2009 December | brainwork´s blog

Identificando o caminho físico

Por André Ortega, 29/12/2009 09:35

O Traceroute é uma ferramenta que utiliza o ICMP para verificar o caminho layer 3 (lógico) até um determinado IP. Além do caminho ele também permite diagnosticar possíveis problemas na rede, já que nos informação a latência até cada “salto” do caminho.

Muito útil, mas até aqui nenhuma novidade. Até o Windows possui essa ferramenta (Tracert).

Nos switches Cisco porém, temos a opção de fazer um Traceroute Mac, e mapear o caminho físico (layer 2) entre dois hosts.

Por exemplo, se o Admin quiser saber o caminho físico entre o PC1 e PC2, basta saber o MAC ou IP dos dois PCs.

Traceroute Layer 2

Exemplo:

BrainGW01#traceroute mac 00c0.9f79.f41e 000d.9dd1.3918 detail
Source not directly connected, tracing source …..
Source 00c0.9f79.f41e found on BrainSW02[WS-C2950T-48-SI] (10.10.10.52)
1 BrainSW02 / WS-C2950T-48-SI / 10.10.10.52 :
Gi0/1 [full, 1000M] => Fa0/39 [full, 100M]
2 BrainSW06 / WS-C2950-24 / 10.10.10.56 :
Fa0/24 [full, 100M] => Fa0/2 [auto, auto]
Destination 000d.9dd1.3918 found on BrainSW06[WS-C2950-24] (10.10.10.56)
Layer 2 trace completed.
BrainGW01#

Como resultado temos a informação de que o MAC de origem (00c0.9f79.f41e) está no switch BrainSW02 porta G0/1 e o MAC de destino (000d.9dd1.3918) está na porta F0/2 do switch BrainSW06. Também podemos identificar as conexões entre os switches, neste exemplo a porta F0/39 do BrainSW02 está conectada a porta F0/24 do BrainSW06.

Outra opção é utilizar o comando traceroute mac ip 10.10.10.5 10.10.10.20 detail, e deixar que o switch encontre o MAC.

Restrições

Para o trace layer 2 funcionar é necessário atender algumas especificações:

O CDP deve estar habilitado em todos os switches;
Todos os switches devem estar alcançáveis a partir de onde a consulta esta sendo realizada (se der um ping todos os equipamentos devem responder;
O máximo de saltos no caminho deve ser 10;
Origem e destino devem pertencer a mesma VLAN;
Não é possível rastrear um endereço de multicast;
Se o MAC pertence a múltiplas VLANs, a VLAN deve ser especificada;
O traceroute layer 2 não consegue rastrear MACs através de hubs;
Esta funcionalidade não é suportada em redes Token Ring;

Até a próxima.

Leia também:

Compartilhe:

Cisco, Configuração, Dicas, IOS, Switches, Uteis | Caminho Físico, Layer 2, Rastrear MAC, Trace Layer 2, Traceroute, Tracert

Feliz Natal

Só um comentário

Por André Ortega, 25/12/2009 04:33

Feliz Natal para todos que acompanham o brainwork. E como não poderia deixar de ser, só para variar… Cisco!

Um bom ano de 2010 e continuem com a gente.

*Será que alguém vai acessar o blog hoje ?

Até a próxima.

Leia também:

Compartilhe:

Cisco, Telepresença | Natal, Telepresença

Configurando Private VLAN

Seja o primeiro a comentar

Por Rafael Leão, 23/12/2009 07:00

Anteriormente publicamos um post sobre PVLAN, que descrevia os conceitos deste recurso. Agora será mostrada uma configuração básica, usando 5 estações de trabalho, 1 router Cisco 2801 e um switch Cisco Catalyst 3750. Abaixo está a topologia proposta para esta configuração.

Nesta configuração, a subrede 192.168.200.0/24 será segmentada em 3 subdomínios, identificados pelas PVLANs 200, 300 e 400, e a PVLAN 100 como primária:

VLAN 100: PVLAN primária das PVLANs 200, 300 e 400.

VLAN 200: PVLAN secundária do tipo isolada. A esta estará conectado o host 192.168.200.1 (Fa1/0/1).

VLAN 300: PVLAN secundária do tipo comunidade. A esta estarão conectados os hosts 192.168.200.30 (Fa1/0/3) e 192.168.200.40 (Fa1/0/2).

VLAN 400: PVLAN secundária do tipo comunidade. A esta estarão conectados os hosts 192.168.200.10 Fa1/0/5) e 192.168.200.20 (Fa1/0/4).

O Cisco router 2801 (192.168.200.254), estará conectado a porta promíscua Fa1/0/24, pois será o gateway da rede.

