O protocolo TRILL (Transparent Interconnection of Lots of Links) é um padrão IETF que fornece a funcionalidade de roteamento em camada 2 em Data Centers. O protocolo permite a extensão de domínios de broadcast entre os equipamentos que rodam o TRILL e fornece alta disponibilidade para cenários de falha nos uplinks, funcionando como uma alternativa para substituição do protocolo Spanning-Tree.

O TRILL pode ser utilizado em Data Centers sem necessidade de configuração IP e mantém a simplicidade tradicional da comunicação de camada 2 com a convergência de redes roteáveis em camada 3.

O protocolo utiliza o a contagem de saltos ou TTL para prevenção de loops, mas roda diretamente sobre a camada 2 de forma que nenhuma configuração IP é necessária.

Se fizermos uma comparação com o protocolo Spanning-tree, o STP, utiliza um único caminho na rede para encaminhar os dados, bloqueando os caminhos redundantes entre os switches, que nem sempre são as melhores escolhas para bloqueio e/ou encaminhamento do fluxo de dados entre dois hosts. O TRILL suporta a seleção de melhor caminho, suportando também caminhos redundantes, e topologias no modelo ativo-ativo.

TRILL and STP

Um Switch com o processo TRILL habilitado é chamado de Routing  Bridge ou RBridge por sua função de roteamento. É baseado no algoritimo link-state do IS-IS para escolha dos caminhos.

Cada RBridge é identificado por um system ID que é automaticamente gerado pelo TRILL. O ID é baseado no endereço MAC por padrão, mas pode ser também configurado manualmente. O system ID não é utilizado para encaminhar os quadros mas serve para identificar cada nó dentro da tabela link-state (LSDB) da rede TRILL.

Um RBridge encaminha os quadros de uma rede TRILL baseado no nickname de origem e destino, utilizando como referência em um valor hexadecimal de 16bits. Os nicknames podem também ser gerados automaticamente pelo sistema.

Cada nickname é distribuído pelo IS-IS para computar as rotas, como em protocolos de roteamento.

terminologia TRILL

Para o encaminhamento dos quadros Ethernet que chegam dos hosts para os RBridges, uma vez que o endereço MAC de destino já é conhecido [para melhor entendimento do exemplo], a consulta (lookup) acontece com o endereço do RBridge e um segundo lookup é efetuado para a RBridge do próximo salto como também a interface de saída para enviar o frame ao next-hop. Então, o frame é encapsulado com o cabeçalho TRILL (TRILL overlay header).

Trill HeaderNa terminologia TRILL, há os Switches CE, que são a classificados como os clássicos switches ethernet que não executam o processo TRILL.

Em resumo, cada RBridge ao receber um frame TRILL irá descartar o cabeçalho externo (inserido pela RBridge anterior), analisará o nickname de destino e selecionará a interface de saída baseado na escolha de melhor caminho. A RBridge então adicionará um novo cabeçalho TRILL, decrementará o valor de TTL e transmitirá o frame para a próxima RBridge.

Se o quadro TRILL tiver como next-hop um endpoint, então o cabeçalho TRILL será removido e então o quadro Ethernet original será entregue para o host.

Referências

Using TRILL, FabricPath, and VXLAN – Cisco Press 2014 – Sanjay K. H., Shuyam Kapadia,Padmanabhan Krishnan.

Building HP FlexFabric Data Centers-Rev. 14.41

Comments Nenhum comentário »

O termo Data Center Bridging (DCB) consiste de uma coleção de padrões que estendem a funcionalidade do protocolo Ethernet e é também conhecido como CEE (Converged Enhanced Ethernet). No entanto, o IEEE usa o termo DCB para descrever o conjunto de tecnologias que permitem comunicações como o Fibre Channel sobre Ethernet (FCoE) .

A principal motivação vem da redução de custo e complexidade de ter redes separadas para SAN e LAN. A consolidação da infraestrutura reduz o numero de equipamentos fisicos, espaço em rack, energia, ar-condicionado,etc.

