Www.mariopinho.com



Introdu??oNotas para o exame SWITCH 300-115 da certifica??o CCNP R&S v2. Estas notas s?o baseadas nas notas do 642-813 de 2013. Todo o conteúdo do exame anterior que n?o faz parte do blueprint actual está no final do documento na sec??o 642-813.Os tópicos para este exame est?o disponíveis em: 17/02/2015?ltimas correc??es no 642-81326/07/2016Actualiza??o para 300-115Table of Contents TOC \o "1-3" \h \z \u Introdu??o PAGEREF _Toc463019414 \h 11.0LAYER 2 TECHNOLOGIES(65%) PAGEREF _Toc463019415 \h 5SWITCH-PORT CONFIGURATION PAGEREF _Toc463019416 \h 51.1 Switch Administration PAGEREF _Toc463019417 \h 6Managing MAC Address Table PAGEREF _Toc463019418 \h 6SDM (Switches Database Manager) Templates PAGEREF _Toc463019419 \h 7Troubleshooting Err-disable recovery PAGEREF _Toc463019420 \h 81.2 Configure and verify L2 protocols PAGEREF _Toc463019421 \h 9CDP PAGEREF _Toc463019422 \h 9LLDP PAGEREF _Toc463019423 \h 11UDLD (Unidirectional Link Detection) PAGEREF _Toc463019424 \h 121.3 Configure and Verify VLANs PAGEREF _Toc463019425 \h 13VLAN Database PAGEREF _Toc463019426 \h 14Voice VLAN PAGEREF _Toc463019427 \h 141.4 TRUNKING PAGEREF _Toc463019428 \h 14VTP vlan trunking protocol PAGEREF _Toc463019429 \h 14Links PAGEREF _Toc463019430 \h 171.5 link aggregation PAGEREF _Toc463019431 \h 17Protocolos de negocia??o PAGEREF _Toc463019432 \h 18Etherchannel Guard PAGEREF _Toc463019433 \h 201.6 SPANNING TREE PROTOCOL PAGEREF _Toc463019434 \h 21ADVANCED SPANNING-TREE PAGEREF _Toc463019435 \h 27Protec??o do spanning-tree PAGEREF _Toc463019436 \h 30Links PAGEREF _Toc463019437 \h 311.7 Configure and verify Other Switch Technologies PAGEREF _Toc463019438 \h 31SPAN, RSPAN PAGEREF _Toc463019439 \h 311.8 Describe chassis virtualization and Aggregation Technologies PAGEREF _Toc463019440 \h 31Stackwise e Stackwise+ PAGEREF _Toc463019441 \h 312.0 INFRASTRUCTURE SECURITY (20%) PAGEREF _Toc463019442 \h 352.1 Configure and Verify Security Features PAGEREF _Toc463019443 \h 35Mitigating Spoofing Attacks PAGEREF _Toc463019444 \h 35DHCP Snooping PAGEREF _Toc463019445 \h 35IP Source Guard PAGEREF _Toc463019446 \h 35Dynamic ARP inspection (DAI) PAGEREF _Toc463019447 \h 36Port Security PAGEREF _Toc463019448 \h 37Private VLANs PAGEREF _Toc463019449 \h 38Storm Control PAGEREF _Toc463019450 \h 412.2 Describe Device Security using Cisco IOS AAA w/ TACACS+ and RADIUS PAGEREF _Toc463019451 \h 42AAA with TACACS+ and RADIUS PAGEREF _Toc463019452 \h 42Local privilege authorization fallback PAGEREF _Toc463019453 \h 423.0 INFRASTRUCTURE SERVICES (15%) PAGEREF _Toc463019454 \h 433.1 Configure and Verify First-Hop Redundancy Protocols PAGEREF _Toc463019455 \h 43HSRP Hot Standby Router Protocol PAGEREF _Toc463019456 \h 43VRRP Virtual Router Redundancy Protocol PAGEREF _Toc463019457 \h 45GLBP Gateway Load Balancing Protocol PAGEREF _Toc463019458 \h 46Links PAGEREF _Toc463019459 \h 49642-813 – Tópicos da vers?o anterior PAGEREF _Toc463019460 \h 50SWITCH OPERATION PAGEREF _Toc463019461 \h 50Securing with VLANs (CHAP. 17) PAGEREF _Toc463019462 \h 50Port Access Lists (PACL) PAGEREF _Toc463019463 \h 50VLAN Access Lists (VACL) PAGEREF _Toc463019464 \h 50Securing VLAN Trunks PAGEREF _Toc463019465 \h 51Port-Based Authentication PAGEREF _Toc463019466 \h 52Best Practices for securing switches PAGEREF _Toc463019467 \h 52MULTILAYER SWITCHING (CHAP. 11) PAGEREF _Toc463019468 \h 53DHCP PAGEREF _Toc463019469 \h 55SVI Autostate PAGEREF _Toc463019470 \h 56IP Telephony (CHap. 14) PAGEREF _Toc463019471 \h 56POE Power Over Ethernet PAGEREF _Toc463019472 \h 56Voice VLANs PAGEREF _Toc463019473 \h 57Voice QoS PAGEREF _Toc463019474 \h 58Wireless LANs (CHAP. 15) PAGEREF _Toc463019475 \h 60Arquitectura WLAN PAGEREF _Toc463019476 \h 61Roaming PAGEREF _Toc463019477 \h 63Enterprise Campus Network Design (Chap. 12) PAGEREF _Toc463019478 \h 65Desenho de rede modular PAGEREF _Toc463019479 \h 66high availability (chap. 13) PAGEREF _Toc463019480 \h 69Redund?ncia supervisor e route processor PAGEREF _Toc463019481 \h 69monitoring to maximize high availability PAGEREF _Toc463019482 \h 71SYSLOG PAGEREF _Toc463019483 \h 71SNMP PAGEREF _Toc463019484 \h 72IP SLA PAGEREF _Toc463019485 \h 73LAYER 2 TECHNOLOGIES(65%)SWITCH-PORT CONFIGURATIONEthernet: 802.3Fast Ethernet 802.3uGbit Ethernet 802.3ab10gbit 802.3aeOs padr?es acima s?o diferentes somente na camada física. A Camada MAC (2) é igual10Gbit PMD (Physical Media dependent) Em tamanho: XENPAK > X2 > SFP+Speed, duplex and autonegotiationSpeed é determinado por sinais eléctricos e é escolhida a velocidade mais alta em comum mesmo que só um lado esteja em auto-negocia??o. O lado em auto consegue determinar a velocidade do outroDuplex determinado por troca de informa??o. As duas portas devem estar em auto, sen?o a porta em auto n?o consegue determinar a duplex da manual e estabelece duplex default com base na velocidade.10/100 Mbps – HalfGbit e 10 Gbit – FullMismatchSpeed – Interface downDuplex – colis?es, alignment errors, switching loopsAuto MDIX (automatic medium-dependent interface crossover) é uma tecnologia que permite detector crossover nos cabos. Por exemplo, a liga??o switch-switch deve ser crossover. Com auto-mdix a liga??o pode ser directa ou crossover.Só funciona com o duplex/speed em auto.(config-if)# speed auto(config-if)# duplex auto(config-if)# mdix auto1.1 Switch AdministrationManaging MAC Address Table switch constroi a tabela MAC a partir do tráfego recebido em determinada interface/VLAN.Um determinado endere?o MAC pode estar associado a uma porta em determinada VLAN e a outra porta numa outra VLAN mas nunca em duas portas na mesma VLAN.Cada VLAN mantem a sua tabela MAC lógica.# show mac address-table dynamic [address mac-address | interface type mod/num | vlan vlan-id]Switch# show mac address-table count# clear mac address-table dynamic [address mac-address | interface type mod/num | vlan vlan-id]As entradas na tabela MAC s?o mantidas por default por 300 s (5 minutos) Isto pode ser alterado com o comando:mac address-table aging-time [ 0 | 10-1000000 ] [ vlan vlan-id ]!!! exemplo. Alterar para 480s na VLAN 15# mac address-table aging-time 480 vlan 15# show mac address-table aging-timePelo comendo é possível ver que a altera??o por ser feita global ou por VLANConfigura??o de entradas MAC estáticasmac address-table static mac-addr vlan vlan-id interface interface-idDesabilitar a aprendizagem de endere?os MACPor default o switch aprende MACs din?micamente. Isto pode ser desabilitado por VLAN para gerir o espa?o da tabela MAC. A VLAN onde tal for configurado faz flood de todos o tráfego SEMPRE.no mac address-table learning vlan [vlan-id|vlan-list]show mac address-table learning [ vlan vlan-id ]Outros Comandos!Para verificar a utiliza??o da TCAMshow platform tcam utilization!Envio de traps de mudan?a de MAC address! 1. Configurar o receptor das traps#snmp-server host host-addr { traps | informs } { version { 1 | 2c | 3 }} community-string mac-notification! 2. Habilitar envio de MAC notification traps#snmp-server enable traps mac-notification change! 3. Habilitar a funcionalidade MAC change notification#mac address-table notification changeSDM (Switches Database Manager) Templates alguns switches, TCAM está partida em várias áreas que suportam fun??es diferentes. A configura??o de SDM templates permite optimizar a partilha de recursos do switch e distribuir o espa?o das tabelas, CAM, FIB e outras.Switches como 4500, 6500 nao permitem esta funcionalidade mas os 2960, 3750 e 3850 permitem.Para ver a configura??o actual:Switch# show sdm preferAs templates possíveis:Default: balan?o entre fun??esAccess: Maximiza a utiliza??o de grande número de ACLsVLAN: Desabilita routing e suporta o máximo possível de endere?os MAC Routing: Maximiza para unicast routingDual IPv4 and IPv6: Para ambientes dual-stack Ipv4 e Ipv6. N?o deve ser utilizada se se pretender utilizar somente Ipv4. Dentro desta é preciso escolher entre default, routing e vlan.Indirect Ipv4 e Ipv6 routing. Semelhante ao anterior mas com um número maior de rotas indirectas (n?o conectadas). Suporta também mais endere?os unicast MAC, mais rotas unicast Ipv4 e Ipv6 em prejuízo de menores entradas PBR, menos ACE’s QoS e de seguran?aPara configurar:# sdm prefer { access | default | dual-ipv4-and-ipv6 { default | routing | vlan } | indirect-ipv4-and-ipv6-routing | routing | vlan }! ---------- exemplos# sdm prefer access# sdm prefer default# sdm prefer routing# sdm prefer vlan# sdm prefer dual-ipv4-and-ipv6 { default | routing | vlan }# sdm prefer indirect-ipv4-and-ipv6-routingResource Access Default Routing VLAN Unicast MAC addresses4 K6 K3 K12 KIGMP groups and multicast routes1 K1 K1 K1 KUnicast routes6 K8 K11 K0Directly connected hosts4 K6 K3 K0Indirect routes2 K2 K8 K0Policy-based routing ACEs0.5 K00.5 K0QoS classification ACEs0.5 K0.5 K0.5 K0.5 KSecurity ACEs2 K1 K1 K1 KVLANs1 K1 K1 K1 KNumber of IPv6 security ACEs 52605860Dual Ipv4 and Ipv6 SDM templatesTroubleshooting Err-disable recoveryEm algumas condi??es de erro o switch desabilita a porta pondo num modo chamado err-disabled. Neste modo a porta fica efectivamente em shutdown.Para habilitar/desabilitar a detec??o de erros global ou por tipoConfig)# [no] errdisable detect cause {all|<cause>}#show errdisable detectA lista de op??es para cause inclui:all Enable the timer to recover from all error-disabled causes.bpduguard Enable the timer to recover from the bridge protocol data unit (BPDU) guard error-disabled state.arp-inspection Enable the timer to recover from the Address Resolution Protocol (ARP) inspection error-disabled state.channel-misconfig Enable the timer to recover from the EtherChannel misconfiguration error-disabled state.dhcp-rate-limit Enable the timer to recover from the DHCP snooping error-disabled state.dtp-flap Enable the timer to recover from the Dynamic Trunking Protocol (DTP) flap error-disabled state.gbic-invalid Enable the timer to recover from an invalid Gigabit Interface Converter (GBIC) module error-disabled state.Note This error refers to an invalid small form-factor pluggable (SFP) error-disabled state.inline-power Enable the timer to recover from the Power over Ethernet (PoE) error-disabled state. This keyword is supported only on switches with PoE ports.l2ptguard Enable the timer to recover from a Layer 2 protocol tunnel error-disabled state.link-flap Enable the timer to recover from the link-flap error-disabled state.loopback Enable the timer to recover from a loopback error-disabled state.pagp-flap Enable the timer to recover from the Port Aggregation Protocol (PAgP)-flap error-disabled state.psecure-violation Enable the timer to recover from a port security violation disable state.security-violation Enable the timer to recover from an IEEE 802.1x-violation disabled state.sfp-config-mismatch Enable error detection on an SFP configuration mismatch.udld Enable the timer to recover from the UniDirectional Link Detection (UDLD) error-disabled state.vmps Enable the timer to recover from the VLAN Membership Policy Server (VMPS) error-disabled state.Uma porta desabilitada por err-disabled pode ser habilitada com os comandos shut/no shut n porta específica. No entanto, é possível a recupera??o automática da porta depois de determinado tempo.Para recupera??o automatic:Config)# errdisable recovery cause {all | <cause>}Config)# errdisable recovery interval <seconds>#show errdisable recoveryO tempo default para recovery é de 300 segundos (5 minutos)1.2 Configure and verify L2 protocolsCDP proprietário da Cisco que permite aos dispositivos anunciar a existência e detalhes ao equipamento vizinho. Por ser proprietário nem sempre é compatível com outros fabricantes.Funciona somente em uma direc??o, anúncios s?o enviados em intervalos regulares mas nada é esperado de volta. O equipamento que recebe pode alterar o seu comportamento de acordo com a informa??o recebida.? um protocolo de camada 2 e os anúncios s?o processados somente pelos dispositivos directamente conectados sem ser encaminhados.Show cdp trafficShow cdp entry ...show cdp neighborsshow cdp neighbors giga1/2show cdp neighbors detailclear cdp countersclear cdp tableCDP está habilitado por default e os anúncios s?o enviados a cada 60 segundos. Para habilitar desabilitar:# [no] cdp run !global# interface ... ! por interface [No] cdp enableLLDP Layer Discovery Protocol tem fun??es semelhantes ao CDP mas é standard IEEE 802.1ab. ? também extensível e utiliza uma estrutura de TLV’s (Type Length Value).LLDP Media Endpoint Device (LLDP-MED) é uma extensao ao LLDP com TLV’s adicionais que transportam informa??o de dispositivos audio-visuais como Ipphones. LLDP suporta LLDP-MED por default mas n?o pode mandar TLV’s MED e básicos ao mesmo tempo. O dispositivos Cisco primeiro envia os TLV básico e se receber TLV’s MED entao come?a a enviar também TLV’s MED.Show lldp neighborsShow lldp neighbors detailShow lldp neighbors interface LLDP envia pacotes a cada 30 segundos e tem um holdtime de 120 segundosLLDP por ser habilitado para transmiss?o/recep??o separadamento.lldp run ! globalinterface ... lldp transmit lldp receiveUDLD (Unidirectional Link Detection)Previne loop em caso de falhas unidireccionais de transmiss?o. ? proprietário CISCOEnvia frames L2 especiais e espera um echo contendo identifica??o dos 2 switches (o que envia e o que responde).Links de ambos os lados deve ser configurado o UDLD para que funcione correctamente.Envia frames a cada 15 segundos (default) e detecta link unidireccional em 45s (3 x 15). Tempo deve ser inferior ao tempo de convergência STP (50s).Normal