OSPF - Parte III

PS: Se o ASBR está em uma área NSSA (Não aceita rotas externas tipo 5) ele cria um LSA tipo 7, ou seja, A area que tem um NSSA não aceita rotas externas de outras áreas, apenas as rotas externas aprendidas pelo ASBR que esteja na mesma área.
O LSA 7 é convertido para LSA 5 quando sai da NSSA.


Configuração








Virtual link

Todas as áreas tem que estar ligadas a área 0. Algumas vezes devido a alterações provisórias na rede isso não é possível, então é possível criar um túnel para que os LSA atravessem uma área.
Configuração (muito simples; muito rápido)
!R1 router ospf 1 area 3 virtual-link 3.3.3.3 ! R3 router ospf 1 area 3 virtual-link 1.1.1.1






OSPF Stub Router
Stub Router (Não confundir com stub área), previne que u8m roteador se torne um roteador de trânsito.
Se o OSPF convergir antes do BGP pode haver descartes de pacotes, então essa feature envia métrica infinita (cost 16,777,215) até que haja a convergencia.
Configurando:
max-metric router-lsa on-startup time
ou
max-metric router-lsa on-startup wait-for-bgp (Esse aguarda o BGP ou até 10 minutos)

OSPF - Parte II

Design e LSAs

O OSPF pode dividir segmentos da rede em áreas:

- Per-area LSDBs requer menos memória.
- Computação SPF mais rápida.
-Uma falha causa apenas computação parcial SPF em outras áreas.
-Sumariza rotas facilitando o SPF.

Definições:
-Transit network: Segmento de rede em que existem 2 ou mais neighbors OSPF.
-Stub network: Segmento de rede em que não existe neighbors OSPF.


Seleção de caminhos entre áreas

O OSPF segue algumas regras para transportar tráfego entre as áreas, o que pode fazer ele se comportar como distance vector ao invés de link-state:

-Escolhe o caminho mais curto para a area 0.
-Escolhe o caminho mais curto através da area 0 em atravessar uma nonzero area.
-Escolhe o caminho mais curto para o destino sem atravessar a area 0.

Tipos de LSA

ABRs ao invés de encaminhar LSA tipo 1 ou 2 para outras áreas eles encaminham LSA tipo 3 (Subnet, mask e custo).

A métrica de um LSA (1 ou 2) de uma rede inoperante é alterado para 16,777,215 ((2^24 )– 1),
Um LSA (3) de uma rede inoperante é retirado da LSDB, por isso, pode ficar um tempo nas LSDB de outros routers, recomenda-se retirar manualmente o LSA para que o router divulgue e assim ocorra uma rápida convergência.

LSA tipo 4 informa a rota para alcançar o ASBR.
LSA tipo 5 transporta as rotas externas (E1 e E2).
E1 (External type E1) - Custo da rota instalada é a soma do custo da rota externa com o custo até o ASBR.
E2 (External type E2) - Custo da rota externa somente.

OSPF - Parte I

Protocolo link-state, que constroi a link-state database (LSDB), através de link-state advertisements (LSAs).
Usa IP protocol 89

OSPF Router ID

A escolha é feita na seguinte ordem:
1 - router-id id - Configurado como subcomando do comando router ospf
2 - Maior IP Loopback (UP/UP)
3 - Maior IP de uma interface (UP/UP)

Adjacências

O OSPF forma adjacências, vizinhos e mantem a LSDB através de 5 tipos de mensagens.

















Cada LSA começa com a sequência 0x80000001, é incrementada até 0x8FFFFFFF e então volta para a 0x7FFFFFFF. Ao chegar na sequência 0x80000000 o LSA têm que ser comunicado nocamente para toda a rede.

Para otimizar a troca de LSA no domínio OSPF é utilizado o Designated Router DR:

Neighbors - Routers que dividem o mesmo link e que trocam hello

Adjacentes - Routers que trocam DD e LSU diretamente.

Para o DR e BDR é usado o endereço de multicast 224.0.0.6
O DR para os demais usa-se 224.0.0.5








Tipos de Redes OSPF:

EIGRP

Adjacências:
Envia multicast 224.0.0.10 para formar adjacências, que é formada se:
Passar no processo de autenticação(Somente MD5, Não aceita texto)
Estiver no mesmo AS
Estiver na mesma rede da interface primária (Não aceita se o IP for da rede do IP "Secondary")
Tiver as mesmas métricas (K Value)






Updates:

Usa Full updates por multicast usando RTP (Reliable Transport Protocol).
Novos updates são enviados quando existir alteração das rotas.
Os Neighbors respondem com unicast.
Caso não haja resposta dentro do RTO (Retransmission Timeout), é enviado o update em unicast para o neighbor que não respondeu.




