(Tinha começado bem) O ano de 2017 foi meio devagar por aqui. Tivemos apenas 25 posts, e apesar de não ter contado nos anos anteriores, aposto que nunca postamos tão pouco. Aliás, blogs em geral estão perdendo o fôlego. O que é triste para quem, como eu, sempre foi “consumidor” deste tipo de mídia (já podemos dizer que blog é coisa de velho?). Anyway… Em 2017 tivemos 138.011 visualizações (novembro foi o mês com mais visitas) e mais de 78 mil usuários abriram pelo menos uma de nossas singelas páginas no último ano. O Chrome (75,48%) foi o navegador mais usado para acessar este blog em 2017, e o Windows (sempre ele) foi o sistema operacional usado em 88,58% das visualizações. Os visitantes de 25 a 34 anos foram responsáveis por 47,11% das sessões, e 91,64% dos nossos visitantes em 2017 são do sexo masculino. Top Posts Os 5 posts de 2017 mais visualizados foram: 1) EVE–Novo emulador de equipamentos de rede 2) Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP) 3) Tipos de LSAs e áreas OSPF 4) Alta Disponibilidade com HSRP 5) Resumo OSPF Obrigado a todos que nos visitaram. Espero que tenham achado algo útil por aqui. Até a próxima.
Meraki Customer Advisories / Dashboard em Português
(There is no cloud, it’s just someone else’s computer) Brincadeira a parte, a “cloud” está ai e cada vez mais maior. A Meraki, que hoje é uma linha de produtos Cisco, tem o conceito de cloud. Os appliances (access-points, switches, firewalls, telefones, câmeras IP) são instalados fisicamente onde quer que seja, e a console de administração é na nuvem. Fora os benefícios já bem conhecidos (não há necessidade de servidores para software de gerência, pode ser acessado de qualquer lugar, permite escalabilidade praticamente infinita, alta disponibilidade…) a Meraki conta com um serviço de alertas. Os clientes Meraki podem ficar sabendo de vulnerabilidades ou outros problemas diretamente na Dashboard. Basta clicar na opção Announcements para ver os últimos alertas. Clicando em um item você tem mais informações sobre o problema e até é direcionado para um ação, se for o caso. E pra completar o serviço, a Meraki agora disponibilizou uma página onde estes anúncios são também publicados. Gosto desse conceito. O que acham? Dashboard em Português No último dia 8, no Cisco Live! em Cancun – México, a Cisco anunciou a opção de Português Brasileiro para a console de administração. Basta ir clicar no seu usuário, no canto superior direito e escolher My profile. Então em Dashboard Language escolha a opção desejada. Até a próxima.
Upgrade de IOS usando o Cisco Prime Infrastructure
(Rapidinho) O Cisco Prime Infrastructure é o software para a gerência de equipamentos de rede. Com ele podemos agendar o backup das configurações dos equipamentos, fazer o upgrade de software, verificar quais equipamentos estão consumindo mais recursos (CPU/Memória), ver quais aplicações estão transitando pela rede, centralizar os alarmes, visualizar a área de cobertura dos acess-points, visualizar o status de um determinado usuário (desde que usando 802.1x na rede), gerar relatórios, … entre outras funções. Veja neste vídeo como usar o Prime para atualizar equipamentos de rede. Até a próxima.
Assinatura IDS na WLC–Detectando KRACK Ataque
(Novembro? ) Passado todo o barulho e desespero inicial talvez o ataque KRACK não seja assim tão grave. Pelo menos não a ponto de “matar”o WPA2. Ainda assim é uma vulnerabilidade importante, e é sempre bom estarmos de olho. Nas WLAN Controllers Cisco temos um IDS incluído, e disponível sem a necessidade de licenças adicionais. Este IDS vem com 17 assinaturas, para os ataque mais comuns, e também nos permite a criação de assinaturas customizadas. Aproveitando esta funcionalidade o blog Giant Nerd Wifi (que aliás recomendo) criou e disponibilizou uma assinatura para detectar o KRACK (e de quebra também a vulnerabilidade registrada no CVE-2017-11120). Usando assinaturas customizadas 1) Faça o download da assinatura aqui. 2) Abra o TFTP Server a aponte a pasta onde está o arquivo baixado. 3) Na WLC vá em Commands > Download File e escolha Signature File. 4) Garanta que a assinatura está habilitada (Security > Wireless Protection Policies > Custom Signatures). 5) Confirme que o log está habilitado (Management > SNMP > Trap Controls > Security > selecione IDS Signature Attack). Para mais informações sobre estas assinaturas e sobre como criar assinaturas customizadas para a WLC, veja este post no blog Giant Nerd Wi-Fi. Até a próxima.
