: 1- Utilize uma chave Phillips para remover os parafusos que fixam o painel de proteção do slot da fonte correspondente 2- Insira a fonte de alimentação no slot e deslize-a sobre o t rilho. Pressione-a firmimente para assegura que está encaixada encaixada 3- Use suas mãos para apertar os dois parafusos recartilhados fixando firmimente a fonte de alimentação ao slot. Status dos LEDs do sistema:
Versão da Apostila: 7.0
12
A instalação dos módulos SFP é realizada inserindo inserindo o módulo no slot SFP do equipamento. Há somente uma orientação em que o módulo pode ser encaixado. Deslize o módulo e pressione com firmeza para garantir o encaixe. Após o encaixe do módulo, é necessário prender prender a alça de segurança. Para remover os módulos, basta seguir a ordem inversa da instalação, removendo os cordões óticos, baixando a alça de segurança e puxando o módulo pela alça. A instalação e remoção dos módulos módulos podem podem ser feitas com o equipamento equipamento ligado. Os módulos módulos SFP SFP são hot-swappable.
Versão da Apostila: 7.0
13
As teclas de Stacking Stacking podem ser ser desabilitadas para para evitar alterações acidentais no modo de operação. operação. DmSwitch3000(config)#no DmSwitch3000(config)#no stacking keys
Por padrão, ao pressionar uma das teclas, ocorre um atraso na aplicação do novo modo. Será possível visualizar através dos leds no painel frontal um contador regressivo mostrando mostrando o tempo restante para aplicação da nova configuração. configuração. O valor do delay pode ser configurado entre 3 e 9 segundos. Caso o operador retorne as teclas para a posição original durante este intervalo, não ocorrerá a alteração no modo de operação DmSwitch3000(config)#stack DmSwitch3000(config)#stacking ing key-delay <3-9>
As unidades que operam como slave no modo stacking, e não estão conectadas a nenhum master, mostram nos leds do painel frontal as letras NM (No Master). No modo st acking, não é possível configurar a unidade pela porta console. Todos as unidades em uma pilha são gerenciadas através do mast er, como se fossem um único equipamento. O DmSwitch possui das portas DB9 no painel frontal. O conector de alarme acima (3 entradas e 1 saída) e o conector de console abaixo (RS232). Segue a pinagem do conector de console:
Pino
Porta Serial
3
RX
2
TX
4e5
GND
Versão da Apostila: 7.0
14
A linha de switches standalone Gigabit Ethernet DM4100 é composta por 15 diferentes modelos. São equipamentos de 1U de altura, para instalação em racks 19 polegadas. Possuem comutação wire speed e cada modelo apresenta 3 versões distintas, divididas em L2, L3 e MPLS.
CARACTERÍSTICAS: Wire Speed: toda comutação de pacotes L2, L3 (IPv4/IPv6) e MPLS é executada sempre em HW em velocidade wire speed, com matriz de comutação de até 224Gbit/s. L3/MPLS: O DM4100 suporta a construção de redes de acesso baseadas em protocolos Layer Layer 3, tipicamente OSPF, BGP e PIM, e MPLS através de LDP, RSVP-TE e LDP over RSVP. Stackable: até 8 equipamentos. Facilidades para implementação de QoS L2-L4: 8 filas por porta, com algoritmos de priorização de tráfego. Até 4096 VLANs simultâneas: port-based, protocol-based, double tagging (Q-in-Q), dynamic VLAN (GVRP). (baseada por MAC e por IP-Subnet) Principais Mecanismos de Proteção: STP, RSTP, MSTP e EAPS. Suporte a IPv4 e IPv6. MAC Address Table: 32.000 MACs. Aplicações: FTTx oferecendo serviços Fiber-to-the-wherever, permitindo que diferentes tipos de módulos óticos sejam utilizados de acordo com a ocupação, tipo de fibra, velocidade e distância necessárias; Proteção – O DM4100 oferece protocolos de proteção para formação de diversas topologias, incluindo anéis óticos, que permitem uma boa relação custo-benefício; Power Over Ethernet - Suporte a telealimentação para dispositivos PoE/PoE+, tais como câmeras de vídeo, roteadores wireless, telefones IP. O Dm4100 possui 1U de altura, e permite a instalação em rack de 19 polegadas oferecendo fontes hot-swap redundantes AC/DC fullrange.
Versão da Apostila: 7.0
15
Power over Ethernet A tecnologia Power over Ethernet (PoE) (PoE) permite a transmissão de energia elétrica para para um dispositivo remoto, juntamente com os dados da rede Ethernet. A energia é transportada através do mesmo cabo, ou utilizando pares trançados diferentes ou nos mesmos pares, utilizando transformadores. Power Sourcing Equipament (PSE) É o dispositivo que fornece a tensão de alimentação para os dispositivos remotos, através dos cabos no padrão Ethernet. O PSE também é responsável por detectar se o dispositivo conectado na porta é ou não complacente com o padrão do PoE. Isto garante, por exemplo, que um dispositivo que não suporte PoE não receba a tensão nos pares extras de cabo, evitando a queima de equipamentos e outros acidentes. Powered Devices (PD) É o dispositivo que recebe a energia fornecida pelo PSE. Este dispositivo pode possuir suporte ao PoE nativamente ou podese utilizar um equipamento separador intermediário, analogamente aos MPSs, para aproveitamento de equipamentos sem suporte à feature. Como exemplos de dispositivos, podem ser citados: • Switchs remotos e pontos de acesso WiFi; • Câmeras IP; • Telefones IP; • Sensores diversos; • etc.
16
Distribuição da potência disponível Nem sempre é possível que switch forneça toda a potência anunciada em todas as portas, seja por limitações da fonte ou por questões de falha. Portanto, são necessárias medidas de priorização e limitação de potência por portas, garantindo uma distribuição da potência disponível sem comprometer com o funcionamento de equipamentos de maior relevância.
Modo estático No modo estático, a potência para a porta é deduzida do total disponível no momento da configuração. Isso garante potência total para porta (dentro do limite configurado), a qualquer momento. Pode-se reservar valores correspondentes às classes definidas pela norma. Quando a porta é desabilitada, esta potência é devolvida ao total disponível. O switch retorna erro e não aceita a configuração quando esta requer uma potência que excede o máximo disponível no momento. Modo dinâmico No modo dinâmico, a potência reservada para uma porta é definida somente no momento da conexão, de acordo com a classe de potência configurada na porta. A potência reservada reservada é devolvida devolvida para o total disponível disponível no momento da desconexão desconexão ou desabilitação da porta. Em uma situação onde a potência total disponível não seja suficiente para alimentar todas as portas habilitadas, entra em vigor a configuração de prioridade das portas, que determinam quais portas permanecerão alimentadas e quais serão desligadas. Esta configuração de prioridade indica a importância relativa de uma porta em relação as outras. A priorização das portas segue a ordem: 1. Porta em modo Estático; 2. Porta dinâmica de Alta prioridade; 3. Porta dinâmica de Baixa prioridade;
Versão da Apostila: 7.0
17
As opções de de filtro para a saída do do comando são: são: • show poe interface ethernet
/ • show poe unit Configuração default Por default, todas as portas possuem PoE habilitado, no modo dinâmico, potência restrita, prioridade baixa e com classe 0 (15,4W). Configurando porta com PoE modo estático Para se configurar uma porta com prioridade estática, utiliza-se o comando: DM4100(config-if-eth-1/1)#poe DM4100(config-if-eth-1/1)#poe mode static power restrict 15400 No exemplo, configura-se a porta como estática e com potencia restrita à 15,4W (classe 0). O formato completo da configuração é: poe mode static power O valor dos limites só pode assumir os valores 4000, 7000, 15400 e 34200, referente às classes de PoE.
Versão da Apostila: 7.0
18
DM4001 Chassis Gabinete com placa backplane para bastidores de 19 polegadas e 1U de altura, capaz de acomodar 1 placa de interface.
•Compatível com todas as placas de interfaces da l inha DM4000 •Permite que as interfaces da linha DM4000 funcionem em uma versão stand alone, não sendo necessário a utili zação da MPU •Backplane suporta comutação em Wire Speed non-blocking para todas as placas de interface •Chassis suporta 1 placa de interface •Entrada redundante de alimentação -48VDC, -48VDC, com fontes redundantes em cada módulo de interface •Equipamento gerenciado pelo software de gerência de rede DmView, disponibilizando visões topológicas, provisionamento de circuitos, monitoração de de performance e status •Tempo de comutação inferior a 50ms em anéis L2 metro Ethernet
Versão da Apostila: 7.0
19
• Pinagem do cabo de console para o DM4000 series:
• Status dos LEDs do sistema:
Versão da Apostila: 7.0
20
DM4004 Chassis Gabinete com placa backplane para bastidores de 19 polegadas e 6U de altura, capaz de acomodar 4 placas de interface, 2 placas MPU redundantes, 2 placas GPC, m ódulo de ventilação DM4004 FAN e entrada de alimentação alimentação redundante. O backplane realiza as interconexões para tráfego de dados e gerência entre as placas. •Suporte a MPLS: Label Edge (LER) e Label Switch (LSR) Router; • Q-in-Q P2P e MP2MP VLANs, 4K VLANs • Pelo menos 512K menos 512K MACs ou MACs ou 256K 256K rotas Ipv4/IPv6 por Ipv4/IPv6 por Interface Card • 192 Gbit/s e 384 Gbit/s de Gbit/s de capacidade wire speed EAPS, com tempo de restauração < • Link Aggregation, MSTP e EAPS, restauração < 50ms • L2 e L3 VPN over VPN over MPLS
redundantes • CPU, Switch Fabric e Alimentação redundantes • Backplane passivo
Versão da Apostila: 7.0
21
DM4008 Chassis Gabinete com placa backplane para bastidores de 19 polegadas e 10U de altura, capaz de acomodar 8 placas de interface, 2 placas MPU redundantes, 2 placas GPC, m ódulo de ventilação DM4008 FAN e entrada de alimentação alimentação redundante. O backplane realiza as interconexões para tráfego de dados e gerência entre as placas. •Suporte a MPLS: Label Edge (LER) e Label Switch (LSR) Router; • Q-in-Q P2P e MP2MP VLANs, 4K VLANs • Pelo menos 512K menos 512K MACs ou MACs ou 256K 256K rotas Ipv4/IPv6 por Ipv4/IPv6 por Interface Card • 192 Gbit/s e 384 Gbit/s de Gbit/s de capacidade wire speed EAPS, com tempo de restauração < • Link Aggregation, MSTP e EAPS, restauração < 50ms • L2 e L3 VPN over VPN over MPLS
redundantes • CPU, Switch Fabric e Alimentação redundantes • Backplane passivo
Versão da Apostila: 7.0
22
Novo modelo com fonte removível. Suporta fontes DC e AC.
Versão da Apostila: 7.0
23
Para instalar o módulo de ventilação, basta posicioná-lo nos trilhos e empurrá-lo até o fundo do gabinete. Logo em seguida apertar os parafusos recartilhados para melhor fixação do módulo. O processo de manutenção do módulo deve ser executado com rapidez para que o conjunto c onjunto não aqueça demasiadamente Cuidado: Retirar e inserir o módulo de FAN segurando somente pelos parafusos recartilhados. As FAN podem estar em movimento podendo ocasionar acidentes. Para inserir as interfaces no DM4000: 1- As interfaces do DM4000 Series possuem extratores, após posicionar a interface nos trilhos do slot, abrir os extratores e deslizar a placa até que toque no backplane. 2- Deslocar os extratores em direção a interface. 3- Pressionar firmemente o extratores extratores para certificar-se que a interface esteja bem fixada. Para retirar a placa, seguir o procedimento inverso. Em todos os slots do equipamento que não estiverem em uso deverão estar instalados painéis de preenchimento. Estes painéis têm por finalidade não apenas garantir o correto fluxo de ar no equipamento, equipamento, como também fazem a blindagem eletromagnética e protegem o interior. Deve-se tomar cuidados especiais no manuseio das interfaces. Para a inserção e retirada das interfaces, sempre utilizar a pulseira anti-estática que acompanha o produto conectando-a ao terminal terra dos Chassis. O DM4000 series é alimentado em 36 à 72 VDC.
Versão da Apostila: 7.0
24
DM4000 MPU192 Placa central de controle (Main Processor Processor Unit), composta pela CPU principal e matriz de comutação de 192 Gbit/s, podendo ser utilizada em configuração redundante. Opera até 8 placas de interface a 24 Gbit/s cada uma (até 12 interfaces Gigabit por placa de interface) ou até 4 placas de interface a 48 Gbit/s cada uma (até 24 interfaces Gigabit por placa de interface). DM4000 MPU384 Placa central de controle (Main Processor Processor Unit), composta pela CPU principal e matriz de comutação de 384 Gbit/s, podendo ser utilizada em configuração redundante. Opera até 8 placas de interface a 48 Gbit/s cada uma (até 24 interfaces Gigabit por placa de interface) ou até 4 placas de interface a 96 Gbit/s cada uma (até 48 interfaces Gigabit por placa de interface).
