35 Versão da Apostila: 7.0
37 Versão da Apostila: 7.0
39 Versão da Apostila: 7.0
te
1)
( ) Significa que seu processador é poderoso
( ) A comutação de tráfego é feita diretamente no hardware (chips/silício) sem passar pelo processador (CPU) ( ) Significa que a velocidade do barramento de conexão com a CPU é de alta velocidade
2)
3)( ) SIM: ( ) NÃO:
4)
( ) 4 portas LAN e 4 portas WAN ( ) 2 portas LAN e 4 portas WAN ( ) 4 portas LAN e 2 portas WAN
41 Neste capítulo serão apresentados os principais comandos para a configuração dos equipamentos da linha Metro Ethernet.
Após este capítulo o aluno estará apto à:
• Configurar portas de interface
• Verificar o status das portas de interface • Configurar ACLs de gerenciamento • Configurar os níveis de syslog
• Configurar o syslog para ser enviado a um servidor • Verificar syslog
• Gerenciar usuários locais • Configurar as opções de SNMP
• Atualizar e verificar a versão de firmware
• Verificar as opções de salvamento das configurações do equipamento
O Command Line Interface (CLI) é utilizado para configurar o switch localmente via porta console, ou remotamente via Telnet ou SSH. Quando acessar o DmSwitch, você deverá efetuar logon antes de inserir qualquer comando. Por questões de segurança, o DmSwitch possui dois níveis de usuário:
Usuário Normal- As tarefas típicas incluem aquelas que verificam o status do switch. Neste modo, não são permitidas alterações
na configuração do switch.
Acesso com usuário normal padrão: DmSwitch3000 login: guest Password: guest
Usuário Privilegiado - As tarefas típicas incluem aquelas que alteram a configuração do switch.
Quando efetuar logon como usuário normal, você verá um prompt do modo usuário“>”. Os comandos disponíveis nesse nível são um subconjunto dos comandos disponíveis no nível privilegiado. Na sua grande maioria, esses comandos permitem que você exiba as informações sem alterar as definições de configuração do roteador. Para acessar o conjunto completo de comandos, você deve efetuar login no modo privilegiado. O prompt“#", indica que você está no modo privilegiado. Para efetuar logoff, digite exit.
•O endereço IP padrão para acesso ao Switch é o 192.168.0.25/24. Para Alterar este endereço conecte ao Switch via porta
console (9600 8N1) como usuário privilegiado: DmSwitch3000 login: admin
Password: admin
Configurando o IP na vlan default DmSwitch3000#
Pode-se verificar o status de hardware:
DM4000
DM4000#show hardware-status [?] fans Show the fans status power Show the powers status transceivers Show the Transceivers status <enter>
DmSwitch3000
DmSwitch3000#show hardware-status[?] tranceivers
<enter>
DmSwitch3000#show hardware-status [enter]
Power Fans Alarms In Alarm Unit Main Backup 1 2 3 1 2 3 Out ---- --- --- ---- ---- ---- --- --- --- ---
1 Ok Ok Ok Off Off Off Off
DmSwitch3000#show hardware-status transceivers [?] detail Show detailed Transceivers status
presence Show Transceivers presence table
43 Versão da Apostila: 7.0
• Para acessar o DmSwitch via interface web, abrir o browser e inserir o endereço IP de gerência. Por default, ambos http e https estão habilitados no DmSwitch. Será solicitado a autenticação do usuário. Somente o usuário privilegiado poderá logar.
• Na parte superior da página web, é possível visualizar o status das portas (up ou down), ou o modo duplex de operação (full ou half) para cada unidade no caso dos switches estarem empilhados.
• Através do Menu de Configuração, localizado no lado esquerdo da página, é possível selecionar a opção que será configurada. • Após realizar as alterações na janela de configuração, é necessário aplicar as alterações através do botão Apply que está na parte inferior esquerda da página web. Nota que este procedimento não salva as alterações, apenas aplica estas configurações para que fiquem ativas no DmSwitch. Caso o switch seja reinicializado, ele perderá as alterações realizadas.
