Ignorante e Indeciso · Web viewIntrodução. Notas para o exame SWITCH 300-115 da certificação...
100
CCNP SWITCH 300-115 INTRODUÇÃO Notas para o exame SWITCH 300-115 da certificação CCNP R&S v2. Estas notas são baseadas nas notas do 642-813 de 2013. Todo o conteúdo do exame anterior que não faz parte do blueprint actual está no final do documento na secção 642-813. Os tópicos para este exame estão disponíveis em: https://learningnetwork.cisco.com/community/certifications/ ccnp/switch_v2/exam-topics 17/02/2015 Últimas correcções no 642-813 26/07/2016 Actualização para 300-115 1/100 Mario Pinho
Transcript of Ignorante e Indeciso · Web viewIntrodução. Notas para o exame SWITCH 300-115 da certificação...
CCNP SWITCH 300-115
INTRODUÇÃONotas para o exame SWITCH 300-115 da certificação CCNP R&S v2. Estas notas são baseadas
nas notas do 642-813 de 2013. Todo o conteúdo do exame anterior que não faz parte do blueprint actual está no final do documento na secção 642-813.
Os tópicos para este exame estão disponíveis em:
https://learningnetwork.cisco.com/community/certifications/ccnp/switch_v2/exam-topics
17/02/2015 Últimas correcções no 642-813
26/07/2016 Actualização para 300-115
1/80
Mario Pinho
CCNP SWITCH 300-115
TABLE OF CONTENTSIntrodução..................................................................................................................................... 1
1.0 LAYER 2 TECHNOLOGIES(65%)...........................................................................................5
SWITCH-PORT CONFIGURATION......................................................................................................5
1.1 Switch Administration...............................................................................................................6
Managing MAC Address Table....................................................................................................6
SDM (Switches Database Manager) Templates...........................................................................7
Troubleshooting Err-disable recovery.........................................................................................8
1.2 Configure and verify L2 protocols..............................................................................................9
CDP..............................................................................................................................................9
LLDP...........................................................................................................................................11
UDLD (Unidirectional Link Detection)........................................................................................12
1.3 Configure and Verify VLANs.....................................................................................................13
VLAN Database..........................................................................................................................14
Voice VLAN................................................................................................................................14
1.4 TRUNKING................................................................................................................................14
VTP vlan trunking protocol........................................................................................................14
Links.......................................................................................................................................... 17
1.5 link aggregation....................................................................................................................... 17
Protocolos de negociação.........................................................................................................18
Etherchannel Guard.................................................................................................................. 20
1.6 SPANNING TREE PROTOCOL....................................................................................................21
ADVANCED SPANNING-TREE.....................................................................................................27
Protecção do spanning-tree......................................................................................................30
Links.......................................................................................................................................... 31
1.7 Configure and verify Other Switch Technologies.....................................................................31
SPAN, RSPAN.............................................................................................................................31
1.8 Describe chassis virtualization and Aggregation Technologies................................................31
Stackwise e Stackwise+.............................................................................................................31
2.0 INFRASTRUCTURE SECURITY (20%)........................................................................................35
2/80
Mario Pinho
CCNP SWITCH 300-115
2.1 Configure and Verify Security Features...................................................................................35
Mitigating Spoofing Attacks.......................................................................................................35
DHCP Snooping..........................................................................................................................35
IP Source Guard.........................................................................................................................35
Dynamic ARP inspection (DAI)...................................................................................................36
Port Security..............................................................................................................................37
Private VLANs............................................................................................................................38
Storm Control............................................................................................................................41
2.2 Describe Device Security using Cisco IOS AAA w/ TACACS+ and RADIUS.................................42
AAA with TACACS+ and RADIUS................................................................................................42
Local privilege authorization fallback........................................................................................42
3.0 INFRASTRUCTURE SERVICES (15%)........................................................................................43
3.1 Configure and Verify First-Hop Redundancy Protocols............................................................43
HSRP Hot Standby Router Protocol...........................................................................................43
VRRP Virtual Router Redundancy Protocol...............................................................................45
GLBP Gateway Load Balancing Protocol....................................................................................46
Links.......................................................................................................................................... 49
642-813 – Tópicos da versão anterior.........................................................................................50
SWITCH OPERATION......................................................................................................................50
Securing with VLANs (CHAP. 17)....................................................................................................50
Port Access Lists (PACL).............................................................................................................50
VLAN Access Lists (VACL)...........................................................................................................50
Securing VLAN Trunks............................................................................................................... 51
Port-Based Authentication........................................................................................................52
Best Practices for securing switches..........................................................................................52
MULTILAYER SWITCHING (CHAP. 11).............................................................................................53
DHCP......................................................................................................................................... 55
SVI Autostate.............................................................................................................................56
IP Telephony (CHap. 14)................................................................................................................56
POE Power Over Ethernet.........................................................................................................56
Voice VLANs.............................................................................................................................. 57
Voice QoS.................................................................................................................................. 58
3/80
Mario Pinho
CCNP SWITCH 300-115
Wireless LANs (CHAP. 15)..............................................................................................................60
Arquitectura WLAN...................................................................................................................61
Roaming.................................................................................................................................... 63
Enterprise Campus Network Design (Chap. 12).............................................................................65
Desenho de rede modular.........................................................................................................66
high availability (chap. 13).............................................................................................................69
Redundância supervisor e route processor...............................................................................69
monitoring to maximize high availability.......................................................................................71
SYSLOG...................................................................................................................................... 71
SNMP.........................................................................................................................................72
IP SLA.........................................................................................................................................73
4/80
Mario Pinho
CCNP SWITCH 300-115
1.0 LAYER 2 TECHNOLOGIES(65%)
SWITCH-PORT CONFIGURATION
Ethernet: 802.3
Fast Ethernet 802.3u
Gbit Ethernet 802.3ab
10gbit 802.3ae
Os padrões acima são diferentes somente na camada física. A Camada MAC (2) é igual
10Gbit PMD (Physical Media dependent)
Em tamanho: XENPAK > X2 > SFP+
Speed, duplex and autonegotiation
Speed é determinado por sinais eléctricos e é escolhida a velocidade mais alta em comum mesmo que só um lado esteja em auto-negociação. O lado em auto consegue determinar a velocidade do outro
Duplex determinado por troca de informação. As duas portas devem estar em auto, senão a porta em auto não consegue determinar a duplex da manual e estabelece duplex default com base na velocidade.
10/100 Mbps – Half
Gbit e 10 Gbit – Full
Mismatch
Speed – Interface down
Duplex – colisões, alignment errors, switching loops
Auto MDIX (automatic medium-dependent interface crossover) é uma tecnologia que permite detector crossover nos cabos. Por exemplo, a ligação switch-switch deve ser crossover. Com auto-mdix a ligação pode ser directa ou crossover.
Só funciona com o duplex/speed em auto.
(config-if)# speed auto(config-if)# duplex auto(config-if)# mdix auto
5/80
Mario Pinho
CCNP SWITCH 300-115
1.1 SWITCH ADMINISTRATION
Managing MAC Address Table
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swadmin.html
O switch constroi a tabela MAC a partir do tráfego recebido em determinada interface/VLAN.
Um determinado endereço MAC pode estar associado a uma porta em determinada VLAN e a outra porta numa outra VLAN mas nunca em duas portas na mesma VLAN.
Cada VLAN mantem a sua tabela MAC lógica.
# show mac address-table dynamic [address mac-address | interface type mod/num | vlan vlan-id]
Switch# show mac address-table count
# clear mac address-table dynamic [address mac-address | interface type mod/num | vlan vlan-id]
As entradas na tabela MAC são mantidas por default por 300 s (5 minutos) Isto pode ser alterado com o comando:
mac address-table aging-time [ 0 | 10-1000000 ] [ vlan vlan-id ]
!!! exemplo. Alterar para 480s na VLAN 15# mac address-table aging-time 480 vlan 15
# show mac address-table aging-time
Pelo comendo é possível ver que a alteração por ser feita global ou por VLAN
Configuração de entradas MAC estáticas
mac address-table static mac-addr vlan vlan-id interface interface-id
Desabilitar a aprendizagem de endereços MAC
Por default o switch aprende MACs dinâmicamente. Isto pode ser desabilitado por VLAN para gerir o espaço da tabela MAC. A VLAN onde tal for configurado faz flood de todos o tráfego SEMPRE.
no mac address-table learning vlan [vlan-id|vlan-list]
show mac address-table learning [ vlan vlan-id ]
Outros Comandos
6/80
Mario Pinho
CCNP SWITCH 300-115
!Para verificar a utilização da TCAMshow platform tcam utilization
!Envio de traps de mudança de MAC address! 1. Configurar o receptor das traps#snmp-server host host-addr { traps | informs } { version { 1 | 2c | 3 }} community-string mac-notification! 2. Habilitar envio de MAC notification traps#snmp-server enable traps mac-notification change! 3. Habilitar a funcionalidade MAC change notification#mac address-table notification change
SDM (Switches Database Manager) Templates
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swsdm.html
Em alguns switches, TCAM está partida em várias áreas que suportam funções diferentes. A configuração de SDM templates permite optimizar a partilha de recursos do switch e distribuir o espaço das tabelas, CAM, FIB e outras.
Switches como 4500, 6500 nao permitem esta funcionalidade mas os 2960, 3750 e 3850 permitem.
Para ver a configuração actual:
Switch# show sdm prefer
As templates possíveis:
Default: balanço entre funções Access: Maximiza a utilização de grande número de ACLs VLAN: Desabilita routing e suporta o máximo possível de endereços MAC Routing: Maximiza para unicast routing Dual IPv4 and IPv6: Para ambientes dual-stack Ipv4 e Ipv6. Não deve ser utilizada se se
pretender utilizar somente Ipv4. Dentro desta é preciso escolher entre default, routing e vlan.
Indirect Ipv4 e Ipv6 routing. Semelhante ao anterior mas com um número maior de rotas indirectas (não conectadas). Suporta também mais endereços unicast MAC, mais rotas unicast Ipv4 e Ipv6 em prejuízo de menores entradas PBR, menos ACE’s QoS e de segurança
Para configurar:
# sdm prefer { access | default | dual-ipv4-and-ipv6 { default | routing | vlan } | indirect-ipv4-and-ipv6-routing | routing | vlan }
7/80
Mario Pinho
CCNP SWITCH 300-115
! ---------- exemplos# sdm prefer access# sdm prefer default# sdm prefer routing# sdm prefer vlan# sdm prefer dual-ipv4-and-ipv6 { default | routing | vlan }# sdm prefer indirect-ipv4-and-ipv6-routing
RESOURCE ACCESS DEFAULT ROUTING VLANUNICAST MAC ADDRESSES 4 K 6 K 3 K 12 KIGMP GROUPS AND MULTICAST ROUTES 1 K 1 K 1 K 1 KUNICAST ROUTES 6 K 8 K 11 K 0DIRECTLY CONNECTED HOSTS 4 K 6 K 3 K 0INDIRECT ROUTES 2 K 2 K 8 K 0POLICY-BASED ROUTING ACES 0.5 K 0 0.5 K 0QOS CLASSIFICATION ACES 0.5 K 0.5 K 0.5 K 0.5 KSECURITY ACES 2 K 1 K 1 K 1 KVLANS 1 K 1 K 1 K 1 KNUMBER OF IPV6 SECURITY ACES 52 60 58 60
Dual Ipv4 and Ipv6 SDM templates
Troubleshooting Err-disable recovery
Em algumas condições de erro o switch desabilita a porta pondo num modo chamado err-disabled. Neste modo a porta fica efectivamente em shutdown.
Para habilitar/desabilitar a detecção de erros global ou por tipo
Config)# [no] errdisable detect cause {all|<cause>}
#show errdisable detect
A lista de opções para cause inclui:
all Enable the timer to recover from all error-disabled causes.bpduguard Enable the timer to recover from the bridge protocol data unit (BPDU)
guard error-disabled state.arp-inspection Enable the timer to recover from the Address Resolution Protocol (ARP)
inspection error-disabled state.channel-misconfig
Enable the timer to recover from the EtherChannel misconfiguration error-disabled state.
dhcp-rate-limit Enable the timer to recover from the DHCP snooping error-disabled state.dtp-flap Enable the timer to recover from the Dynamic Trunking Protocol (DTP)
flap error-disabled state.gbic-invalid Enable the timer to recover from an invalid Gigabit Interface Converter
8/80
Mario Pinho
CCNP SWITCH 300-115
(GBIC) module error-disabled state.Note This error refers to an invalid small form-factor pluggable (SFP) error-disabled state.
inline-power Enable the timer to recover from the Power over Ethernet (PoE) error-disabled state.This keyword is supported only on switches with PoE ports.
l2ptguard Enable the timer to recover from a Layer 2 protocol tunnel error-disabled state.
link-flap Enable the timer to recover from the link-flap error-disabled state.loopback Enable the timer to recover from a loopback error-disabled state.pagp-flap Enable the timer to recover from the Port Aggregation Protocol (PAgP)-
flap error-disabled state.psecure-violation
Enable the timer to recover from a port security violation disable state.
security-violation
Enable the timer to recover from an IEEE 802.1x-violation disabled state.
sfp-config-mismatch
Enable error detection on an SFP configuration mismatch.
udld Enable the timer to recover from the UniDirectional Link Detection (UDLD) error-disabled state.
vmps Enable the timer to recover from the VLAN Membership Policy Server (VMPS) error-disabled state.
Uma porta desabilitada por err-disabled pode ser habilitada com os comandos shut/no shut n porta específica. No entanto, é possível a recuperação automática da porta depois de determinado tempo.
Para recuperação automatic:
Config)# errdisable recovery cause {all | <cause>}Config)# errdisable recovery interval <seconds>
#show errdisable recovery
O tempo default para recovery é de 300 segundos (5 minutos)
1.2 CONFIGURE AND VERIFY L2 PROTOCOLS
CDP
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swcdp.html
Protocolo proprietário da Cisco que permite aos dispositivos anunciar a existência e detalhes ao equipamento vizinho. Por ser proprietário nem sempre é compatível com outros fabricantes.
9/80
Mario Pinho
CCNP SWITCH 300-115
Funciona somente em uma direcção, anúncios são enviados em intervalos regulares mas nada é esperado de volta. O equipamento que recebe pode alterar o seu comportamento de acordo com a informação recebida.
É um protocolo de camada 2 e os anúncios são processados somente pelos dispositivos directamente conectados sem ser encaminhados.
Show cdp trafficShow cdp entry ...show cdp neighborsshow cdp neighbors giga1/2show cdp neighbors detail
clear cdp countersclear cdp table
10/80
Mario Pinho
CCNP SWITCH 300-115
CDP está habilitado por default e os anúncios são enviados a cada 60 segundos.
Para habilitar desabilitar:
# [no] cdp run !global# interface ... ! por interface [No] cdp enable
LLDP
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swlldp.html
Link Layer Discovery Protocol tem funções semelhantes ao CDP mas é standard IEEE 802.1ab. É também extensível e utiliza uma estrutura de TLV’s (Type Length Value).