A popularização de interfaces 10 Gigabit Ethernet em servidores tem facilitado o agrupamento de múltiplas interfaces Gigabit em uma única conexão.

Os protocolos utilizados para o DCB são listados abaixo:

802.1Qbb – Priority-Based Flow Control

O PFC permite a identificação e prioridade do tráfego afim de garantir o trafego sem perda como o FCoE necessita.

Em uma interface com PFC ativo, um frame com a prioridade lossless (sem descarte/perda) não é autorizado a transmitir se a sua prioridade estiver em estado de pausa. O protocolo é uma mistura do 802.3x e 802.1p, padrão Ethernet PAUSE e CoS para fins de QoS respectivamente.

DCB PFC

Com o PFC habilitado, protocolos que são sensíveis ao descarte de pacotes como o Fibre Channel podem ser transportados com a prevenção contra o drop de pacotes devido a esgotamento de recursos de banda.

802.1Qaz – Enhanced Transmission Selection

O ETS permite grupos com diferente prioridades e alocação de banda para grupos PFC. O padrão indica no mínimo o uso de 3 classes de tráfego (uma com o PFC ativo, outra sem o PFC e uma terceira com prioridade estrita [strict]).

DCB ETS

Com o ETS habilitado, o protocolo permitirá a utilização de banda ociosa de outras classes caso haja recursos disponíveis de acordo com a sua porcentagem de alocação.

802.3Qau – Congestion Notification

O CN é um método de sinalização de congestionamento fim-a-fim, permitindo o comportamento lossless para o Ethernet. Baseado nos parâmetros da mensagem de congestionamento, o protocolo trabalha com rate limit para aumentar ou diminuir a banda. O CN pode potencialmente reduzir a frequência com a qual o PFC é solicitado.

DCBX  – Data Center Bridge eXchange

O DCBX fornece a descoberta de configuração e das características acima entre vizinhos para garantir uma configuração consistente utlizando o IEEE 802.1AB (LLDP).

CNA

As interfaces físicas para conexão de rede para o FCoE são chamadas de CNA (Converged Network Adapter), combinando a funcionalidade de um adaptador HBA com uma NIC. As interfaces CNA preservam a compatibilidade com o software, middleware e ferramentas de gestão.


APP

Prove instruções para a CNA sobre mapeamento de Classe de Serviços para aplicações.

Resumo

Segue abaixo uma imagem com o resumo dos protocolos DCB:

DCB Data Center Bridge 1

O protocolo DCBX permite aos dispositivos a encontrar equipamentos pares, detectando parametros de configurações e usando extenções (TLV) do LLDP para ativar a troca `FC, APP, ETS, etc.

Referências

Data Center Virtualization Fundamentals – Cisco Press 2014 – Gustavo A.A. Santana
Building HP FlexFabric Data Centers-Rev. 14.41

 

Comments Nenhum comentário »

Fala Galera, tudo bom!?

Segue mais uma vídeo-aula sobre os principais comandos para administração e gerenciamento de Switches e Roteadores baseados no Comware (3Com/HP. H3C).

Abração

Comments Nenhum comentário »

WP_20160607_001a

Comments Nenhum comentário »

O protocolo SPBM (Shortest Path Bridging Mac-in-Mac mode) permite a implementação de grandes redes Ethernet, mantendo a simplicidade de um Fabric L2, enquanto compartilha a escalabilidade e convergência dos serviços dos protocolos de roteamento.

Enquanto no STP alguns links são colocados no modo de bloqueio para evitar loop, o SPBM utiliza mecanismos de roteamento e todos os links podem ser utilizados para encaminhar o tráfego.

O SPBM é muito similar ao TRILL, mas enquanto o SPB foi desenvolvido pelo IEEE, o TRILL foi proposto pelo IETF. Ambos tem recebidos boa aceitação e utilizados em ambientes de grandes Data Centers.