Tabelas:
O EIGRP mantém 3 Tabelas
Neighbors
Topologia
Rotas

Métricas:
Metric = 256 (10^7/bandwidth) + 256 (delay)

Ao efetuar o comando

R1# show ip eigrp topology

ele mostra

Distância Calculada / RD (Reported Distance - Distancia anunciada pelo neighbor)
E a feasible distance (FD) que mostra a métrica da successor route (Rota que vai para a Routing Table)(Que tem o menor DC)
P 172.31.211.0/24, 1 successors, FD is 1024
via 172.31.11.201 (1024(DC)/768(RD)), FastEthernet0/0

Quando um FS falha se o router tiver uma alternativa em Feasibility condition ele instala a rota.
Se não ele entra em modo ativo e busca nos neighbors, se o Active Timer expirar ele coloca a rota em Stuck-in-Active e fecha a adjacência com os routers que não responderam (pois estão recalculando e ainda não estão com a topologia concreta).

Para desativar essa condição: "timers active-time disabled"
Load-Balancing:











Stub:
É possivel configurar um router como stub, assim ele informa ao seu neighbor que ele é stub e o neighbor não faz query a este quando no estado ativo.




Distribute-list:

router eigrp 1
network 10.0.0.0
network 172.31.0.0
distribute-list prefix wo2 in FastEthernet0/0 (Barra prefixos)
distribute-list 2 in FastEthernet0/0 (Barra ranges)
!
ip prefix-list wo2 seq 5 deny 172.31.192.0/21 ge 30 le 30
ip prefix-list wo2 seq 10 permit 0.0.0.0/0 le 32
!
access-list 2 deny 172.31.196.0 0.0.3.255
access-list 2 permit any

RIP

Resumo:

Envia updates multicast 224.0.0.9(V2) ou broadcast 255.255.255.255 (V1) a cada 30 segundos ou quando uma rota é aprendida.
Aprende até 6 rotas iguais, 4 é default, se tiverem o mesmo numero de hop.









Métodos de Prevenção de loops:















Ações que podem ser alteradas por interface:






Para criar uma distribute-list:
distribute-list {access-list-number | name} {in | out} [interface-type interface-number]


Autenticação:

Router(config)# key chain ccie
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string 1234

Router(config)#interface Serial0
Router(config-if)#ip rip authentication mode md5(text é default)
Router(config-if)#ip rip authentication key-chain ccie

A próxima vitima agora será o EIGRP :)

Policy Routing

Policy Routing

Pura e simplesmente quando você diz para o IOS processar os pacotes com uma lógica diferente da usual:

Frame Relay InARP

O Host conhece o Data Link Address (DLCI) e aprende o IP através do LMI.






Exemplo nas Topologias:

1- No PtP o Router ignora o InARP recebido pois como é um link PtP ele entende que todos os hosts da rede estão acessíveis atravéz daquele DLCI, por isso não cria mapeamento Frame Relay.
2-No multiponto ele recebe o InARP dos hosts de interesse e cria o mapeamento Frame Relay
3-Como não está configurada como PtP ele só recebe InARP do DLCI 100, é necessário criar uma entradaestática no mapeamento Frame Relay.
Router4(config-if)# frame-relay map ip 172.31.134.3 100

Resumindo:

IP Forwarding,Process Switching, Fast Switching, e Cisco Express Forwarding

IP Forwarding

1-O pacote é processado se o FCS estiver correto, caso contrário é descartado.
2-O pacote é extraido de acordo com o Ethernet Type.
3-Procura pelo prefixo mais especifico na tabela de roteamento
4-É construido um novo Data link Frame
5-(antes de ser encapsulado no novo Frame) O TTL é incrementado e é recalculado o checksum do pacote IP.
6- O pacote e o frame são encapsulados.





Process Switching

Os processos 3 e 4 descritos acima, são os que mais demandam tempo de processamento na hora do encaminhamento.

Fast Switching

Criado para agilizar o processo 3 e 4, para fluxos repetidos de pacotes (Imagine que num FTP vc tem um fluxo de pacotes de uma mesma origem e mesmo destino, a consulta feita é igual e repetida)
O primeiro pacote aciona a criação de uma entrada na Fast-switching cache (rotuer cache) que agiliza o processo, ela contém:
Destination IP address Next-hop information Data link header

Drawbacks:
As entradas expiram rapidamente para que o cache não fique muito grande.
Balanceamento de carga só funciona por destino.

Cisco Express Forwarding

CEF Cisco Express Forwarding
Cria Forwarding Information Base (FIB), que contém TODAS as rotas conhecidas.
As entradas não expiram
A busca é feita em na mtree que reduz o tempo da busca na tabela.
Mais efetivo no balanceamento de carga.
É atualizada com a informaçoès da Tabela de roteamento e fluxos.