LLDP Media Endpoint Device (LLDP-MED) é uma extensao ao LLDP com TLV’s adicionais que transportam informação de dispositivos audio-visuais como Ipphones.
LLDP suporta LLDP-MED por default mas não pode mandar TLV’s MED e básicos ao mesmo tempo. O dispositivos Cisco primeiro envia os TLV básico e se receber TLV’s MED entao começa a enviar também TLV’s MED.
Show lldp neighborsShow lldp neighbors detailShow lldp neighbors interface
11/80
Mario Pinho
CCNP SWITCH 300-115
LLDP envia pacotes a cada 30 segundos e tem um holdtime de 120 segundos
LLDP por ser habilitado para transmissão/recepção separadamento.
lldp run ! globalinterface ... lldp transmit lldp receive
12/80
Mario Pinho
CCNP SWITCH 300-115
UDLD (Unidirectional Link Detection)
Previne loop em caso de falhas unidireccionais de transmissão.
É proprietário CISCO
Envia frames L2 especiais e espera um echo contendo identificação dos 2 switches (o que envia e o que responde).
Links de ambos os lados deve ser configurado o UDLD para que funcione correctamente.
Envia frames a cada 15 segundos (default) e detecta link unidireccional em 45s (3 x 15). Tempo deve ser inferior ao tempo de convergência STP (50s).
Normal Mode: detecta links unidireccionais pelas conexões erradas de fibra óptica entre dispositivos. Os mecanismos de camada 1 podem não detectar este tipo de erro. Quando o link unidireccional é detectado, a porta continua em operação. UDLD marca a porta como estado indeterminado e gera/envia mensagem syslog. Neste modo o switch detecta a falha pela identificação dos switches nos pacotes UDLD.
Aggressive Mode: detecta links unidireccionais quando não recebe mensagens UDLD de volta (unidireccional). quando detectado link unidireccional, frames são enviadas a cada segundo por 8s. Se nenhum eco for recebido de volta o porta entra em err-disabled.
Por default UDLD está desabilitado. Tanto globalmente como por portas.
!Configuração no modo global (habilita nas portas de fibra)(config)# udld {enable|aggressive|message time <seconds>}
!Configuração na interface (fibra ou UTP)(config-if)# udld port [aggressive]
Enable: habilita o modo normal
A habilitação global actua somente em links de fibra.
Troubleshooting
# show udld <interface>
Como reabilitar interfaces desabilitadas por UDLD?:
1. Shut/no shut na interface2. Habilitar/desabilitar UDLD global3. Habilitar/Desabilitar UDLD na interface4. Commando udld reset no modo global (aplica-se a todas interfaces desabilitadas)5. Err-disable recovery. Se habilitado, re-abilita depois de corrido o timer
#udld reset (todas as interfaces)
13/80
Mario Pinho
CCNP SWITCH 300-115
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swudld.html
1.3 CONFIGURE AND VERIFY VLANS
Access Ports VLAN dB Normal, Extended VLAN, Voice VLAN
Normal VLANs: 1-1005. Podem ser configuradas no modo VTP transparent/server e propagadas por VTPv1 e v2. Quando em VTP server/client ficam “gravadas” no ficheiro vlan.dat (VLAN database)
Default VLAN: VLANs automaticamente presentes em todos os switches. Não podem ser eliminadas. VLANs 1, 1002-1005.
Extended VLANs: 1006-4094. Não podem ser configuradas quando o switch está em VTP server/client v1 ou v2. Para um switch em VTPv3, extended VLAN podem ser configuradas e propagadas.
VLAN Database
Não suporta VLANs no “extended range”.
Voice VLAN
Voice VLAN’s não têm características especiais ou diferentes das outras VLAN’s. A diferença está só na forma de configuração e a atribuição do tráfego à VLAN.
Ao atribuir uma voice vlan a uma porta, o tráfego de voz vindo de um telefone Cisco - reconhecido por CDP – encaminhado e tratado na VLAN configurada.
Interface xxx switchport voice vlan $VLAN_NUM
show interface switchport
A comunicação entre o switch e o telefone determinam que o tráfego de voz vindo do telefone deve vir com tag 802.1q na voice vlan.
Embora o tráfego venha com tag 802.1q uma porta configurada com access e voice vlan não é considerada de trunk. É chamada multi-access VLAN port.
1.4 TRUNKING
DTP Dynamic trunking protocol: Protocolo de negociação de modos switchport (acess ou trunk) e encapsulamento trunk.
Switchport modes:
Auto: recebe DTP. Só é trunk se ligar a um trunk/desirable
14/80
Mario Pinho
CCNP SWITCH 300-115
Desirable: envia DTP mas pode ser acesso caso se ligue a uma porta acesso
Trunk: Fica em trunk. Envia DTP para forçar trunk com uma porta auto ou desirable
Non-negotiate: Não negoceia trunk usando DTP. Se a porta for colocada em trunk e em nonegotiate, portas auto e desirable a ela ligadas não ficam trunk.
Access: Porta de uma só VLAN.
VTP vlan trunking protocol
Protocolo de replicação de VLANs. Os switches só partilham informaçao quando estão no mesom domínio VTP (VTP domain). VTP só funciona em portas trunk (802.1q ou ISL)
Modos
Server: Controlo total. Criam, modificam e recebem configuração VLAN por VTP. Default
Client: não permitem criar ou modificar VLANs. Só recebem e encaminham VTP. Também actualizam servers
Transparent: não participam no VTP. Na V1 só encaminha (relay) advertisements VTP se o domínio e versão for igual. Na V2 encaminha verificando somente domínio. Não verifica a versão. A informação de VLANs, além de ser gravadas no ficheiro vlan.dat, são também gravadas na running/startup config. Vlan.dat é actualizado sempre que se faz alteração de VLANs.
Off: Tal como o transparent mas o switch nem sequer encaminha. Possível somente em VTPv3
VTP Server é o modo default nos switches
Revision number
É um número utilizado para acompanhar a informação mais recente e actualizada. O processo começa sempre com o valor em 0 (zero). Incrementa a cada modificação de VLAN e novo anúncio VTP. O switch guarda um numero local. Algum advertisement com revision number maior substitui completamente a configuração anterior.
O revis. number é armazenado na NVRAM. Não zera com “power cycle”
Para zerar/reset o revision number pode-se:
1. Mudar para transparent e de volta para server/client ou2. Mudar o nome do domínio e mudar de volta para o domínio anterior ou3. Apagar o ficheiro VLAN.dat (só funciona se reiniciar o switch sem este receber qualquer
actualização pois os dados VTP ficam residentes na memória)
Simplesmente reiniciar o switch não funciona porque o ficheiro VLAN.dat é armazenado na flash e não se apaga quando reinicia.
Todo o novo switch vem sem domínio e sem password. Quando “ouve” um advertisement ele automaticamente aprende o novo domínio, VLANs e revision number.
15/80
Mario Pinho
CCNP SWITCH 300-115
Versões
Versões 1 e 2 são incompatíveis. V1 é a default nos switches.
V2 pode ser configurada somente no server. A nova versão é propagada por este para o domínio (desde que os switches a suportem)
VTP v1
Versão default nos switches. Switches em transparent Não encaminha VTP se não houver match no domínio e versão. Suporta somente as VLANs “normal” (1-1005)
VTP v2
Switches em transparent encaminham VTP independentemente mas não verifica versão. Verifica somente o domínio.Suporta somente as VLANs “normal” (1-1005)
VTP v3
Suporta as VLANs “extended” (1006-4094) além das normal. No entanto as VLANs extended não são suportadas para “pruning”.
Permite informação de outros protocolos/bases de dados (como MST e private VLANs)
Não é possível converter da versão V3 para V2 se extended VLANs estiverem em uso.
Pruning
Elimina automaticamente o tráfego de determinadas VLANs nos trunks quando não estão activas portas nos switches. É feito por advertisements próprios. Quando habilitado no server, é propagado automaticamente pelo domínio
É uma extensao do VTPv1 com um novo tipo de mensagem.
VTP Pruning está desabilitado por default nos switches
(config)# vtp pruning ! habilita VTP pruning. Basta fazer no server
Uma VLAN denomina-se prune eligible quando é possível ser “retirada” de um trunk por VTP pruning.
Default, todas as VLANs de uso geral são prune eligible à excepção de:
VLAN1 Default VLAN’s 1002-1005 VLANs extendidas (em VTPv3)
Para gerir a adição/remoção de vlans à lista de prune elibigle:
(config-if)# switchport trunk pruning vlan add|except|remove|vlan-list | none
16/80
Mario Pinho
CCNP SWITCH 300-115
Este commando não tem efeito no modo transparent. Nestes switches o pruning deve ser manual (switchport trunk allowed vlan...)
VTP pruning elimina o tráfego de VLANs nos trunks mas não elimina as VLANs da base de dados do switch e consequentemente não elimina instâncias STP.
VTP Advertisements
Os anúncios VTP, são anunciados como multicast e contêm:
VLANs conhecidas Informação sobre as VLANs VTP revision number MD5 has do password
Summary: a cada 300s e sempre que ocorre uma mudança. Info geral do domínio e os subset que se seguem. Quando há mudanças, os summary advertisements são seguidos de um ou mais subsets com informação específica das VLANs.
Figura 1 VTP Summary Advertisement
Subset: enviado a cada mudança. Inclui detalhes, adição, remoção, alterações específicas da VLAN: nome MTU tipo tamanho do nome, nome, ...
Request: pedidos dos clientes. Depois de um pedido, o server responde com summary e subsets.
Pruning request.
Comandos
Config t Vtp mode {client|transparent|server} Vtp version {1|2|3} Vtp domain (domain name) Vtp password (password) [hidden|secret] Hidden: grava hash na running-config Secret: grava a password clear-text na running-config
17/80
Mario Pinho
CCNP SWITCH 300-115
interface … no vtp !!! VTPv3 mode Off numa interface específica. Todas as instancias !!! MST, vlan, …
Show vtp statusShow vtp passwordShow vtp pruning
Links
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swvtp.html
1.5 LINK AGGREGATION
Chamado ether-channel.
Permite agregar em uma única porta lógica (Ethernet), 2 a 8 portas Ethernet (10/100/1G/10G). Permite:
Balanceamento de carga Auto fail-over Interface única a nível 3
Protocolos de negociação
PAGP – Port Agggregation Protocol (Cisco proprietary)
LACP – Link Aggregation Control Protocol
Todas as portas agregadas devem:
pertencer à mesma VLAN Mesma configuração de trunk (vlans permitidas, nativa, encapsul) ou acesso As mesmas configurações de speed e duplex As configurações de spanning-tree também devem ser semelhantes
Balanceamento de carga pode ser por:
Endereço IP: origem, destino ou ambos Endereço MAC: origem, destino ou ambos Porta TCP/UDP: origem, destino ou ambos
18/80
Mario Pinho
CCNP SWITCH 300-115
O balanceamento é através de um algoritmo de hashing que usa os bits LSB para encaminhar as frames. Para um bundle de 2 links usa 1 bit, 4 links usa 2 bits…
Se 2 endereços ou portas são usados para o balanceamento o switch faz um XOR do bit ou bits menos significativos.
Protocolos de negociação
Para que se forme um etherchannel a configuração pode ser manual ou automática usando um dos protocolos de negociação entre switches: PAgP e LACP.
Não há grandes diferenças/vantagens na escolha de um ou outro protocolo.Modo de Negociação Pacotes
enviados?Características
PAgP LACPOn On Não Todas portas em channelAuto Passive Sim Espera até pedidoDesirable Active Sim Pede activamente para formar um
etherchannel
PaGP
Protocolo proprietário da CISCO.
Pacotes são trocados e capacidades das portas e switches são aprendidas e comparadas com os dados locais do switch.
Com PAgP alteração de uma porta do bundle altera automaticamente todas as portas do resto do bundle.
Silent/non-silent??????
Configuração
(config)# Port-channel load-balance <method>
<method>
Src-ip dst-ip src-dst-ip
19/80
Mario Pinho
CCNP SWITCH 300-115
Src-mac dst-mac src-dst-mac
Src-port dst-port src-dst-port
O método default de load-balance é o src-mac (3560-X, 3750-X)
(config)# interface <intface>(config-if)# channel-protocol pagp(config-if)# channel-group <number> mode {on| {{auto | desirable}[non-silent]}}
Recomenda-se criar o bundle com números potência de 2 para fazer distribuição 1:1:xxx porque o hashing é de 1, 2, 3... bits.
4 links usa 2 bits com 4 valores possíveis. 3 links usa 2 bits com 4 valores possíveis, portanto um dos links vai bater 2 vezes no hashing.
LACP
Protocolo baseado em standard 802.3ad.
LACP atribui roles às portas do etherchannel.
LACP define system-priority (2B prio + 6B MAC) do switch para tomar decisões sobre portas participantes no etherchannel.
Várias portas podem ser configuradas (acima de 8) para o etherchannel. Elas se tornam activas de acordo com port-priority (2B prio + 2B port number). Apenas 8 podem estar activas a cada momento, as restantes ficam em standby e se tornam activas caso um dos links caia.
Priority default para system e port é de 32768
Configuração
Recomenda-se configuração da interface port-channel primeiro e depois associar as portas físicas.
Comandos aplicados na interface port-channel são aplicados aos membros.
(config)# Port-channel load-balance <method>
<method>
Src-ip dst-ip src-dst-ip
Src-mac dst-mac src-dst-mac
Src-port dst-port src-dst-port
(config)# lacp system-priority <priority>(config)# interface <intface>(config-if)# channel-protocol lacp(config-if)# channel-group <number> mode {on| passive | active}(config-if)# lacp port-priority <priority>
20/80
Mario Pinho
CCNP SWITCH 300-115
Para configuração de etherchannel L3 deve-se configurar no switchport na interface portchannel e nas interfaces físicas. Assegurar também que as interfaces físicas não têm IP configurado.
Verificação
Ver resumo do grupo, L2, L3 e portas incluídas
# show etherchannel summary
Informação sobre as portas que fazem parte de um etherchannel
# show etherchannel port
Para analise de load-balance:
# show etherchannel load-balance
Extras
# show etherchannel detail# show etherchannel port-channel# show etherchannel [pagp | lacp] neighbor
Etherchannel Guard
Detecta erros de configuração de etherchannel entre o switch e o dispositivo conectado.
Se detectada faha de configuração é gerada a mensagem:
%PM-SP-4-ERR_DISABLE: channel-misconfig error detected on Po3, putting E1/3 inerr-disable state
Esta funcionalidade põe em err-disabled tanto as portas membro como o próprio Port-channel.
Está habilitado por default. Para habilitar/desabilitar:
# spanning-tree etherchannel guard misconfig ! GLOBAL mode
Para verificar:
Switch1# show spanning-tree summarySwitch is in pvst modeRoot bridge for: VLAN0001Extended system ID is enabledPortfast Default is disabledPortFast BPDU Guard Default is disabledPortfast BPDU Filter Default is disabledLoopguard Default is disabledEtherChannel misconfig guard is enabled<...output omitted...>
21/80
Mario Pinho
CCNP SWITCH 300-115
1.6 SPANNING TREE PROTOCOL
Sem o spanning tree ligações redundantes resultam rapidamente em loop de nível 2. Frames broadcast, multicast e unicast flood criam o que se chama um broadcast storm.