Furukawa Laserway–GPON no ambiente corporativo
A tecnologia GPON já é bem difundida e bastante utilizada por servidores de serviço, para fornecer acesso aos seus assinantes. Nos últimos anos tem se tornado uma opção também para redes corporativas. O apelo é o menor investimento em infraestrutura física, utilização de menos cabos, menor ocupação no rack, tráfego criptografado e tecnologia imune a interferência eletromagnética (fibra), entre outros. Um dos fabricantes que tem investido nessa área é a Furukawa, que possui uma linha de produtos (Laserway) destinada a este mercado. Dentro desta linha de produtos temos OLTs standalone (G4S, G8S) e também chassi como a G2500. Da mesma forma existem algumas opções de ONTs (com e sem PoE, e modelo industrial). Neste tipo de cenário a OLT pode substituir o core da rede, ou ser utilizada junto com ele. As ONTs passam a fazer o papel dos switches de acesso, sendo no entanto, gerenciados através da OLT (ponto único para administração). Configuração GPON Furukawa Laserway Podemos considerar a OLT – Optical Line Terminal, um equipamento hibrido, com uma parte Ethernet e uma parte GPON. Na parte ethernet temos as funcionalidades normais de switch (VLANs, STP, LACP,…) e roteador (roteamento estático e dinâmico). Na parte GPON é onde fazemos a configuração dos profiles e das ONTs. Neste exemplo teremos o conunto OLT/ONTs fazendo o papel de rede de acesso, deixando o roteamento no switch Core. Configuração básica No modo Global fazemos as configurações iniciais do equipamento. Estas configurações foram testada em uma G8S, mas é a muito semelhante para outro modelos de OLT Furukawa Laserway. conf t ! configurações comuns, como fazemos em outros equipamentos de redehostname OLT01passwd enable 8 bJIUWMrdjLcTUservice password-encryptiontime-zone GMT-3dns search brainwork.localdns server 10.10.0.20ntp a.ntp.brsyslog output info local volatilesyslog output info local non-volatileno service telnetno service tftpno service ftpssh server enable ! interface VLAN, para gerenciamentointerface br10 no shutdown ip address 10.10.0.3/24! rota default ip route 0.0.0.0/0 10.10.0.1 Ethernet – Modo Bridge Neste exemplo vamos usar a OLT apenas como equipamento de camada 2. O gateway das VLANs neste caso é o switch core, conectado na OLT. A configuração de funcionalidades Layer 2 são realizadas no modo Bridge. conf t ! entrando no modo bridgebridge ! criando as vlans vlan create 10,20,30,40 ! adicionando a vlan default (1) nas interfaces de 1 a 8 (interfaces OLT – GPON) vlan add default 1-8 tagged ! adicionando a vlan default (1) nas interfaces 17 e 18, uplink ! não tagueada porque a vlan 1 é a vlan nativa no switch Core vlan add default 17-18 untagged ! adicionando as vlans 10,20,30 e 40 nas interfaces OLT – GPON e também nas portas de uplink vlan add br10 1-8,17-18 tagged vlan add br20 1-8,17-18 tagged vlan add br30 1-8,17-18 tagged vlan add br40 1-8,17-18 tagged ! configurando LACP lacp aggregator 0 lacp port 17-18 aggregator 0 ! habilitando STP e configurando modo RPVST spanning-tree spanning-tree mode rapid-pvst Configuração GPON No modo GPON configuramos parâmetros “gerais”, criamos os DBA Profiles, os Extended VLAN Tagging Operation, Traffic Profiles e por fim os ONU Profiles, que aplicamos às ONTs. No modo geral precisamos especificar um GEM ID para o tráfego multicast, que é separado dos demais tráfegos downstream – broadcast. Também é recomendado habilitar o igmp snooping. conf t ! entrando no modo gpongpon olt multicast-gem 4094 olt interwork igmp-snooping enable DBA Profile O DBA Profile é onde definimos como será a alocação de banda de cada ONT e também o modo de report. Neste exemplo estamos trabalhando com reporte no modo SR, temos uma banda mínima garantida e também definimos qual será o máximo permitido (1 Gbps neste exemplo). Este profile será aplicado a todas as ONTs, e assim estaremos deixando a OLT fazer o controle dinâmico da banda de todos os usuários. dba-profile DBAPADRAO create mode sr sla fixed 128 sla maximum 1031616 apply É possível mudar a configuração ou criar outro DBA profile onde podemos definir uma banda fixa, garantindo que a ONT que receber este profile sempre terá banda a sua disposição, ou ainda definir uma banda máxima menor, limitando a velocidade. Extended Vlan Tagging Operation No perfil Extended VLAN Tagging Operation configuramos as portas ethernet das ONTs, onde estão conectados os clientes (computadores e demais equipamentos de rede). Assim como em um switch, a porta pode ser configurada como acesso ou trunk. Vamos criar