Comparação:

Progresso atual 13/08

Chapter 6 IP Forwarding (Routing)
(Ainda hoje!!)
Process Switching, Fast Switching, and Cisco Express Forwarding
Building Adjacency Information: ARP and Inverse ARP
Frame Relay Inverse ARP
Static Configuration of Frame Relay Mapping Information
Disabling InARP
Classless and Classful Routing
(Amanhã)
Multilayer Switching
MLS Logic
Using Routed Ports and PortChannels with MLS
MLS Configuration
Policy Routing

Chapter 7 RIP Version 2

RIP Version 2 Basics
RIP Convergence and Loop Prevention
Converged Steady-State Operation
Triggered (Flash) Updates and Poisoned Routes
RIP Convergence When Routing Updates Cease
Convergence Extras
RIP Configuration
Enabling RIP and the Effects of Autosummarization
RIP Authentication
RIP Next-Hop Feature and Split Horizon
RIP Offset Lists
Route Filtering with Distribute Lists and Prefix Lists

Progresso geral:

Part I Part I: LAN Switching
Chapter 1 Ethernet Basics
Chapter 2 Virtual LANs and VLAN Trunking
Chapter 3 Spanning Tree Protocol
Part II IP
Chapter 4 IP Addressing
Chapter 5 IP Services
Part III IP Routing
Chapter 6 IP Forwarding (Routing)
Chapter 7 RIP Version 2
Chapter 8 EIGRP
Chapter 9 OSPF
Chapter 10 IGP Route Redistribution, Route Summarization, and Default Routing
Chapter 11 BGP
Part IV QoS
Chapter 12 Classification and Marking
Chapter 13 Congestion Management and Avoidance
Chapter 14 Shaping and Policing
Part V Wide-Area Networks
Chapter 15 Frame Relay
Part VI IP Multicast
Chapter 16 Introduction to IP Multicasting
Chapter 17 IP Multicast Routing
Part VII Security
Chapter 18 Security
Part VIII MPLS
Chapter 19 Multiprotocol Label Switching
Part IX IP Version 6
Chapter 20 IP Version 6

Web Cache Communication Protocol

Encaminha o conteúdo para um proxy sem o Host saber (Só não conta pra ninguem ok ;P )

Configuração do WCCPv2

Endereço multicast do servidor de conteúdo e o MD5 password:
ip wccp web-cache group-address 239.128.1.100 password cisco

Interface onde está o servidor de conteúdo
int fa0/0
ip wccp web-cache redirect out

Tráfego de entrada dessa interface é excluido do encaminhamento.
int fa0/1
ip wccp redirect exclude in

Mais info no:
http://www.cisco.com/en/US/docs/ios/11_2/feature/guide/wccp.pdf

HSRP, VRRP e GLBP

Hot Standby Router Protocol (HSRP),
Virtual Router Redundancy Protocol (VRRP)(RFC 3768)
Gateway Load Balancing Protocol (GLBP)

Hot Standby Router Protocol (HSRP), Virtual Router

Virtual IP address e virtual MAC
Standby routers escuta Hellos do Active router, (3-second / 10-second dead)
Maior priority (100, range 1–255) determina o Active router
Até 255 HSRP groups per interface, para load balancing
Virtual MAC of 0000.0C07.ACxx, xx é o HSRP group
Virtual IP address tem que estar na mesma subnet da interfaces
Virtual IP address nõ pode estar um uso
Supports clear-text and MD5 authentication
Preempt não é default

Ele pode observar a falha de uma interface e decrementar sua prioridade.
E com o preempt ele volta a ser o router ativo (Quando a prioridade voltar a ser a maior).

track 23 interface Serial0/0.1 line-protocol

interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
standby 21 ip 10.1.1.21
standby 21 preempt
standby 21 track 23 decrement 9 (Padrão 10)

Multiple HSRP (MHSRP) (Uma adaptação Técnica - Gambiarra)

É quando se cria 2 ou mais grupos em uma mesma interface com gateways diferentes setados nos hosts e grupos com prioridades diferentes para "Balancear a carga"

Virtual Router Redundancy Protocol (VRRP)
Idem ao HSRP porém padronizado pela RFC 3768.
Usa o 0000.5E00.01xx
Usa o endereço da interface master, caso falhe o slave responde pelo MAC/IP do master.
1-second Hellos / 3-second dead
Preempt é defaul

interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
vrrp 1 ip 10.1.1.1 !Endereço IP do MASTER
vrrp 1 priority 120 !(default é 100)

Gateway Load Balancing Protocol (GLBP)

Também a mesma coisa do HSRP e também é proprietário CISCO.
A única coisa que muda é que ele usa o MAC 0007.B400.xxyy, onde xx é oGLBP group number e yy um número diferente para cada router (01, 02, 03, or 04). Com isso ele faz um balanceamento de MAC nas respostas ARP fazendo, assim cada router é o gateway de cada grupo de Hosts, fazendo um balanceamento um pouco melhor.
Suporta até 1024 grupos GLBP

interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
glbp 1 ip 10.1.1.3
glbp 1 priority 120

ARP, Proxy ARP, RARP, BOOTP, DHCP

Como uma imagem vale mais que mil palavras e esse conceito já está muito esclarecido estão ai as anotações:

Address Resolution Protocol (ARP, RFC 826). Proxy ARP (RFC 1027)









RARP (RFC 903)
BOOTP (RFC 951)









E o BOOTP evolui para o DHCP (RFC 2131)
Funciona assim:





Configurar um DHCP é facinho:

Excluimos por exemplo os 20 primeiros endereços do pool disponivel:

ip dhcp excluded-address 10.1.1.0 10.1.1.10

E configuramos os parametros do server com um lease de 0 days, 0 hours, and 20 minutes.

ip dhcp pool subnet1
network 10.1.1.0 255.255.255.0
dns-server 10.1.2.203
default-router 10.1.1.1
lease 0 0 20

E pronto! Caso o DHCP não esteja no mesmo seguimento, um comando legal é o ip helper, o tráfego UDP broadcasts na interface E0 serão encaminhados como unicasts para 10.1.2.202.

O source IP é alterado para 10.1.1.255, assim a resposta será um broadcast para a E0.

interface Ethernet1
ip address 10.1.1.1 255.255.255.0
ip helper-address 10.1.2.202

Resumindo:

NAT (Statico e Dinamico) e PAT

Muiiiiiiiiiiiiita confusão é feita com os termos Inside Outside, local e global.
Não vou usar a definição da cisco, mas uma definição geralzona pra entender melhor, porque você pode usar o NAT para diversos motivos.

Inside Local - Endereço dos hosts (Geralmente privados).
Inside Global - Endereços com que os hosts "saem".

Outside Local - Endereço a ser alcançado
Outside Global - Endereço a ser alcançado pelo host local

Vamos por partes, vou primeiro definir o "Inside


Até ai é tranquilo e bem ilustrado mas o pessoal geralmente faz confusão com os outside que quando pra internet sempre aparece o mesmo endereço para outside local/global, porque geralmente sempre fazemos transações para saida, e nunca para entrada.




Desmistificando então. Vou usar um exemplo da cisco fazendo overlapping que fica mais fácil de entender:

Informo que o endereço inside 10.10.10.1 aparece outside como 171.16.68.5
ip nat inside source static 10.10.10.1 171.16.68.5

Informo que o endereço outside 171.16.68.1 é o endereço inside 10.10.10.5
ip nat outside source static 171.16.68.1 10.10.10.5

Router#show ip nat translations

Pro   Inside global      Inside local         Outside local        Outside global
    --- ---           ---                 10.10.10.5           171.16.68.1
  171.16.68.5        10.10.10.1            ---                    ---

SAINDO   - icmp 10.10.10.1:4      10.10.10.1:4       10.10.10.5:4       171.16.68.1:4
ENTRANDO - icmp 171.16.68.5:39    10.10.10.1:39      171.16.68.1:39     171.16.68.1:39

A problemática da coisa está que nesse cenário você pode inverter as portas inside e outside que inverteria a tabela. Por isso que as pessoas as vezes se confundem.
Como diria o Entei:

"Calma, Tá tudo bem agora!!!"

Static NAT

1 Defina as interfaces Inside e outside

interface Ethernet0/0
ip address 10.1.1.3 255.255.255.0
ip nat inside
interface Serial0/0
ip address 200.1.1.251 255.255.255.0
ip nat outside

2 Especifique os endereços 1 para 1

ip nat inside source static 10.1.1.2 200.1.1.2
ip nat inside source static 10.1.1.1 200.1.1.1

e pronto!

Dynamic NAT sem PAT (Port Address Translation)

É a mesma coisa que o NAT só que voc6e especifica um Pool de endereços e o router faz o resto, cada endereço Global fica exclusivo para um local enquanto ele estiver usando.

ip nat pool TESTE 200.1.1.1 200.1.1.2 netmask 255.255.255.252
ip nat inside source list 20 pool TESTE (Ou a interface de Saida S0/0 para usar o end dela)
!
access-list 20 permit 10.1.1.0 0.0.0.255

Dynamic NAT com PAT
Usa as portas para especificar quais os fluxos IP, então um endereço Global pode suportar mais de 65000 fluxos IP (Não importa qual endereço local).
Basta adicionar OVERLOAD no final do comando.

ip nat inside source list 20 pool TESTE overload


Observações:
Para adicionar a entrada NAT na tabela de roteamento:
ip nat inside source list 20 pool TESTE add-route

Comandos:
show ip nat statistics
show ip nat translations
clear ip nat translations *

Classfull/Classless e ip subnet-zero

Relembrar é viver, então lá vai!!