Spanning tree converge e põe a rede estável pela troca de Bridge Protocol Data Units BPDU’s.
Configuration BPDU Topology Change Notification BPDU (TCN BPDU): anuncia alterações na topologia da
rede
Configuration BPDU contém:
Protocol ID Versão (sempre 0) Message Type (conf ou TCN) Flags Root bridge ID Root path cost
Sender bridge ID Port ID Message Age Maximum age Hello time Forward delay
Bridge ID é compost de dois valores:
Bridge priority (2 bytes)Configurado no switch. O valor mais baixo do bridge priority é eleito como root bridge. Incrementos no valor de 4096. Default 32768
MAC Address (6 bytes)Valor único e imutável do backplane ou supervisor do switch. Usado para desempate caso dois switches tenham o mesmo bridge priority
Bridge priority tradicional 802.1D é um valor de 16bits
Bridge priority default nos switches é baseado no 802.1t extended system ID:
Multiplicador priority de 4 bits (incrementos de 4096) 12 bits VLAN ID
Daí, as prioridade STP apresentadas nos switches por VLAN é o valor da prioridade somado à VLAN.
Port ID é de 16 bits. 8 port priority + 8 port number.
Eleição do root bridge
Inicialmente todo o switch envia um BPDU com o seu bridge ID como root bridge ID.
Os BPDUs recebidos são encaminhados aos outros switches alterando o campo Sender Bridge ID com o seu próprio Bridge ID. Se o Root bridge ID recebido for menor que o seu, ele altera o seu valor de root bridge ID e encaminha o novo valor para os restantes switches.
A topologia converge finalmente e todos os switches “concordam” no root bridge.
A eleição é um processo contínuo. Caso surja um switch com bridge ID menor que o root bridge, ele se torna o root bridge
22/80
Mario Pinho
CCNP SWITCH 300-115
Eleição do root port
Root port é a porta de um switch com menor custo para o root bridge. O root bridge não têm root ports.
A escolha do root port depende do root path cost (soma do custo dos links até ao root bridge).
Um link/porta tem um custo associado chamado path cost.
A escala de custos antiga era 1000Mbps dividido pela velocidade do link.
A nova escala é não linear:
10 Mbps 250
100 Mbps 19
155 Mbps 14
622 Mbps 6
1 Gbps 4
10 Gbps 2
Somente o root path cost é enviado nos BPDUs.
O Path cost é local aos switches.
O root path cost é calculado incrementando o valor nos BPDUs quando estes são RECEBIDOS. O valor do root path cost no BPDU enviado pelo switch será:
root path cost = received BPDU root path cost + received port path cost
Este valor é gravado na memória do switch. A porta que tiver o menor root path cost será eleita root port.
Eleição do designated port
Designated port é a porta cujo switch tem o menor root path cost em determinado segmento (2 switches num link full duplex, ou mais switches quando ligados por hub). Os switches determinam tal porta pelo anuncio dos BPDUs para o segmento.
Todas as portas de um root bridge são designated.
Em caso de empate:
1. Menor root bridge ID2. Menor root path cost to root bridge3. Menor sender bridge ID4. Menor sender port ID
As portas que não são root ou designated ficam em blocked
Estados STP
23/80
Mario Pinho
Disabled Blocked Listening ForwardingLearning15s 15s
CCNP SWITCH 300-115
Disabled – Administrative down
Blocking – Estado inicial depois de se activar uma porta. Não transmite nem recebe frames e não aprende endereços MAC. Somente recebe BPDUs
Listening – Não transmite nem recebe dados. Transmite e recebe BPDUs. Aqui fica decidido se ele se torna root ou designated port. Se perder um destes estados volta para blocking.
Learning – Depois de um período forwarding delay a porta além de enviar e receber BPDUs começa a aprender endereços MAC. Não recebe ou transmite dados.
Forwarding – Depois de mais um período forwarding delay a porta começa a transmitir e receber dados. Ela continua a enviar e receber BPDUs.
Tempos/Timers STP
Os valores dos timers STP são propagados nas BPDUs e precisam de ser configurados somente no root switch.
Hello Time: Intervalo entre o envio de configuration BPDUs. Numa topologia estável é enviado somente pelo root bridge. O hello time configurado no root bridge determina o tello time para todos os switches não root porque eles somente encaminham os BPDUs do root. Todos os switches têm configuração local hello time usado para TCN BPDUs. Default 2 segundos
Config)# spanning-tree [vlan <vlan-id>] hello-time <seconds>
Forward delay: Intervalo tempo nos estados listening e learning. Default 15 segundos
Config)# spanning-tree [vlan <vlan-id>] forward-time <seconds>
Max age: Tempo que o switch guarda BPDU antes de o descartar. Se o “melhor” BPDU não for recebido durante este intervalo, o switch assume uma mudança de topologia. Default 20 s.
Config)# spanning-tree [vlan <vlan-id>] max-age <seconds>
TCN BPDU
Anuncia mudança numa topologia activa. Inclui:
Protocolo ID (sempre 0) Versão (sempre 0) Message type (configuration ou TCN BPDU)
24/80
Mario Pinho
CCNP SWITCH 300-115
Uma mudança de topologia resulta no envio de um TCN BPDU quando uma porta passa para o estado Forwarding ou sai do estado Forwarding ou Learning para Blocking, ou seja, quando uma porta passa de up para down ou vice-versa.
O BPDU TCN não contém qualquer informação sobre a mudança, informa apenas que uma mudança ocorreu.
O TCN é enviado pelo root port com o objectivo de chegar ao root bridge.
TCN são enviados a cada Hello time até receber um acknowledgement do vizinho upstream. Os vizinhos que o recebem propagam até ao root e enviam os seus próprios acknowledgements.
Quando o root recebe o TCN, envia um Configuration BPDU com a flag TCN em 1.
Todos os bridges que recebem este BPDU encurtam o aging time das suas tabelas MAC para o valor do forward delay (do default 300s para 15s)
As falhas no link que não “baixam” as portas (chuva interrompendo bridges Ethernet-microondas-ethernet por exemplo) não resultam no envio de BPDU TCN. A falha é detectada de acordo com os timers configurados e reconverge depois do MaxAge + 2 x forward delay
Portas ligadas à “endpoints” (PCs, impressoras) que são ligados/desligados com frequência devem ter as suas portas configuradas em portfast.
CST Common Spanning Tree: Instância única de spanning tree para todas as VLANs. Definida no 802.1Q. BPDUs CST são transmitidas pelos trunks na VLAN native.
PVST Per-VLAN Spanning Tree: proprietário CISCO. Uma instância por VLAN. Requer ISL
PVST+: Proprietário CISCO. Actualização do PVST permite interoperabilidade com PVST e CST. Opera sobre ISL e 802.1Q.
PVST+ troca BPDUs com a CST como frames untagged sobre a VLAN nativa. BPDUs de outras instâncias de STP são propagadas por tunelamento.
PVST+ usa um endereço MAC multicast. Switches sem PVST+ simplesmente encaminham estas frames.
Configuração de spanning-tree
Para habilitar spanning-tree em determinada VLAN, tanto no switch como nas interfaces:
(config)# spanning-tree vlan <vlan>(config-if)# spanning-tree vlan <vlan>
É impossível desabilitar STP por interface. Somente por VLAN.
Configuração do root bridge
O root bridge deve ser posto o mais ao centro possível da rede. Deve ser um switch de alta capacidade/rápido.
25/80
Mario Pinho
CCNP SWITCH 300-115
O root bridge secundário deve ser sempre estudado e considerado para o caso de falha do primeiro.
Para configurar o root basta configurar manualmente o valor de prioridade para que seja o menor.
(config)# spanning-tree vlan <vlan-list> priority <bridge priority>
Para que o switch escolha automaticamente existe o comando macro:
(config)# spanning-tree vlan <lista> root {primary|secondary} [diameter <diâmetro> [hello-time <hello-time]]>
O switch escolhe a prioridade de acordo com os valores presentes na rede.
Atenção que os comandos só podem ser configurados por vlan.
Com a keyword primary o switch põe a sua prioridade em 24576 se a prioridade do root for maior de 24756. Se for menor que 24576 o switch põe o valor 4096 abaixo da prioridade do root actual.
O valor 0 não pode ser configurado automaticamente.
Com a keyword secondary a prioridade fica num valor artificial 28672 pois não há maneira de sabes os valores de prioridade de bridges na rede além do root. O comando assume que a prioridade default 32768 é usada nos restantes switches.
Este comando é um macro e não é visível na configuração. Apenas o resultado (configuração de prioridade, etc)
Se o diameter é especificado no comando o switch calcula os temporizadores (forward e Max age) de acordo com fórmulas definidas no 802.1D.
Configuração de custo da porta (manipulação de root path cost)
(config-if)# spanning-tree [vlan <vlan>] cost <custo>
A opção “vlan” permite alterar o custo somente para uma vlan específica na porta.
Configuração de port ID
Port ID é um valor de 16 bits (8 bits de prioridade (0-255) e 8 bits do numero da porta(0-255)). Valores menores são preferidos. O port-number é fixo. O port-priority é alterável. Default é 128.
Para ver os valores de port priority e port ID:
# show spanning-tree interface <interface>
Alterar o port ID (alterando o port priority)
(config-if)# spanning-tree [vlan <vlan-list>] port-priority <port-priority>
26/80
Mario Pinho
CCNP SWITCH 300-115
PortFast
Permite conectividade rápida das workstations nos switches da camada de acesso.
Reduz os tempos de Listening e Learning para um tempo desprezável. Quando a porta passa para UP o switch move-se imediatamente para o estado Forwarding. O spanning-tree não é desabilitado.
A porta move-se para Blocking se um loop for detectado.
As portas em portfast não enviam TCN BPDUs nas mudanças de estado.
Para habilitar na interface
(Config-if)# [no] spanning-tree portfast
Para habilitar globalmente em todas interfaces acesso:
(config)# spanning-tree portfast default
O macro switchport host:
1. Habilita spanning-tree portfast2. Torna a porta acesso3. Desabilita PAgP
UplinkFast
Comutação rápida do uplink nos switches de acesso quando há mais de um uplink para a camada de distribuição e para o root bridge.
Não é permitido no root bridge.
Mantém root ports redundantes que passam imediatamente para forwarding em caso de falha do root port actual, reduzindo o tempo de convergência.
É habilitado para todo o switch e VLANs.
Incrementa a prioridade para 49152 (reduzindo a possibilidade de se tornar root bridge).
O custo de todas as portas é incrementado em 3000.
Depois da mudança envia frames multicast para 0100.0ccd.cdcd (diferences origens) no novo link para actualizar as tabelas bridge dos switches uplink.
(config)# spanning-tree uplinkfast [Max-update-rate <packets per second>]Show spanning-tree uplinkfast
A opção max-update-rate limita as frames multicast enviadas depois da mudança do link. Default 150.
BackboneFast
Convergência rápida na rede backbone e core depois de mudanças na topologia spanning-tree.
27/80
Mario Pinho
CCNP SWITCH 300-115
Determina caminhos alternativos para o root bridge e detecta falhas indirectas de link quando recebe BPDUs inferiores (caso de um designated bridge que perde a sua ligação ao root, anunciando ele próprio como root.)
Caminhos alternativos são determinados por RLQ Root Link Queries. Bridge que é o root ou perdeu sua ligação com o root envia um RLQ reply. Por este movito deve ser habilitado em todos os switches da rede. Se não for habilitado, mensagens RLQ não são percebidas.
Se esse reply for recebido numa porta “não root”, um caminho alternativo deve ser escolhido. O timer Max-age é expirado imediatamente.
Portas devem mesmo assim seguir os estados Listening e Learning.
A configuração é global no switch e para todas as VLANs
(config)# spanning-tree backbonefast
Portfast, uplinkfast, backbonefast são funcionalidades CISCO para melhoria do STP 802.1D
ADVANCED SPANNING-TREE
Rapid Spanning-Tree
RSTP: Rapid Spanning Tree Protocol 802.1w melhora a convergência do STP tradicional 802.1D e a sua funcionalidade básica pode ser aplicada a uma ou várias instâncias. É o mecanismo por baixo do RPVST+ (Cisco) e MST 802.1s.
Port Roles
Root
Designated
Alternate: melhor caminho alternativo para root bridge
Backup: segmento alternativo para determinada bridge que já está conectada ao switch
Port State
Discarding: Frames dropped. MACs não aprendidos
Learning: Frames dropped. MACs aprendidos
Forwarding
RSTP usa BPDUs compatíveis com 802.1D alterando alguns bits não usados no anterior. A versão é alterada para 2.
BPDU são enviadas por todos os switches a cada Hello Time (2s) independentement do root. São enviadas somente pelos designated ports.
Bridge é considerada down depois de 3xhello time (6segundos default)
28/80
Mario Pinho
CCNP SWITCH 300-115
Num switch em modo RSTP cada porta opera no modo de acordo com a BPDU que recebe na porta.
Link/Port Types
Edge: não forma loops. Identificado pela configuração de portfast
Link types são baseados automaticamente no estado duplex (pode ser configurado manualmente)
Point-to-point: conecta a outro switch e torna-se designated por negociação e não por expiração de timers. Portas full-duplex são p2p por padrão.
Shared: Portas half-duplex por padrão usam STP 802.1D.
Sincronismo
Switch recebe uma mensagem de “proposal” nas portas non-edge.
Põe todas as portas non-edge em discarding e com base na análise de BPDUs envia um “agreement” para se estabelecer o root/designated port.
Depois do agreement inicia o mesmo processo com todos outros switches vizinhos enviado proposal.
Topology Changes
É detectada somente quando uma porta passa para forwarding.
Mensagens TC (Topology Change) são propagadas pela rede. As tabelas CAM são limpas para reaprender os endereços MAC.
Configuração
O modo STP default é o 802.1D (modo ieee no show spanning-tree).
Configurar porta edge
Config-if)# spanning-tree portfast
Configurar modo p2p (default em portas full-duplex)
Config-if)# spanning-tree link-type point-to-point
Configurar PVST+ e RPVST+ (suporta 802.1D e RSTP, default PVST+)
Config)# spanning-tree mode {rapid-pvst | pvst}
MST Multiple Spanning Tree 802.1s
Permite mapear grupos de VLANs para diferentes instâncias de spanning-tree.
Usa o conceito de regions, grupos de switches com parâmetros compatíveis MST.
Capaz de interoperar com todas as formas de STP.
29/80
Mario Pinho
CCNP SWITCH 300-115
Estes parâmetros são:
Nome de configuração MST Configuration Revision Number Mapeamento instance-to-vlan
Se os parâmetros não condisserem, os switches consideram-se em regiões diferentes e o switch é um switch MST region boundary.
CST (Common Spanning Tree) topologia única de toda a rede mantendo-a sem loops. Uma região MST é vista como “caixa negra”, um único switch/bridge.
