Baixe o app para aproveitar ainda mais
Prévia do material em texto
GUIA OFICIAL DE CAPACITAÇÃO Switches DmOS Layer 2 Conceito Configuração Operação Atividades práticas www.datacom.com.br 2Versão da Apostila: 5.8.0 © 2020 Datacom / Teracom Telemática S.A. Este material foi desenvolvido pelo Centro de Treinamento DATACOM exclusivamente para o curso de Switches DmOS Layer 2. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização expressa da DATACOM. Apesar de terem sido tomadas todas as precauções na elaboração deste material, a DATACOM não assume qualquer responsabilidade por eventuais erros ou omissão bem como nenhuma obrigação é assumida por danos resultantes do uso das informações contidas neste guia. As especificações fornecidas neste documento estão sujeitas a alterações sem aviso prévio e não são reconhecidas como qualquer espécie de contrato. 3 Apresentaremos os conceitos e configurações utilizados nos protocolos de proteção de tráfego e na agregação de links Ethernet para atuarem em topologias redundantes, ao término você estará apto à: • Entender o comportamento do link aggregation para que seja possível a configuração ou a interoperabilidade com outros fabricantes; • Compreender a utilização dos protocolos de proteção para loop lógico; • Configurar o protocolo Rapid Spanning-Tree e EAPS, bem como diferenciar a sua aplicação. Versão da Apostila: 5.8.0 A funcionalidade de agregação de links, também conhecida como port-channel, consiste em agregar várias interfaces físicas em uma única interface lógica, aumentando a banda disponível para o tráfego de dados. Este recurso pode ser usado também como redundância em caso de links físicos falharem dentro de um grupo, pode-se fazer o balanceamento de carga entre os links de um mesmo grupo aumentando a performance do link. Notas: • Uma porta pode estar associada a somente um grupo port-channel de cada vez; • O link aggregation é suportado em links ponto-a-ponto operando em modo FULL-DUPLEX; • Todos os links aggregations devem operar na mesma velocidade (10/100/1000M ou 10Gbit/s ou 40Gbit/s ou 100Gbit/s); • É recomendado primeiramente configurar o link-aggregation e posteriormente conectar os cabos. Dessa forma, evitamos a ocorrência de loop na rede; • Para evitar a perda de dados no ato de remoção de uma porta do link aggregation, remova o cabo primeiro e somente então remova a configuração da porta; • Para fins de gerência e configuração, um grupo de links agregados é visto como uma única interface lógica port- channel. Isso é transparente para a família de protocolos STP/EAPS/ERPS e VLAN. Observação: A plataforma DM4050 suporta apenas balanceamento de carga não-unicast (broadcast, multicast e unicast desconhecido) com base nos endereços MAC de origem e destino. Outros critérios de load-balance como IP de origem e destino e portas TCP / UDP não estão disponíveis. Quanto a escalabilidade: 4Versão da Apostila: 5.8.0 DM4050 DM4170 DM4250 DM4270 24XS DM4270 48XS DM4370 DM4775 DM4770 Número Máximo de interfaces LAG 8 16 8 16 32 8 32 Número Máximo de Interfaces Físicas por LAG 8 16 8 16 16 4 16 5Versão da Apostila: 5.8.0 As interfaces a serem inseridas no link-aggregation não podem possuir configurações associadas. Caso seja necessário manipular a prioridade do link-aggregation em uma interface, utilize a sintaxe: DmOS(config-la-if-lag-1)#interface <gigabit-ethernet | ten-gigabit-ethernet | forty-gigabit-ethernet | hundred-gigabit-ethernet>-<chassis/slot/port> port- priority <0-65535>, sendo o valor padrão 32768. A inserção de um valor inferior ao de referência, transforma esta interface em prioritária perante as demais. 