Classfull - Não carrega máscara, se baseia nos bits inicio do endereço

A 1-126 0
B 128-191 10
C 192-223 110
D 224-239 1110
E 240-255 11110

Protocolos (exemplo)
RIP V1
IGRP

Classless - A máscara é nescessária para saber quantos bits são de rede/host
Suporta VLMS (variable lenght subnet mask) e supernet.
Protocolos (exemplo)
RIP V2
EIGRP
OSPF

Redes privadas
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Sabemos que o primeiro endereço de uma range representa a rede e o ultimo o host, porém no meio de uma range pode haver um endereços teminados em zero ou um (255), exemplo:
Na rede 10.0.0.0/8
os endereços 10.1.0.0 e 10.1.0.255 podem ser usados, porque os endereços de rede e broadcast são respectivamente 10.0.0.0 e 10.255.255.255
Porem alguns sistemas não trabalham bem com esses endereços, então para desabilitar esses endereços basta usar o comando:
no ip subnet-zero

O livro explica todo o conceito de conversão de subrede e tudo mais, não vou postar observações sobre isso.

Progresso atual 12/08

Segundo o livo, amanhã está fácil, talvez poste quase nada. Vou tentar fazer tudo pela manhã para poder avançar para a parte III (routing).

Amanhã vou estudar...
IP Addressing
IP Addressing and Subnetting
VLSM Subnet Allocation
Route Summarization Concepts
CIDR, Private Addresses
Network Address Translation
Static NAT
Dynamic NAT Without PAT
Overloading NAT with Port Address Translation
Dynamic NAT and PAT Configuration

IP Services
ARP, Proxy ARP, Reverse ARP, BOOTP, and DHCP
HSRP, VRRP, and GLBP
Network Time Protocol
SNMP, MIBs and Security
Syslog
Web Cache Communication Protocol



Segundo o livro creio que já foi cerca de 10%:
Part I Part I: LAN Switching
Chapter 1 Ethernet Basics
Chapter 2 Virtual LANs and VLAN Trunking
Chapter 3 Spanning Tree Protocol
Part II IP
Chapter 4 IP Addressing
Chapter 5 IP Services
Part III IP Routing
Chapter 6 IP Forwarding (Routing)
Chapter 7 RIP Version 2
Chapter 8 EIGRP
Chapter 9 OSPF
Chapter 10 IGP Route Redistribution, Route Summarization, and Default Routing
Chapter 11 BGP
Part IV QoS
Chapter 12 Classification and Marking
Chapter 13 Congestion Management and Avoidance
Chapter 14 Shaping and Policing
Part V Wide-Area Networks
Chapter 15 Frame Relay
Part VI IP Multicast
Chapter 16 Introduction to IP Multicasting
Chapter 17 IP Multicast Routing
Part VII Security
Chapter 18 Security
Part VIII MPLS
Chapter 19 Multiprotocol Label Switching
Part IX IP Version 6
Chapter 20 IP Version 6

Protegendo portas de acesso e Trunk

Portas de acesso:
BPDU Guard—Enabled per port; Se a porta receber um BPDU a porta entra em err-disable e requer intervenção.
Root Guard—Enabled per port; Ao receber BPDU a porta entra em loop-inconsistent state até que não receba mais.

Portas Trunk:
UDLD Normal - Informa se existir erro em um lado do link (Unidirecional error)(Syslog)
UDLD aggressive Tenta reconectar(eight times)caso contrário os dois lados entram em err-disabled.
Loop Guard— Quando parar de receber BPDUs entra em loop-inconsistent state.

IEEE 802.1s Multiple Spanning Trees (MST)

IEEE 802.1s Multiple Spanning Trees (MST)

Tambem chamado de :
Multiple Instance STP(MISTP)
Multiple STP (MSTP)

Ao invés de criar 1 instanvia STP para cada VLAN o MST pode agrupar diversas VLANs em uma mesma instancia STP, diminuindo o processamento.

O grupo de switches que usam MST é chamado de MST region

Para configurar:
1 - spanning-tree mode mst
2. Criar MST region com o comando name (up to 32 characters).
3. Criar MST revision number com o comando revision.
4. Mapear VLANs para um MST STP instance com o comando instance.




Para prevenir loops nos SW rodando STP o MST participa em uma instancia STP chamada Internal Spanning Tree (IST), que é vista como um unico SW.

Rapid Spanning Tree Protocol (RSTP)

IEEE 802.1w Rapid Spanning Tree Protocol (RSTP)
Rapid Per VLAN Spanning Tree Plus (RPVST+)

É apenas um STP melhorado que agiliza a convergencia do STP e padronizado pela IEEE.
Aguarda apenas 3 Hellos
Vai de disabled (antigo blocking) para learning sem passar pelo listening


Apenas 3 estados :
Discarting, Learning e Fowarding




Tipos de Link RSTP
Point-to-Point = FDX (full dupex) mesma lógica do BackboneFast, porém usando IEEE standard messages.
Shared = hub (ou meio compartilhado)
Edge = end user - mesma lógica que o spanning-tree portfast

Portas:

A única mudança é que existe um DP backup e uma nova definição para o backup da RP.