Instâncias IST (Internal Spanning Tree) trabalham para manter uma topologia livre de loops onde a CST se encontra com a fronteira da região e todos os switches no interior da região MST.
BPDUs entre as fronteiras (boundaries) é trocado na VLAN nativa somente.
Instâncias MST as diferentes instâncias no interior da região MST. CISCO suporta 16, sendo a 0 a IST.
Default, todas as VLANs pertencem à instância 0.
Informação sobre todas as instâncias é enviada em um BPDU somente, BPDU da instância 0. Mesmo que todas as 16 instâncias estejam activas.
Interacção com PVST+
MST escuta os BPDUs recebidos e assume PVST+ em uso se receber BPDUs em mais de uma VLAN.
Quando uma região MST envia BPDUs para um switch PVST+, os BPDUs IST são replicados por todas as VLANs no trunk PVST+.
Configuração de MST
Um switch não pode correr PVST+ e MST ao mesmo tempo.
A configuração de MST activa operação RSTP
(config)# spanning-tree mode mst
Modo de configuração MST
(config)# Spanning-tree mst configuration(config-mst)# name <nome>(config-mst)# revision <revision>(config-mst)# instance <instance-id> vlan <vlan list>
Mostrar configurações pendentes
(config-mst)# show pending(config-mst)# exit
30/80
Mario Pinho
CCNP SWITCH 300-115
(config)# spanning-tree mst <instance> root {primary|secondary} [diameter <diameter>](config)# spanning-tree mst <instance> priority <bridge priority>(config-if)# spanning-tree mst <instance> cost <cost>(config-if)# spanning-tree mst <instance> port-priority <port-priority>
Parâmetros timer são aplicados à todo MST e não a instâncias (como acima) porque são definidos pela IST e BPDUs
(config)# spanning-tree mst hello-time <segundos>(config)# spanning-tree mst forward-time <segundos>(config)# spanning-tree mst max-age <segundos>
Protecção do spanning-tree
Root Guard
Impede uma porta de se tornar root port e receber BPDUs.
Se uma porta com root guard habilitado recebe BPDU superior ela entra no estado root-inconsistent.
Bloqueia a porta por completo independentemente da VLAN que recebe a BPDU e desbloqueia tão logo deixe de receber BPDU superiores.
(config-if)# spanning-tree guard root
BPDU Guard
Se qualquer BPDU (superior ou inferior) é recebida por uma porta com BPDU Guard habilitado, a porta passa para shutdown err-disabled e deve ser habilitada manualmente ou pelo err-disable time-out.
Por padrão, vem desabilitado em todas as portas
Para habilitar por padrão em todas as portas com portfast:
(config)# [no] spanning-tree portfast bpduguard default
Para habilitar/desabilitar por porta:
(config-if)# [no] spanning-tree bpduguard enable
Loop Guard
Impede portas no estado blocked que estão a receber um fluxo contínuo de BPDUs, de passarem para o estado forward como designated se pararem de receber BPDUs evitando um loop e passando para o estado loop inconsistent.
Quando voltarem a receber BPDUs saem automaticamente deste estado e seguem o ciclo STP normal até ao forwarding
31/80
Mario Pinho
CCNP SWITCH 300-115
A configuração é feita na porta mas o bloqueio é feito por VLAN e não na porta por completo
(config)# spanning-tree loopguard default(config-if)# [no] spanning-tree guard loop
Pode ser habilitado em TODAS as portas, não somente portas bloqueadas.
BPDU Filter
Desabilita STP em determinada porta.
(config)# spanning-tree portfast bpdufilter default(config-if)# spanning-tree bpdufilter {enable|disable}
A porta não envia nem recebe BPDUs.
Links
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swstp.html
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swmstp.html
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swstpopt.html
1.7 CONFIGURE AND VERIFY OTHER SWITCH TECHNOLOGIES
SPAN, RSPAN
SPAN = Switch Port Analyzer
Permite copier frames de interfaces/VLAN para uma interface de destino para ser analisados por um sniffer.
Frames são copiadas para a egress queue da interface de destino como se de frames normais de tratassem. Se o tráfego de source for maior que destination algumas frames podem sofrer drops.
Switching de tráfego nas interfaces source não é afectado.
É possível suportar mais de uma sessão de SPAN. O número máximo depende do modelo. 3750-X suporta até 2 sessões. 6500 até 64.
Local SPAN: Source e Destination da sessão SPAN no mesmo switch
Remote SPAN (RSPAN): Source e destination em switches diferentes. Tráfego copiado através de uma VLAN “especial”.
32/80
Mario Pinho
CCNP SWITCH 300-115
Local SPAN
É possível especificar como source:
Uma ou mais interfaces físicas. Tráfego de todas as VLANs nesta interface é copiado VLAN. Todas as portas nesta VLAN tornam-se sources. Port-channel interfaces (ou membros individuais)
SVI não são suportadas.
Não é possível ter como sources interfaces físicas e VLANs na mesma sessão.
Não é possível configurar SPAN e RSPAN em uma mesma sessão.
Cada sessão SPAN pode ter mais de um destination port definido.
Um etherchannel não pode ser destination. Mas um membro de etherchannel pode.
Diferentes sessões SPAN não podem partilhar o mesmo destination., no entanto, a source pode ser partilhada por sessões SPAN diferentes.
Switch(config)# monitor session (session-number) source {interface type member/mod/num | vlan (vlan-id)}[rx | tx | both]! aplicar mais de uma vez para cada source diferente
Switch(config)# monitor session (session-number) destination interface type member/mod/num [encapsulation replicate]
Tráfego enviado pelo switch (control plane) normalmente não é replicado. Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP), Spanning Tree Protocol (STP), and Port Aggregation Protocol (PAgP).
A opção encapsulation replicate faz com que o switch copie VLAN tags. Caso contrário são replicados untagged. Este comando também faz com que os protocolos acima sejam replicados.
STP é desabilitado na interface SPAN destination.
A interface destination por default só envia o tráfego replicado. Para que receba tráfego enviado pela estação de monitoração adicionar à sessão:
Monitor session ... … … ingress {dot1q vlan vlan-id | isl | untagged vlan (vlan-id)}
Se a interface source é um trunk ou voice vlan pode-se filtrar o tráfego de certas VLANs com o comando abaixo. Somente nesses casos não é possível filtrar quando source é uma VLAN.
Switch(config)# monitor session (session-number) filter vlan (vlan-range)
33/80
Mario Pinho
CCNP SWITCH 300-115
Remote SPAN
Permite enviar tráfego de SPAN de um source em um switch para um destination em um switch remoto través de uma VLAN especial chamada RSPAN VLAN.
A VLAN RSPAN é especial porque MAC learning está desabilitado. Para evitar que os switches no caminho encaminhem para destinos reais. O tráfego na VLAN RSPAN é encaminhado para todas as portas da RSPAN VLAN. Por este motivo todos os switches no caminho devem ser RSPAN aware.
A definição da RSPAN VLAN pode ser manual ou por VTP (feita no VTP server).
Não é possível configurar SPAN e RSPAN em uma mesma sessão.
A definição manual de RSPAN VLAN deve ser feita não só nos switches source e destination mas também nos switches intermediários. Os trunks devem permitir a RSPAN VLAN.
!! Definição da VLAN RSPANSwitch(config)# vlan vlan-idSwitch(config-vlan)# remote-span
!! Definir a sessão de RSPAN. No SWITCH SOURCESwitch(config)# monitor session (session-number) source {interface type member/mod/num | vlan vlan-id}[rx | tx | both]Switch(config)# monitor session (session-number) destination remote vlan (rspan-vlan-id)
!! Definir a sessão de RSPAN. No SWITCH DESTINATIONSwitch(config)# monitor session session-number source remote vlan (rspan-vlan-id)Switch(config)# monitor session session-number destination interfacetype member/mod/num [encapsulation replicate]
STP está completamente functional na VLAN RSPAN para evitar quaisquer loop
34/80
Mario Pinho
CCNP SWITCH 300-115
Verificação
As configurações de SPAN e RSPAN são gravadas na configuração.
show running-config | include monitorShow monitor
Switch# show monitorSession 1----------Type : Local SessionSource Ports : Both : Gi1/0/1Destination Ports : Gi1/0/48 Encapsulation : Native Ingress : Disabled
Session 2----------Type : Remote Source SessionSource Ports : Both : Gi1/0/1Dest RSPAN VLAN : 99Switch#
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swspan.html
1.8 DESCRIBE CHASSIS VIRTUALIZATION AND AGGREGATION TECHNOLOGIES
Stackwise e Stackwise+
Suportados nos switches:
3750 (stackwise) 3750-E (stackwise +) 3750-X (stackwise +)
Stack pode ser:
Homogenenous – Somente com switches do mesmo modelo Mixed
o Mixed hardware. Vários modelos de switches no mesmo stacko Mixed software. Stack formado pelo mesmo modelo de switches mas com
diferentes feature sets . LAN Base não suporta mixed software.(Versão tem que ser a mesma).
o Mixed software and hardware
35/80
Mario Pinho
CCNP SWITCH 300-115
O switch que controla a stack é o chamado stack master. É o único ponto de contacto e gestão da stack para configuração global e interfaces. Os restantes switches da stack são chamados members.
O ficheiro de configuração é armazenado na flash do master que sincroniza regularmente com os membros. Em caso de falha do master os membros têm configuração recente quando passarem a master.
No máximo são suportados até 9 switches. Qualquer um deles pode substituir o master actual em caso de falha.
A eleiçao do master é feita seguindo:
1. Switch que é o actual master2. Maior stack member priority3. Switch que não está a usar configurações de interface default4. Combinação de feature set e software com maior prioridade
a. – IP services feature set and the cryptographic software imageb. – IP services feature set and the noncryptographic software imagec. – IP base feature set and the cryptographic software imaged. – IP base feature set and the noncryptographic software image
5. Maior uptime (acredito que esta regra é porque não existe preemption)6. Switch com o menor MAC address
O stack actual mantem o seu estado a menos que:
Stack reset O master for removido da stack O master é reset ou desligado O master falha Adicionando ao stack um membro já ligado
Em resumo não existe preemption. Um master que falhe, depois de reiniciar não toma a posição de master a menos que um dos eventos acima cause re-eleição do master.
Existe uma janela de tempo (120s) para os switches participarem na eleição do master depois de serem ligados ou reiniciados.
Stacking ports e fabric
Para formar a stack, os switches são conectados pelos stacking ports, 2 em cada switch. Esta ligação forma 2 anéis lógicos que alocam bandwidth em sentidos contrários com 16 Gbps cada. Efectivamente a largura de banda da fabric da stack é de 32 Gbps. Por isso é que em caso de quebra de um cabo, o anél abre-se e a largura de banda reduz para 16 Gps.
36/80
Mario Pinho
CCNP SWITCH 300-115
Em stackwise+, por causa do destination stripping a largura de banda possível considera-se duplicada para 64 Gbps (não percebi bem porquê).
Falhas
A comunicação na stack é feita através da fabric criada pelo anel. A velocidade desta fabric é de 32Gbps. A falha ou substituição de qualquer um dos membros da stack não interrompe o serviço dos restantes. No entanto, a velocidade desta fabric reduz-se a metade sempre que o anél é interrompido.
37/80
Mario Pinho
CCNP SWITCH 300-115
2.0 INFRASTRUCTURE SECURITY (20%)
2.1 CONFIGURE AND VERIFY SECURITY FEATURES
Mitigating Spoofing Attacks
DHCP Snooping, IP Source Guard, Dynamic ARP Inspection
DHCP Snooping
Quando activado, portas são categorizadas como trusted e untrusted.
Trusted: Portas com servidores DHCP legítimos
Untrusted: todas outras portas. Modo default
Todas as portas são untrusted por default.
Tráfego recebido em interfaces untrusted e o MAC não condiz com o DHCP client hardware address na tabela de DHCP snooping o tráfego é descartado.
Tráfego em interfaces untrusted que condizem com mensagens de servidores DHCP como DHCPOFFER, DHCPACK, DHCPNAK também sao descartados.
Cria uma tabela de relação IP vs. MAC e informação DHCP como lease time.
Para ver a tabela
# show ip dhcp snooping bindings
Quaisquer DHCP replies vindas de portas untrusted são descartadas porque são consideradas vindas de um servidor DHCP rogue (ilegal). A porta é desligada e posta em err-disabled.
1. Habilitar snooping globalmente2. Definir a VLAN onde estará activo3. Configurar interfaces confiadas4. Opcional. Configurar taxa máxima de pedidos DHCP (portas untrusted)
(config)# ip dhcp snooping(config)# ip dhcp snooping vlan <vlan1> [<vlan2>](config)# interface <intf>(config-if)# ip dhcp snooping trust(config-if)# ip dhcp snooping limit rate <rate> ! rate – DHCP packets per second
O ultimo commando limita a taxa de pedidos DHCP aceites em pacotes por segundo.
# show ip dhcp snooping# show ip dhcp snooping binding
38/80
Mario Pinho
CCNP SWITCH 300-115
IP Source Guard
Detecta spoofing attacks (IP, layer 3) mesmo dentro da mesma subnet.
Baseia-se na base DHCP snooping ou configurações estáticas.
A detecção de spoofing pode ser uma das seguintes:
Endereço IP deve ser o mesmo que aprendido por DHCP Snooping ou entradas estáticas. Uma ACL dinâmica é utilizada para filtrar o tráfego.
O endereço IP deve ser aprendido e o endereço MAC de origem deve ser igual ao endereço aprendido no switch ou por DHCP snooping. Port security é utilizado para filtrar o tráfego nesta opção (verificação de MAC)
Pacotes com origem diferentes são descartados.
1. Habilitar DHCP snooping2. Configurar entradas estáticas (opcional) para hosts que não usam DHCP3. Habilitar IP source guard nas interfaces desejadas
(config)# ip dhcp snooping(config)# ip source binding <Mac-address> vlan <vlan> <ipaddress> interface <intf>(config)# interface(config-if)# ip verify source [port-security] ! port-security: verifica MAC origem
Ip verify source verifica somente o IP de origem. A keyword port-security verifica também o MAC de origem.
# show ip verify source [interface <intf>]
Para ver os bindings
# show ip source binding …
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swdhcp82.html
Dynamic ARP inspection (DAI)
Evita ataques conhecidos como ARP poisoning ou ARP spoofing em que um host responde a pedidos ARP com o seu MAC e o tráfego é para ele encaminhado como se do verdadeiro host se tratasse.
Comparada com base de dados DHCP snooping ou entradas estáticas.
Portas são configuradas como trusted ou untrusted. Pacotes ARP nas portas untrusted são verificados. Portas trusted não são.
39/80
Mario Pinho
CCNP SWITCH 300-115
Se a informação de um reply ARP de uma porta untrusted não estiver de acordo bom a base DHCP snooping ou entradas estáticas o pacote é descartado e é gerada uma mensagem de log.
Todas as portas são untrusted por default.
1. Habilitar DAI na(s) VLAN(s) (não precisa de comando configuração global além do dhcp snoop)2. Configurar portas como trusted3. Configurar entradas estáticas. Opcional. A configuração é através de ARP Access-lists.