Versão da Apostila: 7.0
25
DM4000 MPU512 Placa central de controle (Main Processor Processor Unit), composta pela CPU principal e matriz de comutação de 512 Gbit/s, podendo ser utilizada em configuração redundante. CARACTERÍSTICAS: Compatível com o chassi DM4004 operando até 4 placas de interface a 128Gbit/s Compatível com o chassi DM4008 operando até 8 placas de interface a 64Gbit/s Suporta comutação de até 380.952.381 pps
Versão da Apostila: 7.0
26
Nos chassis DM4004 e DM4008, o gerenciamento do equipamento é feito através da MPU. A MPU possui 3 conectores RJ45. A inserção da MPU é feita nos slots 1A e 1B quando operando com redundância. MGMT ETH: Gerenciamento ethernet outband Console: Gerenciamento do switch via porta RS232 AUX: Gerenciamento Gerenciamento via porta RS232 RS232 dos slots 2 à 5 Status dos LEDs do sistema:
Versão da Apostila: 7.0
27
Versão da Apostila: 7.0
28
Versão da Apostila: 7.0
29
Versão da Apostila: 7.0
30
Versão da Apostila: 7.0
31
Versão da Apostila: 7.0
32
Versão da Apostila: 7.0
33
Descrição dos módulos SFP óticos: Fast Ethernet SFP MS850 100BaseX - Multimode 850nm, 2km SFP MS13 100BaseX - Multimode 1310nm, 2km SFP SS13 100BaseX - Singlemode 1310nm, 30km SFP SL13 100BaseX - Singlemode 1310nm, 60km SFP SL15 100BaseX - Singlemode 1550nm, 100km SFP SLx15 100BaseX - Singlemode 1550nm, 120km SFP SSB13 100BaseBX20-U - Singlemode 1310nm Tx 1550nm Rx, 20km SFP SSB15 100BaseBX20-D - Singlemode 1550nm Tx 1310nm Rx, 20km SFP SLB13 100BaseBX60-U - Singlemode 1310nm Tx 1550nm Rx, 60km SFP SLB15 100BaseBX60-D - Singlemode 1550nm Tx 1310nm Rx, 60km Gigabit Ethernet SFP 1000BaseSX - Multimode 850nm, 550m SFP SS13 1000BaseLX - Singlemode 1310nm, 10km SFP SS13 1000BaseLX+ - Singlemode 1310nm, 30km SFP SL15 1000BaseLH - Singlemode 1550nm, 70km SFP SLx15 1000BaseLZ - Singlemode 1550nm, 110km SFP SSB13 1000Base BX20-U - Singlemode 1310nm Tx 1550nm Rx, 20km SFP SSB15 1000Base BX20-D - Singlemode 1550nm Tx 1310nm Rx, 20km SFP SLB13 1000Base BX60-U - Singlemode 1310nm Tx 1550nm Rx, 60km SFP SLB15 1000BaseBX60-D - Singlemode 1550nm Tx 1310nm Rx, 60km 10 Gigabit Ethernet XFP SS13 10GBase-LR/LW, 10GBase-LR/LW, Singlemode 1310nm, 10km XFP SS15 - 10GBase-ER/EW, Singlemode 1550nm, 40km XFP SL15 - 10GBase-ZR, 10GBase-ZR, Singlemode 1550nm, 80km XFP SLx15 - 10GBase-ZR+, Singlemode 1550nm, 120km Versão da Apostila: 7.0
SFP Bidirecional
34
Versão da Apostila: 7.0
35
Versão da Apostila: 7.0
36
Versão da Apostila: 7.0
37
Versão da Apostila: 7.0
38
Versão da Apostila: 7.0
39
1) ( ) Significa que seu processador é poderoso ( ) A comutação de tráfego é feita diretamente no hardware (chips/silício) sem passar passar pelo processador (CPU) (CPU) ( ) Significa que a velocidade do barramento barramento de conexão conexão com a CPU é de alta velocidade te 2)
3)(
) SI SIM: M: (
) NÃ NÃO: O:
4) (
) 4 portas LAN e 4 portas portas WAN WAN
(
) 2 portas LAN e 4 portas portas WAN WAN
(
) 4 portas LAN e 2 portas portas WAN WAN
5)( 5) (
) SI SIM: M: (
) NÃ NÃO: O:
Versão da Apostila: 7.0
40
Neste capítulo serão apresentados os principais comandos para a configuração dos equipamentos da linha Metro Ethernet. Após este capítulo capítulo o aluno estará apto à: • • • • • • • • • •
Configurar portas de interface Verificar o status das portas de interface Configurar ACLs de gerenciamento Configurar os níveis de syslog Configurar o syslog para ser enviado a um servidor Verificar syslog Gerenciar usuários locais Configurar as opções de SNMP Atualizar e verificar a versão de firmware Verificar as opções de salvamento salvamento das configurações do equipamento
Versão da Apostila: 7.0
41
O Command Line Interface (CLI) é utilizado para configurar o switch localmente via porta console, ou remotamente via Telnet ou SSH. Quando acessar o DmSwitch, você deverá efetuar logon antes de inserir qualquer comando. comando. Por questões de segurança, o DmSwitch possui dois níveis de usuário: Usuário Normal- As Normal- As tarefas t arefas típicas incluem aquelas que verificam o status do switch. Neste modo, não são permitidas alterações na configuração do switch. Acesso com com usuário normal padrão: padrão: DmSwitch3000 login: guest Password: guest
Usuário Privilegiado - As - As tarefas típicas incluem aquelas que alteram a configuração do switch. Quando efetuar logon como usuário normal, você verá um prompt do modo usuário “>”. Os comandos disponíveis nesse nível são um subconjunto dos comandos disponíveis no nível privilegiado. Na sua grande maioria, esses comandos permitem que você exiba as informações sem alterar as definições de configuração do roteador. Para acessar o conjunto completo de comandos, você deve efetuar login no modo privilegiado. O prompt “#", indica que você está no modo privilegiado. Para efetuar logoff, digite exit digite exit.. 192.168.0.25/24. Para Alterar este endereço conecte ao Switch via porta •O endereço IP padrão para acesso ao Switch é o 192.168.0.25/24. console (9600 8N1) como usuário privilegiado: DmSwitch3000 login: admin Password: admin Config Configura urando ndo o IP na vlan vlan defaul default t
DmSwitch3000# DmSwitch3000#configure DmSwitch3000(config)#inter DmSwitch3000(config)#interface face vlan 1 DmSwitch3000(config-if-vlan DmSwitch3000(config-if-vlan-1)# -1)# ip address Config Configura urando ndo o IP na interf interface ace de gerenc gerenciam iament ento o
DM4000#configure DM4000(config)#interface DM4000(config)#interface mgmt-eth DM4000(config-if-mgmt-eth)# DM4000(config-if-mgmt-eth)#ip ip address
Versão da Apostila: 7.0
42
Pode-se verificar o status de hardware: DM4000 DM4000#show hardware-status [?] fans
Show the fans status
power
Show the powers status
transceivers
Show the Transceivers status
DmSwitch3000 DmSwitch3000#show DmSwitch3000#show hardware-status[?] hardware-status[?] tranceivers DmSwitch3000#show DmSwitch3000#show hardware-status hardware-status [enter] Power Unit -------
Main
Backup
----------- -----------
1
Ok
Fans 1
2
Alarms In 3
------- ------- ------Ok
Ok
1
2
3
Alarm Out
--- --- ---
---------
Off Off Off
Off
DmSwitch3000#show DmSwitch3000#show hardware-status transceivers [?] detail detail
Show detailed detailed Transcei Transceivers vers status status
presence
Show Transceivers presence table
Versão da Apostila: 7.0
43
• Para acessar o DmSwitch via interface web, abrir o browser e inserir o endereço IP de gerência. Por default, ambos http e https
estão habilitados no DmSwitch. Será solicitado a autenticação do usuário. Somente o usuário privilegiado poderá logar. • Na parte superior da página web, é possível visualizar o status das portas (up ou down), ou o modo duplex de operação (full ou half) para cada unidade no caso dos switches estarem empilhados. • Através do Menu de Configuração, localizado localizado no lado esquerdo da página, é possível selecionar a opção que será configurada. • Após realizar as alterações na janela de configuração, é necessário aplicar as alterações através do botão Apply que está na parte inferior esquerda da página web. Nota que este procedimento não salva as alterações, apenas aplica estas configurações para que fiquem ativas no DmSwitch. Caso o switch seja reinicializado, ele perderá as alterações realizadas. • Para realizar o logoff, é necessário fechar o browser.
Versão da Apostila: 7.0
44
O DmView é o Sistema Integrado de Gerência de Rede e de Elemento desenvolvido para supervisionar e configurar os equipamentos Datacom, disponibilizando funções para gerência de supervisão, falhas, configuração, desempenho, inventário e segurança, segue a recomendação FCAPS*. O sistema pode ser integrado a outras plataformas de gerência ou pode operar de forma independente. Também é possível utilizar diferentes arquiteturas de gerência, desde a operação em campo via notebook até um projeto centralizado com servidores de aplicação redundantes e múltiplos servidores de t erminal para acesso remoto. O sistema disponibiliza o acesso às suas funcionalidades através de uma Interface Gráfica amigável e fácil de ser utilizada. Ele permite o acesso simultâneo de múltiplos usuários em estações de gerência distintas, possibilitando que operadores diferentes possam gerenciar a mesma rede de equipamentos Datacom. Os usuários do sistema operam com níveis de acesso distintos, sendo possível restringir a operação por tipo de equipamento ou localidade. Entre as principais funcionalidades do DmView, é possível citar: Provisionamento fim-a-fim de circuitos: permite a criação, alteração e localização de cir cuitos existentes na rede; Visualiza Visualização ção e monitoraçã monitoração o dos equipamen equipamentos tos gerenciad gerenciados, os, suas interface interfacess e CPU, CPU, permitind permitindo o identifica identificação ção do estado estado operacional e alarmes pendentes; Recepção e tratamento dos eventos gerados pelos equipamentos, com notificação automática da ocorrência de falhas e opção para executar ação específica quando evento é recebido; Execução de ações de diagnóstico de falhas; Configuração da operação dos equipamentos; Cadastro de dados de identificação dos elementos; Visualização de parâmetros e contadores de performance; Ferramentas para localização de equipamentos e suas interfaces, incluindo localização segundo estado operacional, dados cadastrais, cadastrais, etc; Controle de acesso para usuários com níveis de acesso distintos para as funcionalidades do sistema e para a operação e gerência dos dispositivos; Ferramenta para visualização e correlação de eventos customizáveis pelo usuário; Alta disponibilidade, disponibilidade, suporte a servidores servidores redundantes redundantes e rotinas de backup backup das bases bases de dados dados do sistema; Supo Suporte rte a difer diferen ente tess sist sistem ema as oper operac acio iona nais is (Mic (Micro roso soft ft Wind Window ows® s®e e Sun Sun Sola Solari ris® s®)) e base basess de dado dadoss (Ora (Oracl cle® e®e e Interbase®/Firebird®). •
•
•
•
•
•
•
•
•
•
•
•
*FCAPS: Fault, C ault, Configuration, onfiguration, A Accounting, ccounting, P Performance erformance e S e Security. ecurity.
Versão da Apostila: 7.0
45
Spanning Tree O STP é um protocolo protocolo para proteção proteção de tráfego tráfego em topolog topologias ias Ethernet Ethernet.. Suas variantes variantes são o RSTP RSTP e o MSTP. MSTP. Todas Todas podem podem ser aprovisionadas via DmView. Essas variantes serão referenciadas simplesmente por STP neste manual. Na versão 6.3, o DmView suporta o aprovisionamento de STP em topologias em anel ou em linha, compostos por equipamentos DmSwitch 3000 ou DM4000. A janela STP Topology Configuration é usada para configuração de STP. A janela pode ser acessada selecionando os equipamentos nos quais quer se criar a topologia STP, clicando com o botão direito do mouse selecionando a opção STP Topology Configuration. Uma topologia topologia STP possui configurações configurações globais e por instância. instância. Dentre as opções por instância, algumas são para todos os equipamentos, equipamentos, e outras por equipamento. Os parâmetros globais são nome e tipo (STP, RSTP ou MSTP). Para os tipos STP e RSTP, só uma instância pode ser configurada. Nas opções de instância, pode-se definir Root device, Maximum Age, Maximum Hops, Hello Time, Forward Delay e o grupo de VLANs a proteger. Por equipamento, pode-se definir a prioridade do equipamento na instância (que é definida automaticamente em todos os equipamentos quando o campo Root device é alterado), bem como prioridade e custo de cada porta membro do STP. As portas que fazem parte da topologia dos equipamentos selecionados vem já configuradas como membro. É possível adicionar outras portas quaisquer, o que é útil, por exemplo, quando se quer configurar um STP que não possui só equipamentos DATACOM. Como um equipamento pode pertencer a apenas uma topologia STP. Caso seja necessário a remoção de algum equipamento de uma instancia de STP, clique com botão direito do mouse e selecione a opção STP Topology Configuration. EAPS O EAPS é um protocolo para proteção de tráfego em topologias Ethernet em anel. No DmView, ele pode ser aprovisionado em anéis com equipamentos DmSwitch 3000 e DM4000 (lembrando que os links entre os equipamentos precisam ser criados previamente no DmView). A janela Create EAPS Domain é usada para criação de 1 ou 2 domínios EAPS em um anel. A janela pode ser acessada selecionando os equipamentos que farão parte do dominio EAPS e clicando o item Create EAPS Domains cno menu de contexto. Para criar um domínio EAPS, é necessário selecionar, no mapa topológico, um conjunto de equipamentos que forme um anel. A janela de configuração permite a criação de 2 domínios EAPS no anel, cada um protegendo metade das VLANs, por exemplo. Para criar apenas 1 domínio, deve-se desmarcar a opção Create 2 Domains. Nos painéis EAPS Domain 1 e EAPS Domain 2, deve-se definir nome do domínio, os campos Hello timer e Fail timer, qual o equipamento Master, e selecionar o grupo de VLANs a proteger. Caso ainda não exista o grupo desejado, basta clicar em NEW e definir as opções para criar o novo grupo de VLANs. Após, clique no botão select para selecionar o grupo. Feitas estas configurações, pode-se usar o botão Next, que levará ao passo final, em que um resumo das configurações e portas selecionadas é exibido, e em que se pode definir as VLANs de controle a usar nos domínios. Após a criação de 1 ou 2 domínios E APS no anel, cada c ada domínio domí nio é gerenciado gere nciado individua lmente no sistema. Os domínios d omínios podem ser editados ou removidos a partir da opção View EAPS Domains, no menu de contexto dos equipamentos no mapa.
Versão da Apostila: 7.0
46
O cálculo da topologia dos circuitos, realizado realizado automaticamente automaticamente pelo DmView, é baseado no fato de que os domínios EAPS e topologias STP configurados via gerência pré-aprovisionam os seus grupos de VLAN nas portas internas aos anéis EAPS/STP. Desta forma, para cada endpoint endpoint DATACOM do circuito, o DmView determina determina o caminho caminho mais próximo próximo a um EAPS ou STP existente na base de dados de gerência, e configura as VLANs escolhidas pelo usuário em cada endpoint no caminho determinado. Endpoints Juniper não tem essa característica, pois o DmView não provisiona o core da rede L3. Como boa parte da rede está com VLANs pré-aprovisionadas nos anéis, e estas VLANs podem ainda não estar sendo utilizadas em circuitos, o DmView possui uma coerência para que, em uma mesma rede L2 DATACOM, circuitos diferentes não possam usar a mesma VLAN. Em redes L2 diferentes, esta coerência não é necessária. Para realizar essa coerência, o DmView utiliza uma estrutura denominada L2 Domain. Para cada rede L2 existente na gerência, o usuário deve configurar um L2 Domain diferente. Os equipamentos pertencentes à cada L2 Domain devem ser adicionados ao L2 Domain pelo usuário, antes da configuração de circuitos nestes equipamentos. Isso porque equipamentos que não pertencem a nenhum L2 Domain não podem ser selecionados na configuração de circuitos Metro. Para configurar configurar um novo circuito, circuito, selecione os equipamentos equipamentos que farão parte deste, clique com o botão direito do mouse e selecione selecione a opção Add Metro Circuit. Circuit. Para edição e remoção de circuitos existentes na rede, o acesso se dá através do menu Tools => Search => Metro Circuits. Circuits. A janela de configuração disponibiliza várias abas para definição dos parâmetros do circuito. circuito. As abas existentes são: General: configurações gerais de cadastro, como nome, cliente, serviço oferecido ao cliente, etc. Endpoints: configuração dos endpoints, explicada nesta seção. L3 Network: configurações de rede L3. Path: visualização do caminho do circuito. Comments: campos livres para comentários. Pode-se Pode-se visualizar visualizar a aba endpoints, endpoints, com um endpoint sendo criado, e outro já salvo. As operações sobre circuitos circuitos são executadas executadas na base de dados e na rede através dos botões Remove e Save na parte inferior da janela. Os botões Add, Edit e Remove podem ser usados para editar endpoints. Os botões Search e Show All podem ser usados para facilitar a visualização quando há muitos endpoints configurados. O botão Update Path é usado para atualizar a topologia do circuito. Sempre que for feita uma alteração nos endpoints, é necessário requisitar a atualização atualização da topologia através deste botão. Quando os endpoints endpoints do circuito circuito estiverem em L2 Domains diferentes, diferentes, as configurações configurações L3 são disponibilizadas na aba L3 Network. Na janela Endpoint Configuration, acessível a partir dos botões Add e Edit, um equipamento pode ser procurado na rede através do botão Search. Quando a janela é acessada diretamente através de um equipamento na mapa, a configuração de endpoint já abre com o equipamento selecionado. A interface física desejada deve ser selecionada através dos campos Unit e Port. O painel Config varia conforme o equipamento selecionado. Caso seja um DATACOM, no painel VLAN, pode ser selecionado o VLAN ID e se o mesmo será associado a porta como Tagged ou Untagged. No painel QiQ, pode-se selecionar se o modo de Double Tagging da porta deve ser External ou Internal. Caso o equipamento seja um Juniper, configura-se o VLAN ID, e, caso se queira selecionar diretamente a porta física, pode-se desmarcar a opção Define VLAN ID.
