As conexões 10 Gigabit Ethernet estão se tornando cada dia mais comuns. Fabricantes de equipamentos de redes e servidores vem disponibilizando interfaces 10 Giga em seus equipamentos e a virtualização e o aumento do tráfego na rede tem se encarregado de gerar a demanda. Junto com a necessidade de conexões mais velozes, surgiram diversos tipos de módulos 10 Gigas: XENPAK, X2, XFP e SFP+. Analogamente, o XENPAK evolui para o SPF+, como o GBIC migrou para o SPF, embora hoje os quatro modelos abaixo estejam disponíveis em equipamentos Cisco. XENPAK: Foi o primeiro a surgir e fornece conexão SC. O roteador CSR-1, a supervisora WS-SUP32-10GB-3B (7600), e o switch WS-C3750G-16TD são alguns dos equipamentos Cisco que utilizam este tipo de módulo. X2: É a evolução do XENPAK, ainda utilizando conexão SC. Os switches Cisco WS-C3560E-24TD e WS-C3750E-48TD, e os módulos WS-X4516-10GE (4500) e WS-X6708-10G-3C (6500) usam X2. XFP: Primeiro modelo de conector 10 Giga em “tamanho reduzido” ou Small Form Factor Pluggable. No XFP a conexão é LC, diferente dos modelos anteriores. Alguns módulos para o roteador CSR-1 e CSR-3, como o 14X10GBE-WL-XFP e 2-10GE-WL-FLEX, e SPAs (SPA-OC192POS-XFP) utilizam este tipo de conector. SFP+: Assim como o XFP, este módulo aceita conexões do tipo LC, e por ser do mesmo formato do SFP, normalmente, permite que o equipamento utilize os dois (SFP e SFP+). Em cada modelo podemos ter ainda as variações para UTP, fibra single mode e multi mode. Para saber qual modulo 10 GE seu equipamento Cisco suporta veja a tabela de compatibilidade. Até a próxima.
Testando a rede com o Iperf (gerador de tráfego)
Uma ferramenta extremamente útil e ainda gratuita!! O Iperf é um software livre, do tipo client/server desenvolvido pelo National Laboratory for Applied Network Research (NLANR). Com ele podemos testar/medir o throughput da rede, e é claro, também podemos usá-lo como ferramenta de apoio para outros testes, como fez o Leão no post sobre Controle de banda no 3750 e no PIX/ASA. Para usar o Iperf basta iniciá-lo como server em um PC, e como client noutro. O client passará a enviar tráfego TCP para o servidor por 10 segundos, e em seguida mostrará a quantidade dados transferida (MBytes) e a velocidade atingida (Mbits/s). Faça o download do programa aqui (há versões para Windows, Solaris e OS X), e instale-o nos dois computadores a serem utilizados no teste (basta copiar o arquivo iperf.exe para uma pasta qualquer, no caso do Windows). Como usar o Iperf no Windows Via linha de comando (Iniciar > Executar > digite “cmd”) entre na pasta onde o Iperf foi salvo e depois digite iperf –s. Este comando fará o Iperf ser executado como server e ele passará a aguardar as conexões do client. SERVER PC C:\Program Files\Iperf>iperf –s No segundo computador utilizado para o teste, na linha de comando, digite iperf – c e o IP do Iperf Server. Isto é suficiente para que o Iperf envie tráfego TCP do client para o server durante 10 segundo (essa é a configuração padrão). CLIENT PC C:\Program Files\Iperf>iperf –c 10.10.8.75 Após 10 segundos as informações são mostradas, como na imagem acima. Neste exemplo, em 10 segundos foram transferidos 109 MBytes, atingindo a velocidade de média de 91,2 Mbits/sec (normal em uma rede 100 Mbits). No server também são mostradas as estatísticas. Mudando a configuração padrão – Teste bidirecional Apesar do Iperf enviar tráfego no sentido Client –> Server por padrão, podemos configurá-lo para que o teste seja executado nos dois sentidos simultaneamente. TESTE BIDIRECIONAL Execute o Iperf Server da mesma forma (iperf –s) e do lado client adicione o argumento –d. Assim como no teste anterior após 10 segundos as estatísticas são mostradas. Observe que desta vez temos duas linhas, sendo que em um sentido a transferência atingiu 24,1 Mbits/s e no outro 91.8 Mbits/s. Se somarmos as duas temos 115,9 Mbits/s (bem abaixo dos 200 Mbits/s nominal de uma rede full duplex…). Usando UDP Outra opção é adicionar o argumento –u nos dois lados (server e client) para que o teste seja efetuado com pacotes UDP. USANDO UDP SERVER - C:\Program Files\Iperf> iperf -s –u CLIENT - C:\Program Files\Iperf> iperf –c 10.10.8.75 –u Usando esta opção, no fim, quando são exibidas as estatísticas no server, aparecem mais três itens: Jitter, número total de pacotes transmitidos e pacotes perdidos. Nos mesmos 10 segundos utilizados anteriormente, tivemos 6,242 milissegundos de jitter e nenhum pacote perdido, de 893 transmitidos. Observe também, que a transferência de dados foi menor, isso porque a taxa de transferência padrão UDP no Iperf é de 1 Mbps. Se você quiser aumentar a banda utilize a opção –b do lado client (iperf –c 10.10.8.75 –b 200M, por exemplo). Este opção funciona para o modo UDP apenas. Mais opções Além das opções já citadas, o Iperf ainda oferece outros argumentos, que podem ser utilizados de acordo com sua necessidade. Client e Server: -f Formato das informações: Kbits, Mbits, KBytes, MBytes -h Ajuda – Mostrará todas as opções -i n Exibe o status a cada n segundos -o <filename> Salva o resultado ou mensagem de erro em um arquivo -p Especifica a porta a ser utilizada -u Define o uso do UDP, ao invés do TCP -v Mostra a versão Server: -s Inicia o