(config)# ip arp inspection vlan <vlan-range>(config)# interface <intf>(config-if)# ip arp inspection trust(config)# arp access-list <acl-name>(config-acl)# permit ip host <sender-ip> mac host <sender-mac> [log](config-acl)# exit
O ultimo commando deve ser repetido tantas vezes quanto necessário.
4. De seguida aplicar a Access-list à VLAN
(config)# ip arp inspection filter <arp-acl-name> vlan <vlan-range> [static]
Primeiro é verificada a lista estática e depois a base DHCP Snoop. Static descarta a busca na tabela DHCP Snooping.
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swdynarp.html
Port Security
Habilitar port-security na interface
(config-if)# switchport port-security
Para definir o máximo de MACs em determinada porta:
(config-if)# switchport port-security maximum <maximo de endereços MAC>
O numero maximo default é 1 (um). O comando permite configurar até 1024.
Os endereços MAC podem ser configurados ou aprendidos dinamicamente.
Os endereços aprendidos dinamicamente são chamadas sticky MAC addresses.
Para limpar a lista deste endereços
# clear port-security dynamic [address <MAC>| interface <intf>]
Os endereços permitidos dinâmicamente são perdidos se o switch reiniciar. Para que não aconteça pode-se configurar manualmente.
Para configurar endereços MAC permitidos manualmente:
40/80
Mario Pinho
CCNP SWITCH 300-115
(config-if)# switchport port-security mac-addresses <endereço MAC H.H.H>
Se os endereços configurados manualmente for inferior ao máximo, os restantes são aprendidos dinamicamente.
Existe um comando que escreve na configuração o Mac-address ligado à porta e aprendido dinamicamente.
(config-if)# switchport port-security mac-address sticky
Depois de executado o switch escreve na configuração switchport port-security Mac-address sticky <MAC-address>. Este comando é útil para evitar que sejam configurados os Mac-addresses manualmente. Os sticky Mac-addresses são aprendidos até ao máximo configurado e são persistentes, ou seja, não se perdem com reload.
Os MAC addresses permitidos podem ser retirados da tabela por aging.
(config-if)#switchport port-security aging time <minutos>(config-if)#switchport port-security aging type [absolute|inactivity]
As entradas estáticas também podem ser retiradas com o comando abaixo. Se retiradas, a respectiva linha é retirada da configuração.
(config-if)#switchport port-security aging static
As entradas sticky não envelhecem (não sofrem aging)
Para definir a reacção da porta do switch a uma violação
(config-if)# switchport port-security violation {shutdown|restrict|protect}
Shutdown: a porta é posta em err-disabled. Para reabilitar -> shut/no shut Restrict: Porta mantem-se UP, o tráfego não permitido é descartado e um trap/syslog é
gerado. Protect: a porta mantem-se UP, o tráfego não permitido é descartado mas não são geradas
mensagens trap/syslog.
Verificação
# show port-security interface <intf># show interfaces status err-disabled# show port-security (resumo)
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swtrafc.html
Private VLANs
Private VLAN’s é um conceito em que uma VLAN (broadcast domain), considerada um domínio, é partida em sub-domínios (as private VLAN’s).
41/80
Mario Pinho
CCNP SWITCH 300-115
RFC 5517
Permite que uma VLAN normal ou primaria (primary) seja associada a uma VLAN unidireccional ou secundária.
Hosts na VLAN secundária comunicam com a VLAN primária mas não com outra VLAN secundária.
O switch tem que estar no modo VTP transparent. Os modos VTP server e client não são suportados excepto em VTPv3. VLANs secundárias têm significado somente local para o switch.
Tipos de VLAN secundária
Isolated: hosts chegam a portas da VLAN primária mas não a outra VLAN secundária ou outros hosts da mesma VLAN secundária. Isolados de tudo excepto da VLAN primária.
Community: hosts chegam a VLAN primária e outros hosts da mesma VLAN secundária. Comunicam-se entre eles. Hosts não comunicam com outras VLANs secundárias.
As portas com VLANs privadas podem ser configuradas como
Promiscuous: conectada a um router/firewall ou outro dispositivo comum. Comunica com tudo ligado a VLAN primária ou secundária. As regras de VLAN privada são ignoradas.
Host: Conecta a um host comum que reside numa VLAN isolated ou community. Só comunica com um promiscuous port ou com hosts da mesma VLAN community. Em muita literatura considera-se que nao existe host mas sim isolated ports e community ports.
Uma VLAN primária pode ter somente uma VLAN isolated associada mas podem haver mais de uma community VLANs.
Private VLANs não são suportadas em LAN Base.
As VLANs default (1, 1002-1005) não podem ser configuradas como private VLANs (primary or secondary)
Configuração
1. Configurar as vlans privadas (secundária e primária)2. Associar VLAN primária a secundárias
42/80
Mario Pinho
CCNP SWITCH 300-115
3. Configurar modo das portas host4. Associar portas host às VLANs secundárias e primárias5. Configurar modo das portas promíscuas6. Mapear portas promíscuas às VLANs primárias e secundárias
! Config de VLAN secundária(config)# vlan <vlan>(config-vlan)# private-vlan {isolated | community}
! config de VLAN primária(config)# vlan <vlan>(config-vlan)# private-vlan primary(config-vlan)# private-vlan association {<second vlan-list> | add <second vlan-list> | remove <second vlan-list>}
! configurar portas na vlan secundária(config-if)# switchport mode private-vlan host(config-if)# switchport private-vlan host-association <primary-vlan> <second vlan>
! configurar porta na vlan primária(config-if)# switchport mode private-vlan promiscuous(config-if)# switchport private-vlan mapping <primary-vlan> {<second vlan-list> | add <second vlan-list> | remove <second-vlan-list>}
Nos comandos, a VLAN primária é sempre a primeira.
Uma VLAN secundária é simplesmente definida (a associação é feita na primária)
Uma VLAN primária é associada a uma ou várias VLANs secundárias
Uma VLAN secundária só pode estar associada a uma única VLAN primária.
Uma porta host é associada a uma única VLAN primária e secundária.
Uma porta promiscua é mapeada a uma VLAN primaria e uma ou várias VLANs secundárias.
Não se define o tipo de porta. A porta é definida de acordo com a vlan primária/secundária a ela associada.
Para configuração de private VLANs, VTP deve estar off ou em modo transparent (v1 e v2)
Associação SVI à primary VLANs
Para permitir que uma SVI numa VLAN primária seja utilizada para roteamento é preciso um comando adicional na SVI para mapear a VLAN primária às secundárias:
Interface vlan xxxx Private-vlan mapping {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}
43/80
Mario Pinho
CCNP SWITCH 300-115
Neste caso o mapeamento não precisa da VLAN primária pois é subentendida ser a VLAN da SVI.
Não é possível associar interfaces L3 (SVI) a VLAN secundárias.
Expandindo a mais de um switch
VLANs primárias, isolated ou community não estão limitadas a um único switch e podem ser expandidas para vários switches. As ligações entre switches não precisam de ter noção do conceito de VLANs privadas e transportam as frames normalmente como quaisquer outras frames com tags 802.1Q.
A informação de “isolamento” entre VLANs está embutida na informação de VLANs.
Ver RFC5517, 3.
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swpvlan.html
Storm Control
Em condições normais e ideias, a maioria dos hosts recebe tráfego somente a ele destinado. O switch encaminha as frames nas portas com base nos endereços MAC das frames recebidas.
A excepção é o tráfego:
Broadcast Multicast Unknown unicast
Storm control ajuda a controlar este tipo de tráfego evitando sobrecarregar os hosts de uma LAN com tráfego que não se destina a eles.
A configuração é por interface para o tráfego recebido antes de ser encaminhado.
Interface storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]} unicast: UNKNOWN UNICAST
level: percentagem da capacidade da interfacebpspps: packets per second
storm-control broadcast level 50 !limita broadcast a 50% da interface
44/80
Mario Pinho
CCNP SWITCH 300-115
storm-control broadcast pps 100 60 ! limita a 100pps e "desbloqueia" !somente abaixo de 60 pps
storm-control multicast level 30 25 ! limita a 30% da capacidade e libera a ! 25% da capacidade
O comando pode ser executado várias vezes para definir níveis para broad, multi ou unicast traffic.
O tráfego acima do limite é simplesmente descartado. Mas acção em caso de violação por ser alterada com o comando storm-control action por interface.
Interface Storm-control action {shutdown|trap}
Shutdown: err-disableTrap: Além de descartar envia SNMP trap
Para verificar:
show storm-control [interface-id] [broadcast | multicast | unicast]
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swtrafc.html
2.2 DESCRIBE DEVICE SECURITY USING CISCO IOS AAA W/ TACACS+ AND RADIUS
AAA with TACACS+ and RADIUS
AAA = Authentication, Authorization and Accounting
Authentication: Quem é o utilizador?
Authorization: O que o utilizador pode fazer?
Accounting: O que o utilizador fez?
Os protocolos de comunicação com servidores AAA:
TACACS+ Terminal Access Controller Access Control System+
Proprietário da Cisco. Seguro e encriptado, funciona sobre TCP 49
RADIUS Remote Authentication Dial-In User Service
Combina autenticação e autorização em recursso único. Usa UDP 1812 (auth) e UDP 1813 (accounting) mas não é completamente encriptado.
45/80
Mario Pinho
CCNP SWITCH 300-115
Configuração autenticação
1. Em primeiro lugar e indispensável é habilitar o AAA2. Configurar 3. Configurar servidores individuais e seus parâmetros (de acordo com o protocolo)4. Configurar grupos de servidores5. Configurar named method-lists. Sequência de “métodos” de autenticação6. Atribuir os métodos às lines (onde se aplique)
A sequência de passos àcima é semelhante para qualquer dos AAA. Geralmente utiliza-se os mesmos servidores para autenticação, autorização e accounting por isso eles são configurados uma única vez e reutilizados.
! HAbilitar AAA ----------------------------------------------------Switch(config)# aaa new-model
!Configurar base de user/pass local ao switch -----------------------Switch(config)# username (username) password (password)
! Configurar servidores ----------------------------------------------Switch(config)# radius-server host {(hostname) | (ip-address)} [key (string)]Switch(config)# tacacs-server host {(hostname)| (ip-address)} [key (string)]
! Server groups -------------------------------------------------------Switch(config)# aaa group server {radius | tacacs+} (group-name)Switch(config-sg)# server (ip-address)Switch(config-sg)# server … ! para todos os servers do grupo
! Definir method-lists para autenticaçãoSwitch(config)# aaa authentication login {default | (list-name)} method1 [method2 ...]
Method1, 2 etc definem a sequência de métodos a usar para autenticar.
Alguns métodos incluem:
Group tacacs+: grupo default inclui todos servidores tacacs+
Group radius: grupo default inclui todos servidores radius
Group (group-name): caso tenha sido config um grupo tacacs+/radius
local: base local definida com username:
line: Usa password definida na line. Não os usernames
! Aplicar method list à uma line (console/vty)Switch(config)# line XXXXXSwitch(config-line)# login authentication {default | (list-name)}
46/80
Mario Pinho
CCNP SWITCH 300-115
Default: usa o method-list defaultList-name: usa um method list previamente definido.
No caso acima a palavra login define um serviço que pode usar a method-list que podem ser utilizados para o procedimento de login em uma line. Além deste existem:
Login Dot1x Enable Ppp
O method list default é usado por todas lines ou serviço que não têm um method-list explicitamente configurado.
Configuração autorização
Para a configuração de autorização mantém-se a base com os mesmos comandos para definir servidores e grupos de servidores (ou utilizar os já criados). A diferença é apenas na criação de novos method-lists para os diferentes “serviços”.
Switch(config)# aaa authorization {commands | config-commands | configuration | exec | network | reverse-access} {default | (list-name)} (method1) [(method2) ...]
Os “serviços”
Commands Config-commands Configuration Exec Network Reverse-access
Os métodos para autorização:
Group tacacs+ Groups radius if-authenticated none
Depois de configurado, a aplicação a uma line é semelhante:
Switch(config-line)# authorization {commands (level) | exec | reverse-access} {default | list-name
! exemplo de alicação da autorização de comandos à line.
47/80
Mario Pinho
CCNP SWITCH 300-115
Configuração Accounting
Switch(config)# aaa accounting {system | exec | commands (level)} {default | (list-name)} {start-stop | stop-only | wait-start | none} (method1) [(method2)...]
system: Major switch events such as a reload are recorded. exec: User authentication into an EXEC session is recorded, along with information
about the user’s address and the time and duration of the session. commands level: Information about any command running at a specific privilege level is
recorded, along with the user who issued the command.
start-stop: Events are recorded when they start and stop. stop-only: Events are recorded only when they stop. none: No events are recorded.
Aplicar a configuração à line:
Switch(config-line)# accounting {commands (level) | connection | exec} {default | (list-name)}
Local privilege authorization fallback
Isto consiste unicamente em configurar a authorização sem esquecer da possibilidade de falha dos servidores AAA.
48/80
Mario Pinho
CCNP SWITCH 300-115
3.0 INFRASTRUCTURE SERVICES (15%)
3.1 CONFIGURE AND VERIFY FIRST-HOP REDUNDANCY PROTOCOLS
HSRP Hot Standby Router Protocol
Proprietário CISCO
Standby group (active/standby)
A maioria dos switches permitem até 16 grupos (valor de 0-255). Os grupos em cada VLAN/interface são locais e independentes dos outros.
Estados
Initial: Estado inicial Learn: O router está a espera de ouvir uma mensagem do router activo e não sabe qual o ip
virtual Listen: O router sabe o IP virtual mas não é activo nem standby. Speak: O router envia mensagens de hello periódicas e participa activamente na eleição do
active/standby. Um router não pode entrar no estado activo a menos que saiba o IP virtual. Standby: o router é candidato a se tornar o próximo router activo e envia hellos periódicos.
Só existe no máximo um router no estado standby no grupo Active: O router está a encaminhar pacotes enviados para o MAC virtual do grupo. Envia
hellos periódicos. So existe no máximo um router activo no grupo.
Maior prioridade (0-255) fica active. Prioridade default (100). Como desempate o switch com maior endereço IP na interface torna-se active.
Timers
Os valores dos timers são enviados nos hellos e indicam quais os “meus” valores (do router que envia). O grupo usa os valores do active.
Hello time: 3s (default) (multicast 224.0.0.2 “all routers” UDP 1985)
Hold time: 10s (default) (tempo máximo sem hellos)
Para alterar os timers (deve ser feito em todos os routers/switches)
(config-if)# standby <group> timers [msec] hello [msec] <holdtime>
Se o grupo não for introduzido no comando, a configuração assume o grupo default, grupo 0.
Um router que perdeu o estado active não se tornará active até o activo actual falhar. Para que ele se torne activo em qualquer altura é necessário activar preemption.
Autenticação
Plain ou MD5
Interface tracking
49/80
Mario Pinho
CCNP SWITCH 300-115
Permite alterar o valor de prioridade do router de acordo com o estado de certas interfaces ou outros parâmetros (por exemplo testes IP SLA).