6Versão da Apostila: 5.8.0 7Versão da Apostila: 5.8.0 As interfaces a serem inseridas no link-aggregation não podem possuir configurações associadas. Por boa prática, indica-se que o equipamento do cliente esteja no modo ativo (envio da PDU). DmOS#show link-aggregation brief State codes: down - no link up; up - at least 1 member up; LAG interface State Mode ------------- ------ ------- lag-1 up active DmOS#show link-aggregation lacp LAG interface: lag-1 Port Port System Member Mode Rate State Prio ID Key Prio ------ ---- ---- ------ ----- ----- ----- ------ gigabit-ethernet-1/1/7 Actv Slow ASCD 32768 7 1 32768 PARTNER Actv Slow ASCD 32768 7 3 32768 Port Port System Member Mode Rate State Prio ID Key Prio ------ ---- ---- ------ ----- ----- ----- ----- gigabit-ethernet-1/1/8 Actv Slow ASCD 32768 8 1 32768 PARTNER Actv Slow ASCD 32768 8 3 32768 • Modo ativo (active): O dispositivo envia imediatamente mensagens LACP (PDUs LACP) quando a interface é ativada. • Modo passivo (passive): Coloca uma interface em um estado de negociação passivo, no qual a interface só responde às PDUs do LACP que recebe, mas não inicia a negociação do protocolo. Se pelo menos um dos lados (endpoints) estiver configurado como ativo, o LAG pode ser formado assumindo uma negociação bem-sucedida dos outros parâmetros. 8Versão da Apostila: 5.8.0 9Versão da Apostila: 5.8.0 O tipo de balanceamento dinâmico (dynamic) fornece uma distribuição de carga uniforme entre os membros do LAG. Considerando os valores instantâneos para a carga dos membros do LAG, os fluxos podem ser movidos dinamicamente de membros com carga maior para os membros com carga menor. Os demais tipos de balanceamento baseiam-se em um hash (combinação de valores). Os campos dos pacotes são analisados conforme o algoritmo de balanceamento configurado, para decidir os membros do LAG que irão transmitir. Nesses modos a ordem dos pacotes é sempre mantida. O desempenho do balanceamento dependerá da variabilidade do conteúdo dos pacotes. Pacotes com a mesma informação serão transmitidos para o mesmo membro do LAG. 10Versão da Apostila: 5.8.0 Os equipamentos DM4050, DM4250, DM4360 e DM4370 não possuem suporte ao balanceamento dynamic. 11Versão da Apostila: 5.8.0 12Versão da Apostila: 5.8.0 13Versão da Apostila: 5.8.0 Os campos do show link-aggregation lacp brief são definidos a seguir: Mode: Actv - Device is in Active mode /// Pass - Device is in Passive mode; Rate: Slow - Device requesting PDUs at long period /// Fast - Device requesting PDUs at short period; State: A - Interface is aggregatable /// S - Interface is in sync with peer /// C - Interface is Collecting; D - Interface is Distributing /// E - Information about partner has expired /// F - Interface is using default values for partner information. 14Versão da Apostila: 5.8.0 O equipamento demonstrado acima, possui a seguinte configuração: DmOS(config-la-if-lag-1)#show link-aggregation interface lag 1 minimum-active links 2 maximum-active links 4 interface gigabit-ethernet-1/1/1 ! interface gigabit-ethernet-1/1/2 ! interface gigabit-ethernet-1/1/3 ! interface gigabit-ethernet-1/1/4 ! interface gigabit-ethernet-1/1/5 ! interface gigabit-ethernet-1/1/6 ! interface gigabit-ethernet-1/1/7 ! interface gigabit-ethernet-1/1/8 A informação de minimum-active definirá com quantos links ativos (portas UP) o link-aggregation se manterá ativo/UP, neste caso, LAG 1 precisará ter no mínimo 2 link UP para se manter UP, caso contrário a seguinte mensagem aparecerá: DmOS#show link-aggregation interfaces ... gigabit-ethernet-1/1/8 up inactive: too few links A função maximum-active define quantos links estarão ativos, consequentemente os demais ficarão em standby. Se um link ativo for para down, automaticamente um link identificado como inactive: standby