Versão da Apostila: 7.0
47
Quando um evento é recebido pela aplicação, duas ações podem ser tomadas: Caso o evento não esteja relacionado a nenhum evento recebido anteriormente, então uma nova correlação é criada; Caso o evento esteja relacionado a alguma correlação pré-existente, essa correlação é atualizada de modo a conter o novo evento. Diz-se que dois eventos estão correlacionados quando são provenientes da mesma interface de um mesmo equipamento e pertencem ao mesmo grupo, ou quando são provenientes do mesmo circuito. Um novo grupo de eventos é formado por eventos relacionados a um mesmo parâmetro de gerenciamento da interface. Normalmente os grupos de eventos possuem eventos indicando falha e eventos indicando a normalização normalização dessas falhas. Uma correlação é dita normalizada (cleared) quando o último evento adicionado a ela corresponde a um evento de normalização. O DmView possui duas ferramentas de correlação de eventos, uma de Devices e outra de Circuits. Elas tem a função de exibir ao usuário as traps correlacionadas geradas pelos equipamentos ou pelos circuitos, apresentando informações como severidade, data e hora do alarme, descrição, dentre outras. outras. Events Devices A ferramenta Events Devices pode ser acessada através do menu Tools:Events:Events Devices. Ela pode apresentar várias views, que são maneiras customizáveis de visualizar os eventos, sendo que cada view apresenta uma lista de correlações de acordo com o filtro ativo nela. Inicialmente a ferramenta possui somente uma view com o filtro aplicado, que pode ser alterado para um dos seguintes filtros: Critical and not cleared: lista todas correlações com severidade Critical e que ainda não foram normalizadas; Major and not cleared: lista todas correlações com severidade Major e que ainda não foram normalizadas; Minor, Warning or Info and not Cleared: lista todas correlações com severidade Minor, Warning ou Info e que ainda não foram normalizadas; Cleared and not ack: lista todas correlações que já foram normalizadas mas que ainda não receberam o ack. Os campos exibidos em cada view são os seguintes: Ack: abreviaçã o para acknowledged, indica se o evento listado l istado já j á foi adequadamente percebido pe lo usuário ou não. O usuário, ao perceber e tratar o evento adequadamente, pode marcar o mesmo como acknowledged clicando sobre a check box presente nas células desta coluna; Severity: severidade do evento. Pode assumir os valores Critical, Major, Minor, Warn e Info em ordem decrescente de severidade; Link ID: identificador do link afetado pelo evento; Event Time: data e hora em que o evento foi recebido pelo serviço; Description: Description: descrição do evento; Device ID: label do elemento no mapa que gerou a trap; Hostname: hostname do agente através do qual a trap foi enviada; Dev. No.: número ou local id do equipamento que gerou a trap. Utilizado para diferenciar os equipamentos quando vários são gerenciados através de um mesmo agente; Model: modelo do equipamento que gerou a trap. Interface: interface do equipamento na qual ocorreu o evento. Pode conter informação de placa, porta, slot, etc, de acordo com o tipo de equipamento.
Versão da Apostila: 7.0
48
O DmSwitch permite que os usuários sejam autenticados em um servidor remoto RADIUS ou TACACS+. O DmSwitch suporta múltiplos métodos de autenticação, sendo possível configurar a autenticação na base local e através de servidor remoto: • Quando configurado como primeira opção a autenticação em servidor remoto e após na base local, e ocorra uma falha no servidor remoto, será feita a busca pelo usuário na base de dados local. Mas se o servidor remoto esteja ativo e não encontre em sua base de dados o usuário que está tentando r ealizar o login, o acesso será negado e não será f eita a busca na base de dados local do DmSwitch nem em outros servidores remotos caso estejam configurados. • No caso em que seja configurado o login local como primeira opção, se o usuário não constar na base de dados local, será feita a busca nos servidores remotos. Podem ser configurados até 5 servidores RADIUS e até 5 servidores TACACS+ para garantir disponibilidade caso algum dos servidores falhe. O servidor estará em falha quando o serviço não esteja ativo, neste caso o DmSwitch irá buscar em outro servidor conforme a ordem em que foram configurados. Os parâmetros do servidor RADIUS podem ser configurados de forma global, ou individual por servidor. Deve-se tomar o cuidado de manter de manter pelo menos um usuário criado localmente e habilitar login local. Na falta de um usuário local, e no caso de falha de todos os servidores servidores remotos, não será possível logar no DmSwitch.
Versão da Apostila: 7.0
49
• Opções globais e individuais de configuração para autenticação no servidor RADIUS: DmSwitch3000(config)#radiu DmSwitch3000(config)#radius-server s-server [?] acct-port
RADIUS default server accounting port
auth-port
RADIUS default server authentication port
host
RADIUS server IP
key key
RADI RADIU US def default ault ser server ver key key
retrie retries s
RADIUS RADIUS server server retrie retries s
timeou timeout t
RADIUS RADIUS server server timeou timeout t
DmSwitch3000(config)#radiu DmSwitch3000(config)#radius-server s-server host <1-5> [?] acco accoun unti ting ng
Enab Enable le RADI RADIUS US acco accoun unti ting ng
acct-p acct-port ort
Specif Specify y RADIUS RADIUS server server accoun accountin ting g port port
authentication
Enable RADIUS authentication
auth-p auth-port ort
Specif Specify y RADIUS RADIUS server server authen authentic ticati ation on port port
addr addres ess s
Spec Specif ify y RADI RADIUS US serv server er IP addr addres ess s
key
Specify RADIUS server key
• Opções de configuração para autenticação no servidor TACACS+: DmSwitch3000(config)#tacacs DmSwitch3000(config)#tacacs-server -server host 1 authentication
Enable TACACS authentication
autheauthe-por port t
Specif Specify y TACACS TACACS server server authen authentic ticati ation on port port
authorizat authorization ion
Enable Enable TACACS TACACS authorizat authorization ion
authoautho-por port t
Specif Specify y TACACS TACACS server server author authoriza izatio tion n port port
acco accoun unti ting ng
Enab Enable le TACA TACACS CS acco accoun unti ting ng
acct-p acct-port ort
Specif Specify y TACACS TACACS server server accoun accountin ting g port port
addr addres ess s
Spec Specif ify y TACA TACACS CS serv server er IP addr addres ess s
key
Specify TACACS server key
source-ifa source-iface ce
Specify Specify TACACS TACACS source source interface interface
Versão da Apostila: 7.0
50
Definição O protocolo de gerenciamento de rede simples (SNMP) é um padrão de gerenciamento de rede amplamente usado em redes TCP/IP. O SNMP fornece um método de gerenciamento de hosts de rede, como computadores servidores ou estações de trabalho, roteadores, switches e concentradores a partir de um computador com uma localização central em que está sendo executado o software de gerenciamento de rede. O SNMP executa serviços de gerenciamento utilizando uma arquitetura distribuída de sistemas de gerenciamento e agentes. Sua especificação está está contida no RFC 1157.
Versão da Apostila: 7.0
51
Exemplo: • Criar uma community chamada private de leitura e escrita:
DmSwitch3000(config)#ip DmSwitch3000(config)#ip snmp-server community private rw • Todas as traps estão habilitadas:
DmSwitch3000(config)#show DmSwitch3000(config)#show ip snmp-server traps TRAP STATUS alarm-status-change enable authentication enable cold-warm-start enable config-change enable config-save enable crit critic ical al-e -eve vent nt-d -det ete ected cted enab enable le crit critic ical al-e -eve vent nt-r -rec ecov over ered ed enab enable le duplicated-ip enable eaps-status-change enable fan-status-change enable forbidden-access enable link-flap-detected enable link-flaplink-flap-no-m no-moreore-det detecte ected d enable enable link-up-down enable login-fail enable login-success enable loopback-detected enable loopba loopbackck-nono-mor more-d e-det etect ected ed enable enable power-status-change enable sfp-presence enable stack-attach enable stack-detach enable traps-lost enable unidir-link-detected enable uni unidirdir-li link nk-r -re ecover vered enab enable le port port-s -sec ecur urit ityy-vi viol ola ation tion enab enable le
Versão da Apostila: 7.0
52
Exemplos: simultâneas (8 por default): • Limitar em 16 a quantidade de conexões telnet simultâneas DmSwitch3000(config)#ip DmSwitch3000(config)#ip telnet max-connections max-connections 16 • Criar ACL para que somente somente os IPs da rede 176.18.0.40.0/24 possam gerenciar o switch por http: DmSwitch3000(config)#managem DmSwitch3000(config)#management ent http-client 176.18.40.0/24 DmSwitch3000(config)#show DmSwitch3000(config)#show management all-client Management IP filter: Telnet client: HTTP client: 176.18.40.0/24 SNMP client: SSH client: DmSwitch3000(config)#
Versão da Apostila: 7.0
53
Todas as configurações efetuadas no switch são aplicadas instantâneamente após pressionar a tecla enter para confirmar o coman comando. do. Porém Porém,, esta esta config configura uração ção fica fica em memori memoria a RAM RAM ou runnin running g config config (conf (configu iguraç ração ão corren corrente) te) como como é tratad tratada a normalmente. Caso o equipamento seja desligado toda a configuração que está na running config será perdida. Para Para salvar salvar a config configura uração ção,, devedeve-se se copiar copiar o conteu conteudo do da runnin running g config config para para um dos arqui arquivos vos na memóri memória a flash do equipamento. A equipamento. A linha de equipamentos DmSwitch3000 possui 4 flash-config e flash-config e na linha DM4000 a DM4000 a partir do firmware 7.4 são disponibilizados disponibilizados 10 arquivos de flash-config. É possível definir qual flash-config será usado toda vez que o equipamento equipamento for iniciado selecionando selecionando uma das flash-config f lash-config com a flag de startup. A startup config não é um arquivo fi sico e sim um “apontamento” para um dos arquivos.
Versão da Apostila: 6.0Rev1
54
Todas as configurações efetuadas no switch são aplicadas instantâneamente após pressionar a tecla enter para confirmar o comando. Porém, esta configuração fica em memoria RAM ou running config (configuração corrente) como é tratada normalmente. Caso o equipamento seja desligado desligado toda a configuração configuração que está na running config será perdida. Para salvar a configuração, deve-se copiar o conteudo da running config para um dos arquivos na memória flash do equipamento. A linha de equipamento DmSwitch2100 (EDD) possui 2 flash-config, o DmSwitch3000 possui 4 flash-config e na linha DM4000 a partir do firmware 7.4 são disponibilizados 10 arquivos de flash-config. É poss possíve ívell defi defini nirr qual qual flas flashh-co conf nfig ig será será usad usado o toda toda vez vez que que o equi equipa pame ment nto o for for inic inicia iado do selecionando selecionando uma das flash-config com a flag de startup. A startup config não é um arquivo fisico e sim um “ apontamento” para um dos arquivos.
Versão da Apostila: 7.0
55
Por CLI, a manipulação dos arquivos de configuração também é feita através do comando copy. Este comando possui várias combinações de parâmetros que permitem selecionar diversas origens e destinos para as configurações. É possível armazenar até 4 configurações diferentes no switch. Através do comando show flash, pode-se verificar qual a flash-config está marcada com a flag de startup (S). Por default, nenhuma das 4 posições da flash, está marcada como startup. DmSwitch3000#show DmSwitch3000#show flash BootLoader version: 1.1.2-11 Flash firmware: ID
Version
Date
Flags
Size
1
5.0
26/12/2007 20:05:59
RS
9834560
2
E
Flash config: ID
Name
Date
Flags
Size
1
treinamento
01/01/1970 00:15:17
S
12685
2
E
3
E
4
E Flags: R - Running firmware. S - To be used upon next startup. E - Empty/Error
Para deletar uma das 4 configurações armazenadas armazenadas na flash, utilizar o comando erase: DmSwitch3000#erase DmSwitch3000#erase flash-config <1-4>
Versão da Apostila: 7.0
56
1) (
) dmswitch#id SW01
(
) dmswitch(config)#hostname dmswitch(config )#hostname SW01
(
) dmswitch(config)#id dmswitch(config )#id SW01
2) (
)dmswitch#(config)show )dmswitch#(con fig)show switchport ethernet
(
)dmswitch#show interfaces status ethernet
(
)dmswitch(config)show )dmswitch(conf ig)show interfaces switchport ethernet
3) (
)dmswitch(config)#copy )dmswitch(conf ig)#copy flash-config 1 tftp
(
)dmswitch#copy active-config tftp
(
)dmswitch#copy running-config running-confi g tftp
4) (
)O switch irá bloquear tráfego de http
(
)O acesso ao http-client ficará bloqueado para a rede em questão
(
)O acesso ao http-client ficará liberado SOMENTE para a rede em questão
5) (
)DmSwitch3000 e DM4000 possuem 2 espaços para armazenamento de firmwares
(
)DM4000 10 e DmSwitch3000 4
(
)DmSwitch3000 1 e DM4000 2
Versão da Apostila: 7.0
57
Versão da Apostila: 7.0
58
Configuração de velocidade da porta em modo autonegotiation DmSwitch3000(config-if-eth-1 DmSwitch3000(config-if-eth-1/1)#capab /1)#capabilities ilities [?]
10fu 10full ll
Adve Advert rtis ise e 10Mb 10Mbit it/s /s full full-d -dup uple lex x oper operat atio ion n supp suppor ort t
10ha 10half lf
Adve Advert rtis ise e 10Mb 10Mbit it/s /s half half-d -dup uple lex x oper operat atio ion n supp suppor ort t
100ful 100full l
Advert Advertise ise 100Mbi 100Mbit/s t/s full-d full-dupl uplex ex operat operation ion suppor support t
100hal 100half f
Advert Advertise ise 100Mbi 100Mbit/s t/s half-d half-dupl uplex ex operat operation ion suppor support t
1000fu 1000full ll
Advert Advertise ise 1000Mb 1000Mbit/ it/s s full-d full-dupl uplex ex operat operation ion suppor support t
flow-control
Advertise flow control operation support
all all
Adv Adverti ertise se all oper peratio ation n modes odes supp suppor orte ted d
Versão da Apostila: 7.0
59
Introdução A funcionalidade de loopback-detection loopback-detection é utilizada por padrão para que os DmSwitches protejam-se automaticamente automaticamente de qualquer loop externo em suas portas. Este loop poderá ser gerado quando ligado acidentalmente ou propositalmente o RX ao TX da mesma porta. Para proteger-se contra loops feitos entre diferentes portas, pode-se utilizar outros mecanismos presentes no equipamento como STP, EAPS ou backup-link. A funcionalidade de loopback-detection loopback-detection está disponível a partir do firmware 4.0 e já vem habilitada por default nos DmSwitchs. A detecção de loop na linha DmSwitch foi implementada através do envio de um MAC MULTICAST 01:80:C2:00:00:02 ( definido pelo IEEE Std 802.3 - Slow Protocols multicast address) para a porta a ser verificada. O loop é indentificado com o retorno do MAC MULTICAST pela porta de origem do DmSwitch, colocando a porta instantâneamente em modo blocked e gerando log de loopback detectado. As portas em estado estado blocked não receberão nem enviarão nenhum outro pacote além do slowprotocol de loopback-detection.
Versão da Apostila: 7.0
60
Descrição da funcionalidade: f uncionalidade: Link-Flap Detection é uma ferramenta que visa eliminar os efeitos colaterais causados por uma porta que esteja com o estado de seu link variando (UP<->DOWN) intermitentemente. Essa condição é determinada por um determinado número de inversões do estado do link em um determinado intervalo de tempo.