Configuração do switch 3750:

!- O VTP não suporta PVLANs, portando o switch deve
!- operar em modo transparente
vtp mode transparent
!
!- Criando a PVLAN 200
vlan 200
name Isolated_VLAN
!- Definindo a PVLAN como tipo isolated
private-vlan isolated
!- Para que alterações ou criações de VLANs entrem
!- em vigor, é necessário sair do modo de configuração
!- de VLANs com o comando ‘exit’
exit
!
!- Criando a PVLAN 300
vlan 300
name Community_VLAN1
!- Definindo a PVLAN como tipo community
private-vlan community
exit
!
!- Criando a PVLAN 400
vlan 400
!- Os nomes das VLANs não podem se repetir
name Community_VLAN2
!- Definindo a PVLAN como tipo community
private-vlan community
exit
!
!- Criando a PVAN 100
vlan 100
name Primary_VLAN
!- Definindo como PVLAN primária
private-vlan primary
!- Associando as PVLANs secundárias; obs.: as secundárias
!- foram criadas primeiro, pois a associação a primária só
!- ocorre se as VLANs estiverem criadas
private-vlan association add 200,300,400
exit
!
!- Os comandos seguintes associarão as interfaces ás suas
!- respectivas VLANs. No modo de configuração de interface,
!- definimos a PVLAN primária e a secundária
!
interface FastEthernet1/0/1
!- Associando a PVLAN 100 como primária e 200 como secundária
switchport private-vlan host-association 100 200
!- Definindo a interface como conexão a um host (ex.: notebook)
switchport mode private-vlan host
!- Por ser porta de acesso, a podemos configurar o portfast
spanning-tree portfast
!
interface range FastEthernet1/0/2 – 3
!- Associando a PVLAN 100 como primária e 300 como secundária
switchport private-vlan host-association 100 300
switchport mode private-vlan host
spanning-tree portfast
!
interface range FastEthernet1/0/4 – 5
!- Associando a PVLAN 100 como primária e 400 como secundária
switchport private-vlan host-association 100 400
switchport mode private-vlan host
spanning-tree portfast
!
!- Agora a configuração da interface Fa1/0/24, a qual se
!- conectará o gateway 192.168.200.254
!
interface FastEthernet1/0/24
!- Mapeando a porta promíscua a PVLAN primária 100 e
!- as respectivas secundárias
switchport private-vlan mapping 100 200,300,400
switchport mode private-vlan promiscuous

Para verificar a configuração, podem ser usados os comandos ‘show vlan private-vlan’ e ‘show vlan private-vlan type’. Mais informações sobre PVLANs podem ser encontrados no site da Cisco e no post anterior. Para saber se o IOS que você usa ou se a plataforma que você usa suporta PVLANs, consulte o Feature Navigator da Cisco.

Obs.: o IOS usado neste laboratório foi ‘c3750-advipservicesk9-mz.122-44.SE.bin’.

Qualquer dúvida, mande comentários.

Espero ter ajudado. Até breve!

Leia também:

Compartilhe:

Cisco, Configuração, Geral, IOS, Segurança, Switches | 3750, community vlan, Configuração, isolated vlan, private vlan, PVLAN

Entendendo Private VLANs

Só um comentário

Por Rafael Leão, 17/12/2009 07:00

Private VLAN, ou PVLAN, é um recurso que permite segmentação de uma VLAN em diversos grupos de portas separados. Apesar destes grupos estarem na mesma VLAN (consequentemente, mesmo domínio broadcast e range de IP), eles não se comunicam entre si, pois este isolamento é feito por camada 2.

Como vantagens principais, podemos citar a redução do consumo de endereços IP, e políticas de acesso, como por exemplo, hosts de uma mesma subrede não se comunicarem sem uso de ACLs.

No domínio de uma VLAN normal, configurada como PVLAN, são criadas divisões chamadas de subdomínios, que são pares formados cada um por uma Primary VLAN (VLAN Primária) e uma Secondary VLAN (VLAN Secundária).

1_TopologiaPVLAN

Uma VLAN primária pode formar pares com várias VLANs secundárias, possibilitando a criação de vários subdomínios dentro de uma PVLAN. O que identifica estes subdomínios em uma PVLAN é ID das VLANs secundárias. As VLANs secundárias podem ser de 2 tipos: Isolated e Community. Elas Têm em comum, como citado acima, a mesma VLAN como primária, e acesso de todos os hosts conectados as portas de seu subdomínio à Promiscuous Port (porta promíscua).

Promiscuous Port

Geralmente na rede há um gateway ou servidor, ou qualquer host que todos os demais podem acessar. Em um cenário de PVLAN, estes hosts estão conectados a uma interface, chamada de Promiscuous Port. A VLAN primária e as demais secundárias são associadas (mapeadas) a esta interface, de modo que os hosts de QUALQUER VLAN secundária tenha acesso irrestrito a ela.

Isolated VLAN

Host conectados às interfaces associadas a esta VLAN, chamadas de Isolated Ports, comunicam-se SOMENTE com hosts conectados à Promiscuous Port.

Community VLAN

Host conectados às interfaces associadas a esta VLAN, chamadas de Community Port, comunicam-se entre si e com os hosts conectados à Promiscuous Port.

PVLAN em Diversos Switches

Para que o tráfego de PVLANs trafegue normalmente através de vários switches, dois tipos de trunk que podem ser configurados: o trunk padrão e o PVLAN trunk.

Trunk padrão: entende as PVLANs como VLANs normais. É usado quando os dois switches conectados suportam e estão corretamente configurados com as mesmas PVLANs.