ficará ativo. A configuração de minimum-active links deve ser realizada em ambos os lados do link. 15Versão da Apostila: 5.8.0 O IEEE em 2001, introduziu o Rapid Spanning Tree Protocol - RSTP no padrão 802.1w, sendo muito mais rápido que o Spanning Tree convencional, tanto em convergência, como em alterações de topologia e é totalmente compatível com o STP. O STP estabelece um nóraiz chamado de root bridge (switch raiz). Esse nó constrói uma topologia que determina um caminho para alcançar todos os nós da rede. A árvore tem sua origem na bridge raiz. Os links redundantes que não fazem parte da árvore do caminho mais curto são bloqueados. Pelo fato de alguns caminhos serem bloqueados, é possível obter uma topologia sem loop. Os quadros de dados recebidos em links bloqueados são descartados. 16Versão da Apostila: 5.8.0 No RSTP, todos os switches são capazes notificar eventos de mudança na topologia em suas BPDUs e "anunciá-los" em intervalos regulares definidos pelo hello-time. Portanto, a cada 2 segundos (Hellotime) os switches criarão os seus próprios BPDUs e enviarão estes através de suas designated ports. Se num intervalo de 6s (3 BPDUs consecutivas) o switch não receber BPDUs do seu vizinho, o mesmo irá assumir que o nó vizinho não faz mais parte da topologia RSTP e irá fazer o estorno das informações de nível 2 da porta conectada ao vizinho. Isso permite a detecção de eventos de mudança mais rapidamente do que o MAX AGE do STP 802.1D, sendo a convergência agora feita LINK by LINK. Abaixo, destaca-se os campos de uma BPDU: 17Versão da Apostila: 5.8.0 Bytes Field 2 Protocol ID 1 Version 1 Message Type 1 Flags 8 Root ID 4 Cost of Path 8 Bridge ID 2 Port ID 2 Message age 2 Max age 2 Hellotime 2 Forward delay Bit IEEE 802.1w 0 Topology change ACK (TCA) 1 Agreement 2 Forwarding 3 Learning 4 e 5 Port role 00 – unknown 01 – alternate / backup 10 – root 11 – designated 6 Proposal 7 Topology change (TC) O protocolo RSTP implementa alguns timers que obrigam as portas a aguardarem por um período de tempo antes de tomar decisões prematuras em relação a eventos de mudança na topologia RSTP. São eles: • Hello: (2seg) Corresponde ao intervalo de tempo através do qual BPDUs são propagadas entre os switches; • Max Age: (20seg) Este timer informa o período de armazenamento da última BPDU que o switch recebeu. Caso este timer se esgote, o switch concluirá que uma alteração na topologia ocorreu. O max age é um tempo para que o switch possa reagir à qualquer alteração na topologia RSTP evitando assim que decisões prematuras sejam tomadas; • Forward delay: (15seg) Corresponde ao período de tempo que encerra a alternância entre os modos learning e listening. Todas as portas que participam do processo RSTP deverão passar pelos estados citados abaixo. Um switch não deve mudar o estado de uma porta de inativo para ativo imediatamente, pois isso pode causar loop. Os estados de porta do STP 802.1w são: • Three port states: O RSTP possui apenas 3 port states, enquanto o STP possui 4 + 1 port states. Isto significa que os estados "Blocking, Listening e Disabled" foram condensados em um único estado para o 802.1w, o "Discarding state, onde os quadros de dados são descartados e nenhum endereço pode ser aprendido; • Listening: Determina se há outros caminhos até a bridge raiz. O caminho que não for o caminho de menor custo até a bridge raiz volta para o estado de bloqueio. No estado de escuta, não ocorre encaminhamento de dados nem aprendizagem de endereços MAC. As BPDUs são enviadas e transmitidas de forma a permitir a eleição do root bridge; • Learning: Neste estado, não ocorre encaminhamento de dados de usuários, mas há aprendizagem de endereços MAC a partir do tráfego