Mode: detecta links unidireccionais pelas conex?es erradas de fibra óptica entre dispositivos. Os mecanismos de camada 1 podem n?o detectar este tipo de erro. Quando o link unidireccional é detectado, a porta continua em opera??o. UDLD marca a porta como estado indeterminado e gera/envia mensagem syslog. Neste modo o switch detecta a falha pela identifica??o dos switches nos pacotes UDLD.Aggressive Mode: detecta links unidireccionais quando n?o recebe mensagens UDLD de volta (unidireccional). quando detectado link unidireccional, frames s?o enviadas a cada segundo por 8s. Se nenhum eco for recebido de volta o porta entra em err-disabled.Por default UDLD está desabilitado. Tanto globalmente como por portas.!Configura??o no modo global (habilita nas portas de fibra)(config)# udld {enable|aggressive|message time <seconds>}!Configura??o na interface (fibra ou UTP)(config-if)# udld port [aggressive]Enable: habilita o modo normalA habilita??o global actua somente em links de fibra.Troubleshooting# show udld <interface>Como reabilitar interfaces desabilitadas por UDLD?:Shut/no shut na interfaceHabilitar/desabilitar UDLD globalHabilitar/Desabilitar UDLD na interfaceCommando udld reset no modo global (aplica-se a todas interfaces desabilitadas)Err-disable recovery. Se habilitado, re-abilita depois de corrido o timer#udld reset (todas as interfaces) 1.3 Configure and Verify VLANsAccess PortsVLAN dBNormal, Extended VLAN, Voice VLANNormal VLANs: 1-1005. Podem ser configuradas no modo VTP transparent/server e propagadas por VTPv1 e v2. Quando em VTP server/client ficam “gravadas” no ficheiro vlan.dat (VLAN database)Default VLAN: VLANs automaticamente presentes em todos os switches. N?o podem ser eliminadas. VLANs 1, 1002-1005.Extended VLANs: 1006-4094. N?o podem ser configuradas quando o switch está em VTP server/client v1 ou v2. Para um switch em VTPv3, extended VLAN podem ser configuradas e propagadas.VLAN DatabaseN?o suporta VLANs no “extended range”.Voice VLANVoice VLAN’s n?o têm características especiais ou diferentes das outras VLAN’s. A diferen?a está só na forma de configura??o e a atribui??o do tráfego à VLAN. Ao atribuir uma voice vlan a uma porta, o tráfego de voz vindo de um telefone Cisco - reconhecido por CDP – encaminhado e tratado na VLAN configurada. Interface xxx switchport voice vlan $VLAN_NUMshow interface switchportA comunica??o entre o switch e o telefone determinam que o tráfego de voz vindo do telefone deve vir com tag 802.1q na voice vlan.Embora o tráfego venha com tag 802.1q uma porta configurada com access e voice vlan n?o é considerada de trunk. ? chamada multi-access VLAN port.1.4 TRUNKINGDTP Dynamic trunking protocol: Protocolo de negocia??o de modos switchport (acess ou trunk) e encapsulamento trunk.Switchport modes:Auto: recebe DTP. Só é trunk se ligar a um trunk/desirableDesirable: envia DTP mas pode ser acesso caso se ligue a uma porta acessoTrunk: Fica em trunk. Envia DTP para for?ar trunk com uma porta auto ou desirableNon-negotiate: N?o negoceia trunk usando DTP. Se a porta for colocada em trunk e em nonegotiate, portas auto e desirable a ela ligadas n?o ficam trunk.Access: Porta de uma só VLAN. VTP vlan trunking protocolProtocolo de replica??o de VLANs. Os switches só partilham informa?ao quando est?o no mesom domínio VTP (VTP domain). VTP só funciona em portas trunk (802.1q ou ISL) ModosServer: Controlo total. Criam, modificam e recebem configura??o VLAN por VTP. DefaultClient: n?o permitem criar ou modificar VLANs. Só recebem e encaminham VTP. Também actualizam serversTransparent: n?o participam no VTP. Na V1 só encaminha (relay) advertisements VTP se o domínio e vers?o for igual. Na V2 encaminha verificando somente domínio. N?o verifica a vers?o. A informa??o de VLANs, além de ser gravadas no ficheiro vlan.dat, s?o também gravadas na running/startup config. Vlan.dat é actualizado sempre que se faz altera??o de VLANs.Off: Tal como o transparent mas o switch nem sequer encaminha. Possível somente em VTPv3VTP Server é o modo default nos switchesRevision number? um número utilizado para acompanhar a informa??o mais recente e actualizada. O processo come?a sempre com o valor em 0 (zero). Incrementa a cada modifica??o de VLAN e novo anúncio VTP. O switch guarda um numero local. Algum advertisement com revision number maior substitui completamente a configura??o anterior.O revis. number é armazenado na NVRAM. N?o zera com “power cycle”Para zerar/reset o revision number pode-se:Mudar para transparent e de volta para server/client ouMudar o nome do domínio e mudar de volta para o domínio anterior ouApagar o ficheiro VLAN.dat (só funciona se reiniciar o switch sem este receber qualquer actualiza??o pois os dados VTP ficam residentes na memória)Simplesmente reiniciar o switch n?o funciona porque o ficheiro VLAN.dat é armazenado na flash e n?o se apaga quando reinicia.Todo o novo switch vem sem domínio e sem password. Quando “ouve” um advertisement ele automaticamente aprende o novo domínio, VLANs e revision number.Vers?esVers?es 1 e 2 s?o incompatíveis. V1 é a default nos switches.V2 pode ser configurada somente no server. A nova vers?o é propagada por este para o domínio (desde que os switches a suportem)VTP v1Vers?o default nos switches. Switches em transparent N?o encaminha VTP se n?o houver match no domínio e vers?o. Suporta somente as VLANs “normal” (1-1005)VTP v2Switches em transparent encaminham VTP independentemente mas n?o verifica vers?o. Verifica somente o domínio.Suporta somente as VLANs “normal” (1-1005)VTP v3Suporta as VLANs “extended” (1006-4094) além das normal. No entanto as VLANs extended n?o s?o suportadas para “pruning”.Permite informa??o de outros protocolos/bases de dados (como MST e private VLANs)N?o é possível converter da vers?o V3 para V2 se extended VLANs estiverem em uso.PruningElimina automaticamente o tráfego de determinadas VLANs nos trunks quando n?o est?o activas portas nos switches. ? feito por advertisements próprios. Quando habilitado no server, é propagado automaticamente pelo domínio? uma extensao do VTPv1 com um novo tipo de mensagem. VTP Pruning está desabilitado por default nos switches(config)# vtp pruning ! habilita VTP pruning. Basta fazer no serverUma VLAN denomina-se prune eligible quando é possível ser “retirada” de um trunk por VTP pruning. Default, todas as VLANs de uso geral s?o prune eligible à excep??o de:VLAN1Default VLAN’s 1002-1005VLANs extendidas (em VTPv3)Para gerir a adi??o/remo??o de vlans à lista de prune elibigle:(config-if)# switchport trunk pruning vlan add|except|remove|vlan-list | noneEste commando n?o tem efeito no modo transparent. Nestes switches o pruning deve ser manual (switchport trunk allowed vlan...)VTP pruning elimina o tráfego de VLANs nos trunks mas n?o elimina as VLANs da base de dados do switch e consequentemente n?o elimina inst?ncias STP.VTP AdvertisementsOs anúncios VTP, s?o anunciados como multicast e contêm:VLANs conhecidasInforma??o sobre as VLANsVTP revision numberMD5 has do passwordSummary: a cada 300s e sempre que ocorre uma mudan?a. Info geral do domínio e os subset que se seguem. Quando há mudan?as, os summary advertisements s?o seguidos de um ou mais subsets com informa??o específica das VLANs.Figura SEQ Figura_ \* ARABIC 1 VTP Summary AdvertisementSubset: enviado a cada mudan?a. Inclui detalhes, adi??o, remo??o, altera??es específicas da VLAN: nome MTU tipo tamanho do nome, nome, ...Request: pedidos dos clientes. Depois de um pedido, o server responde com summary e subsets.Pruning andosConfig t Vtp mode {client|transparent|server} Vtp version {1|2|3} Vtp domain (domain name) Vtp password (password) [hidden|secret] Hidden: grava hash na running-config Secret: grava a password clear-text na running-config interface … no vtp !!! VTPv3 mode Off numa interface específica. Todas as instancias !!! MST, vlan, …Show vtp statusShow vtp passwordShow vtp pruningLinks link aggregationChamado ether-channel.Permite agregar em uma única porta lógica (Ethernet), 2 a 8 portas Ethernet (10/100/1G/10G). Permite:Balanceamento de cargaAuto fail-overInterface única a nível 3Protocolos de negocia??oPAGP – Port Agggregation Protocol (Cisco proprietary)LACP – Link Aggregation Control ProtocolTodas as portas agregadas devem:pertencer à mesma VLANMesma configura??o de trunk (vlans permitidas, nativa, encapsul) ou acessoAs mesmas configura??es de speed e duplexAs configura??es de spanning-tree também devem ser semelhantesBalanceamento de carga pode ser por:Endere?o IP: origem, destino ou ambosEndere?o MAC: origem, destino ou ambosPorta TCP/UDP: origem, destino ou ambosO balanceamento é através de um algoritmo de hashing que usa os bits LSB para encaminhar as frames. Para um bundle de 2 links usa 1 bit, 4 links usa 2 bits…Se 2 endere?os ou portas s?o usados para o balanceamento o switch faz um XOR do bit ou bits menos significativos.Protocolos de negocia??oPara que se forme um etherchannel a configura??o pode ser manual ou automática usando um dos protocolos de negocia??o entre switches: PAgP e LACP.N?o há grandes diferen?as/vantagens na escolha de um ou outro protocolo.Modo de Negocia??oPacotes enviados?CaracterísticasPAgPLACPOnOnN?oTodas portas em channelAutoPassiveSimEspera até pedidoDesirableActiveSimPede activamente para formar um etherchannelPaGPProtocolo proprietário da CISCO.Pacotes s?o trocados e capacidades das portas e switches s?o aprendidas e comparadas com os dados locais do PAgP altera??o de uma porta do bundle altera automaticamente todas as portas do resto do bundle.Silent/non-silent??????Configura??o(config)# Port-channel load-balance <method><method>Src-ipdst-ipsrc-dst-ipSrc-macdst-macsrc-dst-macSrc-portdst-portsrc-dst-portO método default de load-balance é o src-mac (3560-X, 3750-X)(config)# interface <intface>(config-if)# channel-protocol pagp(config-if)# channel-group <number> mode {on| {{auto | desirable}[non-silent]}}Recomenda-se criar o bundle com números potência de 2 para fazer distribui??o 1:1:xxx porque o hashing é de 1, 2, 3... bits.4 links usa 2 bits com 4 valores possíveis. 3 links usa 2 bits com 4 valores possíveis, portanto um dos links vai bater 2 vezes no hashing.LACPProtocolo baseado em standard 802.3ad.LACP atribui roles às portas do etherchannel.LACP define system-priority (2B prio + 6B MAC) do switch para tomar decis?es sobre portas participantes no etherchannel.Várias portas podem ser configuradas (acima de 8) para o etherchannel. Elas se tornam activas de acordo com port-priority (2B prio + 2B port number). Apenas 8 podem estar activas a cada momento, as restantes ficam em standby e se tornam activas caso um dos links caia.Priority default para system e port é de 32768Configura??oRecomenda-se configura??o da interface port-channel primeiro e depois associar as portas fíandos aplicados na interface port-channel s?o aplicados aos membros.(config)# Port-channel load-balance <method><method>Src-ipdst-ipsrc-dst-ipSrc-macdst-macsrc-dst-macSrc-portdst-portsrc-dst-port(config)# lacp system-priority <priority>(config)# interface <intface>(config-if)# channel-protocol lacp(config-if)# channel-group <number> mode {on| passive | active}(config-if)# lacp port-priority <priority>Para configura??o de etherchannel L3 deve-se configurar no switchport na interface portchannel e nas interfaces físicas. Assegurar também que as interfaces físicas n?o têm IP configurado.Verifica??oVer resumo do grupo, L2, L3 e portas incluídas# show etherchannel summaryInforma??o sobre as portas que fazem parte de um etherchannel# show etherchannel portPara analise de load-balance:# show etherchannel load-balanceExtras# show etherchannel detail# show etherchannel port-channel# show etherchannel [pagp | lacp] neighborEtherchannel GuardDetecta erros de configura??o de etherchannel entre o switch e o dispositivo conectado.Se detectada faha de configura??o é gerada a mensagem:%PM-SP-4-ERR_DISABLE: channel-misconfig error detected on Po3, putting E1/3 inerr-disable stateEsta funcionalidade p?e em err-disabled tanto as portas membro como o próprio Port-channel.Está habilitado por default. Para habilitar/desabilitar:# spanning-tree etherchannel guard misconfig ! GLOBAL modePara verificar:Switch1# show spanning-tree summarySwitch is in pvst modeRoot bridge for: VLAN0001Extended system ID is enabledPortfast Default is disabledPortFast BPDU Guard Default is disabledPortfast BPDU Filter Default is disabledLoopguard Default is disabledEtherChannel misconfig guard is enabled<...output omitted...