O DmView é o Sistema Integrado de Gerência de Rede e de Elemento desenvolvido para supervisionar e configurar os equipamentos Datacom, disponibilizando funções para gerência de supervisão, falhas, configuração, desempenho, inventário e segurança, segue a recomendação FCAPS*. O sistema pode ser integrado a outras plataformas de gerência ou pode operar de forma independente. Também é possível utilizar diferentes arquiteturas de gerência, desde a operação em campo via notebook até um projeto centralizado com servidores de aplicação redundantes e múltiplos servidores de terminal para acesso remoto. O sistema disponibiliza o acesso às suas funcionalidades através de uma Interface Gráfica amigável e fácil de ser utilizada. Ele permite o acesso simultâneo de múltiplos usuários em estações de gerência distintas, possibilitando que operadores diferentes possam gerenciar a mesma rede de equipamentos Datacom. Os usuários do sistema operam com níveis de acesso distintos, sendo possível restringir a operação por tipo de equipamento ou localidade. Entre as principais funcionalidades do DmView, é possível citar:
• Provisionamento fim-a-fim de circuitos: permite a criação, alteração e localização de circuitos existentes na rede;
•Visualização e monitoração dos equipamentos gerenciados, suas interfaces e CPU, permitindo identificação do estado operacional e alarmes pendentes;
•Recepção e tratamento dos eventos gerados pelos equipamentos, com notificação automática da ocorrência de falhas e opção para executar ação específica quando evento é recebido;
•Execução de ações de diagnóstico de falhas; •Configuração da operação dos equipamentos; •Cadastro de dados de identificação dos elementos; •Visualização de parâmetros e contadores de performance;
•Ferramentas para localização de equipamentos e suas interfaces, incluindo localização segundo estado operacional, dados cadastrais, etc;
•Controle de acesso para usuários com níveis de acesso distintos para as funcionalidades do sistema e para a operação e gerência dos dispositivos;
•Ferramenta para visualização e correlação de eventos customizáveis pelo usuário;
•Alta disponibilidade, suporte a servidores redundantes e rotinas de backup das bases de dados do sistema;
•Suporte a diferentes sistemas operacionais (Microsoft Windows®e Sun Solaris®) e bases de dados (Oracle®e Interbase®/Firebird®).
*FCAPS:
Fault, Configuration, Accounting, Performance e Security.
45 Versão da Apostila: 7.0
Spanning Tree
O STP é um protocolo para proteção de tráfego em topologias Ethernet. Suas variantes são o RSTP e o MSTP. Todas podem ser aprovisionadas via DmView. Essas variantes serão referenciadas simplesmente por STP neste manual. Na versão 6.3, o DmView suporta o aprovisionamento de STP em topologias em anel ou em linha, compostos por equipamentos DmSwitch 3000 ou DM4000. A janela STP Topology Configuration é usada para configuração de STP. A janela pode ser acessada selecionando os equipamentos nos quais quer se criar a topologia STP, clicando com o botão direito do mouse selecionando a opção STP Topology Configuration.
Uma topologia STP possui configurações globais e por instância. Dentre as opções por instância, algumas são para todos os equipamentos, e outras por equipamento. Os parâmetros globais são nome e tipo (STP, RSTP ou MSTP). Para os tipos STP e RSTP, só uma instância pode ser configurada. Nas opções de instância, pode-se definir Root device, Maximum Age, Maximum Hops, Hello Time, Forward Delay e o grupo de VLANs a proteger. Por equipamento, pode-se definir a prioridade do equipamento na instância (que é definida automaticamente em todos os equipamentos quando o campo Root device é alterado), bem como prioridade e custo de cada porta membro do STP. As portas que fazem parte da topologia dos equipamentos selecionados vem já configuradas como membro. É possível adicionar outras portas quaisquer, o que é útil, por exemplo, quando se quer configurar um STP que não possui só equipamentos DATACOM.
Como um equipamento pode pertencer a apenas uma topologia STP. Caso seja necessário a remoção de algum equipamento de uma instancia de STP, clique com botão direito do mouse e selecione a opção STP Topology Configuration.