Existem dois padrões relacionados ao SPBM, o primeiro é o IEEE 802.1ah que define o PBB (Provide Backbone Bridging) e o segundo é o SPB definido pelo IEEE 802.1aq

PBB

O PBB é uma tecnologia L2 VPN baseada no padrão Ethernet, nele, o cabeçalho Ethernet do host (com os endereços MAC de origem e destino) é encapsulado com o endereço MAC do Service Provider. O frame do cliente é transportado como payload dentro do frame Ethernet do provedor, com novo endereço MAC de origem e destino.

O cabeçalho inclui um campo service ID que identifica a rede do cliente, para suporte à ambientes multi-tenant (em resumo, diversos cliente em um mesmo ambiente fisico). O encapsulamento completo do frame Ethernet do cliente ajuda na redução do aprendizado de endereço MAC dos switches intermediários, auxiliando em um melhor uso de recursos de CPU e memória.

Os equipamentos em uma topologia com PBB possuem duas funções:

– Backbone Edge Bridge (BEB)

O BEB recebe o frame original do cliente e encapsula dentro de um novo frame Mac-in-Mac. O endereço MAC de origem é o do próprio BEB e o endereço de destino é o MAC do BEB de destino.

– Backbone Core Bridge (BCB)

O BCB recebe o frame do BEB e encaminha baseando-se no novo cabeçalho, não precisando ter conhecimento do endereço MAC do cliente.

SPBM BEB BCB

O BEB que recebe o frame PBB remove o encapsulamento e baseado no campo I-SID (Instance service ID), dentro do campo I-TAG, encaminha o quadro para o cliente devido.

O PBB é puramente uma tecnologia de encapsulamento no formato MAC-in-MAC e não prove nenhum cálculo de melhor caminho ou redundância.

Comparação PBB QinQ dot1Q

O I-SID é administrativamente configurado, utilizando o range de 255 até 16.777.215.

O endereço MAC de origem e destino, assim como o TAG de VLAN original do cliente é chamado de “C” no cabeçalho. Já as informações do PBB são referenciadas como “B”, conforme comparação dos cabeçalhos acima.

SPB

O SPB entra nessa questão para prover múltiplos caminhos ativos em uma rede Ethernet, baseado no cálculo de melhor caminho utilizando o algoritmo do IS-IS.

Voltando ao SPBM…

Uma vez que o SPBM é baseado no PBB as mesmas funções de BCB e BRB são utilizadas.  Diferente do TRILL que faz encapsulamento e remove o encapsulamento do frame a cada nó, o SPBM apenas encapsula o frame no dispositivo BEB e esse encapsulamento atravessa todo backbone SPM.

topologia SPBM

Referências

http://www.brocade.com/content/html/en/configuration-guide/netiron-05900-switchingguide/GUID-39750C1A-4994-4B7C-B988-1254C87F859E.html

Building HP FlexFabric Data Centers-Rev. 14.41

Comments Nenhum comentário »

Em uma rede broadcast (multi-access) a formação de adjacência entre roteadores link-state iria resultar em um grande número de estados de vizinhança baseado na formula N*(N -1) /2, onde N representa o número de nós conectados. Se incluíssemos as atualizações de sincronismo e confiança desses vizinhos adjacentes, isso tornaria o processo bastante complexo. Portanto, para administrar o sincronismo do banco de dados de uma forma mais suave e economizar recursos, o IS-IS elege um pseudonode (PSN) e o roteador DIS (designated intermediate system) que atua em nome do pseudonode, em redes broadcast. O processo é bastante similar aos roteadores DR em uma rede OSPF.

A função do DIS é manter o sincronismo do banco de dados entre todos os roteadores participantes do domínio multi-access. O Roteador DIS envia periodicamente mensagens CSNP (complete sequence network packets) para todos os roteadores participantes.