>1.6 SPANNING TREE PROTOCOLSem o spanning tree liga??es redundantes resultam rapidamente em loop de nível 2. Frames broadcast, multicast e unicast flood criam o que se chama um broadcast storm.Spanning tree converge e p?e a rede estável pela troca de Bridge Protocol Data Units BPDU’s.Configuration BPDUTopology Change Notification BPDU (TCN BPDU): anuncia altera??es na topologia da redeConfiguration BPDU contém:Protocol IDVers?o (sempre 0)Message Type (conf ou TCN)FlagsRoot bridge IDRoot path costSender bridge IDPort IDMessage AgeMaximum ageHello timeForward delayBridge ID é compost de dois valores:Bridge priority (2 bytes)Configurado no switch. O valor mais baixo do bridge priority é eleito como root bridge. Incrementos no valor de 4096. Default 32768MAC Address (6 bytes)Valor único e imutável do backplane ou supervisor do switch. Usado para desempate caso dois switches tenham o mesmo bridge priorityBridge priority tradicional 802.1D é um valor de 16bitsBridge priority default nos switches é baseado no 802.1t extended system ID:Multiplicador priority de 4 bits (incrementos de 4096)12 bits VLAN IDDaí, as prioridade STP apresentadas nos switches por VLAN é o valor da prioridade somado à VLAN.Port ID é de 16 bits. 8 port priority + 8 port number.Elei??o do root bridgeInicialmente todo o switch envia um BPDU com o seu bridge ID como root bridge ID.Os BPDUs recebidos s?o encaminhados aos outros switches alterando o campo Sender Bridge ID com o seu próprio Bridge ID. Se o Root bridge ID recebido for menor que o seu, ele altera o seu valor de root bridge ID e encaminha o novo valor para os restantes switches.A topologia converge finalmente e todos os switches “concordam” no root bridge.A elei??o é um processo contínuo. Caso surja um switch com bridge ID menor que o root bridge, ele se torna o root bridgeElei??o do root portRoot port é a porta de um switch com menor custo para o root bridge. O root bridge n?o têm root ports.A escolha do root port depende do root path cost (soma do custo dos links até ao root bridge).Um link/porta tem um custo associado chamado path cost.A escala de custos antiga era 1000Mbps dividido pela velocidade do link.A nova escala é n?o linear:10 Mbps250100 Mbps19155 Mbps14622 Mbps61 Gbps410 Gbps2Somente o root path cost é enviado nos BPDUs.O Path cost é local aos switches.O root path cost é calculado incrementando o valor nos BPDUs quando estes s?o RECEBIDOS. O valor do root path cost no BPDU enviado pelo switch será:root path cost = received BPDU root path cost + received port path costEste valor é gravado na memória do switch. A porta que tiver o menor root path cost será eleita root port.Elei??o do designated portDesignated port é a porta cujo switch tem o menor root path cost em determinado segmento (2 switches num link full duplex, ou mais switches quando ligados por hub). Os switches determinam tal porta pelo anuncio dos BPDUs para o segmento.Todas as portas de um root bridge s?o designated.Em caso de empate:Menor root bridge IDMenor root path cost to root bridgeMenor sender bridge IDMenor sender port IDAs portas que n?o s?o root ou designated ficam em blockedEstados STPDisabledBlockedListeningForwardingLearning15s15sDisabled – Administrative downBlocking – Estado inicial depois de se activar uma porta. N?o transmite nem recebe frames e n?o aprende endere?os MAC. Somente recebe BPDUsListening – N?o transmite nem recebe dados. Transmite e recebe BPDUs. Aqui fica decidido se ele se torna root ou designated port. Se perder um destes estados volta para blocking.Learning – Depois de um período forwarding delay a porta além de enviar e receber BPDUs come?a a aprender endere?os MAC. N?o recebe ou transmite dados.Forwarding – Depois de mais um período forwarding delay a porta come?a a transmitir e receber dados. Ela continua a enviar e receber BPDUs.Tempos/Timers STPOs valores dos timers STP s?o propagados nas BPDUs e precisam de ser configurados somente no root switch.Hello Time: Intervalo entre o envio de configuration BPDUs. Numa topologia estável é enviado somente pelo root bridge. O hello time configurado no root bridge determina o tello time para todos os switches n?o root porque eles somente encaminham os BPDUs do root. Todos os switches têm configura??o local hello time usado para TCN BPDUs. Default 2 segundosConfig)# spanning-tree [vlan <vlan-id>] hello-time <seconds>Forward delay: Intervalo tempo nos estados listening e learning. Default 15 segundosConfig)# spanning-tree [vlan <vlan-id>] forward-time <seconds>Max age: Tempo que o switch guarda BPDU antes de o descartar. Se o “melhor” BPDU n?o for recebido durante este intervalo, o switch assume uma mudan?a de topologia. Default 20 s.Config)# spanning-tree [vlan <vlan-id>] max-age <seconds>TCN BPDUAnuncia mudan?a numa topologia activa. Inclui:Protocolo ID (sempre 0)Vers?o (sempre 0)Message type (configuration ou TCN BPDU)Uma mudan?a de topologia resulta no envio de um TCN BPDU quando uma porta passa para o estado Forwarding ou sai do estado Forwarding ou Learning para Blocking, ou seja, quando uma porta passa de up para down ou vice-versa.O BPDU TCN n?o contém qualquer informa??o sobre a mudan?a, informa apenas que uma mudan?a ocorreu.O TCN é enviado pelo root port com o objectivo de chegar ao root bridge.TCN s?o enviados a cada Hello time até receber um acknowledgement do vizinho upstream. Os vizinhos que o recebem propagam até ao root e enviam os seus próprios acknowledgements.Quando o root recebe o TCN, envia um Configuration BPDU com a flag TCN em 1.Todos os bridges que recebem este BPDU encurtam o aging time das suas tabelas MAC para o valor do forward delay (do default 300s para 15s)As falhas no link que n?o “baixam” as portas (chuva interrompendo bridges Ethernet-microondas-ethernet por exemplo) n?o resultam no envio de BPDU TCN. A falha é detectada de acordo com os timers configurados e reconverge depois do MaxAge + 2 x forward delayPortas ligadas à “endpoints” (PCs, impressoras) que s?o ligados/desligados com frequência devem ter as suas portas configuradas em portfast.CST Common Spanning Tree: Inst?ncia única de spanning tree para todas as VLANs. Definida no 802.1Q. BPDUs CST s?o transmitidas pelos trunks na VLAN native.PVST Per-VLAN Spanning Tree: proprietário CISCO. Uma inst?ncia por VLAN. Requer ISLPVST+: Proprietário CISCO. Actualiza??o do PVST permite interoperabilidade com PVST e CST. Opera sobre ISL e 802.1Q.PVST+ troca BPDUs com a CST como frames untagged sobre a VLAN nativa. BPDUs de outras inst?ncias de STP s?o propagadas por tunelamento.PVST+ usa um endere?o MAC multicast. Switches sem PVST+ simplesmente encaminham estas frames.Configura??o de spanning-treePara habilitar spanning-tree em determinada VLAN, tanto no switch como nas interfaces:(config)# spanning-tree vlan <vlan>(config-if)# spanning-tree vlan <vlan>? impossível desabilitar STP por interface. Somente por VLAN.Configura??o do root bridgeO root bridge deve ser posto o mais ao centro possível da rede. Deve ser um switch de alta capacidade/rápido.O root bridge secundário deve ser sempre estudado e considerado para o caso de falha do primeiro.Para configurar o root basta configurar manualmente o valor de prioridade para que seja o menor.(config)# spanning-tree vlan <vlan-list> priority <bridge priority>Para que o switch escolha automaticamente existe o comando macro:(config)# spanning-tree vlan <lista> root {primary|secondary} [diameter <di?metro> [hello-time <hello-time]]>O switch escolhe a prioridade de acordo com os valores presentes na rede.Aten??o que os comandos só podem ser configurados por a keyword primary o switch p?e a sua prioridade em 24576 se a prioridade do root for maior de 24756. Se for menor que 24576 o switch p?e o valor 4096 abaixo da prioridade do root actual.O valor 0 n?o pode ser configurado a keyword secondary a prioridade fica num valor artificial 28672 pois n?o há maneira de sabes os valores de prioridade de bridges na rede além do root. O comando assume que a prioridade default 32768 é usada nos restantes switches.Este comando é um macro e n?o é visível na configura??o. Apenas o resultado (configura??o de prioridade, etc)Se o diameter é especificado no comando o switch calcula os temporizadores (forward e Max age) de acordo com fórmulas definidas no 802.1D.Configura??o de custo da porta (manipula??o de root path cost) (config-if)# spanning-tree [vlan <vlan>] cost <custo>A op??o “vlan” permite alterar o custo somente para uma vlan específica na porta.Configura??o de port IDPort ID é um valor de 16 bits (8 bits de prioridade (0-255) e 8 bits do numero da porta(0-255)). Valores menores s?o preferidos. O port-number é fixo. O port-priority é alterável. Default é 128.Para ver os valores de port priority e port ID:# show spanning-tree interface <interface>Alterar o port ID (alterando o port priority)(config-if)# spanning-tree [vlan <vlan-list>] port-priority <port-priority>PortFastPermite conectividade rápida das workstations nos switches da camada de acesso.Reduz os tempos de Listening e Learning para um tempo desprezável. Quando a porta passa para UP o switch move-se imediatamente para o estado Forwarding. O spanning-tree n?o é desabilitado.A porta move-se para Blocking se um loop for detectado.As portas em portfast n?o enviam TCN BPDUs nas mudan?as de estado.Para habilitar na interface(Config-if)# [no] spanning-tree portfastPara habilitar globalmente em todas interfaces acesso:(config)# spanning-tree portfast defaultO macro switchport host:Habilita spanning-tree portfastTorna a porta acessoDesabilita PAgPUplinkFastComuta??o rápida do uplink nos switches de acesso quando há mais de um uplink para a camada de distribui??o e para o root bridge.N?o é permitido no root bridge.Mantém root ports redundantes que passam imediatamente para forwarding em caso de falha do root port actual, reduzindo o tempo de convergência.? habilitado para todo o switch e VLANs.Incrementa a prioridade para 49152 (reduzindo a possibilidade de se tornar root bridge). O custo de todas as portas é incrementado em 3000.Depois da mudan?a envia frames multicast para 0100.0ccd.cdcd (diferences origens) no novo link para actualizar as tabelas bridge dos switches uplink.(config)# spanning-tree uplinkfast [Max-update-rate <packets per second>]Show spanning-tree uplinkfastA op??o max-update-rate limita as frames multicast enviadas depois da mudan?a do link. Default 150.BackboneFastConvergência rápida na rede backbone e core depois de mudan?as na topologia spanning-tree.Determina caminhos alternativos para o root bridge e detecta falhas indirectas de link quando recebe BPDUs inferiores (caso de um designated bridge que perde a sua liga??o ao root, anunciando ele próprio como root.)Caminhos alternativos s?o determinados por RLQ Root Link Queries. Bridge que é o root ou perdeu sua liga??o com o root envia um RLQ reply. Por este movito deve ser habilitado em todos os switches da rede. Se n?o for habilitado, mensagens RLQ n?o s?o percebidas.Se esse reply for recebido numa porta “n?o root”, um caminho alternativo deve ser escolhido. O timer Max-age é expirado imediatamente.Portas devem mesmo assim seguir os estados Listening e Learning.A configura??o é global no switch e para todas as VLANs(config)# spanning-tree backbonefastPortfast, uplinkfast, backbonefast s?o funcionalidades CISCO para melhoria do STP 802.1DADVANCED SPANNING-TREERapid Spanning-TreeRSTP: Rapid Spanning Tree Protocol 802.1w melhora a convergência do STP tradicional 802.1D e a sua funcionalidade básica pode ser aplicada a uma ou várias inst?ncias. ? o mecanismo por baixo do RPVST+ (Cisco) e MST 802.1s.Port RolesRootDesignatedAlternate: melhor caminho alternativo para root bridgeBackup: segmento alternativo para determinada bridge que já está conectada ao switchPort StateDiscarding: Frames dropped. MACs n?o aprendidosLearning: Frames dropped. MACs aprendidosForwardingRSTP usa BPDUs compatíveis com 802.1D alterando alguns bits n?o usados no anterior. A vers?o é alterada para 2.BPDU s?o enviadas por todos os switches a cada Hello Time (2s) independentement do root. S?o enviadas somente pelos designated ports.Bridge é considerada down depois de 3xhello time (6segundos default)Num switch em modo RSTP cada porta opera no modo de acordo com a BPDU que recebe na porta.Link/Port TypesEdge: n?o forma loops. Identificado pela configura??o de portfastLink types s?o baseados automaticamente no estado duplex (pode ser configurado manualmente)Point-to-point: conecta a outro switch e torna-se designated por negocia??o e n?o por expira??o de timers. Portas full-duplex s?o p2p por padr?o.Shared: Portas half-duplex por padr?o usam STP 802.1D.SincronismoSwitch recebe uma mensagem de “proposal” nas portas non-edge.P?e todas as portas non-edge em discarding e com base na análise de BPDUs envia um “agreement” para se estabelecer o root/designated port.Depois do agreement inicia o mesmo processo com todos outros switches vizinhos enviado ology Changes? detectada somente quando uma porta passa para forwarding.Mensagens TC (Topology Change) s?o propagadas pela rede. As tabelas CAM s?o limpas para reaprender os endere?os MAC.Configura??oO modo STP default é o 802.1D (modo ieee no show spanning-tree).Configurar porta edgeConfig-if)# spanning-tree portfastConfigurar modo p2p (default em portas full-duplex)Config-if)# spanning-tree link-type point-to-pointConfigurar PVST+ e RPVST+ (suporta 802.1D e RSTP, default PVST+)Config)# spanning-tree mode {rapid-pvst | pvst}MST Multiple Spanning Tree 802.1sPermite mapear grupos de VLANs para diferentes inst?ncias de spanning-tree.Usa o conceito de regions, grupos de switches com par?metros compatíveis MST.Capaz de interoperar com todas as formas de STP.Estes par?metros s?o:Nome de configura??o MSTConfiguration Revision NumberMapeamento instance-to-vlanSe os par?metros n?o condisserem, os switches consideram-se em regi?es diferentes e o switch é um switch MST region boundary.CST (Common Spanning Tree) topologia única de toda a rede mantendo-a sem loops. Uma regi?o MST é vista como “caixa negra”, um único switch/bridge.Inst?ncias IST (Internal Spanning Tree) trabalham para manter uma topologia livre de loops onde a CST se encontra com a fronteira da regi?o e todos os switches no interior da regi?o MST.BPDUs entre as fronteiras (boundaries) é trocado na VLAN nativa somente.Inst?ncias MST as diferentes inst?ncias no interior da regi?o MST. CISCO suporta 16, sendo a 0 a IST.Default, todas as VLANs pertencem à inst?ncia rma??o sobre todas as inst?ncias é enviada em um BPDU somente, BPDU da inst?ncia 0. Mesmo que todas as 16 inst?ncias estejam activas.Interac??o com PVST+MST escuta os BPDUs recebidos e assume PVST+ em uso se receber BPDUs em mais de uma VLAN.Quando uma regi?o MST envia BPDUs para um switch PVST+, os BPDUs IST s?o replicados por todas as VLANs no trunk PVST+.Configura??o de MSTUm switch n?o pode correr PVST+ e MST ao mesmo tempo.A configura??o de MST activa opera??o RSTP (config)# spanning-tree mode mstModo de configura??o MST(config)# Spanning-tree mst configuration(config-mst)# name <nome>(config-mst)# revision <revision>(config-mst)# instance <instance-id> vlan <vlan list>Mostrar configura??es pendentes(config-mst)# show pending(config-mst)# exit(config)# spanning-tree mst <instance> root {primary|secondary} [diameter <diameter>](config)# spanning-tree mst <instance> priority <bridge priority>(config-if)# spanning-tree mst <instance> cost <cost>(config-if)# spanning-tree mst <instance> port-priority <port-priority>Par?metros timer s?o aplicados à todo MST e n?o a inst?ncias (como acima) porque s?o definidos pela IST e BPDUs(config)# spanning-tree mst hello-time <segundos>(config)# spanning-tree mst forward-time <segundos>(config)# spanning-tree mst max-age <segundos>Protec??o do spanning-treeRoot GuardImpede uma porta de se tornar root port e receber BPDUs.Se uma porta com root guard habilitado recebe BPDU superior ela entra no estado root-inconsistent.Bloqueia a porta por completo independentemente da VLAN que recebe a BPDU e desbloqueia t?o logo deixe de receber BPDU superiores.