Embora o RSTP reconheça o tipo delink pelo duplex da porta, você pode forçar:
spanning-tree link-type {point-to-point | shared}

Rapid Per VLAN Spanning Tree Plus (RPVST+)

Idem ao PVSTP+ , mas funcionando em RSTP, para habilitar use apenas o:
Ativado pelo comando "spanning-tree mode rapid-pvst"

Otimizando o STP

Comandos básicos:
Show spanning-tree vlan 1
Show spanning-tree vlan 1 root

Alterar prioridade do SW:
SW(config)#spanning-tree vlan 1 priority (nx4096)

Alterar custo de uma porta:
SW(config-if)#spanning-tree vlan 1 cost (100)
_____________________________________________________________

Como o STP demora quase um minuto para convergir (20Maxage+30list&learn) algumas otimizações são possiveis:

Portfast
Pula o list&learn, não aplicar em portas ligadas a outros Sw devido a loops. Aconselhavel o uso de BPDU Guard e Root Guard.



Uplinkfast
(apenas para SW de acceso, nunca de core ou de transito)
Ele altera a prioridade do SW para 49152, custo das portas para 3000 e busca por Hellos para eleger a RP e envia broadcasts com src dos MAC locais.



Backbonefast
Detecta falhas indiretas enviando um Root Link Query (RLQ) BPDU ao SW superior, se o SW superior envias uma RLQ confirmando ele converge sem esperar o Maxage.
_____________________________________________________________

Usar PortChannels

Fast EtherChannel (FEC) (using FastE segments) and Gigabit EtherChannel
(GEC) (using GigE segments)
Ele encherga o conjunto como um unico canal, se pelo menos um link do canal estiver ativo o path STP nunca falhará e não precisará convergir.

O balanceamento pode ser feito por:
port-channel load-balance {src-mac(DEFAULT) | dst-mac | src-dst-mac | src-ip | dst-ip | src-dst-ip | src-port | dst-port | src-dst-port}

Configurando:
SW(config-if)#channel-group number(1) mode (on)

Dinamicamente:
Cisco-proprietary Port AggregationProtocol (PAgP)
IEEE 802.1AD Link Aggregation Control Protocol (LACP).
Com o comando SW(config-if)#channel-group number(1) mode (modo)
Resumindo:

Spanning Tree

Protocolos associados:
IEEE 802.1d STP, PerVLAN Spanning Tree Plus (PVST+)
IEEE 802.1s Multiple Spanning Trees (MST).
IEEE 802.1w Rapid Spanning Tree Protocol (RSTP).

No STP existem 3 processos de escolha:
Root Switch - Eleição atravéz de trocas de BPDU do SW com o menor bridge ID (priority(2Bytes) +MAC(6Bytes)








Root port - Escolha da porta Root, o Root SW envia hellos para a rede e os pacotes são redirecionados somados com o custo da porta do SW que recebe o hello.



Mesmo o SW3 recebendo do SW1 um custo 0 ele irá escolher o caminho do SW4 (38), pois quando ele faz a soma do custo recebido com o custo da porta que recebeu o SW4(57) tem um custo menor que o SW1(100)





Quando o resultado dá empate o SW escolhe:
1-O SW com menor bridge ID (Enviado no hello)
Empate de portas para um mesmo SW
2-Menor Port Priority
3-Menor port number

Ex de prioridade de portas
SW#Show spanning-tree vlan 1







Designated Port- Qual porta irá encaminhar frames em um segmento de rede, escolha feita pelo menor advertised cost ( o hello cost que o SW envia) e o desempade é feito da mesma maneira da RP.
No nosso exemplo anterior a porta Fa0/3 do SW4 será a DP e o SW3 não enviará mais frames para aquele segmento de rede.
___________________________________________________________________

Após estabilizada a topologia STP o root SW envia hello (hello timer default 2 segundos), cada SW os recebe pelas RP e retransmite nas DP e as portas do mesmo segmento da DP (que estão em Blocking) também recebem os hellos, porém não participam do envio.

Se o Maxage timer expirar (default 10 times Hello, ou 20 segundos) o processo ocorre novamente.

Quando uma alteração na tabela CAM é detectada o SW envia um Topology Change Notification (TCN) BPDU para o Root SW e este encaminha para os demais que devem responder com um Topology Change Acknowledgement (TCA) bit no Hello.

Resumindo as portas podem apresentar os seguintes status:
Lembrando que os tempos nos estados são:
Blocking (Muda para listening se não receber hello em 20 segundos)
Listening: 15 segundos depois muda para:
Learning: Mais 15 segundos se tudo ocorrer bem vai para Forwarding.
Não existe tempo para a porta ir para blocking.

PerVLAN Spanning Tree

PVST Apenas ISL
PVST+ 802.1q e ISL

O uso do PVST cria uma instância STP para cada VLAN, oque cria um balanceamento de tráfego.
O PVST+ quando é ligado em SW não cisco que usam o padrão IEEE alteram o mac para o IEEE STP MAC 0180.C200.0000 para tráfego da Vlan Nativa.
E para as demais VLANs ele transmite como 0100.0CCC.CCCD (Shared spanning Tree, SSTP) e assume observa a região CST (que não dá suporte a PVST) como um unico link.