recebido. As BPDUs são transmitidas e recebidas; • Forwarding: Neste estado, ocorre o encaminhamento de dados e os endereços MAC continuam a ser aprendidos. As BPDUs são transmitidas e recebidas; • Alternative Port e Backup Port: Em situações onde há duas ou mais portas presentes no mesmo segmento, apenas uma delas poderá desempenhar a função de "Designated Port". As outras portas serão rotuladas "Alternative Port" e, caso existam três ou mais portas como "Backup Port", respectivamente. A Alternative Port é uma porta que oferece um caminho alternativo para o ROOT BRIDGE da topologia no switch não designado. Em condições normais, a Alternative Port assume o estado de discarding na topologia RSTP. Caso a Designated Port do segmento falhe, a Alternative Port irá assumir a função de Designated Port. Já a Backup Port é uma porta adicional no switch não designado. Ela não recebe BPDUs. 18Versão da Apostila: 5.8.0 O primeiro passo na criação da topologia livre de loop é o processo de eleição do ROOT BRIDGE (SWITCH RAIZ), o qual é o ponto de referência que todos os switches usarão para determinar se há loopings na rede. É considerado o mestre da topologia Spanning-tree. O equipamento recém inserido na rede assume ser o root bridge e ajusta o campo root BID igual ao seu bridge ID. Isso ocorre só no primeiro boot. Na sequência, iniciará o processo de propagação de BPDUs para que os outros equipamentos da rede tomem conhecimento da sua inserção e para que ele possa se situar na topologia. O root bridge será o equipamento que tiver o menor BID. Caso a prioridade dos equipamentos sejam iguais, o que tiver o menor endereço MAC será eleito o root bridge. Todas as portas do root bridge são chamadas designated ports (portas designadas) e encontram-se em modo forwarding. Os demais equipamentos da topologia são chamados de non root (não raiz). A porta do equipamento non root de menor custo (largura de banda do link) em relação ao root bridge é chamada root port (porta raiz), e encontra-se em modo forwarding. As portas restantes que participam do processo são bloqueadas e, portanto, encontram-se em modo blocked e continuam a receber BPDUs, mas não enviam e recebem dados. Após o processo de eleição, os seguintes elementos devem existir em uma topologia livre de loops: • Uma root brigde por topologia; • Uma root port por bridge não raiz; • Uma designated port por segmento (onde há mais de uma porta por segmento, apenas uma delas deverá atuar como porta designada e a outra deverá ser bloqueada). Dentro dos critérios de eleição, há: • Bridge ID: Bridge priority (padrão 32.768) + MAC address; • Bridge Priority: 2 bytes contendo a informação de 0 até 65.535, com granularidade (múltiplo) de 4096; • Port ID: Prioridade da porta + número da porta; • Port priority: 8 bits contendo a informação de 0 a 255, com padrão de 128; • Path Cost/Custo do caminho: Soma dos custos dos links até o switch raiz. 19Versão da Apostila: 5.8.0 20Versão da Apostila: 5.8.0 21Versão da Apostila: 5.8.0 É possível criar apenas uma instância de RSTP e as BPDUs são enviadas de forma untagged. A proteção do rapid spanning-tree ocorre por interface e a VLAN deverá estar configurada corretamente para que não ocorra loop. A prioridade é definida por múltiplos de 4096, devido aos 4 bits do campo Bridge ID, que resultarão em 16 possibilidades de prioridade (2^4 = 16). O campo VLAN ID possui 12 bits, resultando em 4096 IDs (2^12 = 4096). O spanning-tree não funciona em conjunto com o EAPS/ERPS na mesma interface. Bridge ID (possibilidades) Prioridade 0 0 1 4096 2 8192 3 12288 4 16384 5 20480 6 24576 7 28672 8 32768 9 36864 10 40960 11 45056 12 49152 13 53248 14 57344 15 61440 22Versão da Apostila: 5.8.0 23Versão