Versão da Apostila: 7.0
61
A funcionalidade de agregação de links, links, também conhecido conhecido como port-channel, consiste consiste em agregar várias interfaces físicas em uma única interface lógica, aumentando a banda disponível para o tráfego de dados. Este recurso pode ser usado também como redundância em caso de links físicos falharem dentro de um grupo, pode-se fazer o balanceamento balanceamento de carga entre os links de um mesmo grupo aumentando a performance do link. É possível agregar quantas portas forem necessárias em um grupo de links, no entanto, somente 8 portas do grupo estarão ativas “active state”. A quantidade de portas que for além das 8 ficará desabilitada em modo “standby state”, se tornando ativas caso problemas físicos ocorram em uma das portas funcionais do grupo. O DmSwitch suporta até 32 grupos de agregação com número ilimitado de portas físicas. Os tipos mais comuns de agregação de links são: agregação estática e dinâmica. • Na agregação estática, a configuração deve ser forçada manualmente nos dois switches envolvidos, do contrário, ela não será estabelecida. • Já na agregação dinâmica, as portas dos switches envolvidos na agregação devem ser configuradas para estabelecer a agrega agregação ção dos dos links links usando usando o protoc protocolo olo LACP LACP (IEEE (IEEE 802.3a 802.3ad d - Link Link Aggreg Aggregati ation on Contr Control ol Protoc Protocol) ol) atrav através és da troca troca de informações de controle LACP (PDUs LACP). Load Balance. O load-balance é utilizado para distribuir o tráfego igualmente pelas portas que pertencem ao mesmo port-channel. O switch realiza um cálculo utilizando os bits dos campos mac-address de origem/destino ou IP address de origem/destino, para definir por qual porta cada pacote será encaminhado. Para um balanceamento de carga eficiente, utilizar como critério do load-balance, os campos cujos valores variam frequentemente. f requentemente. Notas: • Uma porta pode estar associada a somente um grupo port-channel de cada vez; aggregation on é suporta suportado do em links links ponto ponto a ponto ponto operand operando o em modo modo FULL-D FULL-DUPL UPLEX. EX. O uso do modo modo HALFHALF-DUP DUPLEX LEX não é • O link aggregati recomendado • Todos os links aggregations devem operar na mesma velocidade (10/100 ou 1000Mb/s); • É recomendado primeiramente configurar o link aggregation e posteriormente conectar os cabos. Dessa forma, evitamos a ocorrência de loop na rede. • Para evitar a perda de dados no ato de remoção de uma porta do link aggregation, remova o cabo primeiro e somente então remova a configuração configuração da porta. • Para fins de gerência e configuração, um grupo de links agregados é visto como uma única interface lógica port-channel. Isso é transparente para a família de protocolos STP, VLAN, IGMP, EAPS e GVRP. • Quando criado, o link aggregation assume as configurações da menor interface do grupo.
Versão da Apostila: 7.0
62
No modo dinâmico, ou seja usando LACP, o port-channel só é criado se ambos os lados estiverem com o protocolo LACP habilitado nas portas selecionadas.
DmSwitch3000(config)#show DmSwitch3000(config)#show interfaces status port-channel 1 Information of
Port-Channel 1
Basic information: Port type:
100TX
MAC address:
00:04:DF:12:B7:93
Configuration: Name: Port admin:
Up
Speed-duplex:
Auto
Capa Capabi bili liti ties es: :
40M 40M half half, , 40M 40M full full, , 400M 400M half half, , 400M 400M full full
Flow-control:
Disabled
MDIX:
Auto
Slow Slow Prot Protoc ocol ols s MAC: MAC:
Stan Standa dard rd
OAM:
Disabled
Loop Loopba back ck Dete Detect ctio ion: n:
Disa Disabl bled ed
Link-Fla Link-Flap p Detectio Detection: n:
Enabled Enabled - Unblock Unblock hysteresi hysteresis: s: 30 sec
Load Balance Balance Method: Method:
MAC (source (source and destinat destination) ion)
Current status: Created by:
User ou
Link status:
Up
Members:
Eth1/1
(Up/Enabled) - 3m13s
Eth1/2 Eth1/2
(Up/Enab (Up/Enabled) led) - 2m56s 2m56s
Eth1/3 Eth1/3
(Up/Enab (Up/Enabled) led) - 3m3s
Eth1/4 Eth1/4
(Up/Enab (Up/Enabled) led) - 2m45s 2m45s
LACP LACP
Versão da Apostila: 7.0
63
O Link Link Layer Layer Disco Discover veryy Protoc Protocol ol (LLDP (LLDP - 802.1A 802.1AB) B) não apenas apenas simpli simplific fica a a descob descobert erta a da topolog topologia ia e a locali localiza zação ção de dispositivos de acesso, mas também pode ser usada como ferramenta de gerenciamento e troubleshooting. A configuração do LLDP é bem simples, por padrão, o LLDP vem desabilitado. Para o seu funcionamento é necessário habilitá-lo globalmente. Entretanto existem configurações que podem ser executadas nas interfaces afim de se definir estaticamente se a porta aceitará uma solicitação LLDP ou não, e se a mesma enviará determinadas informações. Por default o LLDP vem habilitado em todas as interfaces e todas as TLVs (Type Length Value - Mensagens de informações do LLDP) vêm habilitadas. Por questões de segurança, é recomendado utilizar o LLDP apenas para verificar a topologia. Após isso deve-se desabilitá-lo.
Versão da Apostila: 7.0
64
Versão da Apostila: 7.0
65
Introdução O protocolo OAM EFM é definido no padrão IEEE 802.3AH, o OAM prové mecanismos utéis para monitorar o status do link como indicação de falha remota do link ou controle remoto da loopback. O OAM prové aos operadores de rede a habilidade de monitorar a saúde da rede e rapidamente determinar a localização de links com falhas ou condições de falhas. O OAM prové um mecanismo mecanismo de camada camada de link para compleme complementar ntar aplicaçõ aplicações es de camadas camadas mais altas. altas. as informaçõe informaçõess do protocolo protocolo são transmitidas transmitidas atráves atráves do frame slow Protocol chamado de OAM Protocol Data Units (OAMPDUs). o OAMPDUs contém a informação de status e controle usada para monitorar, testar e solucionar problemas de link atráves do protocolo OAM quando habilitado nas interfaces. Os PDUS do OAM são ponto-a-ponto, ou seja são trocados somente entre uma interface e outra não sendo encaminhados por switches.
Versão da Apostila: 7.0
66
Versão da Apostila: 7.0
67
Versão da Apostila: 7.0
68
Alterando MAC MAC de destino das PDUs PDUs Esta opção é utilizada em casos de switches que filtrem o MAC padrão do Slow Protocols 01:80:C2:00:00:02, desta forma é necessário configurar o MAC de destino como alternativo, este MAC é proprietário da DATACOM 01:04:DF:00:00:02. DmSwitch3000#configure DmSwitch3000(config)#interfa DmSwitch3000(config)#interface ce ethernet 1/25 DmSwitch3000(config-if-eth-1 DmSwitch3000(config-if-eth-1/25)#slow /25)#slow-protocols -protocols destination-address destination-address alternative
Para alterar para o MAC de destino padrão standard DmSwitch3000#configure DmSwitch3000(config)#interfa DmSwitch3000(config)#interface ce ethernet 1/25 DmSwitch3 DmSwitch3000 000(conf (config-i ig-if-et f-eth-1/ h-1/25)#s 25)#slow low-pr -protoco otocols ls comando no
destina destinationtion-add address ress
standar standard d
ou
através através
do
DmSwitch3000(config-if-eth-1 DmSwitch3000(config-if-eth-1/25)#no /25)#no slow-protocols slow-protocols destination-address destination-address
Versão da Apostila: 7.0
69
Versão da Apostila: 7.0
70
CESoP Permite a emulação de circuitos sobre uma rede de pacotes comutados. A rede interliga centrais de PABX, e por meio desta rede ocorre o trafego de voz. - TDM TDM ou “Multiplexação por Divisão de Tempo” utiliza-se do conceito de alocação de “espaços de tempo”, chamados timeslots, para os sinais previamente amostrados. O TDM-PCM ou TDM-PCM ou Modulação Modulação por Código de Pulso é o método utilizado para representar representar digitalmente digitalmente os sinais analógicos sinais analógicos amostrados. O sistema E1 é um TDM de 30 canais de voz e 2 canais para sincronismo e sinalização. Assim sendo, Assim sendo, um quadro TDM de modo E1 contém 32 timeslots de 8 bits cada. A informação de sincronismo na TDM de modo E1 está presente no primeiro timeslot do quadro (TS 0). Na sinalização de linha por canal associado (CAS) ( CAS) são empregadas dois timeslots: o primeiro o primeiro timeslot (TS 0) para a informação de sincronismo do quadro, e o décimo sexto timeslot (TS 16) para a sinalização. A perda de sincronismo de quadro é identificada após a recepção de palavras de sincronismo incorretas. Isto desencadeia o processo de ressincronização e ativa o alarme de perda de sincronismo. Na interface TDM do equipamento, configura-se o PCM que corresponda ao tipo de quadro (com/sem sincronismo) e número de timeslots, além da sinalização sinalização CAS caso necessário. necessário. - Bundle O Bundle se refere à rede ethernet, ou seja, o mesmo tem por finalidade a transmissão dos dos dados sobre a rede IP/Ethernet. O bundle representa um cliente CESoP mapeado para uma interface TDM. A interface bundle poderá ser habilitada somente após a interface TDM estar ativa. Dentre as configurações existentes na interface bundle, há a configuração do TS Inicial e número de TS na qual devem corresponder ao line-type configurado na interface TDM. - Pseudo-Wire O Pseudo-Wire (PW) permite que serviços legados como TDM, sejam transportados por uma conexão virtual ponto-a-ponto através de um mesmo circuito em redes IP/Ethernet até seu destino. A idéia básica é a utilização de uma terceira camada na rede, sobre a qual uma operadora operadora necessita transportar serviços legados, legados, incluindo ainda a camada 2 de serviços da rede.
Versão da Apostila: 7.0
71
Diferenças do EDD Série 1 O EDD Série 1 não disponibiliza a “interface pw” devido as configurações do Pseudo-wire serem feitas através da interface bundle; - SOURCE IP ADDRESS: No EDD Série 1 esta configuração pode ser feita a partir da própria interface bundle. -VLAN: A configuração da vlan para o tráfego CESoP também t ambém segue o mesmo critério da anterior., a configuração é feita na própria interface bundle. EDD-A (config)# interface interface bundle 1/1 EDD-A(config-bundle-1)# vlan 50 priority 7
source-ip-address address 10.10.10.1 EDD-A(config-bundle-1)# source-ipAlém disso no EDD Série 1, é necessário adicionar a marcarcação de pacote na interface pw. EDD-A(config)# interface vlan 50 EDD-A(config-Vlan-50)# set-member EDD-A(config-Vlan-50)# set-member tagged pw
Versão da Apostila: 7.0
72
Diferenças do EDD Série 1 EDD-A (config)# Interface tdm 1
line-type e1 pcm30-cas-crc pcm30-cas-crc EDD-A(config-tdm-1)# line-type e1 EDD-A(config-tdm-1)# no shutdown
Versão da Apostila: 7.0
73
Adição das portas ETH na VLAN do Bundle É necessário adicionar a(s) porta(s) ETH do Switch por onde irá trafegar o fluxo PW E3 na VLAN onde está o PW. EDD-A(config)#interface vlan 50 EDD-A(config-Vlan-50)#set-member EDD-A(config-Vlan-50)#set-member tagged ethernet 1 EDD-B(config)#interface vlan 50 EDD-B(config-Vlan-50)#set-member EDD-B(config-Vlan-50)#set-member tagged ethernet 1
Versão da Apostila: 7.0
74
Exemplo de configuração completa: ! E DDs Sé ri es 2 e 3 ... ! interface vlan 50 set-member tagged ethernet 1/1 ! sync-source transmit-clock-source tdm 1/1 ! interface tdm 1/1 line-type pcm30-cas-crc no shutdown ! interface bundle 1/1 timeslots timeslots 1 30 30 packet-delay 2.000 destination-ip-address 10.10.10.2 ip-next-hop 10.10.10.2 no shutdown ! interface pw 1/1 source-ip-addr 10.10.10.1 vlan 50 priority 7
Versão da Apostila: 7.0
75
TDM Status: Link Status - OK O link não apresenta nenhuma falha. - LOS O link apresenta a falha LOS – Lost of Signal. - LOF O link apresenta a falha LOF – Lost of Framed (apenas no modo framed). -AIS O link apresenta a falha AIS – Alarm Indication Signal. TDM Status: Remote Alarm - No Alarm O link não apresenta alarme RALM – Remote Alarm. - Alarm O link apresenta alarme RALM – Remote Alarm. -“-“ Não se aplica o alarme para a configuração atual. TDM Status: CAS Status Este campo apresenta o status do alinhamento da sinalização CAS do E1, pode assumir os seguintes valores: - OK O link está com o alinhamento de CAS sem falhas. - LOM Loss of Multiframe. O link está com falha no alinhamento CAS. -“-“ Não se aplica o alarme para a configuração atual. TDM Status: CRC Status - OK O link está com o alinhamento de CRC sem falhas. - Fail O link está com falha no alinhamento CRC. - “ -“ Não se aplica o alarme para a configuração atual.
Versão da Apostila: 7.0
76
1. ( ) negoci negociati ation on ( ) capabi capabiliti lities es ( ) speedspeed-dup duplex lex ( ) force-a force-auto uto ( ) no negoc negociat iation ion ( ) no speed speed-du -duple plexx 2. ( ) Criar um Port-channel Port-channel Estático Estático entre dois dois Switches ( ) Formar um anel anel de portas Ethernets com com redundância redundância ( ) Agregação de links links de forma dinâmica através da troca de informação de controles (PDUs (PDUs LACP) ( ) Distribuir igualmente igualmente o tráfego nas portas 3. ( ) Sim, Sim, Porq Porque ue ?
( ) Não, Não, Porq Porque ue ?
________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ 4.
________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ________________ ______ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ____________ __ _____ 5.
__________________ ________________________________ ______________________ ____________________ ________________________ ______________________ ______________ ____ __________________ ________________________________ ______________________ ____________________ ________________________ ______________________ ______________ ____ __________________ ________________________________ ______________________ ____________________ ________________________ ______________________ ______________ ____ ________________ ________________________ ________________ ________________ __________________ ______________________ ______________________ ____________ __ _____ 6. ( ) 4 Bundles
( ) 8 Bundles
( ) 1 Bundle
( ) +8 Bundles les
Versão da Apostila: 7.0
77
Versão da Apostila: 7.0
78
Para execução dos procedimentos de hardware, o executor local sempre deve utilizar pulseira antiestática conectada a um ponto aterrado e toda a saída da console deve ser registrada. Acima consta a relação de requisitos mínimos para a execução dos procedimento procedimentos s em campo. Downloads: Servidor TFTP: Pumpkin http://kin.klever.net/pumpkin/binaries
Emulador com suporte a Telnet/SSH/Serial: Putty http://www.putty.org/ Putty http://www.putty.org/ Emulador com suporte a Serial: Tera Term http:// Term http://logmett.com/freeware/TeraTerm logmett.com/freeware/TeraTerm.php .php Comparação de Arquivos: Notepad++ http://notepad-plus-plus.org/downlo http://notepad-plus-plus.org/download ad ou Winmerge htt Winmerge http://winmerge.org/downloads p://winmerge.org/downloads// Acesso Remoto: Remoto: Teamviewer http://www.teamviewer.com/pt/downloa htt p://www.teamviewer.com/pt/download d
Versão da Apostila: 1.0
79
Versão da Apostila: 7.0
80
O Debug de protocolos é utilizado para verificar a troca t roca de mensagens de protocolos em tempo real. Para habilitar o Debug, basta digitar: Dmswitch3000#debug Dmswitch3000#debug As mensagens irão aparecer na tela do terminal. Para desabilitar o debug, digite mesmo com a tela “correndo” com as mensagens: Dmswitch3000#no debug
Versão da Apostila: 7.0
81
Versão da Apostila: 7.0
82
O logging registra os eventos que ocorrem no switch. Os eventos podem ser salvos na memória RAM, Flash, encaminhados encaminhados para um servidor syslog ou enviados por e-mail.Por padrão o logging está ativo logging on. Quando configuramos o nível de evento que será logado, na verdade estamos configurando o range a partir do nível 0 (maior severidade) até o nível que está sendo configurado. Portanto, uma configuração com nível de evento 3, irá logar mensagens do nível 0 à 3.