Novamente uma boa apresentação da cisco em flash:

http://www.cisco.com/image/gif/paws/10556/spanning_tree1.swf

802.1q, ISL e DTP

ISL cria um novo frame (26bytes + 4 CRC), default cisco
802.1q adiciona 4 bytes de tag e altera ether type para 0x8100, default IEEE e suporta native VLAN

Cisco switches default to use the DTP desirable mode

Routers não suportam DTP

Modos do DTP:

















Comandos:

sh int trunk
sh int switchport
conf-if#switchport trunk allowed vlan vlan-list

Mesmo habilitando o pruning no servidor VTP é possivel retirar algumas VLANS do processo de pruning com o comando na interface trunk:

conf-if#switchport trunk pruning remove vlan-list

ou recolocar com:

conf-if#switchport trunk pruning add vlan-list

Um pouquinho de STP antes de dormir e depois IP

VTP

Server
Client
Transparent

VTP update ocorre quando VTP server add, delete ou update uma VLAN e é enviado a todas as interfaces TRUNK ativas (ISL ou 802.1Q), ou a cada 5 minutos.
Summary, subset ou request.
Summary e subset são enviados em resposta ao request.
Summary a cada 5 minutos.
Subset quando uma alteração é feita.
Request quando o revision number VTP recebido é maior de que está na database.

O sw não propaga anuncios de dominios distintos.

O Switch inicia no modo server por Default.

A criação de vlan pelo modo database não aparece no show run, as configurações ficam na flash:vlan.dat

Realizar os comandos erase flash e squeeze flash antes de botar um sw em produção.

Setando VTP password os VTP updates são encodados com MD5.

Mesmo com o vtp em server e trunk ativo nenhuma alteracão é propagada se não tiver um dominio configurado.
Os sw recebem as configurações do primeiro sw que tiver o dominio configurado e passam para client.

Normal-range VLANs are VLANs 1–1005, and can be advertised via VTP versions 1 and 2. These
VLANs can be configured in VLAN database mode, with the details being stored in the vlan.dat file inFlash.

VLAN ID
Normal - 1(Default),2-1001 e 1002-1005(FDDI e TR)
Extended - 1006-4094)

Extended - Só pode ser usada em modo transparente e são armazenadas na NVRAM(running-config), ao resetar o Sw se os dominios do vlan.dat e nvram forem fiferentes ele assume as configurações do vlan.dat somente.

Comandos:
Show VTP status
Show vlan brief

Achei uma animação interessante da cisco sobre VTP
http://www.cisco.com/warp/public/473/vtp_flash/

Chega de VTP, próximo tópico será detalhes do .1q e ISL depois inicio a parte IP.

Private VLAN

Anotações sobre as PVLAN

São VLANs especiais em que a comunicação entre dispositivos numa mesma VLAN ocorre de uma forma diferente.
As portas de um switch que fazem parte de uma PVLAN podem ser configuradas de 3 formas, divididas em dois modos de PVLAN:

PVLAN pimária(Só havera uma)
-A porta dessa VLAN é configurada como promíscua, encaminhando o tráfego vindo de qualquer porta na mesma PVLAN. Porta onde plugamos o router.


PVLAN secundárias(Depende do uso da porta)
- Configurada em modo community, encaminando o tráfego para a porta promíscua do switch ou para outras portas na mesma community (Servidores de um mesmo cliente em um farm).

- Configurada em modo isolated, podendo apenas encaminhar seu tráfego para a porta promíscua do switch (Clientes de um ISP ou porta IP).

Resumindo (Tabela tirada do livro):










! criando as PVLANs
vlan 300 private-vlan primary
vlan 301 private-vlan isolated
vlan 302 private-vlan community

! Realizando as associações das secundárias com a primária
vlan 300 private-vlan assoc 301,302

! Configurando uma porta qualquer em modo Isolated
interface (range) FastEthernet x/y (- z)
switchport mode private-vlan host
switchport private-vlan host association 300 301

! Configurando uma porta qualquer em modo Community
interface (range) FastEthernet x/y (- z)
switchport mode private-vlan host
switchport private-vlan host-association 300 302

! Configurando uma porta em modo promíscuo (Porta L3)
interface FastEthernet x/y
switchport mode private-vlan promiscuous

!Configura o mapeamento das portas para permitir o roteamento do tráfego
switchport private-vlan mapping 300 add 301,302

*Nota cisco:The private-vlan mapping interface configuration command only affects private VLAN ingress traffic that is Layer 3 switched.

Criando VLANs

Só para relembrar, existem dois métodos para se criar uma VLAN: usando o VLAN Database-mode ou usandoo Modo de Configuração. como primeiro, você faz todas as configurações e depois as aplica, então, a probabilidade de fazer algo errado é menor que o segundo método, pois as alterações já são aplicadas diretamente.