EAPS
O EAPS é um protocolo para proteção de tráfego em topologias Ethernet em anel. No DmView, ele pode ser aprovisionado em anéis com equipamentos DmSwitch 3000 e DM4000 (lembrando que os links entre os equipamentos precisam ser criados previamente no DmView). A janela Create EAPS Domain é usada para criação de 1 ou 2 domínios EAPS em um anel. A janela pode ser acessada selecionando os equipamentos que farão parte do dominio EAPS e clicando o item Create EAPS Domains cno menu de contexto.
Para criar um domínio EAPS, é necessário selecionar, no mapa topológico, um conjunto de equipamentos que forme um anel. A janela de configuração permite a criação de 2 domínios EAPS no anel, cada um protegendo metade das VLANs, por exemplo. Para criar apenas 1 domínio, deve-se desmarcar a opção Create 2 Domains. Nos painéis EAPS Domain 1 e EAPS Domain 2, deve-se definir nome do domínio, os campos Hello timer e Fail timer, qual o equipamento Master, e selecionar o grupo de VLANs a proteger. Caso ainda não exista o grupo desejado, basta clicar em NEW e definir as opções para criar o novo grupo de VLANs. Após, clique no botão select para selecionar o grupo. Feitas estas configurações, pode-se usar o botão Next, que levará ao passo final, em que um resumo das configurações e portas selecionadas é
O cálculo da topologia dos circuitos, realizado automaticamente pelo DmView, é baseado no fato de que os domínios EAPS e topologias STP configurados via gerência pré-aprovisionam os seus grupos de VLAN nas portas internas aos anéis EAPS/STP. Desta forma, para cada endpoint DATACOM do circuito, o DmView determina o caminho mais próximo a um EAPS ou STP existente na base de dados de gerência, e configura as VLANs escolhidas pelo usuário em cada endpoint no caminho determinado. Endpoints Juniper não tem essa característica, pois o DmView não provisiona o core da rede L3.
Como boa parte da rede está com VLANs pré-aprovisionadas nos anéis, e estas VLANs podem ainda não estar sendo utilizadas em circuitos, o DmView possui uma coerência para que, em uma mesma rede L2 DATACOM, circuitos diferentes não possam usar a mesma VLAN. Em redes L2 diferentes, esta coerência não é necessária. Para realizar essa coerência, o DmView utiliza uma estrutura denominada L2 Domain.
Para cada rede L2 existente na gerência, o usuário deve configurar um L2 Domain diferente. Os equipamentos pertencentes à cada L2 Domain devem ser adicionados ao L2 Domain pelo usuário, antes da configuração de circuitos nestes equipamentos. Isso porque equipamentos que não pertencem a nenhum L2 Domain não podem ser selecionados na configuração de circuitos Metro.
Para configurar um novo circuito, selecione os equipamentos que farão parte deste, clique com o botão direito do mouse e selecione a opção Add Metro Circuit. Para edição e remoção de circuitos existentes na rede, o acesso se dá através do menu Tools => Search => Metro Circuits. A janela de configuração disponibiliza várias abas para definição dos parâmetros do circuito. As abas existentes são:
General: configurações gerais de cadastro, como nome, cliente, serviço oferecido ao cliente, etc. Endpoints: configuração dos endpoints, explicada nesta seção.
L3 Network: configurações de rede L3. Path: visualização do caminho do circuito. Comments: campos livres para comentários.
Pode-se visualizar a aba endpoints, com um endpoint sendo criado, e outro já salvo. As operações sobre circuitos são executadas na base de dados e na rede através dos botões Remove e Save na parte inferior da janela.
Os botões Add, Edit e Remove podem ser usados para editar endpoints. Os botões Search e Show All podem ser usados para facilitar a visualização quando há muitos endpoints configurados.
O botão Update Path é usado para atualizar a topologia do circuito. Sempre que for feita uma alteração nos endpoints, é necessário requisitar a atualização da topologia através deste botão. Quando os endpoints do circuito estiverem em L2 Domains diferentes, as configurações L3 são disponibilizadas na aba L3 Network.