Versão da Apostila: 7.0
83
A atualização de firmware pode ser feita via DmView, http/https e por CLI a partir de um servidor servidor TFTP através do comando copy. O arquivo é enviado para a memória RAM do switch e após os procedimentos de validação da imagem, esta é gravada em memória sobrescrevendo o firmware que está inativo, sendo possível armazenar dois f irmwares simultâneamente. Este processo pode levar alguns minutos. Quando a gravação do novo firmware for concluida, será necessário rebootar o switch para que o novo firmware entre em funcionamento. Para o DM4000, será necessário enviar a imagem do firmware para a MPU e placas de interface Através do comando show firmware, é possível verifcar as versões de firmware que estão armazenadas, qual está ativa (R) e qual está marcada com a flag startup (S). DmSwitch3000#show DmSwitch3000#show firmware Running firmware: Firmware version: 5.0 Stac Stack k vers versio ion: n: 2 Compil Compile e date: date: Fri Sep 21 21:03: 21:03:31 31 UTC 2007 2007 Flash ID 1 2
firmware: Version 4.3 5.0
Date 25/06/2007 17:16:54 21/09/2007 21:03:44
Flag RS
Size 8284544 8725360
Flags: R - Running firmware. S - To be used upon next startup. E - Empty/Error
Para deletar um dos firmwares armazenados armazenados na flash, utilizar utilizar o comando erase: DM4000#erase firmware <1-2>
Versão da Apostila: 7.0
84
2. A quantidade de memória livre deve ser maior que 19.000Kb antes do inicio da transferência (por TFTP, web ou DmView) do novo firmware para o DmSwitch. Como a imagem do novo firmware é igual ou maior que 10.488kB, é necessário que esteja disponível após a transferência do fir mware para a memória RAM mais do que 8.000 kB. Após a transferência t ransferência do arquivo contendo a imagem do firmware, iniciará a gravação desta imagem na memória flash. f lash. Alguns minutos após o final da gravação, o DmSwitch irá liberar da memória RAM a imagem do firmware transferido, fazendo com que o valor da memória livre normalize. Verificar novamente antes do reboot que a memória livr e está acima de 19.000kB. Memória livre baixa: Se a memória livre estiver abaixo do valor recomendado antes do inicio da transferência do arquivo, verifique primeiro se há vários vários usuá usuário rioss conec conectad tados os na gerênc gerência ia do equip equipame amento nto atrav através és de sessõ sessões es telnet telnet,, ssh ou http. http. Cada Cada sessã sessão o ocupa ocupa aproximadamente aproximadamente 1.500kB da memória. Recomendamos que durante a transferência e gravação do arquivo, apenas 1 (uma) sessão esteja aberta no equipamento para que se tenha o máximo de recursos disponíveis no switch. A verificação de usuários conectados conectados é feita através do comando: DmSwitch3000#show DmSwitch3000#show managers
Para desconectar os usuários pode-se efetuar duas opções: reiniciar o equipamento, ou diminuir i tempo do timeout para conexões de terminal através do comando: DmSwitch3000(config)#Terminal timeout 5 (setando um timeout de 5 segundos) Todos os usuários conectados com
tempo de inatividade maior que 5 segundos serão desconectados. desconectados.
Versão da Apostila: 7.0
85
Para possibilitar a detecção e prevenção de ameaças, o DmSwitch suporta espelhamento de portas N-1*. Isto permite o espelhamento do tráfego para uma verificação externa à rede tal como um dispositivo para detecção de intrusão para uma análise minuciosa ou para utilização por um administrador de rede para diagnóstico. A opção preserve-format preserve-format deve ser habilitada, para que o tráfego espelhado mantenha o mesmo formato do frame (tagged ou untagged) conforme a configuração da porta espelhada. espelhada. Caso contrário, o switch irá usar as configurações da porta de destino do mirror para formar os pacotes. *Podem existir várias portas de origem, mas somente uma porta de destino.
Versão da Apostila: 7.0
86
A utilização dos comandos Batch ajudam na manutenção/aplicação manutenção/aplicação de parâmetros no Switch. Com ele, é possível executar qual qualqu quer er coma comand ndo o aceito ceito pelo pelo swit switch ch atra atravé véss do agen agenda dame ment nto o de açõe ações. s. Entre Entre as funç funçõe õess pode podemo moss cita citarr rebo reboot ot,, habilitar/desabilitar filtros, efetuar backup da configuração, shutdown/no shutdown em interfaces etc...
Versão da Apostila: 7.0
87
Em caso de esquecimento esquecimento da senha de acesso local, é possível executar um procedimento procedimento para recuperar recuperar a mesma sem que o equipamento equipamento perca suas configurações. Entretanto, para tal procedimento, será necessário a interrupção do serviço temporariamente (a execução do procedimento procedimento não dura mais que 10 minutos). Para acessar o boot do equipamento, equipamento, após reset pressionar pressionar simultaneamente simultaneamente as teclas ctrl+c (deve-se ficar pressionando pressionando ambas t eclas assim que o equipamento desligar, pois a opção de acessar o boot ocorre em 3 segundos após iniciação do sistema do switch)
Após Para acessar o equipamento, utilize a senha padrão (admin/admin) e carregue a configuração salva. DM4000#copy flash-config flash-config 1 running-config (Carregando a configuração correta) Loading configuration in flash 1... Applying configuration... Done. DM_CORE#configure (Alterando a senha da configuração configuração correta) DM_CORE(config)#username DM_CORE(config)#username admin password 0 admin (Alterando DM_CORE#copy running-config startup-config 1
Versão da Apostila: 7.0
88
Neste capítulo serão apresentados os conceitos e configurações sobre VLANs na linha Metro Ethernet DATACOM. Após o término deste capítulo o aluno estará apto à: • • • •
Entender a diferença diferença entre os formatos de frames ethernet Configurar as opções de VLANs Entender o conceito de QinQ Configurar as opções de QinQ
Versão da Apostila: 7.0
89
A técnica t écnica de VLAN (Virtual LAN) consiste em criar um agrupamento lógico de portas ou dispositivos de rede. As VLANs podem ser agrupadas por funções operacionais ou por departamentos, independentemente da localização física dos usuários. Cada VLAN é vista como um domínio de broadcast distinto. O tráfego entre VLANs é restrito, ou seja, uma VLAN não fala com outra a não ser que se tenha um elemento de nível 3 que faça o roteamento entre as diferentes VLANs. Um broadcast propagado propagado por um elemento de rede pertencente a uma VLAN só vai ser visto pelos elementos que compartilham da mesma VLAN. As VLANs melhoram o desempenho da rede em termos de escalabilidade, segurança e gerenciamento de rede. Organizações utilizam VLANs como uma forma f orma de assegurar que um conjunto de usuários estejam agrupados logicamente independentemente independentemente da sua localização física. Por exemplo, os usuários do Departamento de Marketing são colocados na VLAN Marketing e os usuários do Departamento de Engenharia são colocados na VLAN Engenharia. Operadoras também utilizam VLANs para oferecer segmentação dos serviços oferecidos aos seus diversos clientes. VLANs podem ser configuradasde duas maneiras: • Estaticamente: Através da atribuição de uma uma porta do switch para uma determinada VLAN. (mais usado) • Dinamicamente: Através de protocolos dinâmicos que aprendem as VLANs. Em termos técnicos o Switch adiciona uma etiqueta ( TAG) no quadro ethernet que permite a identificação de qual VLAN pertence o quadro quadro dentre outros parâmetros. parâmetros. A especifi especificaçã cação o 802.1q 802.1q define dois campos no cabeçalho cabeçalho ethernet de 2bytes que são inseridos no quadro ethernet a frente do campo Source Address: • TPID TPID (Tag Protocol Protocol Identifier) Identifier) Este campo corresponde correspondente nte ao Ethertyp Ethertype e do quadro comum ethernet ethernet e está associad associado o a um número hexadecimal específico: 0x8100* • TCI (Tag Control Information). Este campo é composto por três sub-campos: PRI: (3bits) Especifica bits de prioridade definidos pelo padrão 802.1p e usados para fazer marcação de nível 2 usando - PRI: (3bits) classes de serviço distintas (CoS); - CFI: (1bit) CFI: (1bit) Usado para prover compatibilidade entre os padrões Ethernet e Token Ring; - VLAN ID: (12bits) ID: (12bits) Este campo identifica de forma única a VLAN a qual pertence o quadro ethernet. Como o campo possui 12bits, o número de VLANs está limitado 4096** limitado 4096**.. OBS: * Este valor indica que o próximo campo é uma tag de vlan. A indicação 0x indicação 0x Indica Indica que o próximo número é um valor hexadecimal. ** Apesar do valor convertido (2^12) ser equivalente à 4096, os valores válidos para id de vlan vai de 1 à 4094. O primeiro valor 0 (0000000 (00000000000 00000) 0) é inválido inválido para vlan e o último valor 4095 (1111111 (11111111111 11111) 1) está reservado reservado para futuras implementaç implementações. ões. Considera-se uma boa prática não usar a VLAN 1 como vlan de serviço e gerência, pois esta é a vlan default na maioria dos switches switches e protocolos. protocolos. Fonte: IEEE 802.1q 1998 .
Versão da Apostila: 7.0
90
Quando o switch recebe um frame, ele verifica se o Tag de VLAN está presente neste frame. Se há um Tag de VLAN (tagged), o frame é encaminh encaminhado ado diretamen diretamente te ao restante restante das portas portas membros da VLAN corresponde correspondente. nte. Se não há um Tag de VLAN (untagged) no frame recebido, o switch então encaminha o frame para as portas membros da VLAN de acordo com a configuração de VLAN nativa da porta. Por default, todas as portas são membros untagged da VLAN 1. Todas as portas que não forem configuradas como membros de uma nova VLAN, VLAN, serão membros da VLAN 1 (Default VLAN). Não é possível deletar a VLAN 1. DmSwitch3000#show DmSwitch3000#show vlan table id 1 Membership:
(u)ntagged, (t)agged, (d)ynamic, (f)orbidden, (g)uest, (r)estricted, (a)ssignment uppercase indicates port-channel member
VLAN 1 [DefaultVlan]: static, active Unit Unit 1
2 u u 1
4 u u 3
6 u u 5
8 10 12 u u u u u u 7 9 11
14 u u 13
16 18 20 22 24 26 28 u u u u u u u u u u u u u u 15 17 19 21 23 25 27
Versão da Apostila: 7.0
91
• A opção ingress-filtering quando habilitada, faz com que pacotes com tag de vlans diferentes das configuradas nas
portas sejam descartados. DmSwitch3000(config-if-ethDmSwitch3000(config-if-eth-1/1)#swi 1/1)#switchport tchport ingress-filtering
• A opção acceptable-frames-types quando habilitada define o tipo de pacote que será permitido na porta. Caso
chegue na porta um pacote pacote diferente diferente que configurado, configurado, este é descartado. descartado. DmSwitch3000(config-if-ethDmSwitch3000(config-if-eth-1/1)#swi 1/1)#switchport tchport acceptable-frame-types acceptable-frame-types
Pode-se verificar o status das VLANs: DmSwitch3000(config)#show DmSwitch3000(config)#show vlan Global VLAN Settings: QinQ:
Disabled
VLAN:
1 [DefaultVlan]
Type:
Static
Status:
Active
IP Addr Addres ess: s:
192. 192.16 168 8.0.2 .0.25/ 5/24 24
Aging-time:
300 sec.
Learn-copy:
Disabled
MAC maximum:
Disabled
EAPS:
protected on domain(s) 1
Proxy ARP:
Disabled
Memb Member ers: s:
All All Ethe Ethern rnet et port ports s (sta (stati tic, c, unta untagg gged ed) )
Forbidden:
(none)
Versão da Apostila: 7.0
92
Versão da Apostila: 7.0
93
Geralmente, ISPs possuem clientes associados a VLANs específicas que necessitam comunicar com seus sites remotos. Uma solução para atender esta aplicação, é utilizar-se da t écnica de transportar a tag da VLAN do cliente através da rede do ISP até o site remoto. Contudo, esta alternativa alternativa traz um problema: o número de VLANs que podem ser criadas criadas em um switch está limitado a 4094 e portanto, a medida que a demanda por VLANs cresce, este número pode ser facilmente f acilmente extrapolado. extrapolado. Uma maneira de se resolver o problema supramencionado supramencionado seria usando o mecanismo de QinQ (802.1q Tunneling). O QinQ é um método de tunelamento que permite ISPs oferecerem serviços de t ransporte de tag de vlans de clientes de maneira transparente através da rede do ISP. O tunelamento transparente dos t ags de vlans é feit o adicionando-se um segundo tag, também chamado de “OUTER TAG” ou mesmo “METRO TAG”. Todos quadros de vlans de clientes são marcados com um METRO TAG específico (atribuído de forma transparente pelo ISP na borda da sua rede), e então, transportado pela rede do ISP até o seu destino (ponto de interconexão entre o ISP e o cliente), onde o METRO TAG é extraído e o quadro original com o tag da vlan do cliente é encaminhado.