Usando o VLAN Database-mode
switch#vlan database
switch(vlan)#vlan 2 name NAME
switch(vlan)#apply/reset/abort(Ctrl-Z)
Apply - Aplica as alterações.
Reset - Não faz alterações mas permanece na VLAN Database-mode.
Abort ou Ctrl-Z - Não faz alterações e sai da VLAN Database-mode.

switch(vlan)#show current (Vlan) - Mostra as VLANs aplicadas.
switch(vlan)#show proposed (Vlan) - Mostra as VLANs criadas mas ainda não aplicadas.

Usando o Modo de Configuração
switch#config t
switch(config)#vlan 2
switch(config-vlan)#name NAME

__________________________________________________________________________________

Agora basta atribuir as portas as VLANs

switch(config)#interface fastEthernet 0/1 ou switch(config)#interface range fastEthernet 0/1 - 5
switch(config-if)#switchport access vlan 2
switch(config-if)#exit

Isso foi apenas para relembrar, logo vou postar as anotações sobre VTP e seu funcionamento, assim como switch port mode.

Frames arp e processamento

Coloco aqui alguns comandos a serem lembrados e os métodos de processamento dos switches, pois estavam no final do capítulo do livro em um apêndice.

switch4# show mac-address-table dynamic
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 000a.b7dc.b780 DYNAMIC Fa0/13
1 000a.b7dc.b78d DYNAMIC Fa0/13
1 0010.a49b.6111 DYNAMIC Fa0/6
1 0200.3333.3333 DYNAMIC Fa0/13
1 0200.4444.4444 DYNAMIC Fa0/4
Total Mac Addresses for this criterion: 5

switch4# show mac-address-table aging-time
Vlan Aging Time
---- ----------
1 300

switch4# show mac-address-table address 0200.3333.3333
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0200.3333.3333 DYNAMIC Fa0/13
Total Mac Addresses for this criterion: 1


________________________________________________

Store-and-forward: recebe todo o Frame antes de enviar e checa o FCS.
Cut-through: encaminha o Frame assim que recebe o endereço de destino.
Fragment-free: aguarda o recebimento dos primeiros 64 bytes do Frame, aonde existe maior probabilidade de colisão.

______________________________________________

Por hoje chega, amanhã segundo o planejamento é dia de Trunk e VTP.

Mac address

Iniciamos com a observação da divisão dos octetos do mas address, onde os três primeiros representam Organizationally Unique Identifier
( digamos os fabricantes) e os três últimos sequências colocadas pelo fabricante. Lembrando que o MAC Address é um endereço lógico que pode ser alterado, geralmente é o mesmo endereço BIA (burned-in address).
Segundo a figura existem dois bits sue devemos prestar atenção:



*The Individual/Group (I/G) bit
*Universal/Local (U/L) bit

Quando o I/G é 0(zero), significa que é um endereço unicast. Quando 1(um) significa que é um endereço Multicast.
Quando o U/L é 0(zero), significa que é um endereço "fornecido pelo fabricante". Quando 1(um) significa que é um endereço fornecido administrativamente( pelo o usuário ou aplicação).

para facilitar ilustrei os endereços possíveis na tabela abaixo:

Os bits X representam o primeiro nybble (conjunto de 4 bits ou "meio byte") do octeto, assim, o mac 00-11-11-22-22-22, onde 00-11-11 representa o OUI e o 00 o primeiro octeto, é de um tráfego unicast.

Já o MAC 01-11-11-22-22-22, multicast.

E o nosso famoso, FF-FF-FF-FF-FF-FF, que pela tabela é multcast ele foi administrativamente alocado.



Nota: quando colocamos administrativamente um endereço MAC o driver não se importa com o BIT U/L.

Erros de contadores

Apenas uma observação referente aos contadores abaixo:

54 output errors, 5 collisions, 0 interface resets
0 babbles, 54 late collision, 59 deferred

Collision nos contadores é quando é detectada nos primeiros 64 Bytes.
Late collision é quando é detectada apos os primeiros 64 Bytes.

Inicio dos estudos

Depois de ter tirado o CCNA e em seguida o CCNP pensei que iria parar por ai na carreira Cisco, porém, como a vida é uma caixinha de surpresas, algo aconteceu. Sofri um acidente de moto, e vou ter que ficar aproximadamente quatro meses em casa, acabo de me formar em engenharia elétrica e como todo bom engenheiro gosto de estudar. Resolvi fazer um intensivo de inglês e espanhol, mas mesmo assim sobrava tempo, então, inicia os estudos do CCIE.

Comprei o quia de certificação do exame :
(CCIE.Routing.and.Switching.Exam.Certification.Guide.3rd.Edition.Nov.2007)

Também preparei o Dynamips.

Sempre que estudo vou fazendo anotações e um resumo em um documento, como alguns amigos pediram uma cópia deste documento resolvi então criar este blog. não tenho a intenção de criar um tutorial para o CCIE, mas sim um repositório para as anotações do guia de certificação, onde outras pessoas possam comentar.