(config-if)# spanning-tree guard rootBPDU GuardSe qualquer BPDU (superior ou inferior) é recebida por uma porta com BPDU Guard habilitado, a porta passa para shutdown err-disabled e deve ser habilitada manualmente ou pelo err-disable time-out.Por padr?o, vem desabilitado em todas as portasPara habilitar por padr?o em todas as portas com portfast:(config)# [no] spanning-tree portfast bpduguard defaultPara habilitar/desabilitar por porta:(config-if)# [no] spanning-tree bpduguard enableLoop GuardImpede portas no estado blocked que est?o a receber um fluxo contínuo de BPDUs, de passarem para o estado forward como designated se pararem de receber BPDUs evitando um loop e passando para o estado loop inconsistent.Quando voltarem a receber BPDUs saem automaticamente deste estado e seguem o ciclo STP normal até ao forwardingA configura??o é feita na porta mas o bloqueio é feito por VLAN e n?o na porta por completo(config)# spanning-tree loopguard default(config-if)# [no] spanning-tree guard loopPode ser habilitado em TODAS as portas, n?o somente portas bloqueadas.BPDU FilterDesabilita STP em determinada porta.(config)# spanning-tree portfast bpdufilter default(config-if)# spanning-tree bpdufilter {enable|disable}A porta n?o envia nem recebe BPDUs.Links 1.7 Configure and verify Other Switch TechnologiesSPAN, RSPANSPAN = Switch Port AnalyzerPermite copier frames de interfaces/VLAN para uma interface de destino para ser analisados por um sniffer.Frames s?o copiadas para a egress queue da interface de destino como se de frames normais de tratassem. Se o tráfego de source for maior que destination algumas frames podem sofrer drops.Switching de tráfego nas interfaces source n?o é afectado.? possível suportar mais de uma sess?o de SPAN. O número máximo depende do modelo. 3750-X suporta até 2 sess?es. 6500 até 64.Local SPAN: Source e Destination da sess?o SPAN no mesmo switchRemote SPAN (RSPAN): Source e destination em switches diferentes. Tráfego copiado através de uma VLAN “especial”.Local SPAN? possível especificar como source:Uma ou mais interfaces físicas. Tráfego de todas as VLANs nesta interface é copiadoVLAN. Todas as portas nesta VLAN tornam-se sources.Port-channel interfaces (ou membros individuais)SVI n?o s?o suportadas.N?o é possível ter como sources interfaces físicas e VLANs na mesma sess?o.N?o é possível configurar SPAN e RSPAN em uma mesma sess?o.Cada sess?o SPAN pode ter mais de um destination port definido.Um etherchannel n?o pode ser destination. Mas um membro de etherchannel pode.Diferentes sess?es SPAN n?o podem partilhar o mesmo destination., no entanto, a source pode ser partilhada por sess?es SPAN diferentes.Switch(config)# monitor session (session-number) source {interface type member/mod/num | vlan (vlan-id)}[rx | tx | both]! aplicar mais de uma vez para cada source diferenteSwitch(config)# monitor session (session-number) destination interface type member/mod/num [encapsulation replicate]Tráfego enviado pelo switch (control plane) normalmente n?o é replicado. Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP), Spanning Tree Protocol (STP), and Port Aggregation Protocol (PAgP).A op??o encapsulation replicate faz com que o switch copie VLAN tags. Caso contrário s?o replicados untagged. Este comando também faz com que os protocolos acima sejam replicados.STP é desabilitado na interface SPAN destination.A interface destination por default só envia o tráfego replicado. Para que receba tráfego enviado pela esta??o de monitora??o adicionar à sess?o:Monitor session ... … … ingress {dot1q vlan vlan-id | isl | untagged vlan (vlan-id)}Se a interface source é um trunk ou voice vlan pode-se filtrar o tráfego de certas VLANs com o comando abaixo. Somente nesses casos n?o é possível filtrar quando source é uma VLAN.Switch(config)# monitor session (session-number) filter vlan (vlan-range)Remote SPANPermite enviar tráfego de SPAN de um source em um switch para um destination em um switch remoto través de uma VLAN especial chamada RSPAN VLAN.A VLAN RSPAN é especial porque MAC learning está desabilitado. Para evitar que os switches no caminho encaminhem para destinos reais. O tráfego na VLAN RSPAN é encaminhado para todas as portas da RSPAN VLAN. Por este motivo todos os switches no caminho devem ser RSPAN aware.A defini??o da RSPAN VLAN pode ser manual ou por VTP (feita no VTP server).N?o é possível configurar SPAN e RSPAN em uma mesma sess?o.A defini??o manual de RSPAN VLAN deve ser feita n?o só nos switches source e destination mas também nos switches intermediários. Os trunks devem permitir a RSPAN VLAN.!! Defini??o da VLAN RSPANSwitch(config)#??vlan??vlan-idSwitch(config-vlan)#??remote-span!! Definir a sess?o de RSPAN. No SWITCH SOURCESwitch(config)# monitor session (session-number) source {interface type member/mod/num | vlan vlan-id}[rx | tx | both]Switch(config)# monitor session (session-number) destination remote vlan (rspan-vlan-id)!! Definir a sess?o de RSPAN. No SWITCH DESTINATIONSwitch(config)# monitor session session-number source remote vlan (rspan-vlan-id)Switch(config)# monitor session session-number destination interfacetype member/mod/num [encapsulation replicate]STP está completamente functional na VLAN RSPAN para evitar quaisquer loopVerifica??oAs configura??es de SPAN e RSPAN s?o gravadas na configura??o.show running-config | include monitorShow monitorSwitch# show monitorSession 1----------Type : Local SessionSource Ports : Both : Gi1/0/1Destination Ports : Gi1/0/48 Encapsulation : Native Ingress : DisabledSession 2----------Type : Remote Source SessionSource Ports : Both : Gi1/0/1Dest RSPAN VLAN : 99Switch# 1.8 Describe chassis virtualization and Aggregation TechnologiesStackwise e Stackwise+Suportados nos switches:3750 (stackwise)3750-E (stackwise +)3750-X (stackwise +)Stack pode ser:Homogenenous – Somente com switches do mesmo modeloMixedMixed hardware. Vários modelos de switches no mesmo stackMixed software. Stack formado pelo mesmo modelo de switches mas com diferentes feature sets. LAN Base n?o suporta mixed software.(Vers?o tem que ser a mesma). Mixed software and hardwareO switch que controla a stack é o chamado stack master. ? o único ponto de contacto e gest?o da stack para configura??o global e interfaces. Os restantes switches da stack s?o chamados members.O ficheiro de configura??o é armazenado na flash do master que sincroniza regularmente com os membros. Em caso de falha do master os membros têm configura??o recente quando passarem a master.No máximo s?o suportados até 9 switches. Qualquer um deles pode substituir o master actual em caso de falha.A elei?ao do master é feita seguindo:Switch que é o actual masterMaior stack member prioritySwitch que n?o está a usar configura??es de interface defaultCombina??o de feature set e software com maior prioridade– IP services feature set and the cryptographic software image– IP services feature set and the noncryptographic software image– IP base feature set and the cryptographic software image– IP base feature set and the noncryptographic software imageMaior uptime (acredito que esta regra é porque n?o existe preemption)Switch com o menor MAC addressO stack actual mantem o seu estado a menos que:Stack resetO master for removido da stackO master é reset ou desligadoO master falhaAdicionando ao stack um membro já ligado Em resumo n?o existe preemption. Um master que falhe, depois de reiniciar n?o toma a posi??o de master a menos que um dos eventos acima cause re-elei??o do master.Existe uma janela de tempo (120s) para os switches participarem na elei??o do master depois de serem ligados ou reiniciados. Stacking ports e fabricPara formar a stack, os switches s?o conectados pelos stacking ports, 2 em cada switch. Esta liga??o forma 2 anéis lógicos que alocam bandwidth em sentidos contrários com 16 Gbps cada. Efectivamente a largura de banda da fabric da stack é de 32 Gbps. Por isso é que em caso de quebra de um cabo, o anél abre-se e a largura de banda reduz para 16 Gps. Em stackwise+, por causa do destination stripping a largura de banda possível considera-se duplicada para 64 Gbps (n?o percebi bem porquê).FalhasA comunica??o na stack é feita através da fabric criada pelo anel. A velocidade desta fabric é de 32Gbps. A falha ou substitui??o de qualquer um dos membros da stack n?o interrompe o servi?o dos restantes. No entanto, a velocidade desta fabric reduz-se a metade sempre que o anél é interrompido.2.0 INFRASTRUCTURE SECURITY (20%)2.1 Configure and Verify Security FeaturesMitigating Spoofing AttacksDHCP Snooping, IP Source Guard, Dynamic ARP InspectionDHCP SnoopingQuando activado, portas s?o categorizadas como trusted e untrusted.Trusted: Portas com servidores DHCP legítimosUntrusted: todas outras portas. Modo defaultTodas as portas s?o untrusted por default.Tráfego recebido em interfaces untrusted e o MAC n?o condiz com o DHCP client hardware address na tabela de DHCP snooping o tráfego é descartado.Tráfego em interfaces untrusted que condizem com mensagens de servidores DHCP como DHCPOFFER, DHCPACK, DHCPNAK também sao descartados.Cria uma tabela de rela??o IP vs. MAC e informa??o DHCP como lease time.Para ver a tabela# show ip dhcp snooping bindingsQuaisquer DHCP replies vindas de portas untrusted s?o descartadas porque s?o consideradas vindas de um servidor DHCP rogue (ilegal). A porta é desligada e posta em err-disabled.Habilitar snooping globalmenteDefinir a VLAN onde estará activoConfigurar interfaces confiadasOpcional. Configurar taxa máxima de pedidos DHCP (portas untrusted)(config)# ip dhcp snooping(config)# ip dhcp snooping vlan <vlan1> [<vlan2>](config)# interface <intf>(config-if)# ip dhcp snooping trust(config-if)# ip dhcp snooping limit rate <rate> ! rate – DHCP packets per secondO ultimo commando limita a taxa de pedidos DHCP aceites em pacotes por segundo.# show ip dhcp snooping# show ip dhcp snooping bindingIP Source GuardDetecta spoofing attacks (IP, layer 3) mesmo dentro da mesma subnet.Baseia-se na base DHCP snooping ou configura??es estáticas.A detec??o de spoofing pode ser uma das seguintes:Endere?o IP deve ser o mesmo que aprendido por DHCP Snooping ou entradas estáticas. Uma ACL din?mica é utilizada para filtrar o tráfego.O endere?o IP deve ser aprendido e o endere?o MAC de origem deve ser igual ao endere?o aprendido no switch ou por DHCP snooping. Port security é utilizado para filtrar o tráfego nesta op??o (verifica??o de MAC)Pacotes com origem diferentes s?o descartados.Habilitar DHCP snoopingConfigurar entradas estáticas (opcional) para hosts que n?o usam DHCPHabilitar IP source guard nas interfaces desejadas(config)# ip dhcp snooping(config)# ip source binding <Mac-address> vlan <vlan> <ipaddress> interface <intf>(config)# interface(config-if)# ip verify source [port-security] ! port-security: verifica MAC origemIp verify source verifica somente o IP de origem. A keyword port-security verifica também o MAC de origem.# show ip verify source [interface <intf>]Para ver os bindings# show ip source binding … Dynamic ARP inspection (DAI)Evita ataques conhecidos como ARP poisoning ou ARP spoofing em que um host responde a pedidos ARP com o seu MAC e o tráfego é para ele encaminhado como se do verdadeiro host se parada com base de dados DHCP snooping ou entradas estáticas.Portas s?o configuradas como trusted ou untrusted. Pacotes ARP nas portas untrusted s?o verificados. Portas trusted n?o s?o.Se a informa??o de um reply ARP de uma porta untrusted n?o estiver de acordo bom a base DHCP snooping ou entradas estáticas o pacote é descartado e é gerada uma mensagem de log.Todas as portas s?o untrusted por default.Habilitar DAI na(s) VLAN(s) (n?o precisa de comando configura??o global além do dhcp snoop)Configurar portas como trustedConfigurar entradas estáticas. Opcional. A configura??o é através de ARP Access-lists.