IS-IS Pseudonode

Como no exemplo da imagem, os roteadores em um ambiente broadcast elegem um roteador designado para ter a função de pseudonode. A eleição do DIS é baseada na prioridade da interface do roteador conectado no ambiente multiacesso, com o maior endereço MAC utilizado no desempate da prioridade.

A informação da prioridade é transportada nos hellos enviados na LAN.

O DIS facilita o sincronismo da tabela link-state do IS-IS entre os roteadores, enviando mensagens sumarizadas em multicast, de todos LSPs. O DIS também gera um PSN LSP que lista todos os vizinhos conhecidos no link broadcast. Todos os nós da rede multiacesso tornam-se adjacentes entre si e com o PSN, o roteador atual atuando como DIS.

A eleição do DIS é preemptiva e em qualquer momento, um roteador qualificado pode tomar a função de DIS.

Exemplo de configuração em roteadores Cisco IOS

Utilizando o diagrama acima, elegemos um dos roteadores como DIS, alterando a prioridade da interface para 127:

# Roteador1
!
interface Loopback1
 ip address 192.168.1.1 255.255.255.0
 ip router isis
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip router isis
 isis priority 127
!
router isis
 net 40.0001.0000.0000.0001.00
!

O comando show isis database lista a tabela com todos os LSPs. Em nosso caso, todos os roteadores estão na mesma area para que todos tenham os mesmos LSPs em sua tabela. Percebam que cada roteador gera um LSP. O DIS gera um LSP para si e para o pseudonode.

Roteador3#show isis database
IS-IS Level-1 Link State Database:
LSPID                 LSP Seq Num  LSP Checksum  LSP Holdtime      ATT/P/OL
Roteador1.00-00       0x00000007   0xCF71        406               0/0/0
Roteador1.02-00       0x00000007   0x61C9        917               0/0/0
Roteador2.00-00       0x00000006   0x44F8        495               0/0/0
Roteador3.00-00     * 0x00000008  0xB283       1063              0/0/0
Roteador4.00-00       0x00000008   0x250C        1122              0/0/0

É possível também visualizar através da adjacência na interface:

Roteador2# show clns interface fa0/0
FastEthernet0/0 is up, line protocol is up
  Routing Protocol: IS-IS
    Circuit Type: level-1-2
    Interface number 0x1, local circuit ID 0x2
    Level-1 Metric: 10, Priority: 64, Circuit ID: Roteador1.02
    DR ID: Roteador1.02
    Level-1 IPv6 Metric: 10
    Number of active level-1 adjacencies: 3
    Level-2 Metric: 10, Priority: 64, Circuit ID: Roteador1.02
    DR ID: Roteador1.02
    Level-2 IPv6 Metric: 10
    Number of active level-2 adjacencies: 3
    Next IS-IS LAN Level-1 Hello in 5 seconds
    Next IS-IS LAN Level-2 Hello in 1 seconds

Ou através do output do comando show isis dabase [roteador PSN] detail:

Roteador2#show isis database  Roteador1.02-00 detail
IS-IS Level-1 LSP Roteador1.02-00
LSPID                 LSP Seq Num  LSP Checksum  LSP Holdtime      ATT/P/OL

Roteador1.02-00       0x00000008   0x5FCA        677               0/0/0
  Metric: 0          IS Roteador1.00
  Metric: 0          IS Roteador4.00
  Metric: 0          IS Roteador3.00
  Metric: 0          IS Roteador2.00

Até logo!

Referências

http://www.cisco.com/c/en/us/support/docs/ip/integrated-intermediate-system-to-intermediate-system-is-is/49627-DIS-LSP-1.html

Building Scalable Cisco Internetworks – 3ª edição – CiscoPress – Diane Teare

Comments Nenhum comentário »

Em qual modo o Access Point pode operar?

Algumas pessoas enxergam os Access Points apenas como um ponto de acesso à internet, porém dependendo do fabricante e do modelo, há atribuições aos AP’s com algumas funcionalidades que vão além disso.  Eles podem exercer outras funções baseando-se no modo em que ele se encontra.