Na janela Endpoint Configuration, acessível a partir dos botões Add e Edit, um equipamento pode ser procurado na rede através do botão Search. Quando a janela é acessada diretamente através de um equipamento na mapa, a configuração de endpoint já abre com o equipamento selecionado. A interface física desejada deve ser selecionada através dos campos Unit e Port.
O painel Config varia conforme o equipamento selecionado. Caso seja um DATACOM, no painel VLAN, pode ser selecionado o VLAN ID e se o mesmo será associado a porta como Tagged ou Untagged. No painel QiQ, pode-se selecionar se o modo de Double Tagging da porta deve ser External ou Internal. Caso o equipamento seja um Juniper, configura-se o VLAN ID, e, caso se queira selecionar diretamente a porta física, pode-se desmarcar a opção Define VLAN ID.
47 Versão da Apostila: 7.0
Quando um evento é recebido pela aplicação, duas ações podem ser tomadas:
Caso o evento não esteja relacionado a nenhum evento recebido anteriormente, então uma nova correlação é criada;
Caso o evento esteja relacionado a alguma correlação pré-existente, essa correlação é atualizada de modo a conter o novo evento.
Diz-se que dois eventos estão correlacionados quando são provenientes da mesma interface de um mesmo equipamento e pertencem ao mesmo grupo, ou quando são provenientes do mesmo circuito. Um novo grupo de eventos é formado por eventos relacionados a um mesmo parâmetro de gerenciamento da interface. Normalmente os grupos de eventos possuem eventos indicando falha e eventos indicando a normalização dessas falhas.
Uma correlação é dita normalizada (cleared) quando o último evento adicionado a ela corresponde a um evento de normalização.
O DmView possui duas ferramentas de correlação de eventos, uma de Devices e outra de Circuits. Elas tem a função de exibir ao usuário as traps correlacionadas geradas pelos equipamentos ou pelos circuitos, apresentando informações como severidade, data e hora do alarme, descrição, dentre outras.
Events Devices
A ferramenta Events Devices pode ser acessada através do menu Tools:Events:Events Devices. Ela pode apresentar várias views, que são maneiras customizáveis de visualizar os eventos, sendo que cada view apresenta uma lista de correlações de acordo com o filtro ativo nela. Inicialmente a ferramenta possui somente uma view com o filtro <none> aplicado, que pode ser alterado para um dos seguintes filtros: Critical and not cleared: lista todas correlações com severidade Critical e que ainda não foram normalizadas;
Major and not cleared: lista todas correlações com severidade Major e que ainda não foram normalizadas;
Minor, Warning or Info and not Cleared: lista todas correlações com severidade Minor, Warning ou Info e que ainda não foram normalizadas; Cleared and not ack: lista todas correlações que já foram normalizadas mas que ainda não receberam o ack.
Os campos exibidos em cada view são os seguintes:
Ack: abreviação para acknowledged, indica se o evento listado já foi adequadamente percebido pelo usuário ou não. O usuário, ao perceber e tratar o evento adequadamente, pode marcar o mesmo como acknowledged clicando sobre a check box presente nas células desta coluna; Severity: severidade do evento. Pode assumir os valores Critical, Major, Minor, Warn e Info em ordem decrescente de severidade;
Link ID: identificador do link afetado pelo evento;
Event Time: data e hora em que o evento foi recebido pelo serviço; Description: descrição do evento;
Device ID: label do elemento no mapa que gerou a trap;
O DmSwitch permite que os usuários sejam autenticados em um servidor remoto RADIUS ou TACACS+.
O DmSwitch suporta múltiplos métodos de autenticação, sendo possível configurar a autenticação na base local e através de servidor remoto:
• Quando configurado como primeira opção a autenticação em servidor remoto e após na base local, e ocorra uma falha no servidor remoto, será feita a busca pelo usuário na base de dados local. Mas se o servidor remoto esteja ativo e não encontre em sua base de dados o usuário que está tentando realizar o login, o acesso será negado e não será feita a busca na base de dados local do DmSwitch nem em outros servidores remotos caso estejam configurados.