(config)# ip arp inspection vlan <vlan-range>(config)# interface <intf>(config-if)# ip arp inspection trust(config)# arp access-list <acl-name>(config-acl)# permit ip host <sender-ip> mac host <sender-mac> [log](config-acl)# exitO ultimo commando deve ser repetido tantas vezes quanto necessário.De seguida aplicar a Access-list à VLAN(config)# ip arp inspection filter <arp-acl-name> vlan <vlan-range> [static]Primeiro é verificada a lista estática e depois a base DHCP Snoop. Static descarta a busca na tabela DHCP Snooping. Port SecurityHabilitar port-security na interface(config-if)# switchport port-securityPara definir o máximo de MACs em determinada porta:(config-if)# switchport port-security maximum <maximo de endere?os MAC>O numero maximo default é 1 (um). O comando permite configurar até 1024.Os endere?os MAC podem ser configurados ou aprendidos dinamicamente.Os endere?os aprendidos dinamicamente s?o chamadas sticky MAC addresses.Para limpar a lista deste endere?os# clear port-security dynamic [address <MAC>| interface <intf>]Os endere?os permitidos din?micamente s?o perdidos se o switch reiniciar. Para que n?o aconte?a pode-se configurar manualmente.Para configurar endere?os MAC permitidos manualmente:(config-if)# switchport port-security mac-addresses <endere?o MAC H.H.H>Se os endere?os configurados manualmente for inferior ao máximo, os restantes s?o aprendidos dinamicamente.Existe um comando que escreve na configura??o o Mac-address ligado à porta e aprendido dinamicamente.(config-if)# switchport port-security mac-address stickyDepois de executado o switch escreve na configura??o switchport port-security Mac-address sticky <MAC-address>. Este comando é útil para evitar que sejam configurados os Mac-addresses manualmente. Os sticky Mac-addresses s?o aprendidos até ao máximo configurado e s?o persistentes, ou seja, n?o se perdem com reload.Os MAC addresses permitidos podem ser retirados da tabela por aging.(config-if)#switchport port-security aging time <minutos>(config-if)#switchport port-security aging type [absolute|inactivity]As entradas estáticas também podem ser retiradas com o comando abaixo. Se retiradas, a respectiva linha é retirada da configura??o.(config-if)#switchport port-security aging staticAs entradas sticky n?o envelhecem (n?o sofrem aging)Para definir a reac??o da porta do switch a uma viola??o(config-if)# switchport port-security violation {shutdown|restrict|protect}Shutdown: a porta é posta em err-disabled. Para reabilitar -> shut/no shutRestrict: Porta mantem-se UP, o tráfego n?o permitido é descartado e um trap/syslog é gerado.Protect: a porta mantem-se UP, o tráfego n?o permitido é descartado mas n?o s?o geradas mensagens trap/syslog.Verifica??o# show port-security interface <intf># show interfaces status err-disabled# show port-security (resumo) Private VLANsPrivate VLAN’s é um conceito em que uma VLAN (broadcast domain), considerada um domínio, é partida em sub-domínios (as private VLAN’s).RFC 5517Permite que uma VLAN normal ou primaria (primary) seja associada a uma VLAN unidireccional ou secundária.Hosts na VLAN secundária comunicam com a VLAN primária mas n?o com outra VLAN secundária.O switch tem que estar no modo VTP transparent. Os modos VTP server e client n?o s?o suportados excepto em VTPv3. VLANs secundárias têm significado somente local para o switch.Tipos de VLAN secundáriaIsolated: hosts chegam a portas da VLAN primária mas n?o a outra VLAN secundária ou outros hosts da mesma VLAN secundária. Isolados de tudo excepto da VLAN primámunity: hosts chegam a VLAN primária e outros hosts da mesma VLAN secundária. Comunicam-se entre eles. Hosts n?o comunicam com outras VLANs secundárias. As portas com VLANs privadas podem ser configuradas comoPromiscuous: conectada a um router/firewall ou outro dispositivo comum. Comunica com tudo ligado a VLAN primária ou secundária. As regras de VLAN privada s?o ignoradas.Host: Conecta a um host comum que reside numa VLAN isolated ou community. Só comunica com um promiscuous port ou com hosts da mesma VLAN community. Em muita literatura considera-se que nao existe host mas sim isolated ports e community ports.Uma VLAN primária pode ter somente uma VLAN isolated associada mas podem haver mais de uma community VLANs.Private VLANs n?o s?o suportadas em LAN Base.As VLANs default (1, 1002-1005) n?o podem ser configuradas como private VLANs (primary or secondary)Configura??oConfigurar as vlans privadas (secundária e primária)Associar VLAN primária a secundáriasConfigurar modo das portas hostAssociar portas host às VLANs secundárias e primáriasConfigurar modo das portas promíscuasMapear portas promíscuas às VLANs primárias e secundárias! Config de VLAN secundária(config)# vlan <vlan>(config-vlan)# private-vlan {isolated | community}! config de VLAN primária(config)# vlan <vlan>(config-vlan)# private-vlan primary(config-vlan)# private-vlan association {<second vlan-list> | add <second vlan-list> | remove <second vlan-list>}! configurar portas na vlan secundária(config-if)# switchport mode private-vlan host(config-if)# switchport private-vlan host-association <primary-vlan> <second vlan>! configurar porta na vlan primária(config-if)# switchport mode private-vlan promiscuous(config-if)# switchport private-vlan mapping <primary-vlan> {<second vlan-list> | add <second vlan-list> | remove <second-vlan-list>}Nos comandos, a VLAN primária é sempre a primeira.Uma VLAN secundária é simplesmente definida (a associa??o é feita na primária)Uma VLAN primária é associada a uma ou várias VLANs secundáriasUma VLAN secundária só pode estar associada a uma única VLAN primária.Uma porta host é associada a uma única VLAN primária e secundária.Uma porta promiscua é mapeada a uma VLAN primaria e uma ou várias VLANs secundárias.N?o se define o tipo de porta. A porta é definida de acordo com a vlan primária/secundária a ela associada.Para configura??o de private VLANs, VTP deve estar off ou em modo transparent (v1 e v2)Associa??o SVI à primary VLANsPara permitir que uma SVI numa VLAN primária seja utilizada para roteamento é preciso um comando adicional na SVI para mapear a VLAN primária às secundárias:Interface vlan xxxx Private-vlan mapping {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}Neste caso o mapeamento n?o precisa da VLAN primária pois é subentendida ser a VLAN da SVI.N?o é possível associar interfaces L3 (SVI) a VLAN secundárias.Expandindo a mais de um switchVLANs primárias, isolated ou community n?o est?o limitadas a um único switch e podem ser expandidas para vários switches. As liga??es entre switches n?o precisam de ter no??o do conceito de VLANs privadas e transportam as frames normalmente como quaisquer outras frames com tags 802.1Q.A informa??o de “isolamento” entre VLANs está embutida na informa??o de VLANs.Ver RFC5517, 3. ControlEm condi??es normais e ideias, a maioria dos hosts recebe tráfego somente a ele destinado. O switch encaminha as frames nas portas com base nos endere?os MAC das frames recebidas.A excep??o é o tráfego:BroadcastMulticastUnknown unicastStorm control ajuda a controlar este tipo de tráfego evitando sobrecarregar os hosts de uma LAN com tráfego que n?o se destina a eles.A configura??o é por interface para o tráfego recebido antes de ser encaminhado. Interface storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]} unicast: UNKNOWN UNICASTlevel: percentagem da capacidade da interfacebpspps: packets per second storm-control broadcast level 50!limita broadcast a 50% da interface storm-control broadcast pps 100 60! limita a 100pps e "desbloqueia" !somente abaixo de 60 pps storm-control multicast level 30 25! limita a 30% da capacidade e libera a ! 25% da capacidadeO comando pode ser executado várias vezes para definir níveis para broad, multi ou unicast traffic.O tráfego acima do limite é simplesmente descartado. Mas ac??o em caso de viola??o por ser alterada com o comando storm-control action por interface.Interface Storm-control action {shutdown|trap}Shutdown: err-disableTrap: Além de descartar envia SNMP trapPara verificar:show storm-control [interface-id] [broadcast | multicast | unicast] 2.2 Describe Device Security using Cisco IOS AAA w/ TACACS+ and RADIUSAAA with TACACS+ and RADIUSAAA = Authentication, Authorization and AccountingAuthentication: Quem é o utilizador?Authorization: O que o utilizador pode fazer?Accounting: O que o utilizador fez?Os protocolos de comunica??o com servidores AAA:TACACS+ Terminal Access Controller Access Control System+Proprietário da Cisco. Seguro e encriptado, funciona sobre TCP 49RADIUS Remote Authentication Dial-In User ServiceCombina autentica??o e autoriza??o em recursso único. Usa UDP 1812 (auth) e UDP 1813 (accounting) mas n?o é completamente encriptado.Configura??o autentica??oEm primeiro lugar e indispensável é habilitar o AAAConfigurar Configurar servidores individuais e seus par?metros (de acordo com o protocolo)Configurar grupos de servidoresConfigurar named method-lists. Sequência de “métodos” de autentica??oAtribuir os métodos às lines (onde se aplique)A sequência de passos àcima é semelhante para qualquer dos AAA. Geralmente utiliza-se os mesmos servidores para autentica??o, autoriza??o e accounting por isso eles s?o configurados uma única vez e reutilizados.! HAbilitar AAA ----------------------------------------------------Switch(config)# aaa new-model!Configurar base de user/pass local ao switch -----------------------Switch(config)# username (username) password (password)! Configurar servidores ----------------------------------------------Switch(config)# radius-server host {(hostname) | (ip-address)} [key (string)]Switch(config)# tacacs-server host {(hostname)| (ip-address)} [key (string)]! Server groups -------------------------------------------------------Switch(config)# aaa group server {radius | tacacs+} (group-name)Switch(config-sg)#??server??(ip-address)Switch(config-sg)#??server??… ! para todos os servers do grupo! Definir method-lists para autentica??oSwitch(config)# aaa authentication login {default | (list-name)} method1 [method2 ...]Method1, 2 etc definem a sequência de métodos a usar para autenticar.Alguns métodos incluem:Group tacacs+: grupo default inclui todos servidores tacacs+Group radius: grupo default inclui todos servidores radiusGroup (group-name): caso tenha sido config um grupo tacacs+/radiuslocal: base local definida com username:line: Usa password definida na line. N?o os usernames! Aplicar method list à uma line (console/vty)Switch(config)# line XXXXXSwitch(config-line)#??login authentication??{default | (list-name)}Default: usa o method-list defaultList-name: usa um method list previamente definido.No caso acima a palavra login define um servi?o que pode usar a method-list que podem ser utilizados para o procedimento de login em uma line. Além deste existem:LoginDot1xEnablePppO method list default é usado por todas lines ou servi?o que n?o têm um method-list explicitamente configurado. Configura??o autoriza??oPara a configura??o de autoriza??o mantém-se a base com os mesmos comandos para definir servidores e grupos de servidores (ou utilizar os já criados). A diferen?a é apenas na cria??o de novos method-lists para os diferentes “servi?os”.Switch(config)# aaa authorization {commands | config-commands | configuration | exec | network | reverse-access} {default | (list-name)} (method1) [(method2) ...]Os “servi?os”CommandsConfig-commandsConfigurationExecNetworkReverse-accessOs métodos para autoriza??o:Group tacacs+Groups radiusif-authenticatednoneDepois de configurado, a aplica??o a uma line é semelhante:Switch(config-line)#??authorization??{commands??(level)??|??exec??|??reverse-access} {default??| list-name! exemplo de alica??o da autoriza??o de comandos à line.Configura??o AccountingSwitch(config)# aaa accounting {system | exec | commands (level)} {default | (list-name)} {start-stop | stop-only | wait-start | none} (method1) [(method2)...]system: Major switch events such as a reload are recorded.exec: User authentication into an EXEC session is recorded, along with information about the user’s address and the time and duration of the mands level: Information about any command running at a specific privilege level is recorded, along with the user who issued the command.start-stop: Events are recorded when they start and stop.stop-only: Events are recorded only when they stop.none: No events are recorded.Aplicar a configura??o à line:Switch(config-line)# accounting {commands (level) | connection | exec} {default | (list-name)}Local privilege authorization fallbackIsto consiste unicamente em configurar a authoriza??o sem esquecer da possibilidade de falha dos servidores AAA. 3.0 INFRASTRUCTURE SERVICES (15%)3.1 Configure and Verify First-Hop Redundancy ProtocolsHSRP Hot Standby Router ProtocolProprietário CISCOStandby group (active/standby)A maioria dos switches permitem até 16 grupos (valor de 0-255). Os grupos em cada VLAN/interface s?o locais e independentes dos outros.EstadosInitial: Estado inicialLearn: O router está a espera de ouvir uma mensagem do router activo e n?o sabe qual o ip virtualListen: O router sabe o IP virtual mas n?o é activo nem standby.Speak: O router envia mensagens de hello periódicas e participa activamente na elei??o do active/standby. Um router n?o pode entrar no estado activo a menos que saiba o IP virtual.Standby: o router é candidato a se tornar o próximo router activo e envia hellos periódicos. Só existe no máximo um router no estado standby no grupoActive: O router está a encaminhar pacotes enviados para o MAC virtual do grupo. Envia hellos periódicos. So existe no máximo um router activo no grupo.Maior prioridade (0-255) fica active. Prioridade default (100). Como desempate o switch com maior endere?o IP na interface torna-se active.TimersOs valores dos timers s?o enviados nos hellos e indicam quais os “meus” valores (do router que envia). O grupo usa os valores do active.Hello time: 3s (default) (multicast 224.0.0.2 “all routers” UDP 1985)Hold time: 10s (default) (tempo máximo sem hellos)Para alterar os timers (deve ser feito em todos os routers/switches)(config-if)# standby <group> timers [msec] hello [msec] <holdtime>Se o grupo n?o for introduzido no comando, a configura??o assume o grupo default, grupo 0.Um router que perdeu o estado active n?o se tornará active até o activo actual falhar. Para que ele se torne activo em qualquer altura é necessário activar preemption.Autentica??oPlain ou MD5Interface trackingPermite alterar o valor de prioridade do router de acordo com o estado de certas interfaces ou outros par?metros (por exemplo testes IP SLA).Quando a interface seguida volta ao valor inicial a prioridade sobe pelo mesmo valor que decrementou.