as “operações” para cada VLAN de acesso e também para o modo trunk. Nas portas de acesso, além de especificar a tag de VLAN vamos marcar os pacotes com CoS 0. ! definindo a operação para a VLAN10extended-vlan-tagging-operation ACESSO_VLAN10 create downstream-mode enable untagged-frame 1 treat inner vid 10 cos 0 tpid 0x8100 apply ! definindo a operação para a VLAN20extended-vlan-tagging-operation ACESSO_VLAN20 create downstream-mode enable untagged-frame 1 treat inner vid 20 cos 0 tpid 0x8100 apply ! definindo a operação para a VLAN30extended-vlan-tagging-operation ACESSO_VLAN30 create downstream-mode enable untagged-frame 1 treat inner vid 30 cos 0 tpid 0x8100 apply ! definindo a operação para a VLAN40extended-vlan-tagging-operation ACESSO_VLAN40 create downstream-mode enable untagged-frame 1 treat inner vid 40 cos 0 tpid 0x8100 apply ! definindo a operação para TRUNK! note que neste caso estamos mantendo a marcação de CoS recebida na VLAN20 (VLAN de voz neste caso)extended-vlan-tagging-operation TRUNK_VLAN10_VLAN20 create downstream-mode enable dscp-to-cos-map default-map untagged-frame 1 treat inner vid 10 cos 0 tpid 0x8100 single-tagged-frame 1 filter inner vid 20 cos any tpid 0x8100 treat remove single treat inner vid 20 cos copy-inner tpid copy-inner apply Traffic Profile O Traffic Profile é onde definimos as configurações de GEM Port, T-Cont, bridge (falamos um pouco disso no post anterior) e ainda associamos os VLAN Tagging Operations e DBA Profile criados anteriormente. Podemos ver que temos duas partes distintas no Traffic Profile: ANI e UNI. ANI é a porção GPON da ONT, e UNI e parte Ethernet. ! criando o traffic profile, com 4 Gemport, 4 Tcont e 4 mapper (um para cada VLAN) e 3 bridgestraffic-profile TP_ACESSO
GPON–Gigabit Passive Optical Network
(Nem só de ethernet vive o engenheiro de redes) O GPON é definido pela série de recomendações ITU-T G.984.1 – G.984.6 e pode transportar não apenas Ethernet, mas também ATM e TDM (PSTN, ISDN, E1 e E3). Uma rede GPON é composta por componentes passivos e ativos. Na parte ativa temos a OLT – Optical Line Terminal, instalada em um ponto central (CPD/DC); e a ONT – Optical Network Terminal, instalada próxima ao cliente final. A parte passiva (também chamada de ODN – Optical Distribution Network) é formada por fibra ótica, splitters, DIO, bandejas de passagens, conectores e outros elementos passivos (não precisam de eletricidade) que ficam entre a OLT e as ONTs (também chamadas de ONUs). O GPON utiliza tecnologia WDM, e assim consegue fornecer comunicação bidirecional em uma única via da fibra ótica. O tráfego downstream é enviado usando ondas de 1490 nm, enquanto o tráfego de upstream utiliza a frequência de 1310 nm. Com o uso splitters podemos conectar até 128 ONTs à uma porta da OLT (importante destacar que apesar do padrão permitir isso, nem toda OLT suporta 128 ONTs por interface), sendo que esta interface fornece 2,5 Gbps de downstream e 1,25 Gbps de upstream. Evidentemente, quanto mais ONTs em uma porta da OLT, menor a banda média por usuário. Downstream e Upstream Os pacotes enviados no sentido downstream (OLT -> ONT) são transmitidos como broadcast, sendo que a OLT marca os pacotes com um ONU-ID, único para cada ONT. Assim cada ONT reconhece seu ID e processa apenas os pacotes a ela destinada. O tráfego é criptografado. No sentido Upstream (ONT -> OLT) o tráfego é transmitido em rajadas, usando TDMA. Para que haja sincronismo, a OLT gera um mapa de transmissão, que é respeitado pelas ONTs, e graças ao DBA – Dynamic Bandwidth Allocation, a OLT pode mudar este mapa para prover mais banda upstream para uma ONT com excesso de tráfego. A eficiência deste mecanismo é o grande destaque da solução GPON. Para saber quanto de recurso uma determinada ONT precisa, a OLT pode observar o padrão de tráfego (modo Non Status Reporting) ou pode receber informações das filas de serviço nas ONTs (modo Status Reporting). O tráfego vindo das ONTs é tradado pela OLT com base na identificação de cada ONT. Pelas característica da rede, o tráfego das ONTs sempre é destinado a OLT (o tráfego não conseguir ir direto de uma ONT para outra). GEM Port e T-Cont O tráfego upstream pode receber tratamento diferenciado, de acordo com o tipo de serviço (dados, voz, vídeo,…). Para isso criamos GEM Ports, onde serviços são associados. Por sua vez, o T-Cont (container de transmissão) é o agrupamento de GEM Ports. O T-Cont garante a separação do tráfego e a correta atribuição de banda no sentido upstream, podendo conter uma ou mais GEM Ports. Até a próxima.