Versão da Apostila: 7.0
94
QinQ Mode: external: É o padrão para as portas FastEthernet do DmSwitch 3000. No modo external, todos os frames que forem recebidos • external: na interface irão receber mais um Tag de VLAN. Geralmente usado nas portas de acesso. A VLAN que o frame irá receber é a VLAN configurada como NATIVE VLAN da porta de int erface e o tipo t ipo de VLAN configurada deve ser do tipo untagged. internal: É o padrão para as portas GBE. No modo internal, somente os frames que forem recebidos na interface com o valor • internal: do campo TPID diferente daquele configurado na própria interface, irão receber mais um Tag de VLAN. O TPID são os primeiros 0x8100. A 2 bytes no Tag de VLAN que também corresponde ao campo ethertype nos frames untagged. O valor defaut é 0x8100. A VLAN deve ser configurada no tipo tagged e associada nas portas onde o tráfego deverá ser comutado. • Exemplo de configuração
DmSwitch3000(config)#vlan DmSwitch3000(config)#vlan qinq DmSwitch3000(config)#interfa DmSwitch3000(config)#interface ce vlan 100 (s-vlan, outer-vlan) DmSwitch3000(config-if-vlanDmSwitch3000(config-if-vlan-100)#set100)#set-member member tagged ethernet 25 (Interface de ligação ao backbone) DmSwitch3000(config-if-vlanDmSwitch3000(config-if-vlan-100)#set100)#set-member member tagged ethernet 26 (Interface de ligação ao backbone) DmSwitch3000(config-if-vlanDmSwitch3000(config-if-vlan-100)#set100)#set-member member untagged ethernet 2 (Interface de Acesso) DmSwitch3000(config-if-vlanDmSwitch3000(config-if-vlan-100)#inte 100)#interface rface ethernet 2 DmSwitch3000(config-if-eth-1 DmSwitch3000(config-if-eth-1/2)#switc /2)#switchport hport native vlan 100 DmSwitch3000(config-if-eth-1 DmSwitch3000(config-if-eth-1/2)#switc /2)#switchport hport qinq external
Versão da Apostila: 7.0
95
1) ( ) Untagged é um frame gerado gerado a partir de uma vlan especial a ser usada em redes mesh. O Frame Frame tagged pode ser usado em em todo tipo de redes. ( ) Untagged frame é o frame ethernet ethernet sem a identificação de vlan. O frame tagged é o frame ethernet com com a identificação de vlan. ( ) Não existe diferença. É apenas apenas nomenclatura para definir os tipos de sistemas 2) ( ) show interfaces vlan ( ) show vlan ( ) show vlan id 3) ( ) apenas 1 ( ) até 2 ( ) até 4 4) ( )Verdadeiro ( ) Falso
Versão da Apostila: 7.0
96
Neste capítulo serão apresentados os conceitos e configurações utilizados nos protocolos de proteção de tráfego e loop de ethernet. Após o término deste capítulo o aluno estará apto à: • • •
Entender as diferenças entre os protocolos da família Spanning-tree Spanning-tree Entender e configurar configurar o funcionamento funcionamento do protocolo protocolo EAPS Entender o uso de vlan-group
Versão da Apostila: 7.0
97
O Protocolo Spanning-Tree é um protocolo bridge-to-bridge desenvolvido pela DEC (Digital Equipament Corporation) e foi posteriormente revisado pelo IEEE sendo especificado no padrão 802.1d. O propósito do STP é permitir a redundância de links sem que loopings de rede ocorram. O STP monitora a rede constantemente constantemente bloqueando as portas redundantes e evitando assim a ocorrência indesejada de loopings. Ele faz isso construindo uma topologia STP (Árvore STP ) de forma que uma falha ou adição de um link seja descoberta rapidamente. O STP estabelece um nó raiz chamado de ROOT BRIDGE (switch raiz). Esse nó constrói uma topologia que determina um caminho para alcançar todos os nós da rede. A árvore tem sua origem na bridge raiz. Os links redundantes que não fazem parte da árvore do caminho mais curto são bloqueados. Pelo fato de alguns caminhos serem bloqueados, é possível obter uma topologia sem loop. Os quadros de dados recebidos em links bloqueados são descartados. O STP requer que os dispositivos dispositivos de rede troquem mensagens mensagens (BPDUs) para detectar loop de rede. rede. Os links que causam loop são colocados em estado de bloqueio. Os switches propagam as BPDUs (Bridge Protocol Data Units) via multicast, em intervalos constantes de 2s. As BPDUs são trocadas por todos switches permitindo assim o cálculo da topologia STP livre de loop. BPDUs continuam a ser recebidas nas portas bloqueadas. Isso garante que se um caminho ou dispositivo ativo falhar, uma nova topologia STP poderá ser calculada. Abaixo, os campos de uma BPDU:
Versão da Apostila: 7.0
98
O protocolo STP implementa alguns timers que obrigam as portas a aguardarem por um período de tempo antes de tomar decisões prematuras em relação a eventos de mudança na topologia STP. São eles: • HELLO: (2s) Corresponde ao intervalo de tempo através do qual BPDUs são propagadas entre os switches. • MAX AGE: (20s) Este timer informa o período de armazenamento da última BPDU que o switch recebeu. Caso este timer se esgote, o switch concluirá que uma alteração na topologia ocorreu. O MAX AGE é um tempo para que o switch possa reagir à qualquer alteração na topologia STP evitando assim que decisões prematuras sejam tomadas. • FORWARD DELAY: (30s) Corresponde a período de tempo que encerra a alternância entre os modos learning e list ening. Todas as portas que participam do processo STP deverão passar pelos quatro estados citados abaixo. Um switch não deve mudar o estado de uma porta de inativo para ativo imediatamente, pois isso pode causar loop. Os estados de porta do STP 802.1d são: • BLOCKING: Portas neste estado só podem receber BPDUs. Os quadros de dados são descartados e nenhum endereço pode ser aprendido. A passagem para o estado seguinte pode levar até 20 segundos (MAX-AGE), tempo este necessário para o switch concluir que ocorreu uma mudança na topologia SPT. • LISTENING: Neste estado, os switches switches determinam se há outros outros caminhos até a bridge raiz. O caminho que não for o caminho caminho de menor custo até a bridge raiz volta para o estado de bloqueio. O período de escuta é chamado de atraso de encaminhamento encaminhamento e dura 15 segundos. No estado de escuta, não ocorre encaminhamento de dados nem aprendizagem de endereços MAC. As BPDUs são enviadas e transmitidas. O estado LISTENING é realmente usado para indicar que a porta está se preparando para transmitir, mas que gostaria de escutar o meio mais um pouco para certificar que a porta não criará loopings. loopings. • LEARNING: Neste estado, não ocorre encaminhamento de dados de usuários, mas há aprendizagem de endereços MAC a partir do tráfego recebido. O estado de aprendizagem aprendizagem dura 15 segundos e t ambém é chamado de atraso de encaminhamento. encaminhamento. As BPDUs são transmitidas e recebidas. recebidas. • FORWARDING: Neste estado, ocorre o encaminhamento de dados e os endereços MAC continuam a ser aprendidos. As BPDUs são transmitidas e recebidas. • DISABLED: Esse estado pode ocorrer quando um administrador desativa a porta ou a porta falha.
Versão da Apostila: 7.0
99
O primeiro passo na criação da Topologia STP livre de loop é o processo de eleição do ROOT BRIDGE (SWITCH RAIZ). O ROOT BRIDGE é o ponto de referência que todos os switches usarão para determinar se há loopings na rede. Ele é o mestre da topologia STP. Todo switch recém inserido na rede assume ser o ROOT BRIDGE e ajusta o campo ROOT BID igual ao seu BRIDGE ID. Isso ocorre só no primeiro boot. Daí em diante ele iniciará o processo de propagação de BPDUs para que os outros switches da rede tomem conhecimento da sua inserção e para que ele possa se situar na topologia. O ROOT BRIDGE será o switch que tiver o menor BID (8 bytes – PRIORITY + MAC). Caso a prioridade dos switches for igual, o switch que tiver o menor endereço MAC será eleito o ROOT BRIDGE. Todas as portas do ROOT BRIDGE são chamadas DESIGNATED PORTS (PORTAS DESIGNADAS) e encontram-se em modo FORWARDING. Todos os switches restantes da topologia são chamados de NON ROOT (NÃO RAIZ). A porta do switch NON ROOT (não RAIZ) de menor custo (Largura de banda do link) em relação ao ROOT BRIDGE é chamada ROOT PORT (PORTA RAIZ), e encontra-se em modo FORWARDING. As portas restantes que participam do processo STP são bloqueadas e, portanto, encontram-se em modo BLOCKED. Essas portas continuam a receber BPDUs, mas não enviam e recebem dados. Quando a rede está estabilizada, os seguintes elementos devem existir: • Uma ROOT BRIDGE por topologia STP; • Uma ROOT PORT por bridge não raiz; • Uma DESIGNATED PORT por segmento (onde há mais de uma porta por segmento, apenas uma delas deverá atuar como porta designada e a outra deverá ser bloqueada); Critério para a eleição da ROOT PORT PORT : 1 – Menor ROOT PATH COST; 2 – Menor SENDER BRIDGE ID; 3 – Menor Menor SENDER PORT ID. ID.
Versão da Apostila: 7.0
100
Diferenças entre os STP e o RSTP: • Three port states: O states: O RSTP possui apenas 3 port states, enquanto o STP possui 4 + 1 port states. Isto significa que os estados "Blocking, Listening e Disabled" foram condensados em um único estado para o 802.1w, o "Discarding state".
Port: Em situações onde temos duas ou mais portas presentes no mesmo segmento, apenas uma • Alternative Port e Backup Port: Em delas poderá desempenhar a função de "Designated Port". As outras portas serão rotuladas "Alternative Port" e, caso existam três ou mais portas, "Backup Port", respectivamente. A Alternative Port é uma porta que oferece um caminho alternativo para o ROOT BRIDGE da topologia no switch não designado. designado. Em condições normais, normais, a Alternative Port assume o estado de discarding discarding na topologia RSTP. Caso a Designated Port do segmento falhe, a Alternative Port irá assumir a função de Designated Port. Já a Backup Port é uma porta adicional no switch não designado. Ela não recebe BPDUs. Aging: Na implementação 802.1d, somente o Root bridge poderá notificar via BPDUs eventos de mudança na rede. Os • Fast Aging: demais switches simplesmente fazem a alteração nos campos necessários e, em seguida, efetuam o "relay" desta BPDU para os outros switches através de suas designated ports. Isto mudou com a chegada do RSTP - 802.1w. No RSTP, todos os switches são capazes notificar eventos de mudança na topologia em suas BPDUs e "anunciá-los" em intervalos regulares definidos pelo hello-time. Portanto, a cada 2 segundos (Hellotime) os switches criarão os seus próprios BPDUs e enviarão estes através de suas designated ports. Se num intervalo de 6s (3 BPDUs consecutivas) consecutivas) o swich não receber BPDUs do seu vizinho, o mesmo irá assumir que o nó vizinho não faz mais parte da topologia RSTP e irá fazer o estorno das informações de nível 2 da porta conectada ao vizinho. Isso permite a detecção de eventos de mudança mais rapidamente do que o MAX AGE do STP 802.1d, sendo a convergência agora feita LINK by LINK. ports: O RSTP define dois tipos de portas: Edge e Non-edge ports. As Edge ports são portas que devem • Edge e Non-edge ports: estar conectadas a apenas um nó de serviço. Elas são uma evolução do mecanismo de port-fast usado no STP, no entanto, diferentemente do port-fast que bloqueia a porta ao receber BPDUs, a edge port se transforma em non-edge ports. Non-edge ports são portas point-to-point ou portas shared, ou seja, são portas que estão conectadas ao outro switch na outra ponta ou então a um hub respectivamente. Non-edge ports devem operar em FULL-DUPLEX FULL-DUPLEX obrigatoriamente.
Versão da Apostila: 7.0
101
O MSTP (Multiple STP) definido sobre o padrão IEEE 802.1s é uma evolução do RSTP, cujo o objetivo é possibilitar múltiplas instâncias RSTP. O MSTP reduz o número total de instâncias RSTP gerada pelo cálculo de uma instância para cada vlan. Através do agrupamento de múltiplas vlans em uma única instância RSTP compartilhando a mesma topologia lógica, o switch tem o seu overhead de BPDUs reduzido e um tempo de convergência mais rápido. Cada instância MSTP possui um topologia lógica independente das outras instâncias MSTP. Dessa forma, o MSTP permite o load balance das instâncias de tal maneira que o tráfego das vlans que foram mapeadas para uma determinada instância possa usar caminhos diferentes de outras instâncias. Uma instância MSTP corresponde a um grupo de VLANs que compartilham a mesma topologia lógica RSTP, pertencentes a uma REGION. Por default, todas as vlans que participam do processo MSTP pertencem a Ist0 (Instância 0). É através da Ist0 que as diferentes REGIONs se comunicam trocando BPDUs. BPDUs. Instâncias MSTPs não enviam BPDUs fora da REGION, somente a Ist0 faz isso. Dentro da REGION os switches trocam BPDUs inerentes às diferentes instâncias que podem existir, cada uma delas contendo o “id” da instância de origem além de outras informações pertinentes ao processo. Ist0s em diferentes REGIONs são interconectadas por uma Cst (Common Spanning-Tree), permitindo assim a comunicação entre diferentes REGIONs e a inter-operabilidade entre os padrões de protocolos STP. Assim sendo, todas as REGIONs podem ser vistas como uma “bridge virtual” rodando uma Cst. Para que switches estejam numa REGION, cada switch deve ter as mesmas configurações de vlans mapeadas para suas respectivas instâncias e número de revisão. Não é vantajoso segmentar a rede em diferentes REGIONs, pois isso acarretaria em aumento significativo do overhead de CPU e t ambém administrativo. A coleção de Ists em cada REGION MSTP e as Cst que interconectam interconectam as Ists são chamadas de Cist (Common and Internal Spanning-Tree). NOTA: O REVISION NUMBER é um decimal usado para manter o controle das atualizações MSTP em uma REGION. Ele deve ser o mesmo em todos os switches pertencentes a mesma REGION, assim como o as configurações de vlans mapeadas para cada instância MSTP
Versão da Apostila: 7.0
102
Versão da Apostila: 7.0
103
Introdução: Muitas Redes Metropolitanas (MANs) e algumas redes locais (LANs) têm uma topologia em anel, normalmente, utilizando para isso uma estrutura de fibras óticas. O Ethernet Ethernet Automatic Protection Protection Switching (EAPS foi desenvolvido desenvolvido para atender somente as topologias em anel, normalmente utilizadas em redes ethernet metropolitanas. Devido a grande capacidade de transmissão das redes Metro Ethernet existe a necessidade de haver redundância/proteção do tráfego em caso de falha. O EAPS converge em até 50 milissegundos, o que é suficiente para que tráfegos sensíveis (voz, por exemplo) não percebam a falha. Esta tecnologia não tem limite de quantidade de equipamentos equipamentos no anel, e o tempo de convergência é independente independente do número de equipamentos no anel. Conceito de Operação: Um domínio EAPS existe em um único anel Ethernet. Qualquer VLAN que será protegida é configurada em todas as portas do domínio EAPS. Cada domínio EAPS tem um equipamento designado como “MESTRE". Todos os outros equipamentos do anel são referidos como equipamentos "TRANSITO". Por se tratar de uma topologia em anel, obviamente, cada equipamento terá 2 portas conectadas ao anel. Uma porta do equipamento MESTRE é designada como “primária" enquanto a outra porta é designada como "porta secundária". Em operação normal, o equipamento MESTRE bloqueia a porta secundária para todos os quadros Ethernet que não sejam de controle do EAPS evitando assim um loop no anel. Se o equipamento MESTRE detecta uma falha do anel ele desbloqueia a porta secundária permitindo assim que os frames de dados Ethernet possam passar por essa porta. Nos equipamentos TRANSITO, há configuração de portas primária e secundária, no entanto, o seu funcionamento não é como no MESTRE. Nestes equipamentos as portas SEMPRE ficam transmitindo frames. Existe uma VLAN especial denominada "Control VLAN", que pode sempre passar por todas as portas do domínio EAPS, incluindo a porta secundária do equipamento MESTRE. Por esta VLAN passam quadros do próprio EAPS que são utilizados tanto como mecanismo de verificação quanto mecanismo de alerta.