(config-if)# standby <group> track <intf> [decrement value]Para que outro router tome o estado active deve ter maior prioridade e preemption deve ser configurada.O valor default do decrement é 10.Endere?amentoCada router/switch tem o seu IP. O grupo é representado por um IP virtual que deve estar na mesma rede.HSRP usa um endere?o MAC especial para o IP virtual0000.0c07.acXXXX representa o numero do grupo (01-10)HSRP n?o permite usar IP virtual igual a um IP realConfigura??o(config-if)# standby <group> priority <prioridade>(config-if)# standby <group> timers [msec] <hello> [msec] <holdtime>(config-if)# standby <group> preempt [delay [minimum <segs>] [reload <segs>]]Delay impede que se torne activo imediatamente. Com esta op??o ele espera minimum segundos depois de ser possível se tornar activo (subida da interface ou configura??o de HSRP).Reload para esperar x segundos depois de reiniciar.Autentica??oPlainMD5 keyKey Chain(config-if)# standby <group> ip <ip-address] [secondary](config-if)# standby <group> authentication <string>(config-if)# standby <group> authentication md5 key-string [0|7] <string>Verifica??o# show standby [brief] [vlan <vlan> | <intf>]HSRP V2A vers?o default de HSRP é a 1.Endere?o IP multicast 224.0.0.102 (HSRP) mas sempre na porta UDP 1985.HSRP Suporta grupos 0-4095. Estes valores permitem mapear o número do grupo para as VLANs.VRRP Virtual Router Redundancy ProtocolConceito semelhante ao HSRP.Protocolo standard (RFC 2338 e RFC 3768)VRRP group (master/backup).Ao contrário de VRRP existe 1 master e vários backups. Grupos : 1-255Hello time: 1s (default). Multicast 224.0.0.18 (VRRP) IP protocol 112Maior prioridade (1-254) fica master. PRioridade default (100)Preemption é activo por default.Mesma prioridade, o maior IP fica masterPermite usar IP do master como IP virtualTimers so precisam ser configurados no master. Os restantes PODEM aprendem do masterDead/Holdtime n?o pode ser configurado. ? calculado automaticamente “3xhello + skew timer”Endere?o MAC 0000.5e00.01XXXX: group numberVRRP permite usar IP virtual igual a um IP realDefault timers:Hello Time: 1sHold time: 3s + skew time (formula. Resultado inferior a 1s)Configura??o(Config-if)# vrrp <group> priority <valor>(Config-if)# vrrp <group> timers advertise [msec] <interval>Para aprender valor dos timers(Config-if)# vrrp <group> timers learnDesabilitar o default preemption(Config-if)# no vrrp <group> preempt(Config-if)# vrrp <group> preempt [delay <segs>](Config-if)# vrrp <group> authentication <string>(Config-if)# vrrp <group> ip <ip-address> [secondary](config-if)# vrrp <group> track <objecto> [decrement <valor priority>]Verifica??o(config)# show vrrp [brief]Autentica??oPlainMD5 keyKey ChainNo RFC 2338 havia plain text e MD5. Autentica??o n?o existe mais no RFC recente (RFC 3768) mas mesmo assim a Cisco ainda permite configurar.Interface Vrrp (group) authentication md5 key-string (string) Vrrp (group) authentication md5 key-chain (key-chain-name)TrackingVRRP n?o tem interface tracking e permite somente object tracking que utiliza um objecto track definido em separado.Track 1 interface e0/0 line-protocolInterface Vrrp (group) track (track-number) decrement 15 Track-number é um número track criado anteriormenteVRRP V3Address-families. Ipv4 e Ipv6. GLBP Gateway Load Balancing ProtocolProprietário CISCO. Permite balanceamento de tráfego entre diferentes gateways ao invés de active/standby.IP 224.0.0.102 (mesmo que HSRP). UDP port 3222O endere?o virtual MAC tem o formato:0007.b4XX.XXYYXXXX: 6 bits = 0 seguidos de 10 bits do número do grupoYY: 8 bits representando o número do AVFRouter com maior prioridade (1-255) (ou maior IP) torna-se o Active Virtual Gateway (AVG)Prioridade default = 100Até 4 routers com diferentes IP’s e MAC’s encaminham o tráfego. Os 4 routers s?o Active Virtual Forwarders (AVF). O AVG também é um AVF. Os routers que n?o s?o AVF est?o no estado listen.AVG responsável por responder ARP e atribuir endere?os MAC aos restantes routers no grupo.Valor do grupo: 0-1023Router de maior prioridade só toma lugar depois da queda do router activo, a menos que seja configurada preemption.Default timers:Hello Time = 3s Hold-time = 10sDepois de “mortos” os seus MACs s?o usados por outro AVF (que passará a usar 2 MACs) por um período chamado redirect timer. (config-if)# glbp <grupo> timers redirect <timer>O Redirect timer define durante quanto tempo o AVG responde com determinado MAC virtual quando o seu “dono” caiu (detectado pelos timers). Depois deste tempo existe um timeout que define o tempo findo o qual o endere?o MAC antigo e o Virtual Forwarder s?o retirados de todos os peers GLBP.Defaults s?o 10 minutos para redirect timeout e 4 horas para timeout timer.O AVG anuncia os timers e os restantes routers do grupo aprendem os valores.AVFs usam timers para anunciar que est?o “vivos”.Os estados GLBP s?o semelhantes ao HSRP.Para o AVG:Disabled: O IP virtual n?o foi configurado mas há alguma configura??o GLBPInitial: Endere?o IP virtual configurado mas configura??o incompleta. Listen: Recebendo hellos e pronta a passar para standby/active se o AVG falhar.Speak: Poderá se tornar o active/standby gatewayStandby: pronto a se tornar o AVGActive: Responsável por responder ARP e distribuir o tráfego.Para o AVF:Disabled: O endere?o MAC n?o foi atribuído ou aprendido. Será eliminado em breve. Estado de transi??o.Initial: Virtual MAC conhecido mas a configura??o está incompleta.Listen: Recebendo hellos e pronta para mudar para active.Active: Encaminhando tráfego do seu endere?o virtual.Load BalancingBalanceamento de carga (pela atribui??o de MAC)Round-robin (default)WeightedHost-dependent: Determinado host recebe sempre a mesma resposta ARP, portando usa sempre o mesmo AVF desde que válido.(config-if)# glbp <grupo> load-balancing [round-robin|weighted|host-dependent]Configura??o(config-if)# glbp <grupo> ip [<endere?o> [secondary]]IP pode ser aprendido de outro router se n?o for configurado. Para o AVG o router deve ser configurado explicitamente.(config-if)# glbp <grupo> priority <prioridade>(config-if)# glbp <grupo> preempt [delay minimum <segs>](config-if)# glbp <grupo> timers [msec] <hello> [msec] <holdtime>Object trackingAo contrário de HSRP, n?o suporta interface tracking native. Suporta object tracking.Autentica??oPlainMD5Verifica??o# show glbp# show glbp brief# show glbp <grupo>Links – Tópicos da vers?o anteriorTópicos n?o mapeados directamente para a vers?o actual do exame mas que estavam na vers?o anterior.SWITCH OPERATIONL2 switching consulta CAM (content addressable memory)Qos e ACL consulta TCAM (ternary CAM) em lookup únicoDepois da consulta a frame é encaminhada para egress queue da porta. A egress queue é determinada pelos valores QoS.DESENHOMLS Multilayer SwitchingRoute caching (1st generation): RP processa flow do 1? pacote. O SE (switch Engine) cria “shortcut” para pacotes futuresTopology-based (2nd generation): informa??o de roteamento cria e “pre-popula” database único da topologia da rede. Este database é consultado em hardware para encaminhamento rápido.DESENHOMLS exceptionsARP request and replyIP packets requiring response from routerIP broadcasts relayed as unicast (DHCP)Routing updatesCDPIPXPackets needing encryptionPackets triggering NATNon-IP and non-IPX packetsSecuring with VLANs (CHAP. 17)Port Access Lists (PACL)ACLs (MAC ou IP ou…) aplicadas a portas L2 (switchports)So podem ser aplicadas inboundVLAN Access Lists (VACL)Filtram tráfego dentro de uma VLAN, aon contrario das ACLs nas SVIs que olha para o trafego que entra/sai da VLAN. Também incorporado na TCAM.Configura??o no estilo route-map (map seq number com match e ac??es)Criar a VACL (VLan access map)Definir as condi??es (match)Definir as ac??es (forward, drop, redirect)Aplicar a VACL à VLAN(config)# vlan Access-map <map-name> [seq number](config-access-map)# match ip address {acl-num | acl-name}(config-access-map)# match ipx address {acl-number| acl-name}(config-access-map)# match mac address <acl-name>(config-access-map)# action {drop|forward [capture]} | redirect <intf>(config-access-map)# exit(config)# vlan filter <map-name> vlan-list <vlan-list>Securing VLAN TrunksUm utilizador “malicioso” pode simular pacotes DTP e tornar uma porta de um switch com configura??es default (dynamic auto) num trunk. Assim ele terá acesso à todas VLANs no switch.Portas do switch devem ser configuradas para um comportamento “esperado”.As portas dos utilizadores devem ser configuradas em modo acesso.Se as portas n?o forem utilizadas elas devem ser configuradas numa VLAN n?o usada ou mesmo desligadas.VLAN HoppingPara prevenirConfigurar a VLAN nativa para uma VLAN n?o utilizada/inexistenteRetirar a VLAN nativa de ambos os extremos do trunkFor?ar trunks a “taggear” a VLAN native(config)# vlan dot1q tag nativeProtocolos como CDP, PAgP e DTP transportados na VLAN nativa n?o s?o afectados pelo pruning da mesma num trunk. Elas s?o um caso especial.Port-Based AuthenticationBaseada em IEEE802.1xQuando habilitado o switch n?o passa qualquer tráfego até o utilizador ser autenticado.O computador ligado ao switch deve suportar 802.1x e Extensible Authentication Protocol over LANs (EAPOL). Um protocolo layer 2.Configura??oHabilitar AAA no switchDefinir servidor RADIUS externo (deve ser repetido para mais de um servidor)Definir o método de autentica??o para 802.1xHabilitar 802.1xConfigurar portas que usar?o 802.1xPermitir múltiplos hosts na porta (para o caso de uma porta ligada a outro switch/hub e vários clientes)(config)# aaa new-model(config)# radius-server host {ip|hostname} [key <key-string>}(config)# aaa authentication dot1x default group radius(config)# dot1x system-auth-control(config)# interface <intf>(config-if)# dot1x port-control {force-authorized|force-unauthorized| auto}(config-if)# dot1x host-mode multi-hostForce-authorized: Autoriza sempre sem autentica??o. Modo default para todas portasForce-unauthorized: porta é for?ada a nunca autorizar clientes conectados.Auto: a porta usa autentica??o 802.1x.Verifica??o# show dot1x allBest Practices for securing switchesConfigurar passwords seguros: (secret e n?o password). Password encryptionUsar system banners: ya“Segurar” o web interface: Preferível https. Usar ACLs limitando os IPs de origem“segurar” acesso console: habilitar autentica??o“Segurar” acesso vty: Usar SSH. Usar ACLs para limitar o acesso.Acesso SNMP: N?o usar communities read/write. Usar read only.Portas n?o utilizadas: configurar como acesso. Atribuir uma vlan n?o utilizada.Opera??o STP: Habilitar BPDU guardCDP: MULTILAYER SWITCHING (CHAP. 11)Roteamento inter-VLAN requer que o dispositivo esteja habilitado para tal, habilitar ip routing.Para verificar o estado de um porta (L2 ou L3):# show int <intface> switchportVer o estado de switchport. Enabled = L2. Disabled = L3Para configurar uma porta como L3:(config-if)# no switchport(config-if)# ip address…Portas L3 em MLS n?o suportam sub-interfacesSVI (Switched virtual interface)Habilita funcionalidades layer 3 para uma VLAN completa. Atribui um endere?o de rede a uma interface lógica representando a VLAN.(config)# interface vlan <vlan-id>(config-if)# ip address…CEF Multilayer switchingCEF (Cisco express forwarding) corre por default nos switchesO layer 3 engine (router) mantém a informa??o de roteamento, estático e din?mico. Reformata a tabela de roteamento numa lista ordenada com as rotas mais específicas no início. O novo formato é chamado forwarding information base (FIB).A FIB também contém next-hop para cada entrada.Rotas host (máscara 32) também aparecem na FIB que n?o s?o normalmente encontradas na tabela de roteamento a menos que sejam configuradas manualmente. Estas rotas s?o mantidas na FIB para busca eficiente de dispositivos directamente conectados.A FIB é din?mica. ? actualizada sempre que há altera??o da topologia de roteamento.Para ver a tabela FIB# show ip cef [<intface> | vlan <vlan-id>] [detail]# show ip cef [<prefix-ip prefix-mask>] [longer-prefixes] [detail]Pacotes n?o switched via CEF s?o marcados como CEF punt e s?o enviados para o layer 3 engine:Entrada n?o se encontra na FIBTabela FIB está cheiaPacotes com op??es de cabe?alhoTTL expiradoDestinados a uma interface túnel, precisam de compress?o ou encripta??oEncapsulamento n?o suportadoPacotes que precisam de fragmenta??oICMP redirectACL com op??o logOpera??o NAT (excepto no 6500 supervisor 720)Acelerated CEF (aCEF): CEF distribuído entre vários layer 3 forwarding engines, tipicamente nos 6500 line cards. Contêm uma por??o da FIB.Distributed CEF (dCEF): CEF completamente distribuído entre vários layer 3 forwarding engines. Cat6500 tem line cards que suportam dCEF, cada com a sua FIB e forwarding engine.Tabela de adjacênciasParte da FIB contendo informa??o layer 2 para cada entrada next-hop e hosts directamente conectados.