Para que possamos nos familiarizar mais com esse assunto vamos ver brevemente um pouco de cada modo de operação dos Access Points.

Os modos são:

  • Local
  • Bridge
  • Monitor
  • Sniffer
  • Rogue Detector
  • Hybrid REAP

Obs: A nomenclatura do modo pode variar de acordo com o fabricante.

Local Mode
O Local Mode provavelmente é modo mais utilizado, por ser o modo padrão.  É necessária a existência de um WLC, onde será criado dois túneis CAPWAP ou LWAPP (dependendo da versão IOS), entre o Access Point e o WLC. Um desses túneis será utilizado para gestão e o outro para o tráfego de dados.

Com o propósito de analisar o trafego, o Access Point realiza uma inspeção em todos os canais por 180 segundos, nessa inspeção ele analisa cada canal por 60ms, após esse processo ele volta para o canal que foi lhe atribuído.

Bridge Mode
No modo Bridge o Access Point opera como uma ponte, replicando o sinal. Dependendo do modelo neste modo o Access Point pode ou não permitir o acesso de estações, como também podem ser utilizados links point-to-point ou point-to-multpoint.

Afim de determinar o melhor caminho o Access Point utiliza o protocolo “Adaptive Wireless Path Protocol” (AWPP). A Cisco chama isto como iMesh para acesss points internos e Mesh para Access Point externos.

Neste artigo vocês encontraram mais informações sobre o modo bridge:
http://www.rotadefault.com.br/workgroup-bridges/

Monitor Mode
No modo Monitor o Access Point opera no modo passivo, sendo assim, ele não encaminhará trafego por seus rádios e também não irá permitir que estações client se associem à ele, o proposito desse modo é identificar Access Point intrusos ou IDS matches, também pode ser utilizado para troubleshooting ou até mesmo site surveys .

Sniffer Mode
No modo sniffer o Access Point opera  passivamente no ambiente como um servidor OmniPeak, Wireshark, Airmagnet… para captura e analise dos dados é estritamente utilizado para fins de solução de problemas. O Access Point envia os dados para um dispositivo especifico para que os dados possam ser analisados. Esse modo é utilizados para coletar “time stamps”, qualidade do sinal, tamanho dos pacotes, entre outras funcionalidades é um ótimo modo para troubleshooting.

Rogue Detector Mode
No modo Rogue Detector, o Access Point desativa os rádios, não permite a associação de estações client e observa as mensagens ARP na rede cabeada. Ele recebe do WLC uma lista com os endereços MAC e fica comparando esses endereços com as mensagens ARPs. Quando um endereço MAC diferente é encontrado, o Access Point informa o WLC.

Hybrid REAP ou H-REAP Mode
O modo H-Reap foi desenvolvido para ser utilizados em links WAN quando você possui um WLC em outro site, porém para que o Access Point seja utilizado como H-REAP no link WA,N algumas particularidades devem ser seguidas, como:

  • O link não poderá ser inferior à 128kbps;
  • A latência de ida não poderá ser superior à 100ms.

Neste modo, o Access Point precisa se comunicar com o WLC apenas por um curto período de tempo durante a fase inicial, após isso ele pode operar de forma independente porém com algumas funcionalidades reduzidas. Hoje em dia o H-REAP ganhou novas funcionalidades e passou a ser chamado de Flexconnect.

Por fim, através da imagem abaixo é possível saber como alterar o modo de operação do Access Point:

Comments Nenhum comentário »

O Session Initiation Protocol (SIP) é um protocolo de sinalização de iniciação, modificação e terminação de chamadas telefônicas.  As sessões multimedia podem ser tanto audio ou video entre duas ou mais partes, assim como sessões de chat, jogos, etc. O SIP é um protcolo baseado em texto muito similar ao HTTP e SMTP.