Versão da Apostila: 7.0
104
O EAPS é um protocolo protocolo de nivel 2 que provê resiliência resiliência somente somente em topologias topologias em anel. Seu funcionam funcionamento ento é análogo ao protocolo MSTP no entanto, por ser mais simples, seu processo de convergência é bem mais rápido, sendo este da ordem de mili segundos( < 50m), o que o torna um protocolo altamente seguro e escalável. O EAPS permite o balanceamento balanceamento de carga do tráfego de vlans através da criação de dif erentes domínios EAPS para um mesmo anel, cada qual fazendo a proteção do seu respectivo grupo de vlans. O funcionamento do EAPS consiste na criação inicial de um domínio EAPS para um anel. Todas as vlans protegidas pelo domínio EAPS recém criado são atreladas às portas que constituem o anel e então, associadas ao domínio EAPS. Dentro da topologia em anel, um switch irá exercer a função de “MASTER NODE”, enquanto todos os outros switches do anél serão designados designados “TRANSIT NODES”. No MASTER NODE uma das portas do anel é definida como “PRIMARY PORT” para um determinado domínio EAPS e a outra porta do anel é definida como “SECONDARY PORT”. Em condições normais de operação, o MASTER NODE bloqueia a SECONDARY PORT para todo o tráfego que não seja de controle do EAPS, evitando assim a ocorrência de loop. Se o MASTER NODE detecta uma falha no link (failed state), ele desbloqueia a SECONDARY PORT e permite o encaminhamento do tráfego de dados por esta porta. A detecção de falhas do EAPS é baseada na troca de informações de controle que circulam na vlan de controle – “CONTROL VLAN” - do domínio EAPS, garantindo assim o status operacional do anel. Uma vlan de controle EAPS é criada para cada domínio EAPS. As vlans protegidas pelo domínio – “PROTECTED VLANS” – carregam de fato o t ráfego de dados. Quando uma falha de link ocorre uma TRAP Msg é enviada pelos TRANSIT NODES através da vlan de controle e o estado de falha é declarado pelo MASTER NODE, o que acarreta no desbloqueio da SECONDARY PORT e na expiração (flushed) das informações de encaminhamento de nivel dois. A vlan que irá atuar atuar como CONTROL CONTROL VLAN deverá ser ser configurada respeitando respeitando as seguintes seguintes regras: • não deve ser associada a um endereço IP, de maneira a evitar loops de rede; • somente as portas do anel devem ser associadas à CONTROL VLAN; • As portas do anel que carregam as informações da CONTROL VLAN devem ser TAGGED. Isso assegura que o tráfego de controle EAPS seja servido antes de qualquer outro tipo de tráfego e que as mensagens de controle cheguem aos destinos pretendidos; • A CONTROL VLAN não pode estar associada a mais de um domínio EAPS.
Versão da Apostila: 7.0
105
Versão da Apostila: 7.0
106
•
RFC 3619
•
Tempos de mensagens Health-Check Customizáv Customizáveis eis
•
Tempos de mensagens Fail-timer Fail-timer Customizáveis Customizáveis
•
Mensagen Mensagenss do EAPS: EAPS: o
HEALTH
o
RING-UP-FLUSH-FDB
o
RING-DOWN-FLUSH-FDB Solic Solicit ita a um flus flush h na FDB FDB quan quando do o anel anel entr entra a em falha falha
o
LINK-DOWN
–
Paco Pacote te de verifi verifica caçã ção o do anel –
Solic Solicit ita a um flus flush h na FDB FDB quan quando do o anel anel volt volta a ao norma normall –
–
Pacote Pacote de informaç informação ão de link down
Detecção de Falhas Alerta de Link Down: Quando um equipamento equipamento trânsito detecta um link down em qualquer uma das suas portas do domínio • Alerta EAPS, o equipamento envia imediatamente uma mensagem de link down através da VLAN de controle para o equipamento mestre. Quando este recebe esta mensagem o estado do anel é alterado de "normal" para o estado de “falha” e desbloqueia a porta secundária. Neste momento o equipamento MESTRE MESTRE efetuar um flush f lush de sua tabela de MAC Addresses, e também o envia um frame de controle para que todos os demais equipamentos do anel façam o mesmo. • Ring Polling: O equipamento equipamento MESTRE envia um frame do tipo health-check na na sua VLAN de controle com intervalo configurável pelo usuário. Se o anel estiver concluído, o frame de health-check será será recebido em sua porta secundária, onde o equipamento mestre irá redefinir o seu timer e continuar a operação normal. Se o equipamento MESTRE não receber o frame de health-check antes antes do prazo do fail-timer expirar, expirar, o estado do anel passará de normal para estado de falha e a porta secundária será desbloqueada. desbloqueada. O equipamento MESTRE efetua um flush em sua tabela *FDB e e envia um quadro de controle para todos todos os outros equipamentos, instruindo-os a limpar a suas tabelas. tabelas. Imediatamente após o flush, cada equipamento começa a aprender a nova topologia (mac learning). Este mecanismo de ring polling fornece fornece ao anel uma contingência em caso dos quadros de link down se perderem por algum motivo imprevisto. • Restauração do Anel: O equipamento mestre continua o envio periódico de frames health-check através através sua porta primária, mesmo quando operando com o anel em estado de falha. Uma vez o anel restaurado, o próximo health-check será será recebido na porta secundária do equipamento mestre. Isto fará com que o equipamento mestre volte o anel em estado normal, logicamente bloqueando os frames que não sejam de controle em sua porta secundária, até que o mesmo limpe sua tabela MAC, e envie um frame de controle para os equipamentos transito, instruindo-os a efetuar um flush de suas tabelas e re-aprender a topologia. t opologia. Durante o tempo entre o equipamento de TRÂNSITO detectar que o link foi restaurado e o equipamento equipamento MESTRE detectar que o anel foi restaurado, o porta secundária do equipamento mestre ainda está aberta (UP) – criando a possibilidade de um loop temporário na topologia. Para evitar isso o equipamento TRÂNSITO vai colocar a porta que voltou ao normal estado de bloqueio temporário, chamado de " pré-forwarding ”. Quando o equipamento trânsito está com uma de suas portas em estado de " préforwarding ” somente os quadros de controle trafegam, assim que o mesmo receber um quadro de controle instruindo-o para efetuar um flush tabela FDB, assim que o fizer, será liberado o tráfego de todas as VLANs protegidas restaurando o estado do anel para normal. *FDB=Forward *FDB=Forward Data Base
Versão da Apostila: 7.0
107
As portas que conectam o switch ao anel devem ser membros tagged da VLAN de controle. O comando show EAPS mostra o status dos domínios configurados: DmSwitch3000#show DmSwitch3000#show eaps ID
Domain
State
M
Pri
Sec
Ctrl
Protected#
--- --------------- --------------- --- ----- ----- ------ ----------1
Treinamento
Links-Up
T
1/25
1/26
4094
0
SW3-3000#show eaps detail Domain ID:
0
Domain Name:
Transit
State:
Links-Down
Mode:
Transit
Hell Hello o Time Timer r inte interv rval al: :
1 sec sec
Fail Fail Time Timer r inte interv rval al: :
3 sec sec
Pre Pre-for -forwa ward rdin ing g Tim Timer: er:
6 sec sec (le (learne arned) d)
Last Last upda update te from from: :
00:0 00:04: 4:DF DF:1 :10: 0:98 98:9 :93, 3, Eth Eth 1/26 1/26, , Sat Sat Jan Jan
Primary port:
Eth1/25
Port status: Up
Secondary port:
Eth1/26
Port status: Down
Control VLAN ID:
4094
Rema emainin ining: g:
0 sec sec 3 21:5 21:50: 0:05 05 1970 1970
Protected VLAN group IDs: 0
Versão da Apostila: 7.0
108
1) ( ) Basicamente o modo como como as BPDUs são trocadas. No No STP somente o root bridge envia BPDU BPDU de TCN, já no caso do RSTP todos os switches enviam este tipo de BPDU. ( ) Não há diferença. ( ) O RSTP foi desenvolvido desenvolvido anteriormente ao STP. 2) (
) show spanning-tree instance
(
) show spanning-tree
(
) show spanning-tree table
3) ( ) Facilita o uso do EAPS ( ) O uso de vlan-group é opcional ( ) Facilita a administração de VLANs VLANs junto aos protocolos de resiliência resiliência 4) ( )Verdadeiro ( )Falso
5) ( ) < 50s ( ) < 50ms ( ) < 30s ( ) < 1000ms
Versão da Apostila: 7.0
109
Neste capítulo serão apresentados os conceitos e configurações de tunelamento de protocolos de nível 2. Após o término deste capítulo o aluno aluno estará apto à: à: • •
Entender o conceito de l2tp Configurar o l2tp
Versão da Apostila: 7.0
110
Por definição, Switches descartam MAC addresses para destinos conhecidos como sendo protocolos de nível 2. O tunelamento de protocolos layer 2 é baseado na modificação do MAC address de destino para os frames de controle de protocolos. Frames de protocolos recebidos em uma interface habilitada para tunelamento terão seu MAC address de destino alterado para outro endereço que deve ser o mesmo em todo o caminho por onde os frames tunelados irão trafegar. Com este novo MAC address de destino os frames serão transportados (flooded) de forma transparente pela rede até alguma outra porta com tunelamento habilitado. O tunelamento deve ser habilitado somente nas portas que irão converter o frames de protocolos em fr ames tunelados e/ou frames tunelados em frames de protocolos. Nas portas intermediárias no caminho do tunelamento o mesmo deve ser habilitado. No exemplo da Figura 1, os switches não conseguem trocar BPDUs fazando com que cada switch “ache” que é o root bridge na topologia STP colocando suas portas no estado de encaminhamento de pacotes. Nesta condição ocorrerá um loop pois não há uma porta bloqueada abrindo o anel. Na figurado 2, com o tunelamento habilitado, os switches do cliente poderão trocar BPDUs fazendo com que a correta topologia do STP seja aplicada evitando o loop.
Versão da Apostila: 7.0
111
Neste capítulo serão apresentados os conceitos e configurações necessárias necessárias para a aplicação de qualidade de serviço e controle de congestionamento em L2. Após o término deste capít ulo o aluno estará apto à: • • • • • • • • •
Entender o conceito de rate-limit por interface Entender o algortimo de limitação de tráfego token bucket Configurar o rate-limit por interface Entender o conceito de CoS Configurar o CoS default por interface Entender o conceito de filas de priorização (802.1p) Entender os diferentes algoritmos de enfileiramento de tráfego Entender e configurar o rate-limit por por fluxo de tráfego usando o conceito conceito de de meter Classificar e priorizar o tráfego usando filtros
Versão da Apostila: 7.0
112
A técnica de rate-limit é usada para controlar a taxa máxima de dados enviados e recebidos em uma interface. A limitação do tráfego de entrada e saída da rede deve ser configurada o mais próximo da origem do tráfego. Dentro do processo de rate-limit existem dois perfis de tráfego: “in - profile” e e “out -of-of- profile” . . O tráfego “in - profile” corresponde corresponde ao tráfego que se encaixou nas condições de limitação da banda. Todos os pacotes in-profile são encaminhados encaminhados normalmente. Já o tráfego “out -of-of- profile”, corresponde ao tráfego em excesso, ou seja, que foram além da banda limitada. O mecan mecanism ismo o de rate-l rate-limi imitt é feito feito em HARDWARE e possib possibilit ilita a uma uma granu granular larida idade de de 64kbps 64kbps até 100Mp 100Mpbs bs ou 1Gbps 1Gbps dependendo da interface. A técnica de medição do tráfego consiste no uso de um modelo matemático chamado token bucket (balde de fichas). Neste algoritmo, o balde é preenchido com fichas a uma taxa fixa (rate-limit). A capacidade máxima do balde de fichas é determinada pelo Burst. Cada pacote transmitido consome uma ficha do balde. Caso não haja fichas, o pacote não é transmitido, podendo ou não ser armazenado no buffer. A taxa de saída varia de acordo com a taxa de chegada até quando o valor da taxa de chegada for igual ou menor do que o Rate-limit. As fichas que não são consumidas consumidas são acumuladas no balde até enchê-lo. A partir daí as fichas são perdidas. Entretanto, quando a taxa de chegada é maior do que o Rate-limit a taxa de saída vai depender da quantidade de fichas armazenadas no balde. Enquanto houver fichas a consumir, a taxa de saída varia de acordo com a taxa t axa de entrada até um máximo determinado pela velocidade do enlace. Quando não há mais fichas a consumir, o tráfego obedece a taxa de geração de fichas (rate-limit). Logo este algoritmo permite que ocorram rajadas de tráfego com taxas superiores ao rate-limit na saída dos dispositivos. Por padrão, o CBS pode variar de 32kbit (4K Bytes) até 4096kbit (512k Bytes). Bytes). O rate-limit também pode ser aplicado por fluxo. A configuração de rate-limit por fluxo é feita através da criação de filtros que usam meters para monitorar a taxa t axa máxima deste fluxo. Neste caso o tráf ego excedente poderá ser marcado com preferência de descarte ou alteração do valor valor do DSCP, além de poder poder ser descartado ou comutado comutado integralmente. A configuração de rate-limit por fluxo será abordada no item Meters e Counters.
Versão da Apostila: 7.0
113
O padrão IEEE 802.1p – User Priority Bits (3 bits) – foi definido pelo IEEE para suportar QoS em LANs ethernet 802.1q. Também chamados chamados de CoS (Class of Service), Service), os 3 bits 802.1p são usados usados para marcar marcar quadros quadros L2 ethernet ethernet com até 8 níveis níveis de prioridade (0 a 7), permitindo correspondên correspondência cia direta com os bits IP Precedence do cabeçalho IPv4. A especificação IEEE 802.1p definiu os seguintes padrões para cada CoS: - CoS 7 (111): network - CoS 6 (110): internet - CoS 5 (101): critical - CoS 4 (100): flash-override - CoS 3 (011): flash - CoS 2 (010): immediate - CoS 1 (001): priority - CoS 0 (000): routine
Versão da Apostila: 7.0
114
Versão da Apostila: 7.0
115
Exemplo de configuração usando apenas apenas 2 filas de priorização: DmSwitch3000(config)#queue DmSwitch3000(config)#queue cos-map 0 priority 0 1 2 3 DmSwitch3000(config)#queue DmSwitch3000(config)#queue cos-map 7 priority 4 5 6 7
Na configuração acima, quando chegarem pacotes marcados marcados com prioridades 0, 1, 2 e 3 estes serão encaminhados para a fila 0 e para pacotes com marcação de 4, 5, 6 e 7 para a fila 7.