# show adjacency [<intf> | vlan <vlan-id> ] [summary | detail]A tabela de adjacências é construída com base na tabela ARP. Se uma entrada ARP n?o existe, a entrada é marcada como CEF glean. O pacote é enviado para o layer 3 engine para gerar um pedido ARP e receber uma resposta.Null adjacency: Usada para pacotes destinados à interface null.Drop adjacency: Pacotes que n?o podem ser encaminhados normalmente. Estes pacotes s?o descartados sem ser encaminhados.Discard adjacency: Pacotes que devem ser descartados por uma ACL ou policyPunt adjacency: Pacotes que devem ser enviados para o layer 3 engine para mais processamento.# show cef not-cef-switched# show ip cef switching statisticsPacket RewritePacket rewrite engine faz as seguintes altera??es aos pacotes antes de os encaminhar:Endere?o destino L2: Mudado para MAC do next-hopEndere?o origem L2: Mudado para MAC da interface L3 de saídaLayer 3 IP TTL: decrementado em 1Layer 3 IP checksum: Recalculado para incluir as mudan?as no cabe?alho IPLayer 2 frame checksum: Recalculado para incluir as mudan?as nos cabe?alhos L2 e L3Configura??o de CEFVem habilitado por default em todos switches Catalyst que suportam. Nos Cat6500 com supervisor 720 e MSFC3 CEF n?o pode ser desabilitado.Nos 3750 e 4500 pode ser desactivado por interface(config-if)# no ip route-cache cef(config-if)# no ip cefDHCPCliente envia “DHCP Discover” como broadcastServidor responde com “DHCP Offer” contendo dados para configura??o e o seu próprio endere?o IP e o distinguir dos restantes servidores DHCPCliente enviar mensagem “DHCP Request”. Enviada como broadcast e contém as informa??es do pacote “offer”.Servidor responde com “DHCP Ack”.DHCP funcionada dentro de um domínio broadcast, a maioria das mensagens s?o trocadas por broadcast. Seria necessário um servidor DHCP por domínio broadcast.Um switch pode ser configurado para fazer relay das mensagens DHCP para um servidor único existente na rede. As mensagens s?o enviadas como unicast.(config)# ip dhcp excluded-address <start ip> <end ip>(config)# ip dhcp pool <pool>(config-dhcp)# network <ip address> <mask>(config-dhcp)# default-router <ip addre> [<ip add 2>] [<ip add 3>]…(config-dhcp)# lease {infinite | {days [hours [minutes]]}}(config-dhcp)# exit# show ip dhcp bindingConfigura??o de switch como DHCP relay(config)# interface <interface>(config)# ip address …(config)# ip helper-address <ip address>(config)# exitO switch intercepta todas as mensagens broadcast DHCP do cliente e encaminha para o servidor definido em helper-address como unicast.SVI AutostateA funcionalidade SVI autostate activa uma SVI (Interface VLAN) somente se:A VLAN associada à SVI existe e está activa na base de VLANs do switchA SVI n?o está administrativamente “down”Pelo menos uma interface L2 está na VLAN da SVI, está up em STP forwardingQuando todas as portas da VLAN de determinada SVI est?o down, a SVI fica em UP com line protocol DOWN.Para desactivar a influência de determinada porta sobre SVI autostate:(config-if)# switchport autostate excludeIP Telephony (CHap. 14)POE Power Over EthernetPermite dar energia a dispositivos de rede pelo mesmo cabo UTP usado para comunica??o Ethernet.Permite dar energia a IPPhones ou qualquer dispositivo que o requeira. Tens?o 48VDC.Alguns dispositivos precisam de uma fonte diferente para suportar a carga dos dispositivos POECISCO Inline Power (ILP): Proprietário da CISCO. Desenvolvido antes do standard IEEEIEEE 802.3af (POE): Metodo standardIEEE 802.3at (POE+): Standard que permite dispositivos de maior potência.802.3af detecta dispositivo POE fornecendo uma pequena tens?o nos pares TX e RX do cabo UTP e detecta a presen?a de uma resistência de 25Kohm. Outros valores s?o usados para testar as diferentes classes de potência.ClassePotência máxima (W)Notas015,4Default14Opcional27Opcional315,4Opcional4Até 50Opcional (802.3at)Cisco Inline Power testa usando um sinal de 340KHz no par TX do cabo UTP.Dispositivos fazem loop dos pares TX e RX enquanto desligados. Quando ligados a um dispositivo ILP, o switch “ouve” o tom de volta e assume que está ligado a um dispositivo suportado e dá energia.Configura??o e verifica??oPara configurar o fornecimento manual, automático ou n?o fornecimento:(config)# interface <intf>(config-if)# power inline {auto[max <milli-watts> | static [max <milli-watts>] | never}O default é auto. Determina automaticamente se entrega energia e o power budgetPara verifica??o, potência máxima, utilizada e disponível:# show power inlineVoice VLANsFeature Voice Vlan só é suportado em Access ports. N?o é suportando em trunks embora a configura??o seja permitida.Maioria dos IP Phones CISCO tem integrado um switch de 3 portas ligando switch upstream, PC e telefone.Um switch que liga ao telefone pode instruir o telefone a formar um trunk 802.1Q especial ou acesso por uma VLAN única. O switch instrui o telefone por mensagens CDP e DTP.A VLAN assim configurada é denominada Voice VLAN com ID VVID (Voice VLAN ID)(config-if)# switchport voice vlan {<vlan-id>|dot1p|untagged|none}KeywordVLAN native (untagged)Voice VLANQoS (CoS bits)<Vlan-id>PC dataVLAN <vlan-id>802.1pDot1pPC dataVLAN 0802.1pUntaggedPC data/voice------nonePC data/voice------802.1p é uma extens?o do protocolo 802.1Q que adiciona 3 bits CoS para marca??o QoSNone: Modo default. N?o usa um trunk.802.1p: Utiliza VLAN0 e marca os campos ToS nas frames. N?o precisa da cria??o de Voice VLANUntagged: Poe as frames na VLAN nativa (ou access???).Voice VLAN: Pacotes v?o com tags na Voice VLAN e podem ter marca??o CoSPara verificar:# show interface <intf> switchport? possível ver configura??o de voice-vlan, Access-vlan, vlan-nativa e o modo operacional.Os comandos IOS n?o apresentam a porta como funcionando no modo trunkVoice QoSPacotes de voz devem ser entregues da forma mais rápida possível com pouco jitter, delay e perda.Delay (atraso): O delay total de um ponto a outro é denominado latênciaJitter: varia??es no delayPerdas: 3 tipos básicos de QoS: Best-effort: encaminhamento de pacotes na ordem recebidaIntegrated services model: Arranja previamente o caminho prioritário da origem ao destino. Usa o protocolo RSVP (Resource Reservation Protocol) para pedir recursos. Quando caminho com o mínimo de requisitos é feito a origem é sinalizada com confirma??o.Differentiated services model: N?o faz reservas adiantadas. Aplica QoS “por-salto” para um grupo de flows semelhantes baseando-se em informa??o nos cabe?alhos dos pacotes/frames.Frames (L2) n?o têm bits para tratamento QoS a menos que sejam encapsuladas num trunk. Frames com tag 802.1Q encaminhadas em trunks incluem 3 bits para marca??o CoS (Class of Service).Pacotes (L3) s?o marcadas no byte ToS ou DS (DiffServ).Class 0: Default. Best-effortClass 1-4: Denominadas AF (assurance Forwarding). AF maior implica maior prioridade.Class 5: EF (Expedite Forwarding). Tráfego prioritário. Time-criticalClass 6-7: Internetwork/network control. Geralmente usados para STP e protocolos de roteamentoTrust BoundarySwitch pode ser configurado para confiar ou n?o nas marca??es recebidas (ToS, DSCP ou CoS)Se confiar, os valores recebidos s?o transportados sem altera??o.Se os valores n?o forem confiados, eles s?o alterados.Geralmente a organiza??o confia par?metros QoS dentro da sua rede e n?o confia nos valores na fronteira com outro provedor ou organiza??o.O perímetro formado por switches que n?o confia valores QoS chama-se perímetro de confian?a (trust boundary).O switch instrui o telefone IP (mensagens CDP) como estender a confian?a QoS para a sua porta.Habilitar QoS (comando mls qos)Definir o par?metro QoS que será confiado (CoS, IPPrecedence, DSCP)Condicionar a confian?a (apenas telefones IP detectados por CDP)Instruir o telefone em como estender o perímetro.(config)# mls qos(config)# interface <intf>(config-if)# mls qos trust {cos|ip-precedence|dscp}(config-if)# mls qos trust device cisco-phone(config-if)# switchport priority extend {cos <valor>| trust}No ultimo comando, os valores de CoS vindos do PC s?o substituídos ou confiados.Auto QoSAuto-QoS é um comando macro para facilitar a implementa??o de QoS nos switches de acesso.Usado de preferência em switches com configura??o default pois quaisquer comandos já existentes podem ser eliminados ou interferir nos comandos gerados por auto-qos.Configura??oEscolher a interfaceHabilitar auto-qos com a confian?a desejada(config)# interface <intf>(config-if)# auto qos voip {Cisco-phone | Cisco-softphone | trust}Para remover configura??es feitas por auto qos usar:(config-if)# no auto qos voipVerifica??o# show mls qos interface <intf>Permite ver:Estado de confian?a (ex: trust cos)Para ver como o IP-phone foi instruído para tratar informa??o QoS de entrada:# show interface <intf> switchportAppliance trust (none, trusted de acordo com switchport priority extend)Para ver configura??o de auto qos:# show auto qos interface <intf>Wireless LANs (CHAP. 15)Rede Ethernet é definida pelos standards 802.3. Wi-Fi é definido por 802.11.Transmiss?o controlada por Carrier Sense Multiple Access / Collision Avoidance (CSMA/CA).Redes s?o half-duplex pois as esta??es transmitem/recebem na mesma frequência.Todas as esta??es recebem as frames transmitidas na sua área de cobertura.Sempre que um dispositivo transmite uma frame um acknowledgment deve ser enviado de volta.Quando uma frame precisa de ser enviada pode acontecer:Nenhum outro dispositivo está a transmitir: o dispositivo pode transmitir à vontadeOutro dispositivo está a transmitir: o dispositivo deve esperar até que a frame a ser transmitida termine. De seguida espera um tempo aleatório antes de transmitir.Um cabe?alho 802.11 informa o tempo estimado de transmiss?o de uma frame.Para que os dispositivos n?o tentem transmitir todos ao mesmo tempo no final da frame, todas implementam um backoff timer aleatório.Associa??o de um cliente ao Access point (é iniciada pelo cliente)Cliente envia um probeAP’s no alcance respondem com um beaconCliente faz um pedido de associa??o ao SSID desejado (ou com sinal mais forte)AP adiciona o MAC do cliente à tabela de associa??oQualquer grupo de dispositivos wireless é chamado service set. Dispositivos devem partilhar um Service Set Identifier (SSID), um string incluída em todas as frames enviadas.Independent Basic Service Set (IBSS): comunica??o directa entre 2 clientes wireless sem outras formas intermédias de conex?o.Basic Service Set (BSS): Centraliza a comunica??o em um Access Point (AP). Todos cliente wireless deve primeiro se associar ao AP. A fun??o principal do AP é fazer bridge entre a rede wireless e a rede cabeada.Extended Service Set (ESS): APs interligados por uma rede switched.Os APs fazem o mapeamento de SSIDs para VLANs.Roaming é a movimenta??o de uma célula para outra.Se o cliente mantém o seu endere?o IP o roaming é Layer 2Se o cliente move-se entre APs de subnets diferentes o roaming é Layer 3Arquitectura WLANArquitectura tradicionalBaseada em APs autónomos.Todo tráfego para qualquer parte da rede deve passar pelo AP, até o tráfego entre 2 clientes.O AP gere a utiliza??o de frequências e canais RF.Clientes associam-se directamente ao AP.Politicas de seguran?a s?o refor?adas pelo AP.Gest?o RF e de seguran?a de vários APs autónomos é difícil.Diferentes VLANs correspondentes a diferentes SSIDs devem se estender até aos APs.Arquitectura Cisco Unified Wireless Network ArchitectureSeguran?a, implementa??o, gest?o e controlo WLAN centralizados.Processos real-time, que envolvem enviar e receber frames 802.11, beacons e probes, encripta??o de pacotes continuam no hardware AP, mais próximos dos clientes. Tais fun??es s?o realizadas pelos Lightweight Access Point (LAP).Fun??es de gest?o, que n?o envolvem o envio de frames s?o administradas de forma centralizada, longe dos APs. Estas fun??es s?o realizadas pelo Wireless LAN Controller (WLC).O LAP depende do WLC para as fun??es de autentica??o, políticas de seguran?a e gest?o de canais e potência RF.Esta divis?o de tarefas é denominada split-MAC.O LAP e o WLC formam um túnel de comunica??o. Toda a comunica??o é encapsulada em pacotes IP e por isso eles podem estar na mesma rede ou em redes diferentes.O túnel é formado pelos protocolos:Lightweight Access Point Protocol (LWAPP): CiscoControl and Provisioning Wireless Access Points Protocol (CAP-WAP): RFC 4118S?o formados 2 tuneis:Mensagens de controlo: Configura??o e gest?o do LAP. Mensagens s?o autenticadas e encriptadas.Dados: Encapsulado no protocolo LWAPP ou CAP-WAP. N?o é encriptado.LAP e WLC também se autenticam um ao outro através de certificados X.509.Fun??es do WLCAtribui??o din?mica de canaisOptimiza??o da potência de transmiss?oCobertura wireless self-healingRoaming dos clientesLoad-balancing din?mico de clientsMonitora??o RFGest?o de seguran?a.WLCs est?o disponiveis como appliances, módulos de switches (6500), routers ISR e integrado em switches 3750.Opera??o do LAPLAP obtem endere?o IPLAP aprende os endere?os dos WLCs disponíveis (DHCP op??o 43 ou broadcast L2)LAP envia uma mensagem join sequencialmente para os WLCs da lista obtida.WLC compara o código do LAP com o armazenado localmente. Se diferirem o LAP faz o download do código/imagem e reinicia.WLC e LAP formam um túnel LWAPP ou CAPWAP para gest?o e outro túnel LWAPP ou CAPWAP para os dados. O ultimo n?o é encriptado.Quando um WLC deixa de responder, o LAP reinicia e recome?a o processo de busca de WLCs. Quaisquer associa??es de clientes será descartada até que o LAP se junta a um novo WLC.Tráfego dos clientes wireless para qualquer parte da rede passam obrigatoriamente