Quando a interface seguida volta ao valor inicial a prioridade sobe pelo mesmo valor que decrementou.
(config-if)# standby <group> track <intf> [decrement value]
Para que outro router tome o estado active deve ter maior prioridade e preemption deve ser configurada.
O valor default do decrement é 10.
Endereçamento
Cada router/switch tem o seu IP. O grupo é representado por um IP virtual que deve estar na mesma rede.
HSRP usa um endereço MAC especial para o IP virtual
0000.0c07.acXX XX representa o numero do grupo (01-10)
HSRP não permite usar IP virtual igual a um IP real
Configuração
(config-if)# standby <group> priority <prioridade>(config-if)# standby <group> timers [msec] <hello> [msec] <holdtime>(config-if)# standby <group> preempt [delay [minimum <segs>] [reload <segs>]]
Delay impede que se torne activo imediatamente. Com esta opção ele espera minimum segundos depois de ser possível se tornar activo (subida da interface ou configuração de HSRP).
Reload para esperar x segundos depois de reiniciar.
Autenticação
Plain MD5 key Key Chain
(config-if)# standby <group> ip <ip-address] [secondary](config-if)# standby <group> authentication <string>(config-if)# standby <group> authentication md5 key-string [0|7] <string>
Verificação
# show standby [brief] [vlan <vlan> | <intf>]
HSRP V2
A versão default de HSRP é a 1.
Endereço IP multicast 224.0.0.102 (HSRP) mas sempre na porta UDP 1985.
50/80
Mario Pinho
CCNP SWITCH 300-115
HSRP Suporta grupos 0-4095. Estes valores permitem mapear o número do grupo para as VLANs.
VRRP Virtual Router Redundancy Protocol
Conceito semelhante ao HSRP.
Protocolo standard (RFC 2338 e RFC 3768)
VRRP group (master/backup).
Ao contrário de VRRP existe 1 master e vários backups.
Grupos : 1-255
Hello time: 1s (default). Multicast 224.0.0.18 (VRRP) IP protocol 112
Maior prioridade (1-254) fica master. PRioridade default (100)
Preemption é activo por default.
Mesma prioridade, o maior IP fica master
Permite usar IP do master como IP virtual
Timers so precisam ser configurados no master. Os restantes PODEM aprendem do master
Dead/Holdtime não pode ser configurado. É calculado automaticamente “3xhello + skew timer”
Endereço MAC 0000.5e00.01XX XX: group number
VRRP permite usar IP virtual igual a um IP real
Default timers: Hello Time: 1s
Hold time: 3s + skew time (formula. Resultado inferior a 1s)
Configuração
(Config-if)# vrrp <group> priority <valor>(Config-if)# vrrp <group> timers advertise [msec] <interval>
Para aprender valor dos timers
(Config-if)# vrrp <group> timers learn
Desabilitar o default preemption
(Config-if)# no vrrp <group> preempt(Config-if)# vrrp <group> preempt [delay <segs>](Config-if)# vrrp <group> authentication <string>(Config-if)# vrrp <group> ip <ip-address> [secondary](config-if)# vrrp <group> track <objecto> [decrement <valor priority>]
Verificação
51/80
Mario Pinho
CCNP SWITCH 300-115
(config)# show vrrp [brief]
Autenticação
Plain MD5 key Key Chain
No RFC 2338 havia plain text e MD5. Autenticação não existe mais no RFC recente (RFC 3768) mas mesmo assim a Cisco ainda permite configurar.
Interface Vrrp (group) authentication md5 key-string (string) Vrrp (group) authentication md5 key-chain (key-chain-name)
Tracking
VRRP não tem interface tracking e permite somente object tracking que utiliza um objecto track definido em separado.
Track 1 interface e0/0 line-protocol
Interface Vrrp (group) track (track-number) decrement 15 Track-number é um número track criado anteriormente
VRRP V3
Address-families. Ipv4 e Ipv6.
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp_fhrp/configuration/15-mt/fhp-15-mt-book/fhrp-vrrpv3.html
GLBP Gateway Load Balancing Protocol
Proprietário CISCO. Permite balanceamento de tráfego entre diferentes gateways ao invés de active/standby.
IP 224.0.0.102 (mesmo que HSRP). UDP port 3222
O endereço virtual MAC tem o formato:
0007.b4XX.XXYY
XXXX: 6 bits = 0 seguidos de 10 bits do número do grupo
YY: 8 bits representando o número do AVF
Router com maior prioridade (1-255) (ou maior IP) torna-se o Active Virtual Gateway (AVG)
Prioridade default = 100
52/80
Mario Pinho
CCNP SWITCH 300-115
Até 4 routers com diferentes IP’s e MAC’s encaminham o tráfego. Os 4 routers são Active Virtual Forwarders (AVF). O AVG também é um AVF. Os routers que não são AVF estão no estado listen.
AVG responsável por responder ARP e atribuir endereços MAC aos restantes routers no grupo.
Valor do grupo: 0-1023
Router de maior prioridade só toma lugar depois da queda do router activo, a menos que seja configurada preemption.
Default timers: Hello Time = 3s Hold-time = 10s
Depois de “mortos” os seus MACs são usados por outro AVF (que passará a usar 2 MACs) por um período chamado redirect timer.
(config-if)# glbp <grupo> timers redirect <timer>
O Redirect timer define durante quanto tempo o AVG responde com determinado MAC virtual quando o seu “dono” caiu (detectado pelos timers). Depois deste tempo existe um timeout que define o tempo findo o qual o endereço MAC antigo e o Virtual Forwarder são retirados de todos os peers GLBP.
Defaults são 10 minutos para redirect timeout e 4 horas para timeout timer.
O AVG anuncia os timers e os restantes routers do grupo aprendem os valores.
AVFs usam timers para anunciar que estão “vivos”.
Os estados GLBP são semelhantes ao HSRP.
Para o AVG:
1. Disabled: O IP virtual não foi configurado mas há alguma configuração GLBP2. Initial: Endereço IP virtual configurado mas configuração incompleta. 3. Listen: Recebendo hellos e pronta a passar para standby/active se o AVG falhar.4. Speak: Poderá se tornar o active/standby gateway5. Standby: pronto a se tornar o AVG6. Active: Responsável por responder ARP e distribuir o tráfego.
53/80
Mario Pinho
CCNP SWITCH 300-115
Para o AVF:
1. Disabled: O endereço MAC não foi atribuído ou aprendido. Será eliminado em breve. Estado de transição.
2. Initial: Virtual MAC conhecido mas a configuração está incompleta.3. Listen: Recebendo hellos e pronta para mudar para active.4. Active: Encaminhando tráfego do seu endereço virtual.
Load Balancing
Balanceamento de carga (pela atribuição de MAC)
Round-robin (default) Weighted Host-dependent: Determinado host recebe sempre a mesma resposta ARP, portando usa
sempre o mesmo AVF desde que válido.
(config-if)# glbp <grupo> load-balancing [round-robin|weighted|host-dependent]
Configuração
(config-if)# glbp <grupo> ip [<endereço> [secondary]]
IP pode ser aprendido de outro router se não for configurado. Para o AVG o router deve ser configurado explicitamente.
(config-if)# glbp <grupo> priority <prioridade>(config-if)# glbp <grupo> preempt [delay minimum <segs>](config-if)# glbp <grupo> timers [msec] <hello> [msec] <holdtime>
Object tracking
Ao contrário de HSRP, não suporta interface tracking native. Suporta object tracking.
Autenticação
Plain MD5
Verificação
# show glbp# show glbp brief# show glbp <grupo>
54/80
Mario Pinho
CCNP SWITCH 300-115
Links
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_2_se/configuration/guide/3750x_cg/swhsrp.html
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp_fhrp/configuration/15-mt/fhp-15-mt-book/Configuring-GLBP.html
55/80
Mario Pinho
CCNP SWITCH 300-115
642-813 – TÓPICOS DA VERSÃO ANTERIORTópicos não mapeados directamente para a versão actual do exame mas que estavam na
versão anterior.
SWITCH OPERATION
L2 switching consulta CAM (content addressable memory)
Qos e ACL consulta TCAM (ternary CAM) em lookup único
Depois da consulta a frame é encaminhada para egress queue da porta. A egress queue é determinada pelos valores QoS.
DESENHO
MLS Multilayer Switching
Route caching (1st generation): RP processa flow do 1º pacote. O SE (switch Engine) cria “shortcut” para pacotes futures
Topology-based (2nd generation): informação de roteamento cria e “pre-popula” database único da topologia da rede. Este database é consultado em hardware para encaminhamento rápido.
DESENHO
MLS exceptions
ARP request and reply IP packets requiring response from router IP broadcasts relayed as unicast (DHCP) Routing updates CDP IPX Packets needing encryption Packets triggering NAT Non-IP and non-IPX packets
SECURING WITH VLANS (CHAP. 17)
Port Access Lists (PACL)
ACLs (MAC ou IP ou…) aplicadas a portas L2 (switchports)
So podem ser aplicadas inbound
VLAN Access Lists (VACL)
Filtram tráfego dentro de uma VLAN, aon contrario das ACLs nas SVIs que olha para o trafego que entra/sai da VLAN. Também incorporado na TCAM.
Configuração no estilo route-map (map seq number com match e acções)
56/80
Mario Pinho
CCNP SWITCH 300-115
1. Criar a VACL (VLan access map)2. Definir as condições (match)3. Definir as acções (forward, drop, redirect)4. Aplicar a VACL à VLAN
(config)# vlan Access-map <map-name> [seq number](config-access-map)# match ip address {acl-num | acl-name}(config-access-map)# match ipx address {acl-number| acl-name}(config-access-map)# match mac address <acl-name>(config-access-map)# action {drop|forward [capture]} | redirect <intf>(config-access-map)# exit(config)# vlan filter <map-name> vlan-list <vlan-list>
Securing VLAN Trunks
Um utilizador “malicioso” pode simular pacotes DTP e tornar uma porta de um switch com configurações default (dynamic auto) num trunk. Assim ele terá acesso à todas VLANs no switch.
Portas do switch devem ser configuradas para um comportamento “esperado”.
As portas dos utilizadores devem ser configuradas em modo acesso.
Se as portas não forem utilizadas elas devem ser configuradas numa VLAN não usada ou mesmo desligadas.
VLAN Hopping
Para prevenir
Configurar a VLAN nativa para uma VLAN não utilizada/inexistente Retirar a VLAN nativa de ambos os extremos do trunk Forçar trunks a “taggear” a VLAN native
(config)# vlan dot1q tag native
Protocolos como CDP, PAgP e DTP transportados na VLAN nativa não são afectados pelo pruning da mesma num trunk. Elas são um caso especial.
57/80
Mario Pinho
CCNP SWITCH 300-115
Port-Based Authentication
Baseada em IEEE802.1x
Quando habilitado o switch não passa qualquer tráfego até o utilizador ser autenticado.
O computador ligado ao switch deve suportar 802.1x e Extensible Authentication Protocol over LANs (EAPOL). Um protocolo layer 2.
Configuração
1. Habilitar AAA no switch2. Definir servidor RADIUS externo (deve ser repetido para mais de um servidor)3. Definir o método de autenticação para 802.1x4. Habilitar 802.1x5. Configurar portas que usarão 802.1x6. Permitir múltiplos hosts na porta (para o caso de uma porta ligada a outro switch/hub e vários
clientes)
(config)# aaa new-model(config)# radius-server host {ip|hostname} [key <key-string>}(config)# aaa authentication dot1x default group radius(config)# dot1x system-auth-control(config)# interface <intf>(config-if)# dot1x port-control {force-authorized|force-unauthorized| auto}(config-if)# dot1x host-mode multi-host
Force-authorized: Autoriza sempre sem autenticação. Modo default para todas portas Force-unauthorized: porta é forçada a nunca autorizar clientes conectados. Auto: a porta usa autenticação 802.1x.
Verificação
# show dot1x all
Best Practices for securing switches
1. Configurar passwords seguros: (secret e não password). Password encryption2. Usar system banners: ya3. “Segurar” o web interface: Preferível https. Usar ACLs limitando os IPs de origem4. “segurar” acesso console: habilitar autenticação5. “Segurar” acesso vty: Usar SSH. Usar ACLs para limitar o acesso.6. Acesso SNMP: Não usar communities read/write. Usar read only.7. Portas não utilizadas: configurar como acesso. Atribuir uma vlan não utilizada.8. Operação STP: Habilitar BPDU guard9. CDP:
58/80
Mario Pinho
CCNP SWITCH 300-115
MULTILAYER SWITCHING (CHAP. 11)
Roteamento inter-VLAN requer que o dispositivo esteja habilitado para tal, habilitar ip routing.
Para verificar o estado de um porta (L2 ou L3):
# show int <intface> switchport
Ver o estado de switchport. Enabled = L2. Disabled = L3
Para configurar uma porta como L3:
(config-if)# no switchport(config-if)# ip address…
Portas L3 em MLS não suportam sub-interfaces
SVI (Switched virtual interface)
Habilita funcionalidades layer 3 para uma VLAN completa. Atribui um endereço de rede a uma interface lógica representando a VLAN.
(config)# interface vlan <vlan-id>(config-if)# ip address…
CEF Multilayer switching
CEF (Cisco express forwarding) corre por default nos switches
O layer 3 engine (router) mantém a informação de roteamento, estático e dinâmico. Reformata
59/80
Mario Pinho
CCNP SWITCH 300-115
a tabela de roteamento numa lista ordenada com as rotas mais específicas no início. O novo formato é chamado forwarding information base (FIB).
A FIB também contém next-hop para cada entrada.
Rotas host (máscara 32) também aparecem na FIB que não são normalmente encontradas na tabela de roteamento a menos que sejam configuradas manualmente. Estas rotas são mantidas na FIB para busca eficiente de dispositivos directamente conectados.
A FIB é dinâmica. É actualizada sempre que há alteração da topologia de roteamento.
Para ver a tabela FIB
# show ip cef [<intface> | vlan <vlan-id>] [detail]# show ip cef [<prefix-ip prefix-mask>] [longer-prefixes] [detail]
Pacotes não switched via CEF são marcados como CEF punt e são enviados para o layer 3 engine:
Entrada não se encontra na FIB Tabela FIB está cheia Pacotes com opções de cabeçalho TTL expirado Destinados a uma interface túnel, precisam de compressão ou encriptação Encapsulamento não suportado Pacotes que precisam de fragmentação ICMP redirect ACL com opção log Operação NAT (excepto no 6500 supervisor 720)
Acelerated CEF (aCEF): CEF distribuído entre vários layer 3 forwarding engines, tipicamente nos 6500 line cards. Contêm uma porção da FIB.
Distributed CEF (dCEF): CEF completamente distribuído entre vários layer 3 forwarding engines. Cat6500 tem line cards que suportam dCEF, cada com a sua FIB e forwarding engine.
Tabela de adjacências
Parte da FIB contendo informação layer 2 para cada entrada next-hop e hosts directamente conectados.