2_TopologiaDefaultTrunk

PVLAN Trunk Isolated Port: permite passagem de tráfego de várias portas promíscuas em uma única interface. É um trunk promíscuo usado para levar tráfego de múltiplas PVLANs primárias a múltiplas PVLANs secundárias, principalmente quando um dos switches não suporta PVLANs, como os da série 2960.

3_TopologiaPVLANTrunk

Principais Restrições

- O protocolo VTP não suporta PVLANs, portanto, os switches devem operar em VTP modo transparente, e as configurações devem ser feitas manualmente em todos os switches;
- As VLANs 1 e de 1002 até 1005 não podem ser configuradas como PVLANs;
- Interfaces VLAN layer 3 não podem ser configuradas como PVLAN;
- Não é possível configurar EtherChannel em interfaces de PVLAN;
- Uma VLAN primária pode se associar com várias VLANs secundárias community, mas somente uma Isolated;
- Apenas trunks 802.1Q são suportados por PVLANs.

Há outras restrições documentadas aqui.

Espero ter ajudado. Em breve teremos exemplos de configuração.

Até mais.

Leia também:

Compartilhe:

Cisco, Geral, IOS, Switches, Tecnologias | community pvlan, Conceitos, isolated pvlan, private vlan, promiscuous port

Configurando EtherChannel PAgP

(2) Comentários

Por Rafael Leão, 15/12/2009 08:09

Há alguns dias foi publicado o post sobre o que é e como funciona o EtherChannel PAgP. Neste será mostrada a configuração de um EtherChannel.

Na topologia a seguir temos 2 switches multilayer: um Catalyst 3550 (Cat3550) e um 3750 (Cat3750). Iremos configurar um Fast EtherChannel de 4 canais (800Mbps).

3 exemplos serão feitos com esta topologia.

Exemplo 1: EtherChannel como porta de acesso

No primeiro exemplo, será feita uma configuração com as interfaces operando em modo de acesso. Em Cat3550, as portas de Fa0/1 até Fa0/4 farão parte do channel-group 1, e em Cat3750, de Fa1/0/1 até Fa1/0/4.

Configuração

!- Configuração de Cat3550
!
enable
configure terminal

!- Criando a interface Port-channel 1
interface Port-channel1
switchport mode access

!- Associando as interfaces físicas ao Port-channel
interface range FastEthernet0/1 – 4
switchport mode access
channel-group 1 mode on

interface Vlan1
ip address 10.0.0.1 255.255.255.0
no shutdown

!- Configuração de Cat3750

enable
configure terminal

!- Criando a interface Port-channel 1
interface Port-channel1
switchport mode access

!- Associando as interfaces físicas ao Port-channel
interface range FastEthernet1/0/1 – 4
switchport mode access
channel-group 1 mode on

interface Vlan1
ip address 10.0.0.2 255.255.255.0
no shutdown

Exemplo 2: EtherChannel como trunk

Agora iremos configurar o port-channel para ser um trunk, onde será permitido o tráfego de 2 VLAN’s (10 e 20).

Configuração

!- Configuração de Cat3550
!
enable
configure terminal

!- Criando a interface port-channel 1
interface Port-channel1
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
exit

interface range FastEthernet0/1 – 4
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
!- Associando as interfaces físicas ao port-channel
channel-group 1 mode on
exit

!- Criando as VLANs
vlan 10
vlan 20

interface Vlan1
ip address 10.0.0.1 255.255.255.0
no shutdown

!- Opcionalmente, colocando IPs nas VLANs
interface Vlan10
ip address 10.0.10.1 255.255.255.0
no shutdown

interface Vlan20
ip address 10.0.20.1 255.255.255.0
no shutdown

!- Configuração de Cat3750
!
enable
configure terminal

!- Criando a interface port-channel 1
interface Port-channel1
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
exit

interface range FastEthernet1/0/1 – 4
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
!- Associando as interfaces físicas ao port-channel
channel-group 1 mode on
exit

!- Criando as VLANs
vlan 10
vlan 20

interface Vlan1
ip address 10.0.0.2 255.255.255.0
no shutdown

!- Opcionalmente, colocando IPs nas VLANs
interface Vlan10
ip address 10.0.10.2 255.255.255.0
no shutdown

interface Vlan20
ip address 10.0.20.2 255.255.255.0
no shutdown

Exemplo 3: EtherChannel como interface camada 3

Agora a interface será layer 3 e terá um endereço IP. Para isso, primeiramente é necessário habilitar a operação do switch em layer 3, com o comando ‘ip routing’, e, com o comando ‘no switchport’, desabilitar a função de switching da interface.

!- Configuração de Cat3550
!
enable
configure terminal

ip routing

interface Port-channel1
no switchport
ip address 10.0.0.1 255.255.255.0

interface range FastEthernet0/1 – 4
no switchport
channel-group 1 mode on
exit

!- Configuração de Cat3750
!
enable
configure terminal

ip routing

interface Port-channel1
no switchport
ip address 10.0.0.2 255.255.255.0

interface range FastEthernet1/0/1 – 4
no switchport
channel-group 1 mode on