pelo AP e WLC e de seguida para a rede através de um switch.Tráfego entre 2 clientes wireless também deve passar pelo LAP e WLC.As VLANs correspondentes aos SSIDs 802.11 estendem-se somente até ao WLC. A rede do WLC aos LAP pode ser uma única VLAN ou rede roteada diferente. O tráfego das VLANs correspondentes aos SSIDs é tunelado do WLC aos LAPs.RoamingOs clientes negociam associa??es à rede wireless com os WLCs e n?o com os LAPs.Intracontroller roamingRoaming entre LAPs diferentes ligados ao mesmo WLC. SSID deve ser o mesmo. Endere?o IP do cliente é mantido. Roaming Layer 2.Intercontroller roamingRoaming entre LAPs ligados a diferentes WLCs. Mesmo SSID.WLCs na mesma rede: Trocam mensagens de mobilidade para passar a associa??o do cliente de um WLC a outro.WLCs em redes diferentes: Forma-se um túnel ether-IP para encapsular dados MAC em pacotes IP. De um WLC a outro. O cliente mantém o IP da primeira rede. Tráfego uplink é enviado normalmente . Tráfego downlink é enviado para o primeiro WLC e este encaminha tunelado para o segundo WLC onde o cliente está associado.Para haver roaming intercontroller, os WLC devem estar configurados dentro do mesmo mobility group.Caso um cliente se mova de um WLC a outro de grupos diferentes, a sua associa??o é transferida para o novo grupo mas o seu endere?o IP e informa??o se sess?o s?o descartados.Configura??o dos switches (AP autónomo)Basta configurar portas (acesso ou trunk) com as VLANs correspondentes aos SSID a ser transmitidos.Configura??o dos switches (LAP)LAPs precisam de uma porta de acesso (n?o trunk). O trunk (considerando SSIDs múltiplos) é configurado na liga??o ao WLC.Boas praticas recomendam uma VLAN específica para gest?o de LAPs.Todas as VLANs mapeadas a determinado SSID s?o transportadas sobre o túnel do LAP ao WLC.Configura??o dos switches (WLC)Recomenda-se WLCs na camada de distribui??o.WLC precisa de conectividade directa a quaisquer VLANs a ser utilizadas pelos clientes wireless.Interfaces devem ser configuradas como trunk (para o caso de VLANs múltiplas).Enterprise Campus Network Design (Chap. 12)Entendimento dos fluxos de tráfego é vital para o desenho da rede. Torna mais efectivo o movimento e gest?o do tráfego da rede e esta torna-se mais escalável para suportar necessidades futuras.A rede deve ser desenhada com comportamento previsível em mente, com baixa manuten??o e alta disponibilidade.Desenhar de forma que os utilizadores estejam a uma dist?ncia consistente dos recursos que pretendem usar.Access layerSwitches localizados mais próximo dos utilizadores. Conectividade camada 2 (VLAN) entre utilizadores. Switches deve ter as seguintes características:Baixo custo por switch portAlta densidade de portasUplinks escaláveisFun??es de acesso dos utilizadores, filtro de tráfego e protocolo, QoSResiliência (recupera??o rápida) através de vários uplinksDistribution layer:Intermediário entre as camadas de acesso e core.Agrega??o de múltiplos switches de acessoAlto througput camada 3 para packet handlingSeguran?a e conectividade policy-based através de ACL ou filtros de pacotesFuncionalidades QoSLinks de alta velocidade, escaláveis e resilientes (recupera??o rápida) para as camadas core e de acesso.VLANs e domínios de broadcast convergem na camada de distribui??o, precisando de roteamento, filtragem e seguran?a. Devem suportar switching multilayer de alta velocidade. ? geralmente uma fronteira de camada 3.Core layerAgrega??o e conectividade de todos switches distribui??o. Também chamado backbone.Througput camada 3 muito elevadoSem manipula??o desnecessária de pacotes (ACLs, filtragem)Redund?nciaFun??es QoS avan?adasDeve ser desenhado com simplicidade em menteServi?os da rede podem ser classificados em:Local: mesma VLAN que utilizadorRemoto: VLAN diferente. Acesso às camadas de distribui??oEnterprise: Central a todos utilizadores. Acesso às camadas de distribui??o e coreAs camadas de distribui??o e core podem ser combinadas formando collapsed core.Desenho de rede modularA rede enterprise pode ser dividida em switch block e core block. Outros elementos podem existir, por exemplo, o datacenter pode ter seus próprios switches de acesso, distribui??o ou mesmo de core.Switch BlockContem dispositivos de switching das camadas de acesso e distribui??o.Switches de camada 2 se ligam aos usuários. Seus uplinks ligam-se à camada de distribui??o. Os últimos devem ser multilayer.Camada de distribui??o deve ser a fronteira para VLANs, sub-redes e broadcasts. Sendo limite de camada 3, STP está confinado a um switch block.Dimensionamento de switch blocksCamada de acesso é dimensionada com base na densidade de portas e numero de utilizadores conectados.Camada de distribui??o é dimensionada com base no numero de switches de acesso conectadosTipos de tráfego e patternsCapacidade de switching camada 3 na camada de distribui??oNumero de utilizadores conectados na camada de acessoLimites geográficos de subnets e VLANsTamanho dos domínios spanning-treeRecomenda-se n?o mais de 2000 utilizadores por switch block. Mas n?o deve ser único factor a considerar.Um switch block deve ser dimensionado principalmente:Tipo de tráfego e comportamentoTamanho e numero de grupos de trabalho comunsRedund?ncia do switch blockMelhores práticas recomendam n?o estender as VLANs da camada de acesso além dos switches de distribui??o. Isto inclui a liga??o entre os switches de distribui??o. A camada de distribui??o deve ter apenas liga??es camada 3.Core BlockLiga??o entre switch blocks, datacenter blocks e edge. Leva mais tráfego do que qualquer outro bloco.Collapsed coreFun??es das camadas de distribui??o e core s?o fornecidas pelos mesmos switches.CaracterísticasLiga??o redundante entre switch blocksTráfego L2 estende somente até aos switches distribui??oLiga??o entre switch blocks é L3Na camada 3 redund?ncia é providenciada por um protocolo como HSRP/VRRP.Dual CoreLiga 2 ou mais switch blocks de forma redundante através do core.Recomenda-se switches multilayerLiga??o comum (L3 recomendavel) entre os 2 switches core.Ligam-se por links redundantes cada switch core aos switches de distribui??o.A liga??o core-distribui??o representa dois links L3 equal-cost e o tráfego é distribuído entre os 2. Ambos as liga??es ficam activas ao mesmo tempo.Dimensionamento do coreTamanho da rede (numero de routers) deve ser tido em conta devido á propaga??o de routing updates e convergência.No mínimo cada switch core deve suportar switching de cada um dos links dos switches de distribui??o a 100% de capacidade.high availability (chap. 13)Redund?ncia supervisor e route processor4500R e 6500 aceitam duas placas supervisorPrimeira placa a arrancar torna-se a activa para o chassis.A supervisor standby arranca (boot) somente até certo nível. Arranca por completo em caso de falha da supervisor activa.Modos de redund?ncia (Redundancy Modes)RPR Route Processor Redundancy: A supervisor redundante arranca e inicializa parcialmente. Quando a placa activa falha, a standby deve reiniciar todas as outras placas/módulos no switch.RPR+: A supervisor redundante arranca e inicializa a supervisor e o route-engine. As fun??es L2 e L3 n?o iniciam. Quando a activa falha, a standby termina a inicializa??o sem reiniciar os restantes módulos/placas do switch. Switchports mantêm o seu estado (UP/DOWN).SSO Stateful Switchover: A supervisor redundant arranca e inicializa por completo. Configura??es startup e running s?o sincronizados entre as supervisors. Informa??o L2 é mantido em ambos os módulos (hardware switching continua durante failover). Switchports mantêm o seu estado (UP/DOWN).NSF Non-Stop ForwardingFuncionalidade proprietária CISCO que permite reconstru??o rápida da RIB depois de um switchover. N?o espera que os protocolos L3 re-convirjam. Ao invés disso interage com vizinhos NSF.Suportado pelos protocolos BGP, EIGRP, OSPF e IS-IS. (config)# router bgp <as>(config-router)# bgp graceful-restart(config)# router eirgp <as>(config-router)# nsf(config)# router ospf <process>(config-router)# nsfConfigura??oComandos devem ser inseridos (inicialmente) em ambos supervisors(config)# redundancy(config-red)# mode {rpr|rpr-plus|sso}Para ver o estado, modo de redund?ncia (operacional e configurado)# show redundancy statesConfigurar a sincroniza??o de supervisors:(config)# redundancy(config-red# main-cpu(config-r-mc)# auto-sync {startup-config|config-register|bootvar}monitoring to maximize high availabilitySYSLOG mensagem contém:TimestampFacility Code: fun??o ou modulo do switch que gerou a mensagemSeverity: 0-7. Import?ncia do evento0: Emergencies1: Alerts2: Critical3: Errors4: Warnings5: Notifications6: Informational7: DebuggingMnemonic: pequeno texto que categoriza o eventoMessage Text: a descri??o do evento que disparou a mensagemExemplo:00:30:39 %SYS-5-CONFIG_I: Configured from Console by ConsoleQuando o limiar é configurado, o switch gera mensagens num nível igual ou inferior (inferior em numero, mas mais importante) ao configurado.As severidades s?o opostas à import?ncia do evento. Quanto maior é a severidade, menor o número.Configura??o(config)# logging console <severity>Configura o nível de logging para a console. Só é visto remotamente quando se executa “terminal monitor”(config)# logging buffered <severity>(config)# logging buffered <size in Bytes>Configura severidade e tamanho do logging para o buffer. Para ver as mensagens no buffer# show loggingPara enviar mensagens syslog para um servidor remoto (porta UDP 514)(config)# logging <ip do servidor>(config)# logging trap <severity>Para evitar que o switch gere mensagens sempre que uma porta passe de up a down e vice-versa(config-if)# no logging event link-statusControlo de timestampsO switch por padr?o usa os timestamps com base no uptime do switch(config)# service timestamps log datetime [localtime] [show-timezone] [msec] [year]Localtime usa o fuso configurado no switch. Caso n?o seja usado o fuso nas mensagens é UTCSNMP sistema SNMP complete é formado por:SNMP Manager: sistema de gest?o que usa protocolo SNMP para fazer o polling e receber os dados dos dispositivos de redeSNMP Agent: processo que corre em todos os dispositivos de rede a ser monitorados. Todos os dados s?o colhidos pelos próprio dispositivo e armazenados numa base de dados local.A comunica??o é pela porta UDP 161. Os pedidos s?o do tipo:Get Request: retorna o valor de uma variável (OID) específicaGet Next Request: a proxima variável que segue um get request inicialGet Bulk Request: tabelas ou listas completas de uma variável MIBSet Request: alterar valores de determinada variável MIB.Alertas assíncronos podem ser enviados pela porta UDP 162SNMP Trap: evento enviado sem confirma??o de recep??oInform request: evento enviado em que o manager deve confirmar recep??o (acknowledge).A vers?o 2 de SNMP acrescentou contadores de 64bits (contra os 32 bits da vers?o 1) e o bulk request.A vers?o 3 teve grandes acréscimos de seguran?a:Autentica??o de utilizadores (usernames que podem ser organizados em grupos)Pacotes de dados podem ser autenticados, encriptados ou ambosToda comunica??o SNMP pode ainda ser “segurada” por meio de Access-lists.Configura??o(config)# Access-list <acl-name> permit <ip address>(config)# snmp-server community <comm. string> [ro|rw] [acl-number](config)# snmp-server host <host address> <comm.. string> [trap-type]O ultimo commando define o destino das traps. Trap-type define o tipo de traps que ser?o enviados.A configura??o da vers?o 2 é semelhante. Com a diferen?a que podem ser usados informs(config)# snmp-server host <host address> [informs] version 2c [comm. string]Para a vers?o 3:(config)# snmp-server group <grp name> v3 {noauth|auth|priv}(config)# snmp-server user <username> <grp name> v3 auth {md5|sha} <auth-password> priv {des|3des|aes{128|192|256}} <priv-password>}(config)# snmp-server host <host-ip> [informs] version 3 {noauth|auth|priv} <username> [trap-type]IP SLA IOS IP SLA é uma funcionalidade para switches e routers para colecta de estatísticas de tráfego end-to-end na rede.Um dispositivo SLA corre um teste e gera tráfego com destino em outro dispositivo. O dispositivo remoto responde e a fonte recolhe dados do que se passou.Testes incluem: ICMP, Path-jitter, DNS, DHCP, FTP, HTTP, UDP-echo, udp-jitter, tcp-connect.Alguns testes precisam somente de um dispositivo remote activo sem configura??o adicional (ICMP, DNS, FTP…).Outros testes precisam de estar configurados com IP SLA Responder.O dispositivo IP SLA de origem come?a por enviar mensagens de controlo port UDP:1967.A origem usa a conex?o de controlo para informar ao responder para come?ar a ouvir em portas adicionais onde o teste IP SLA será feito.Configura??o!responder(config)# ip sla responder!configura??o de IP SLASwitch(config)# ip sla <operation-number>Switch(config-ip-sla)# <test-type> <parameters...>Switch(config)# ip sla schedule operation-number [life {forever | seconds}] [start-time {hh:mm[:ss] [month day | day month] | pending | now | after hh:mm:ss}] [ageout seconds] [recurring]Para vers?es de IOS anteriores a 12.2(33) a sintaxe do commando pode ser:(config)# ip sla monitor <operation-number>(config)# type <test-type>(config)# ip sla monitor scheduleVerifica??oShow ip sla configurationShow ip sla statistics [aggregated] [<operation-number>]IP SLA pode ser usado como “trigger” de determinadas opera??es no router/switch.Para tal cria-se um track object. Este objecto pode depois ser utilizado (HSRP, route-objects, etc)(config)# track <object-number> ip sla <operation-number> {state | reachability} ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download