# show adjacency [<intf> | vlan <vlan-id> ] [summary | detail]
A tabela de adjacências é construída com base na tabela ARP. Se uma entrada ARP não existe, a entrada é marcada como CEF glean. O pacote é enviado para o layer 3 engine para gerar um pedido ARP e receber uma resposta.
Null adjacency: Usada para pacotes destinados à interface null.
60/80
Mario Pinho
CCNP SWITCH 300-115
Drop adjacency: Pacotes que não podem ser encaminhados normalmente. Estes pacotes são descartados sem ser encaminhados.
Discard adjacency: Pacotes que devem ser descartados por uma ACL ou policy
Punt adjacency: Pacotes que devem ser enviados para o layer 3 engine para mais processamento.
# show cef not-cef-switched# show ip cef switching statistics
Packet Rewrite
Packet rewrite engine faz as seguintes alterações aos pacotes antes de os encaminhar:
Endereço destino L2: Mudado para MAC do next-hop Endereço origem L2: Mudado para MAC da interface L3 de saída Layer 3 IP TTL: decrementado em 1 Layer 3 IP checksum: Recalculado para incluir as mudanças no cabeçalho IP Layer 2 frame checksum: Recalculado para incluir as mudanças nos cabeçalhos L2 e L3
Configuração de CEF
Vem habilitado por default em todos switches Catalyst que suportam. Nos Cat6500 com supervisor 720 e MSFC3 CEF não pode ser desabilitado.
Nos 3750 e 4500 pode ser desactivado por interface
(config-if)# no ip route-cache cef(config-if)# no ip cef
DHCP
1. Cliente envia “DHCP Discover” como broadcast2. Servidor responde com “DHCP Offer” contendo dados para configuração e o seu próprio
endereço IP e o distinguir dos restantes servidores DHCP3. Cliente enviar mensagem “DHCP Request”. Enviada como broadcast e contém as
informações do pacote “offer”.4. Servidor responde com “DHCP Ack”.
DHCP funcionada dentro de um domínio broadcast, a maioria das mensagens são trocadas por broadcast. Seria necessário um servidor DHCP por domínio broadcast.
Um switch pode ser configurado para fazer relay das mensagens DHCP para um servidor único existente na rede. As mensagens são enviadas como unicast.
(config)# ip dhcp excluded-address <start ip> <end ip>
61/80
Mario Pinho
CCNP SWITCH 300-115
(config)# ip dhcp pool <pool>(config-dhcp)# network <ip address> <mask>(config-dhcp)# default-router <ip addre> [<ip add 2>] [<ip add 3>]…(config-dhcp)# lease {infinite | {days [hours [minutes]]}}(config-dhcp)# exit
# show ip dhcp binding
Configuração de switch como DHCP relay
(config)# interface <interface>(config)# ip address …(config)# ip helper-address <ip address>(config)# exit
O switch intercepta todas as mensagens broadcast DHCP do cliente e encaminha para o servidor definido em helper-address como unicast.
SVI Autostate
A funcionalidade SVI autostate activa uma SVI (Interface VLAN) somente se:
A VLAN associada à SVI existe e está activa na base de VLANs do switch A SVI não está administrativamente “down” Pelo menos uma interface L2 está na VLAN da SVI, está up em STP forwarding
Quando todas as portas da VLAN de determinada SVI estão down, a SVI fica em UP com line protocol DOWN.
Para desactivar a influência de determinada porta sobre SVI autostate:
(config-if)# switchport autostate exclude
IP TELEPHONY (CHAP. 14)
POE Power Over Ethernet
Permite dar energia a dispositivos de rede pelo mesmo cabo UTP usado para comunicação Ethernet.
Permite dar energia a IPPhones ou qualquer dispositivo que o requeira. Tensão 48VDC.
Alguns dispositivos precisam de uma fonte diferente para suportar a carga dos dispositivos POE
CISCO Inline Power (ILP): Proprietário da CISCO. Desenvolvido antes do standard IEEE
IEEE 802.3af (POE): Metodo standard
62/80
Mario Pinho
CCNP SWITCH 300-115
IEEE 802.3at (POE+): Standard que permite dispositivos de maior potência.
802.3af detecta dispositivo POE fornecendo uma pequena tensão nos pares TX e RX do cabo UTP e detecta a presença de uma resistência de 25Kohm. Outros valores são usados para testar as diferentes classes de potência.
Classe Potência máxima (W)
Notas
0 15,4 Default1 4 Opcional2 7 Opcional3 15,4 Opcional4 Até 50 Opcional
(802.3at)
Cisco Inline Power testa usando um sinal de 340KHz no par TX do cabo UTP.
Dispositivos fazem loop dos pares TX e RX enquanto desligados. Quando ligados a um dispositivo ILP, o switch “ouve” o tom de volta e assume que está ligado a um dispositivo suportado e dá energia.
Configuração e verificação
Para configurar o fornecimento manual, automático ou não fornecimento:
(config)# interface <intf>(config-if)# power inline {auto[max <milli-watts> | static [max <milli-watts>] | never}
O default é auto. Determina automaticamente se entrega energia e o power budget
Para verificação, potência máxima, utilizada e disponível:
# show power inline
Voice VLANs
Feature Voice Vlan só é suportado em Access ports. Não é suportando em trunks embora a configuração seja permitida.
Maioria dos IP Phones CISCO tem integrado um switch de 3 portas ligando switch upstream, PC e telefone.
Um switch que liga ao telefone pode instruir o telefone a formar um trunk 802.1Q especial ou acesso por uma VLAN única. O switch instrui o telefone por mensagens CDP e DTP.
A VLAN assim configurada é denominada Voice VLAN com ID VVID (Voice VLAN ID)
(config-if)# switchport voice vlan {<vlan-id>|dot1p|untagged|none}
63/80
Mario Pinho
CCNP SWITCH 300-115
Keyword VLAN native (untagged)
Voice VLAN QoS (CoS bits)
<Vlan-id> PC data VLAN <vlan-id> 802.1pDot1p PC data VLAN 0 802.1pUntagged PC data/voice --- ---none PC data/voice --- ---
802.1p é uma extensão do protocolo 802.1Q que adiciona 3 bits CoS para marcação QoS
None: Modo default. Não usa um trunk.
802.1p: Utiliza VLAN0 e marca os campos ToS nas frames. Não precisa da criação de Voice VLAN
Untagged: Poe as frames na VLAN nativa (ou access???).
Voice VLAN: Pacotes vão com tags na Voice VLAN e podem ter marcação CoS
Para verificar:
# show interface <intf> switchport
É possível ver configuração de voice-vlan, Access-vlan, vlan-nativa e o modo operacional.
Os comandos IOS não apresentam a porta como funcionando no modo trunk
Voice QoS
Pacotes de voz devem ser entregues da forma mais rápida possível com pouco jitter, delay e perda.
Delay (atraso): O delay total de um ponto a outro é denominado latência Jitter: variações no delay Perdas:
3 tipos básicos de QoS:
Best-effort: encaminhamento de pacotes na ordem recebida Integrated services model: Arranja previamente o caminho prioritário da origem ao
destino. Usa o protocolo RSVP (Resource Reservation Protocol) para pedir recursos. Quando caminho com o mínimo de requisitos é feito a origem é sinalizada com confirmação.
Differentiated services model: Não faz reservas adiantadas. Aplica QoS “por-salto” para um grupo de flows semelhantes baseando-se em informação nos cabeçalhos dos pacotes/frames.
Frames (L2) não têm bits para tratamento QoS a menos que sejam encapsuladas num trunk. Frames com tag 802.1Q encaminhadas em trunks incluem 3 bits para marcação CoS (Class of Service).
Pacotes (L3) são marcadas no byte ToS ou DS (DiffServ).
64/80
Mario Pinho
CCNP SWITCH 300-115
Class 0: Default. Best-effort Class 1-4: Denominadas AF (assurance Forwarding). AF maior implica maior prioridade. Class 5: EF (Expedite Forwarding). Tráfego prioritário. Time-critical
Class 6-7: Internetwork/network control. Geralmente usados para STP e protocolos de roteamento
Trust Boundary
Switch pode ser configurado para confiar ou não nas marcações recebidas (ToS, DSCP ou CoS)
Se confiar, os valores recebidos são transportados sem alteração.
Se os valores não forem confiados, eles são alterados.
Geralmente a organização confia parâmetros QoS dentro da sua rede e não confia nos valores na fronteira com outro provedor ou organização.
O perímetro formado por switches que não confia valores QoS chama-se perímetro de confiança (trust boundary).
O switch instrui o telefone IP (mensagens CDP) como estender a confiança QoS para a sua porta.
1. Habilitar QoS (comando mls qos)2. Definir o parâmetro QoS que será confiado (CoS, IPPrecedence, DSCP)3. Condicionar a confiança (apenas telefones IP detectados por CDP)4. Instruir o telefone em como estender o perímetro.
(config)# mls qos(config)# interface <intf>(config-if)# mls qos trust {cos|ip-precedence|dscp}(config-if)# mls qos trust device cisco-phone(config-if)# switchport priority extend {cos <valor>| trust}
No ultimo comando, os valores de CoS vindos do PC são substituídos ou confiados.
Auto QoS
Auto-QoS é um comando macro para facilitar a implementação de QoS nos switches de acesso.
Usado de preferência em switches com configuração default pois quaisquer comandos já existentes podem ser eliminados ou interferir nos comandos gerados por auto-qos.
Configuração
1. Escolher a interface2. Habilitar auto-qos com a confiança desejada
(config)# interface <intf>(config-if)# auto qos voip {Cisco-phone | Cisco-softphone | trust}
65/80
Mario Pinho
CCNP SWITCH 300-115
Para remover configurações feitas por auto qos usar:
(config-if)# no auto qos voip
Verificação
# show mls qos interface <intf>
Permite ver:
Estado de confiança (ex: trust cos)
Para ver como o IP-phone foi instruído para tratar informação QoS de entrada:
# show interface <intf> switchport
Appliance trust (none, trusted de acordo com switchport priority extend)
Para ver configuração de auto qos:
# show auto qos interface <intf>
WIRELESS LANS (CHAP. 15)
Rede Ethernet é definida pelos standards 802.3. Wi-Fi é definido por 802.11.
Transmissão controlada por Carrier Sense Multiple Access / Collision Avoidance (CSMA/CA).
Redes são half-duplex pois as estações transmitem/recebem na mesma frequência.
Todas as estações recebem as frames transmitidas na sua área de cobertura.
Sempre que um dispositivo transmite uma frame um acknowledgment deve ser enviado de volta.
Quando uma frame precisa de ser enviada pode acontecer:
Nenhum outro dispositivo está a transmitir: o dispositivo pode transmitir à vontade Outro dispositivo está a transmitir: o dispositivo deve esperar até que a frame a ser
transmitida termine. De seguida espera um tempo aleatório antes de transmitir.
Um cabeçalho 802.11 informa o tempo estimado de transmissão de uma frame.
Para que os dispositivos não tentem transmitir todos ao mesmo tempo no final da frame, todas implementam um backoff timer aleatório.
Associação de um cliente ao Access point (é iniciada pelo cliente)
Cliente envia um probe AP’s no alcance respondem com um beacon Cliente faz um pedido de associação ao SSID desejado (ou com sinal mais forte) AP adiciona o MAC do cliente à tabela de associação
66/80
Mario Pinho
CCNP SWITCH 300-115
Qualquer grupo de dispositivos wireless é chamado service set. Dispositivos devem partilhar um Service Set Identifier (SSID), um string incluída em todas as frames enviadas.
Independent Basic Service Set (IBSS): comunicação directa entre 2 clientes wireless sem outras formas intermédias de conexão.
Basic Service Set (BSS): Centraliza a comunicação em um Access Point (AP). Todos cliente wireless deve primeiro se associar ao AP. A função principal do AP é fazer bridge entre a rede wireless e a rede cabeada.
Extended Service Set (ESS): APs interligados por uma rede switched.
Os APs fazem o mapeamento de SSIDs para VLANs.
Roaming é a movimentação de uma célula para outra.
Se o cliente mantém o seu endereço IP o roaming é Layer 2 Se o cliente move-se entre APs de subnets diferentes o roaming é Layer 3
Arquitectura WLAN
Arquitectura tradicional
Baseada em APs autónomos.
Todo tráfego para qualquer parte da rede deve passar pelo AP, até o tráfego entre 2 clientes.
O AP gere a utilização de frequências e canais RF.
Clientes associam-se directamente ao AP.
Politicas de segurança são reforçadas pelo AP.
Gestão RF e de segurança de vários APs autónomos é difícil.
Diferentes VLANs correspondentes a diferentes SSIDs devem se estender até aos APs.
Arquitectura Cisco Unified Wireless Network Architecture
Segurança, implementação, gestão e controlo WLAN centralizados.
Processos real-time, que envolvem enviar e receber frames 802.11, beacons e probes, encriptação de pacotes continuam no hardware AP, mais próximos dos clientes. Tais funções são realizadas pelos Lightweight Access Point (LAP).
Funções de gestão, que não envolvem o envio de frames são administradas de forma centralizada, longe dos APs. Estas funções são realizadas pelo Wireless LAN Controller (WLC).
O LAP depende do WLC para as funções de autenticação, políticas de segurança e gestão de canais e potência RF.
Esta divisão de tarefas é denominada split-MAC.
67/80
Mario Pinho
CCNP SWITCH 300-115
O LAP e o WLC formam um túnel de comunicação. Toda a comunicação é encapsulada em pacotes IP e por isso eles podem estar na mesma rede ou em redes diferentes.
O túnel é formado pelos protocolos:
Lightweight Access Point Protocol (LWAPP): Cisco Control and Provisioning Wireless Access Points Protocol (CAP-WAP): RFC 4118
São formados 2 tuneis:
Mensagens de controlo: Configuração e gestão do LAP. Mensagens são autenticadas e encriptadas.
Dados: Encapsulado no protocolo LWAPP ou CAP-WAP. Não é encriptado.
LAP e WLC também se autenticam um ao outro através de certificados X.509.
Funções do WLC
Atribuição dinâmica de canais Optimização da potência de transmissão Cobertura wireless self-healing Roaming dos clientes Load-balancing dinâmico de clients Monitoração RF Gestão de segurança.
WLCs estão disponiveis como appliances, módulos de switches (6500), routers ISR e integrado em switches 3750.
Operação do LAP
1. LAP obtem endereço IP2. LAP aprende os endereços dos WLCs disponíveis (DHCP opção 43 ou broadcast L2)3. LAP envia uma mensagem join sequencialmente para os WLCs da lista obtida.4. WLC compara o código do LAP com o armazenado localmente. Se diferirem o LAP faz o
download do código/imagem e reinicia.5. WLC e LAP formam um túnel LWAPP ou CAPWAP para gestão e outro túnel LWAPP ou CAPWAP
para os dados. O ultimo não é encriptado.
Quando um WLC deixa de responder, o LAP reinicia e recomeça o processo de busca de WLCs. Quaisquer associações de clientes será descartada até que o LAP se junta a um novo WLC.