da Apostila: 5.8.0 No comando de show abaixo, observa-se a interface gigabit-ethernet-1/1/1 bloqueada devido ao protocolo spanning-tree em um dos equipamentos da topologia. DmOS#show spanning-tree Spanning tree enabled protocol: rstp ------------------------------------------------------------------------------- Spanning tree RSTP information ------------------------------------------------------------------------------- Root ID Priority: 32768; Address: 00:04:df:2f:5a:bf; Cost: 20000; Port: gigabit-ethernet-1/1/3; Hello Time: 2sec; Max Age: 20sec; Forward Delay: 15sec; Bridge ID Priority: 32768; Address: 00:04:df:5e:2b:5c; Hello Time: 2sec; Max Age: 20sec; Forward Delay: 15sec; DESIGNATED PATH PORT DESIGNATED DESIGNATED BRIDGE BRIDGE DESIGNATED INTERFACE NAME COST PRIORITY PORT ROLE PORT STATE COST ADDRESS PRIORITY PORT ----------------------------------------------------------------------------------------------------------------gigabit-ethernet-1/1/1 20000 128 alternate discarding 20000 00:04:df:2f:5d:47 32768 32769 gigabit-ethernet-1/1/3 20000 128 root forwarding 0 00:04:df:2f:5a:bf 32768 32771 24Versão da Apostila: 5.8.0 25Versão da Apostila: 5.8.0 Muitas Redes Metropolitanas (MANs) e algumas redes locais (LANs) têm uma topologia em anel, normalmente, utilizando para isso uma estrutura de fibras óticas. O Ethernet Automatic Protection Switching (EAPS) foi desenvolvido para atender somente as topologias em anel, normalmente utilizadas em redes ethernet metropolitanas. Devido a grande capacidade de transmissão das redes Metro Ethernet existe a necessidade de haver redundância/proteção do tráfego em caso de falha. O EAPS converge em até 50 milissegundos, o que é suficiente para que tráfegos sensíveis (voz, por exemplo) não percebam a falha. Esta tecnologia não tem limite de quantidade de equipamentos no anel, e o tempo de convergência é independente do número de equipamentos no anel. Conceito de Operação: Um domínio EAPS existe em um único anel Ethernet. Qualquer VLAN que será protegida é configurada em todas as portas do domínio EAPS. Cada domínio EAPS tem um equipamento designado como “MESTRE". Todos os outros equipamentos do anel são referidos como equipamentos "TRÂNSITO". Por se tratar de uma topologia em anel, obviamente, cada equipamento terá 2 portas conectadas ao anel. Uma porta do equipamento MESTRE é designada como “primária" enquanto a outra porta é designada como "porta secundária". Em operação normal, o equipamento MESTRE bloqueia a porta secundária para todos os quadros Ethernet que não sejam de controle do EAPS evitando assim um loop no anel. O Master pode detectar falhas no anel de duas formas: a primeira através do não recebimento do pacote de health check, o qual conforme a sua configuração, envia uma mensagem de send-alert para verificar se há falhas ou pelo recebimento de uma mensagem de falha originada por um Transit. Nos equipamentos TRÂNSITO, há a configuração da porta primária e secundária, no entanto, o seu funcionamento não é como no MESTRE. Nestes equipamentos as portas SEMPRE ficam transmitindo frames. Existe uma VLAN especial denominada "Control Vlan", que sempre será transmitida por todas as portas do domínio EAPS, incluindo a porta secundária do equipamento MESTRE. Por esta VLAN passam todas as mensagens do EAPS, que são utilizados tanto como mecanismo de verificação quanto mecanismo de alerta. O EAPS é definido pela RFC3619. 