Versão da Apostila: 7.0
116
Os filtros de pacotes são regras que permitem fazer a definição de políticas de QoS, segurança, monitoramento de tráfego e limitação de banda. Seu funcionamento baseia-se na classificação ou marcação do tráfego a ser tratado, definição da ação a ser tomada e em quais interfaces o filtro será aplicado. Por padrão, todo tráfego que entra numa interface é permitido e não recebe nenhum tipo de restrição ou marcação. Cabe ao administrador de rede definir as políticas e aplicá-las nas interfaces caso se faça necessário. Através do comando filter é possivel criar um filtro ou editar um filtro já existente. A ordem em que os parâmetros do filtro são criados não é mandatória, pode-se começar o filtro tanto com o parâmetro match quanto action ou outro parâmetro disponível DmSwitch3000(config)#filter DmSwitch3000(config)#filter [?] new new
Crea Create te a new new filt filter er
1-1280
Select a filter to edit edit by ID
DmSwitch3000(config)#filter DmSwitch3000(config)#filter new remark [?] action action
Add an action action to the filter filter
disable disable
Disable Disable the filter filter
enab enable le
Enab Enable le the the filt filter er
ingress ingress
Apply the filter filter to an an ingres ingress s port
match match
Set a packet packet field field to be matche matched d
meter meter
Set a meter meter to be associ associate ated d to this this filter filter
priority
Configure the filter filter priority
rema remark rk
Add Add a rema remark rk text text
Pode-se criar um filtro desabilitado através do parâmetro disable. Por default, os filtros estarão ativos a partir de sua criação. O parâmetro priority não tem relação com a prioridade do pacote e sim com a prioridade do filtro. Este parâmetro aplica prioridades diferentes a filtros concorrentes. Ao criar um novo filtro, poderá aparecer a mensagem abaixo. Neste caso, deve-se criar o filtro com uma prioridade diferente. % 124: Filter conflict: check required and available priorities
Versão da Apostila: 7.0
117
Versão da Apostila: 7.0
118
Versão da Apostila: 7.0
119
Meter: Os meters são associados aos filtros para limitar a taxa de determinado fluxo de pacotes. Para os pacotes que fazem match dentro da taxa, é tomada uma ação através do comando action. Para os pacotes que excedem a taxa configurada, pode-se tomar uma ação através do parâmetro out-act ion DmSwitch3000(config)#filte DmSwitch3000(config)#filter r new remark meter <1-63> out-action [?] permit
Cause the packet to be switched
deny
Discard the packet
dsc dscp
Inse nsert Diffe iffere ren ntiat tiated ed Ser Service vices s Code ode Poin Point t
drop-precedence
Internally set packet to drop-precedence
Counter: Os counters counters são associado associadoss aos filtros para realizar realizar a contagem contagem dos pacotes pacotes de determinad determinado o fluxo. fluxo. Os contador contadores es são visualizados através do comando show counter DmSwitch3000(config)#show DmSwitch3000(config)#show counter [?] id
Counter by ID
filter filter
Counter Counter by filter filter ID
sort sort
Sort Sortin ing g meth method od
|
Output modifiers
SW3-3000(config)#sho SW3-3000(config)#sho counter id <1-32> ID
Filter
Counter Value
---- ----------------------------------------------------------------- ------
--------------------------------------------------
1
Remark
1
Versão da Apostila: 7.0
100
120
Versão da Apostila: 7.0
121
Strict Priority: O algoritmo SP faz o tratamento das filas de saída numa ordem sequencial: filas de maior prioridade são sempre tratadas primeiro que filas de menor prioridade. Somente quando a fila de maior prioridade se esvaziar e que as outras filas de menor prioridade serão tratadas. Embora o algoritmo Strict Priority faça primeiro o escalonamento das filas de maior prioridade, quando usado em conjunto com aplicações de fluxo contínuo, ininterrupto e de alta prioridade, o mesmo pode negligenciar as filas de menor prioridade. No entanto é possível configurar uma banda máxima por f ila. Weighted Round Robin: O algoritmo WRR foi criado para suprir as deficiências do algoritmo Strict Priority. O WRR irá assegurar que todas as filas serão tratadas atribuindo às mesmas um peso (weight) que corresponde à quantidade de pacotes trata em um intervalo de tempo. Weighted Fair Queueing: O WFQ garante justiça no tratamento das filas, assegurando que as filas de menor prioridade não sejam negligenciadas em condições de congestionamento. O algoritmo assegura que uma banda mínima será garantida para cada uma das filas em condições de congestionamento, fazendo o escalonamento do tráfego excedente por round robin ou prioridade até o limite configurado. Quando ajustado para uma largura de banda máxima na fila, ocorrerá o shapping do tráfego. Assim, rajadas que vão além da largura de banda máxima especificada são armazenadas no buffer de transmissão. Caso o buffer se esgote, pacotes serão descartados.
Versão da Apostila: 7.0
122
Versão da Apostila: 7.0
123
Versão da Apostila: 7.0
124
Versão da Apostila: 7.0
125
Versão da Apostila: 7.0
126
1) ( )Verdadeiro ( )Falso
2) ( ) Possibilitar a entrega de todo o tráfego ( ) Marcar todo tráfego untagged com a prioridade definida na porta ( ) Esta configuração configuração é opcional para para redes MPLS MPLS 3)
4) ( ) Configurar o switch com uma técnica conhecida conhecida como GCIR GCIR (Velocidade garantida ) ( ) Criar um link aggregation aggregation para aumentar aumentar a banda ( ) Configurar o equipamento com WFQ e definir a banda mínima para este aplicativo 5) ( ) Significa que este este tráfego nunca será será descartado ( ) Significa que em caso de congestionamento congestionamento este tráfego marcado será descartado primeiro ( ) Significa que o Switch irá encaminhar este tráfego para as portas com esta configuração configuração Versão da Apostila: 7.0
127
Neste capítulo serão apresentados os recursos de Aprovisionamento e configuração de circuitos virtuais sobre a rede Metro Ethernet e seus respectivos protocolos de convergência de redes. Após o término deste capítulo o aluno aluno estará apto à: à: • • • • • •
Entender o conceito de Provisionamento Adicionar os equipamentos no software de gerenciamento Criar a topologia da rede Configurar portas dos respectivos equipamentos Configurar os protocolos STP e EAPS Criar circuitos na rede
Versão da Apostila: 7.0
128
Versão da Apostila: 7.0
129
DmView DmView é o Sistem Sistema a Integr Integrado ado de Gerênc Gerência ia de Rede Rede e de Elemen Elemento to desen desenvol volvid vido o para para superv supervisi isiona onarr e config configura urarr os equipamentos Datacom, disponibilizando funções para gerência de supervisão, falhas, configuração, desempenho, inventário e segurança. O DmView tem funcionalidades para gerência de diversos tipos de redes (como PDH, SDH, Metro Ethernet). Este manual apresenta funcionalidades funcionalidades específicas do DmView para gerência de redes Metro Ethernet. Para funcionalidades gerais do DmView, que não apresentam comportamentos específicos para gerência de redes Metro Ethern Ethernet, et, é recom recomend endada ada a leitura leitura do manual manual DmView DmView – Manual Manual de Opera Operação ção Geral Geral,, que contêm contêm informa informaçõe çõess sobre sobre funcionalidades como mapas topológicos, topológicos, criação de links e recepção de eventos. Para instalação, utilizar o documento DmView – Manual de Instalação. Device Information A partir da versão 6.7 a janela Device Information foi criada para a linha Metro Ethernet de equipamentos da Datacom, ela está acessível através do menu Fault no bayface dos equipamentos (DmSwitch 3000, DM4000 e EDD), menu de contexto das portas do bayface e duplo clique nas portas, led de alarmes e led de f ans. Informações sobre Portas Exibe as informações sobre a porta de acordo com o slot selecionado e número da porta. Na combo Slot é possível selecionar a Unit para listar suas portas Na combo Port é possível selecionar a porta para exibir suas informações Todas as portas e port-channels presentes no equipamento serão listados. O label Model informa o modelo da porta. Informações sobre os Transceivers (SFP) Exibe as características dos transceivers presentes presentes nos equipamentos. equipamentos. Na combo Slot é possível selecionar a Unit para listar suas portas Na combo Port é possível selecionar a porta para exibir as informações do transceiver presente na porta Somente as portas com transceiver serão listadas.
Versão da Apostila: 7.0
130
Esta seção tem como objetivo apresentar a aba de configuração de parâmetros de rede L3 existentes na janela Device Config. Essa aba está disponível para equipamentos das linhas DM33XX e DM4000. DM4000. Essa aba possibili possibilita ta a configuração configuração e visualizaç visualização ão de diversos diversos parâmetros parâmetros de rede L3 e também de diversos diversos protocolos protocolos usad usados os ness nessas as rede redes. s. Inic Inicia ialm lmen ente, te, ao sele seleci cion onar ar a aba aba L3, L3, serã serão o exib exibid idas as as conf config igur uraç açõe õess atua atuais is pres presen entes tes no equipa equipamen mento, to, permiti permitindo ndo a visual visualiz izaçã ação o das das informa informaçõe çõess e uma uma poste posterio riorr altera alteração ção dos dos parâm parâmetro etross existe existente ntess nessa nessa aba. aba. Dentre Dentre as possi possibil bilida idades des de configu configuraç ração ão dessa dessa aba, aba, há a possib possibili ilidad dade e de habili habilitar tar/de /desa sabil bilita itarr o rotea roteamen mento to IP, definir definir rotas estáticas estáticas e configurar configurar parâmetros parâmetros básicos básicos dos protocolos protocolos OSPF e BGP.
Versão da Apostila: 7.0
131
O EAPS é um protocolo para proteção de tráfego em topologias Ethernet em anel. No DmView, ele pode ser aprovisionado em anéis com equipamentos DmSwitch 3000 e DM4000 (lembrando que os links entre os equipamentos precisam ser criados previamente no DmView). Para criar um domínio EAPS, é necessário selecionar, no mapa topológico, um conjunto de equipamentos que forme um anel. A janela de configuração permite a criação de 2 domínios EAPS no anel, cada um protegendo m etade das VLANs, por exemplo. exemplo. Para criar apenas 1 domínio, deve-se desmarcar a opção Create 2 Domains. Nos painéis EAPS Domain 1 e EAPS Domain 2, deve-se definir nome do domínio, os campos Hello timer e Fail timer, qual o equipamento Master, e selecionar o grupo de VLANs a proteger. Caso ainda não exista o grupo desejado, basta clicar em NEW e definir as opções para criar o novo grupo de VLANs. Após, clique no no botão select para para selecionar o grupo. grupo. Feitas estas configurações, pode-se usar o botão Next, que levará ao passo final, em que um resumo das configurações e portas selecionadas é exibido, e em que se pode definir as VLANs de controle a usar nos domínios. Após a criação de 1 ou 2 domínios EAPS no anel, cada domínio é gerenciado individualmente no sistema. Os domínios podem ser editados ou removidos a partir da opção View EAPS Domains, no menu de contexto dos equipamentos no mapa. Abaixo opções importantes que devem ser passadas para a configuração do protocolo. Master device: deve-se escolher qual equipamento do anel deve ser configurado como master do domínio. Master´s primary port: permite selecionar a porta primária. Ao clicar em "Next", se estiverem sendo criados dois domínios e, pela seleção de portas primárias de seus respectivos master, os dois estiverem bloqueando o mesmo link, será exibida uma mensagem de confirmação para o usuário. Protected VLAN Groups: esse campo deve ser preenchido com o auxílio dos botões Add e Remove, para adicionar e remover profiles de grupos que devem ser protegidos pelo domínio EAPS. Cada profile de grupo adicionado a este campo representa um grupo de VLAN distinto no equipamento. Ao clicar sobre o botão Add é aberta a janela VLAN Group Profiles na qual deve-se escolher os grupos que se quer proteger no domínio. Nessa mesma janela é possível definir novos profiles de VLAN Groups. Mapped VLANs: Esse campo deve ser preenchido com um subconjunto das VLANs protegidas do domínio. Deve se utilizar vírgula (,) para separar as VLANs que deseja mapear ou hífen (-) para indicar um intervalo de VLANs (2-4, por exemplo, é o mesmo que 2, 3, 4). As VLANs indicadas indicadas nesse campo serão criadas no equipamento e mapeadas nas portas de uplink. Apenas VLANs mapeadas pelo provisionamento de EAPS poderão ser usadas para a criação de circuitos Metro Ethernet sobre EAPS. Existem dois botões para ajudar a preencher esse campo. O botão Copy for mapped VLANs copia as VLANs do(s) grupo(s) protegido(s) selecionado(s) para o campo Mapped VLANs e o botão Remove unprotected VLANs remove do campo todas as VLANs que não estão nos grupos protegidos. Ao utilizar qualquer um desses botões será apresentada mensagem ao usuário informando quais VLANs foram inseridas ou removidas do campo Mapped VLANs. Mesmo após utilizar esses botões, o campo pode ser editado livremente.
Versão da Apostila: 7.0
132
Além da criação de anéis EAPS, o DmView também disponibiliza disponibiliza a importação de anéis EAPS previamente configurados na rede, através da opção Import EAPS Domains Clicando sobre cada equipamento pertencente ao anel configurado, clique com botão da direita do mouse. Além disso, a inserção ou remoção de equipamentos em anéis EAPS pode ser realizada, de forma que a configuração do equipamento inserido ou removido é realizada automaticamente pela gerência, conforme os parâmetros dos domínios EAPS em questão. Para adicionar um equipamento novo a um dominio de EAPS já criado, basta clicar sobre o equipamento com o botão direito do mouse, selecionar a opção Select Device To Insert In Topology, posteriormente, clique no link onde este equipamento será inserido e novamente clique com o botão direito do mouse e selecione a opção Insert Device In Topology. Topology.
Versão da Apostila: 7.0
133
L2-DOMAIN Os domínios L2, ou L2 Domains, agrupam os equipamentos da linha Metro Ethernet de acordo com a rede L2 na qual eles se encontram, quando os equipamentos estão operando em rede L2. Normalmente, os equipamentos de um domínio L2 possuem algum mecanismo de proteção configurado (domínios EAPS ou topologia STP) com VLANs pré-provisionadas nas portas internas desses recursos. A principal função dos domínios L2 é evitar conflitos de VLAN entre diferentes circuitos Metro Ethernet, ou seja, a VLAN utilizada em um equipamento como endpoint de um circuito não pode ser utilizada em um endpoint de outro circuito, em qualquer equipamento que esteja no mesmo domínio L2. Os domínios L2 também influenciam diretamente no cálculo da topologia dos circuitos Metro Ethernet, determinando quando deve ser uti lizada uma rede L3 para interligar os equipamentos. A criação, edição e remoção de domínios L2 pode ser realizada através da janela L2 Domain Configuration, acessível a partir do menu Tools => Provisioning => L2 Domain Configuration. Essa aba apresenta uma lista com os equipamentos que fazem parte do domínio L2, permitindo a adição de novos equipamentos através do botão Add Device e a remoção de equipamentos através do botão Remove Device. Novos equipamentos também podem ser arrastados do mapa e largados sobre a janela, sendo assim adicionados ao domínio. Ainda na janela de configuração configuração de domínios, a aba VLANs permite a configuração do bloqueio de VLANs para uso em endpoins de circuitos. A figura abaixo apresenta a janela L2 Domain Configuration com a VLAN 100 sendo bloqueada, ou seja, circuitos criados em equipamentos desse domínio não poderão utilizar essa VLAN na sua configuração. O painel central dessa janela permite que intervalos de VLANs sejam bloqueados bloqueados ou desbloqueados. desbloqueados. Para bloquear o uso das VLANs 800 a 999, por exemplo, deve-se digitar “ “800-999” no campo de texto e em seguida acionar o botão “<”.
Versão da Apostila: 7.0
134
Versão da Apostila: 7.0
135
Versão da Apostila: 7.0
136
CIRCUITOS CIRCUITOS METRO MET RO ETHERNET Os circuitos Metro Ethernet são utilizados para o provisionamento provisionamento de serviços de cliente oferecidos através dos equipamentos da linha Metro Ethernet. A gerência suporta a criação de circuitos ponto-aponto ponto-aponto ou multiponto, sendo que os pontos finais do circuito são chamados de endpoints. Cada endpoint consiste consiste em um par porta/VLAN que pode ser configurado em qualquer equipamento equipamento da linha Metro Ethernet. Para a configuração de um circuito Metro Ethernet, o usuário precisa definir apenas os endpoints do circuito, já que a topologia utilizada para conectar esses endpoints endpoints é determinada automaticamente pela gerência.
Versão da Apostila: 7.0
137
Versão da Apostila: 7.0
138
Versão da Apostila: 7.0
139
Versão da Apostila: 7.0
140
A ferramenta para busca de circuitos Metro Ethernet permite que sejam encontrados encontrados os circuitos criados na gerência, os quais podem ser posteriormente visualizados, editados ou removidos através da janela de configuração de circuitos. O acesso a essa ferramenta de busca se dá através do menu Tools => Search => Metro Ethernet Circuits ou através do botão Search Metro Ethernet Circuits na barra de ferramentas da Network Manager.
Versão da Apostila: 7.0
141
Versão da Apostila: 7.0
142