Tráfego dos clientes wireless para qualquer parte da rede passam obrigatoriamente pelo AP e WLC e de seguida para a rede através de um switch.
Tráfego entre 2 clientes wireless também deve passar pelo LAP e WLC.
68/80
Mario Pinho
CCNP SWITCH 300-115
As VLANs correspondentes aos SSIDs 802.11 estendem-se somente até ao WLC. A rede do WLC aos LAP pode ser uma única VLAN ou rede roteada diferente. O tráfego das VLANs correspondentes aos SSIDs é tunelado do WLC aos LAPs.
Roaming
Os clientes negociam associações à rede wireless com os WLCs e não com os LAPs.
Intracontroller roaming
Roaming entre LAPs diferentes ligados ao mesmo WLC. SSID deve ser o mesmo. Endereço IP do cliente é mantido. Roaming Layer 2.
Intercontroller roaming
Roaming entre LAPs ligados a diferentes WLCs. Mesmo SSID.
1. WLCs na mesma rede: Trocam mensagens de mobilidade para passar a associação do cliente de um WLC a outro.
2. WLCs em redes diferentes: Forma-se um túnel ether-IP para encapsular dados MAC em pacotes IP. De um WLC a outro. O cliente mantém o IP da primeira rede. Tráfego uplink é enviado normalmente . Tráfego downlink é enviado para o primeiro WLC e este encaminha tunelado para o segundo WLC onde o cliente está associado.
69/80
Mario Pinho
CCNP SWITCH 300-115
Para haver roaming intercontroller, os WLC devem estar configurados dentro do mesmo mobility group.
Caso um cliente se mova de um WLC a outro de grupos diferentes, a sua associação é transferida para o novo grupo mas o seu endereço IP e informação se sessão são descartados.
Configuração dos switches (AP autónomo)
Basta configurar portas (acesso ou trunk) com as VLANs correspondentes aos SSID a ser transmitidos.
Configuração dos switches (LAP)
LAPs precisam de uma porta de acesso (não trunk). O trunk (considerando SSIDs múltiplos) é configurado na ligação ao WLC.
Boas praticas recomendam uma VLAN específica para gestão de LAPs.
Todas as VLANs mapeadas a determinado SSID são transportadas sobre o túnel do LAP ao WLC.
Configuração dos switches (WLC)
70/80
Mario Pinho
CCNP SWITCH 300-115
Recomenda-se WLCs na camada de distribuição.
WLC precisa de conectividade directa a quaisquer VLANs a ser utilizadas pelos clientes wireless.
Interfaces devem ser configuradas como trunk (para o caso de VLANs múltiplas).
ENTERPRISE CAMPUS NETWORK DESIGN (CHAP. 12)
Entendimento dos fluxos de tráfego é vital para o desenho da rede. Torna mais efectivo o movimento e gestão do tráfego da rede e esta torna-se mais escalável para suportar necessidades futuras.
A rede deve ser desenhada com comportamento previsível em mente, com baixa manutenção e alta disponibilidade.
Desenhar de forma que os utilizadores estejam a uma distância consistente dos recursos que pretendem usar.
Access layer
Switches localizados mais próximo dos utilizadores. Conectividade camada 2 (VLAN) entre utilizadores. Switches deve ter as seguintes características:
Baixo custo por switch port Alta densidade de portas Uplinks escaláveis Funções de acesso dos utilizadores, filtro de tráfego e protocolo, QoS Resiliência (recuperação rápida) através de vários uplinks
Distribution layer:
Intermediário entre as camadas de acesso e core.
Agregação de múltiplos switches de acesso Alto througput camada 3 para packet handling Segurança e conectividade policy-based através de ACL ou filtros de pacotes Funcionalidades QoS Links de alta velocidade, escaláveis e resilientes (recuperação rápida) para as camadas core
e de acesso.
VLANs e domínios de broadcast convergem na camada de distribuição, precisando de roteamento, filtragem e segurança. Devem suportar switching multilayer de alta velocidade. É geralmente uma fronteira de camada 3.
Core layer
Agregação e conectividade de todos switches distribuição. Também chamado backbone.
Througput camada 3 muito elevado Sem manipulação desnecessária de pacotes (ACLs, filtragem)
71/80
Mario Pinho
CCNP SWITCH 300-115
Redundância Funções QoS avançadas Deve ser desenhado com simplicidade em mente
Serviços da rede podem ser classificados em:
Local: mesma VLAN que utilizador Remoto: VLAN diferente. Acesso às camadas de distribuição Enterprise: Central a todos utilizadores. Acesso às camadas de distribuição e core
As camadas de distribuição e core podem ser combinadas formando collapsed core.
Desenho de rede modular
A rede enterprise pode ser dividida em switch block e core block. Outros elementos podem existir, por exemplo, o datacenter pode ter seus próprios switches de acesso, distribuição ou mesmo de core.
Switch Block
Contem dispositivos de switching das camadas de acesso e distribuição.
Switches de camada 2 se ligam aos usuários. Seus uplinks ligam-se à camada de distribuição. Os últimos devem ser multilayer.
Camada de distribuição deve ser a fronteira para VLANs, sub-redes e broadcasts. Sendo limite de camada 3, STP está confinado a um switch block.
Dimensionamento de switch blocks
Camada de acesso é dimensionada com base na densidade de portas e numero de utilizadores conectados.
72/80
Mario Pinho
CCNP SWITCH 300-115
Camada de distribuição é dimensionada com base no numero de switches de acesso conectados
Tipos de tráfego e patterns Capacidade de switching camada 3 na camada de distribuição Numero de utilizadores conectados na camada de acesso Limites geográficos de subnets e VLANs Tamanho dos domínios spanning-tree
Recomenda-se não mais de 2000 utilizadores por switch block. Mas não deve ser único factor a considerar.
Um switch block deve ser dimensionado principalmente:
Tipo de tráfego e comportamento Tamanho e numero de grupos de trabalho comuns
Redundância do switch block
Melhores práticas recomendam não estender as VLANs da camada de acesso além dos switches de distribuição. Isto inclui a ligação entre os switches de distribuição. A camada de distribuição deve ter apenas ligações camada 3.
Core Block
Ligação entre switch blocks, datacenter blocks e edge. Leva mais tráfego do que qualquer outro bloco.
Collapsed core
Funções das camadas de distribuição e core são fornecidas pelos mesmos switches.
73/80
Mario Pinho
CCNP SWITCH 300-115
Características
Ligação redundante entre switch blocks Tráfego L2 estende somente até aos switches distribuição Ligação entre switch blocks é L3
Na camada 3 redundância é providenciada por um protocolo como HSRP/VRRP.
Dual Core
Liga 2 ou mais switch blocks de forma redundante através do core.
74/80
Mario Pinho
CCNP SWITCH 300-115
Recomenda-se switches multilayer
Ligação comum (L3 recomendavel) entre os 2 switches core.
Ligam-se por links redundantes cada switch core aos switches de distribuição.
A ligação core-distribuição representa dois links L3 equal-cost e o tráfego é distribuído entre os 2. Ambos as ligações ficam activas ao mesmo tempo.
Dimensionamento do core
Tamanho da rede (numero de routers) deve ser tido em conta devido á propagação de routing updates e convergência.
No mínimo cada switch core deve suportar switching de cada um dos links dos switches de distribuição a 100% de capacidade.
HIGH AVAILABILITY (CHAP. 13)
Redundância supervisor e route processor
4500R e 6500 aceitam duas placas supervisor
Primeira placa a arrancar torna-se a activa para o chassis.
75/80
Mario Pinho
CCNP SWITCH 300-115
A supervisor standby arranca (boot) somente até certo nível. Arranca por completo em caso de falha da supervisor activa.
Modos de redundância (Redundancy Modes)
RPR Route Processor Redundancy: A supervisor redundante arranca e inicializa parcialmente. Quando a placa activa falha, a standby deve reiniciar todas as outras placas/módulos no switch.
RPR+: A supervisor redundante arranca e inicializa a supervisor e o route-engine. As funções L2 e L3 não iniciam. Quando a activa falha, a standby termina a inicialização sem reiniciar os restantes módulos/placas do switch. Switchports mantêm o seu estado (UP/DOWN).
SSO Stateful Switchover: A supervisor redundant arranca e inicializa por completo. Configurações startup e running são sincronizados entre as supervisors. Informação L2 é mantido em ambos os módulos (hardware switching continua durante failover). Switchports mantêm o seu estado (UP/DOWN).
NSF Non-Stop Forwarding
Funcionalidade proprietária CISCO que permite reconstrução rápida da RIB depois de um switchover. Não espera que os protocolos L3 re-convirjam. Ao invés disso interage com vizinhos NSF.
Suportado pelos protocolos BGP, EIGRP, OSPF e IS-IS.
(config)# router bgp <as>(config-router)# bgp graceful-restart(config)# router eirgp <as>(config-router)# nsf(config)# router ospf <process>(config-router)# nsf
Configuração
Comandos devem ser inseridos (inicialmente) em ambos supervisors
(config)# redundancy(config-red)# mode {rpr|rpr-plus|sso}
Para ver o estado, modo de redundância (operacional e configurado)
# show redundancy states
Configurar a sincronização de supervisors:
(config)# redundancy(config-red# main-cpu(config-r-mc)# auto-sync {startup-config|config-register|bootvar}
76/80
Mario Pinho
CCNP SWITCH 300-115
MONITORING TO MAXIMIZE HIGH AVAILABILITY
SYSLOG
http://dhucaby.wordpress.com/2010/05/27/14/
Cada mensagem contém:
Timestamp Facility Code: função ou modulo do switch que gerou a mensagem Severity: 0-7. Importância do evento
o 0: Emergencieso 1: Alertso 2: Criticalo 3: Errorso 4: Warningso 5: Notificationso 6: Informationalo 7: Debugging
Mnemonic: pequeno texto que categoriza o evento Message Text: a descrição do evento que disparou a mensagem
Exemplo: 00:30:39 %SYS-5-CONFIG_I: Configured from Console by Console
Quando o limiar é configurado, o switch gera mensagens num nível igual ou inferior (inferior em numero, mas mais importante) ao configurado.
As severidades são opostas à importância do evento. Quanto maior é a severidade, menor o número.
Configuração
(config)# logging console <severity>
Configura o nível de logging para a console. Só é visto remotamente quando se executa “terminal monitor”
(config)# logging buffered <severity>(config)# logging buffered <size in Bytes>
Configura severidade e tamanho do logging para o buffer. Para ver as mensagens no buffer
# show logging
Para enviar mensagens syslog para um servidor remoto (porta UDP 514)
(config)# logging <ip do servidor>(config)# logging trap <severity>
Para evitar que o switch gere mensagens sempre que uma porta passe de up a down e vice-versa
77/80
Mario Pinho
CCNP SWITCH 300-115
(config-if)# no logging event link-status
Controlo de timestamps
O switch por padrão usa os timestamps com base no uptime do switch
(config)# service timestamps log datetime [localtime] [show-timezone] [msec] [year]
Localtime usa o fuso configurado no switch. Caso não seja usado o fuso nas mensagens é UTC
SNMP
http://dhucaby.wordpress.com/2010/05/27/ccnp-switch-snmp/
Um sistema SNMP complete é formado por:
SNMP Manager: sistema de gestão que usa protocolo SNMP para fazer o polling e receber os dados dos dispositivos de rede
SNMP Agent: processo que corre em todos os dispositivos de rede a ser monitorados. Todos os dados são colhidos pelos próprio dispositivo e armazenados numa base de dados local.
A comunicação é pela porta UDP 161. Os pedidos são do tipo:
Get Request: retorna o valor de uma variável (OID) específica Get Next Request: a proxima variável que segue um get request inicial Get Bulk Request: tabelas ou listas completas de uma variável MIB Set Request: alterar valores de determinada variável MIB.
Alertas assíncronos podem ser enviados pela porta UDP 162
SNMP Trap: evento enviado sem confirmação de recepção Inform request: evento enviado em que o manager deve confirmar recepção
(acknowledge).
A versão 2 de SNMP acrescentou contadores de 64bits (contra os 32 bits da versão 1) e o bulk request.
A versão 3 teve grandes acréscimos de segurança:
Autenticação de utilizadores (usernames que podem ser organizados em grupos) Pacotes de dados podem ser autenticados, encriptados ou ambos
Toda comunicação SNMP pode ainda ser “segurada” por meio de Access-lists.
Configuração
(config)# Access-list <acl-name> permit <ip address>(config)# snmp-server community <comm. string> [ro|rw] [acl-number](config)# snmp-server host <host address> <comm.. string> [trap-type]
O ultimo commando define o destino das traps. Trap-type define o tipo de traps que serão enviados.
78/80
Mario Pinho
CCNP SWITCH 300-115
A configuração da versão 2 é semelhante. Com a diferença que podem ser usados informs
(config)# snmp-server host <host address> [informs] version 2c [comm. string]
Para a versão 3:
(config)# snmp-server group <grp name> v3 {noauth|auth|priv}(config)# snmp-server user <username> <grp name> v3 auth {md5|sha} <auth-password> priv {des|3des|aes{128|192|256}} <priv-password>}(config)# snmp-server host <host-ip> [informs] version 3 {noauth|auth|priv} <username> [trap-type]
IP SLA
http://dhucaby.wordpress.com/2010/06/01/ccnp-switch-ip-sla/
CISCO IOS IP SLA é uma funcionalidade para switches e routers para colecta de estatísticas de tráfego end-to-end na rede.
Um dispositivo SLA corre um teste e gera tráfego com destino em outro dispositivo. O dispositivo remoto responde e a fonte recolhe dados do que se passou.
Testes incluem: ICMP, Path-jitter, DNS, DHCP, FTP, HTTP, UDP-echo, udp-jitter, tcp-connect.
Alguns testes precisam somente de um dispositivo remote activo sem configuração adicional (ICMP, DNS, FTP…).
Outros testes precisam de estar configurados com IP SLA Responder.
O dispositivo IP SLA de origem começa por enviar mensagens de controlo port UDP:1967.
A origem usa a conexão de controlo para informar ao responder para começar a ouvir em portas adicionais onde o teste IP SLA será feito.
Configuração
!responder(config)# ip sla responder
!configuração de IP SLASwitch(config)# ip sla <operation-number>Switch(config-ip-sla)# <test-type> <parameters...>Switch(config)# ip sla schedule operation-number [life {forever | seconds}] [start-time {hh:mm[:ss] [month day | day month] | pending | now | after hh:mm:ss}] [ageout seconds] [recurring]
Para versões de IOS anteriores a 12.2(33) a sintaxe do commando pode ser:
(config)# ip sla monitor <operation-number>(config)# type <test-type>(config)# ip sla monitor schedule
Verificação
Show ip sla configurationShow ip sla statistics [aggregated] [<operation-number>]
79/80
Mario Pinho
CCNP SWITCH 300-115
IP SLA pode ser usado como “trigger” de determinadas operações no router/switch.
Para tal cria-se um track object. Este objecto pode depois ser utilizado (HSRP, route-objects, etc)
(config)# track <object-number> ip sla <operation-number> {state | reachability}
80/80
Mario Pinho