26Versão da Apostila: 5.8.0 A porta definida como primária e secundária pode ser associada a um link aggregation. Caso existam várias instâncias EAPS em operação, a ativação de novas instâncias pode levar alguns minutos para ser aplicada após o commit. Neste intervalo de tempo, o CLI fica bloqueado para o operador até que o processo de criação e aplicação da instância seja concluído. Abaixo seguem dois exemplos de configuração: Equipamento Transit: DmOS(config)#eaps 1 DmOS(config-eaps-1)#name EAPS-1 DmOS(config-eaps-1)#mode transit DmOS(config-eaps-1)#port primary gigabit-ethernet-1/1/6 DmOS(config-eaps-1)#port secondary gigabit-ethernet-1/1/17 DmOS(config-eaps-1)#control-vlan 10 DmOS(config-eaps-1)#protected-vlans 1-9,11-4094 EquipamentoMaster: DmOS(config)#eaps 1 DmOS(config-eaps-1)#name EAPS-1 DmOS(config-eaps-1)#mode master DmOS(config-eaps-1)#port primary gigabit-ethernet-1/1/11 DmOS(config-eaps-1)#port secondary gigabit-ethernet-1/1/12 DmOS(config-eaps-1)#control-vlan 10 DmOS(config-eaps-1)#protected-vlans 1-9,11-4094 Não é recomendado utilizar mais de 8 instâncias EAPS no mesmo anel físico. Para se obter tempos de chaveamento na ordem de 50ms, deve-se utilizar no máximo 4 instâncias no mesmo anel físico. 27Versão da Apostila: 5.8.0 28Versão da Apostila: 5.8.0 Abaixo destaca-se o detalhamento dos campos do show eaps. • ID – Domínio EAPS • Name – Nome do domínio • State – Status do EAPS perante a sua função no domínio, se master: complete para link OK e failed para falha • Mode –Modo de operação do equipamento no domínio • Primary port state – Status da porta primária • Secondary port state – Status da porta secundária • Health chack state – status do pacote de controle do EAPS • Protected VLANs – VLANs protegidas pelo domínio A seguir visualiza-se dois domínios de EAPS criados em um único equipamento. DmOS#show eaps HEALTH PRIMARY SECONDARY CHECK ID NAME STATE MODE PORT STATE PORT STATE STATE ------------------------------------------------------------ 1 - complete master up enabled up blocked ok 2 - complete master up enabled up blocked ok PROTECTED ID PRIMARY PORT SECONDARY PORT VLANS ----------------------------------------------------------------- 1 gigabit-ethernet-1/1/11 gigabit-ethernet-1/1/12 100-199 2 gigabit-ethernet-1/1/12 gigabit-ethernet-1/1/11 200-299 29Versão da Apostila: 5.8.0 É possível habilitar o debug para analisar os pacote recebidos e transmitidos pela CPU, através da sintaxe: DmOS#debug enable cpu-rx cpu-tx. A seguir observa-se um exemplo de informação transmitida e recebida pela CPU. 2017-08-04 20:06:52.906158 [cpu-tx] PKT TX <Proto L2_EAPS, Len 110, SrcPort CPU, Flags [TxForce], Ports [gigabit-ethernet-1/1/12]> 2017-08-04 20:06:52.909678 [cpu-rx] PKT RX <Proto L2_EAPS, Len 110, SrcPort gigabit-ethernet-1/1/11, DstPort -, Flags [], Reasons [FilterMatch]> 30Versão da Apostila: 5.8.0 31Versão da Apostila: 5.8.0 DATACOM. Command Reference. 2020 DATACOM. Descritivo dos Produtos DM4360 / DM4370 / DM4380 / DM4050 / DM4250 / DM4170 / DM4270. 2020. DATACOM. Guia de Configuração Rápido DmOS. 2020. FILIPPETTI, Marco Aurélio. CCNA 5.0 Guia Completo de Estudos. Florianópolis. Editora Visual Books, 2014. ODOM, Wendell. CCENT/CCNA ICND 1, Guia Oficial de Certificação do Exame. Rio de Janeiro, 2013. 32Versão da Apostila: 5.8.0 33 Os serviços disponíveis estão organizados por linhas de produtos e o para acesso as informações apenas coloque o mouse sobre o item desejado. Nas laterais estão disponíveis dois menus: Lado esquerdo Serviços – Acesso ao menu de serviços por equipamentos; Solicitações – Consulta as solicitações realizadas com status de aberta, aguardando atuação ou encerradas; Novo Chamado – Abertura de chamados para a equipe de suporte; Base de Conhecimento – Acesso a base de documentos; Pesquisa de Satisfação – Realização da pesquisa de satisfação referente ao atendimento recebido; Links Personalizados – Ferramentas e aplicativos gratuitos. Versão da Apostila: 5.8.0 34Versão da Apostila: 5.8.0
Compartilhar