O SIP foi projetado para interoperar com aplicações de Internet existentes. Ele define números de telefones como URLs de forma que é possível iniciar uma chamada apenas com um clique em um link. Por exemplo, os número telefones SIP são representados como URLs que utilizam o esquema SIP, como, sip:diego@rotadefault.com.br para o usuário Diego no host especificado pelo nome DNS rotadefault.com.br. As URLs do SIP também podem conter endereços em IPv4, IPv6 ou número de telefones reais.

O protocolo pode estabelecer sessões de duas partes (ligações telefônicas comuns), sessões de várias partes (conferência) e sessões  multicast (com um transmissor e muitos receptores). As sessões, como citado acima, podem conter audio, video  e dados. O SIP cuida apenas da configuração, do gerenciamento e do encerramento das sessões. O protocolo pode funcionar sobre UDP ou TCP.

SIP Network Elements

Uma rede SIP contém geralmente os seguintes elementos de rede:

User agent: O user agent (UA) é uma função lógica na rede SIP que inicia ou responde a uma transação SIP. O UA pode atuar tanto como cliente ou servidor em uma transação, podendo atuar ou não atuar diretamente com um usuário humano. O user agent é stateful e mantém o estado do diálogo ou da sessão.

– Proxy: O proxy é uma entidade intermediaria em uma rede SIP e é responsável por encaminhar requisições SIP para o UA responsável ou para outro proxy. Um proxy primariamente prove a função de roteamento na rede SIP podendo aplicar políticas na rede como autenticação de um usuário antes de prover um serviço. A comunicação do proxy pode ser stateful ou stateless.

– Redirect server: O redirect server recebe requisições e determina um servidor next-hop, retornando ao UA cliente o endereço do servidor.

– Registrar server: O registrar server é um servidor UA que aceita requisições SIP REGISTER e atualiza as informações em algum servidor de localização.

SIP Messages

As mensagens SIP podem ser divididas como (requisições e respostas) SIP request e SIP response. O protocolo SIP funciona em uma arquitetura cliente/servidor e suas operações envolvem apenas métodos de requisição e respostas, como observado também no HTTP e RTSP.

Os métodos de requisição do SIP são os seguintes:

INVITE: O método de INVITE indica que o usuário ou serviço é convidado a participar de uma sessão. É também utilizado para modificar as características de uma sessão previamente estabelecida. Uma resposta bem-sucedida (200 OK response) a um convite indica o “aceite” da pessoa chamada a participar da sessão.

ACK: Uma requisição ACK confirma que o UA recebeu a resposta ao INVITE request. O ACK é utilizado somente em requisições INVITE.

OPTIONS: Um cliente UA utiliza uma requisição OPTIONS para perguntar ao servidor UA sobre os seus métodos e extensões. O servidor pode responder a esta pergunta com o conjunto de método e extensões suportado pelo usuário e por ele mesmo.

BYE: Um utiliza mensagens BYE para liberar recursos associados a uma ligação.

CANCEL: A requisição CANCEL permite ao cliente UAC e os servidores de rede para cancelar uma requisição pendente ou em andamento.

REGISTER: Um cliente utiliza uma requisição REGISTER para registrar o “alias” (apelido) do seu endereço em algum servidor SIP.

Referências

TANENBAUM  A. S., 2003, “Computer Networks”, 4 ed, Prentice Hall
http://www.gta.ufrj.br/grad/11_1/sip/OqueSIP.html
https://eng.registro.br/inoc/SIP_iNOC.pdf

Para ler

http://blog.sippulse.com/entenda-como-funciona-um-dialogo-sip-protocolo-utilizado-em-ligacoes-voip/

 

Comments Nenhum comentário »

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x, ou então se o usuário modifica o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionado ou excluído para o usuário.

Para superar essas limitações, vários vendors implementaram comandos RADIUS adicionais a fim de permitir a mensagens não solicitadas, sejam enviada para o NAS. Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar a autorização (CoA – Change-of-Authorization).

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, ou então apenas reautenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado ou outro fator que possa afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso, autorização para esse dispositivo.