• No caso em que seja configurado o login local como primeira opção, se o usuário não constar na base de dados local, será feita a busca nos servidores remotos.
Podem ser configurados até 5 servidores RADIUS e até 5 servidores TACACS+ para garantir disponibilidade caso algum dos servidores falhe. O servidor estará em falha quando o serviço não esteja ativo, neste caso o DmSwitch irá buscar em outro servidor conforme a ordem em que foram configurados. Os parâmetros do servidor RADIUS podem ser configurados de forma global, ou individual por servidor.
Deve-se tomar o cuidado de manter pelo menos um usuário criado localmente e habilitar login local. Na falta de um usuário local, e no caso de falha de todos os servidores remotos, não será possível logar no DmSwitch.
49 Versão da Apostila: 7.0
• Opções globais e individuais de configuração para autenticação no servidor RADIUS:
DmSwitch3000(config)#radius-server [?]
acct-port RADIUS default server accounting port auth-port RADIUS default server authentication port host RADIUS server IP
key RADIUS default server key retries RADIUS server retries timeout RADIUS server timeout
DmSwitch3000(config)#radius-server host <1-5> [?] accounting Enable RADIUS accounting
acct-port Specify RADIUS server accounting port authentication Enable RADIUS authentication
auth-port Specify RADIUS server authentication port address Specify RADIUS server IP address
key Specify RADIUS server key
• Opções de configuração para autenticação no servidor TACACS+:
DmSwitch3000(config)#tacacs-server host 1 authentication Enable TACACS authentication
Definição
O protocolo de gerenciamento de rede simples (SNMP) é um padrão de gerenciamento de rede amplamente usado em redes TCP/IP.
O SNMP fornece um método de gerenciamento de hosts de rede, como computadores servidores ou estações de trabalho, roteadores, switches e concentradores a partir de um computador com uma localização central em que está sendo executado o software de gerenciamento de rede. O SNMP executa serviços de gerenciamento utilizando uma arquitetura distribuída de sistemas de gerenciamento e agentes. Sua especificação está contida no RFC 1157.
51 Versão da Apostila: 7.0
Exemplo:
•Criar uma community chamada private de leitura e escrita:
DmSwitch3000(config)#ip snmp-server community private rw •Todas as traps estão habilitadas:
DmSwitch3000(config)#show ip snmp-server traps
TRAP STATUS alarm-status-change enable authentication enable cold-warm-start enable config-change enable config-save enable critical-event-detected enable critical-event-recovered enable duplicated-ip enable eaps-status-change enable fan-status-change enable forbidden-access enable link-flap-detected enable link-flap-no-more-detected enable link-up-down enable login-fail enable login-success enable loopback-detected enable loopback-no-more-detected enable power-status-change enable
Exemplos:
• Limitar em 16 a quantidade de conexões telnet simultâneas (8 por default):
DmSwitch3000(config)#ip telnet max-connections 16
• Criar ACL para que somente os IPs da rede 176.18.0.40.0/24 possam gerenciar o switch por http:
DmSwitch3000(config)#management http-client 176.18.40.0/24 DmSwitch3000(config)#show management all-client
Management IP filter: Telnet client: HTTP client: 176.18.40.0/24 SNMP client: SSH client: DmSwitch3000(config)# 53 Versão da Apostila: 7.0
Todas as configurações efetuadas no switch são aplicadas instantâneamente após pressionar a tecla enter para confirmar o comando. Porém, esta configuração fica em memoria RAM ou running config (configuração corrente) como é tratada normalmente. Caso o equipamento seja desligado toda a configuração que está na running config será perdida.
Para salvar a configuração, deve-se copiar o conteudo da running config para um dos arquivos na memória flash do equipamento.A linha de equipamentos DmSwitch3000 possui 4 flash-confige na linha DM4000a partir do firmware 7.4 são disponibilizados 10 arquivos de flash-config.
É possível definir qual flash-config será usado toda vez que o equipamento for iniciado selecionando uma das flash-config com a flag de startup. A startup config não é um arquivo fisico e sim um“apontamento” para um dos arquivos.