RADIUS Coa

Obs: Em casos de integração de soluções que utilizam RADIUS CoA entre diferentes fabricantes, veja qual RFC os mesmos possuem suporte para interoperabilidade.

Referências

https://tools.ietf.org/html/rfc5176
https://tools.ietf.org/html/rfc3576

Comments Nenhum comentário »

Fala galera, compilamos uma lista de comandos que podem servircomo um guia rápido para instalação e configuração de Switches HP Procurve. Utilizei como base o modelo 5406zl (parte dos comandos são aceitos na maioria dos Switches  Procurve); os scripts são simples e bastante úteis!

Controle de usuários e privilégios
password manager user-name admin
New password for manager:  *****
Re-enter the new password for manager:  *****

VLANs
Criando VLANs e atribuindo as VLANs as portas.
vlan 12
name “RH”
untagged A1
tagged A21-A22,Trk1
exit
!
vlan 13
name “ADM”
untagged A2
tagged A21-A22,Trk1
exit

Obs: mais informações sobre configuração de VLANs no HP Procurve acesse: http://www.rotadefault.com.br/configurando-vlans-em-switches-hp-procurve/

SNMP
Community SNMP  RW
snmp-server community “hpnRW” operator unrestricted
Community SNMP RO
snmp-server community “hpnRO” operator

LACP
 Configuração da porta A23 e A24 como Link-Aggregation com o protocolo LACP
trunk A23-A24 trk1 lacp

SPAN
Configuração do espelhamento da porta A1 para a porta A20
mirror 1 port A20
!
interface A1
monitor all both mirror 1
exit

Jumbo Frame
Habilitando o Jumbo Frame na VLAN 2
vlan 2
jumbo
exit

NTP
time daylight-time-rule southern-hemisphere
sntp server priority 1 192.168.20.50
sntp server priority 2 192.168.20.49
sntp unicast
timesync sntp

HP-5406zl(config)# show time
Tue Apr 21 14:02:47 2016

Syslog
Configuração do IP do Servidor syslog 192.168.12.20 para a porta UDP 20514.
logging 192.168.12.20 udp 20514

SSH
Gerando as chaves e habilitando o SSH
crypto key generate ssh rsa
ip ssh

TACACS
Especificação do servidor TACACAS
tacacs-server host 192.168.10.12 key “senha123”
Configurando a autenticação de login e enable via TACACS
aaa authentication ssh login tacacs local
aaa authentication ssh enable tacacs local
Configurando autorização de comandos via TACACS
aaa authorization commands tacacs
Configurando autorização de comandos via TACACS
aaa accounting commands interim-update tacacs
aaa accounting exec start-stop tacacs

Banner
Configurando o Banner com a mensagem de acesso restrito
banner motd % ======== Acesso Restrito =========== %

LLDP
Ativando o LLDP globalmente
lldp run

IP  de Gerenciamento
Configurando o IP para gerenciamento
vlan 1
ip address 192.168.1.254 255.255.255.0

STP
Habilitar o STP
spanning-tree
Configurar o Switch como o root com a prioridade 4096
spanning-tree priority 0
Habilitando o RSTP
spanning-tree force-version rstp-operation
BPDU-filter (a porta para de transmitir BPDUs)
spanning-tree a1 bpdu-filter
BPDU-Protection (desabilita a porta se ela receber um BPDU)
spanning-tree a1 bpdu-protection
PortFast
spanning-tree a1 admin-edge-port

Rota Default
Configurando a rota default
ip route 0.0.0.0 0.0.0.0 [endereço do gateway]

Port Security
Configurando a porta a2 com port-security para aprender apenas 1 endereço MAC
port-security  a2 learn-mode static address-limit 1

DHCP-Snooping
Configurando o port security na porta conectada ao servidor DHCP e Uplink
dhcp-snooping trust a2
dhcp-snooping trust trk1
dhcp-snooping

Se quiser adicionar algum comando a essa lista, escreva nos comentários.

Abração

Comments Nenhum comentário »