Iperf como Servidor Client: -c Inicia o Iperf como Cliente (client) -d Para fazer o teste bidirecional simultaneamente (dualtest) -b Especifica a banda a ser utilizada (bandwith) -n Número de byte para transmissão -r Para fazer o teste bidirecional sendo um lado de cada vez (tradoff) -t Tempo de transmissão (default 10 segundos) Interface Gráfica Pra ficar ainda melhor para quem tem medo de linha de comando temos a interface gráfica Jperf. Faça o download e descompacte a pasta Jperf. Nesta temos a interface gráfica e o próprio Iperf. Execute o arquivo Jperf.bat, que iniciará a interface em Java. Considerações Além da rede, o poder de processamento das máquinas utilizadas e a utilização da CPU e Memória das mesmas também influenciam no resultado; Cuidado ao gerar tráfego em uma rede em produção; Para você ter parâmetros de comparação, é aconselhável fazer um teste ponto a ponto, com dois computadores conectados através de cabo crossover. Depois testar usando a rede; Quando usando UDP você pode especificar a banda máxima possível, 1000M, por exemplo. Faça o teste e verifique se hoje perda de pacote. Se houver, repita o teste diminuindo a banda para 900M e verifique novamente. Repita o processo até chegar a um ponto em que não haja perda de pacote; Lembre-se que o resultado mostra o resultado obtido naquele momento. Um segundo depois, em um novo teste, o resultado pode ser outro; Até a próxima.
Sorteio de 10 livros CCNA
No mês que vem o blog NetFindersBrasil completa dois anos, e para comemorar, em parceria com o blog Coruja de TI, vão sortear 10 livros CCNA 4.1 – Guia Completo de Estudo. Comunicado oficial: Em julho, o NetFindersBrasil faz aniversário e quem ganha o presente é você !!! Serão Sorteados 10 livros CCNA 4.1 – Guia Completo de Estudo, em parceria com o Blog Coruja de TI. Para participar é muito fácil, basta enviar um email para netfindersbrasil@corujadeti.com.br, com o subject: Feliz Aniversário NetfindersBrasil, incluindo o endereço de entrega no corpo do email. Desde já deixo os parabéns pelo aniversário e pela promoção!!! Até a próxima.
VLAN no Roteador – Router on a Stick
Com sabemos, para que hosts em redes diferentes se comuniquem é preciso um dispositivo layer 3, para fazer o roteamento. Assim podemos ter um roteador com uma interface em cada rede, como ilustrado abaixo, por exemplo. Porém nem sempre é viável dispor de duas interfaces de um roteador para este fim, já que interface é um recurso findável (e até custoso). Para evitar este desperdício, com roteadores Cisco podemos usar uma topologia chamada Router on a Stick, com a utilização de apenas uma interface do roteador, e com a configuração de VLANs (sub-interfaces). Neste caso temos a topologia como mostrado abaixo (e que é abordada no CCNA). A interface FastEthernet 0/0 foi dividida em duas sub-interfaces (F0/0.10 e F0/0.20), sendo que cada uma pertence a uma rede diferente (VLAN). Na configuração do switch nenhuma novidade. As portas ondes estão os usuários e outros equipamentos devem ser configuradas como acesso. Já a porta onde está o roteador deve ser configurada como trunk. conf t ! Crie as duas VLANs vlan 10 exit vlan 20 exit ! Configure a interface onde está o roteador como trunk interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk exit ! Coloque as interfaces de acesso nas respectivas VLANs interface FastEthernet0/9 switchport mode access switchport access vlan 20 exit interface FastEthernet0/10 switchport mode access switchport access vlan 10 exit exit copy run start Já no roteador temos que criar as sub-interfaces e identificar as VLANs. conf t ! Na interface física nenhuma configuração interface fastethernet 0/0 no ip address ! Crie a primeira sub-interface, coloque o IP e especifique a VLAN interface FastEthernet 0/0.10 ip address 192.168.10.1 255.255.255.0 encapsulation dot1q 10 ! Repita o processo para a segunda interface interface FastEthernet 0/0.20 ip address 192.168.20.1 255.255.255.0 encapsulation dot1q 20 Com esta configuração, basta apontar as sub-interfaces como gateways das redes 192.168.10.0 e 192.168.20.0 para que haja comunicação entre elas. Considerações: Esta configuração é simples, útil e abordada no CCNA; Cuidado para não inverter a sub-interface e o endereçamento IP na hora da configuração; A identificação da sub-interface (0.0/10) e a identificação da VLAN (10) não tem nenhuma relação, mas normalmente mantém-se o mesmo número para facilitar; A interface do roteador deve ser no mínimo FastEthernet, já que ela deve ser capaz de enviar e receber tráfego simultaneamente; Até a próxima.
Configurando SSHv2 em roteadores
O Secure Shell – SSH, é um protocolo que permite o acesso seguro aos equipamentos. O SSH cria um canal criptografado entre o client e server, permitindo comunicação segura, mesmo em um meio inseguro (como a Internet, por exemplo). Para isso o SSH faz a autenticação do usuário e cria uma chave para a sessão. Quando o client conecta pela primeira vez a um determinado server (servidor linux, roteador ou switch, entre outros) o SSH cria uma chave que será o “fingerprint” para aquele server e pergunta se você deseja aceitá-la. Esta chave fica armazenada na base de dados local do client. Atualmente podemos usar a versão 1 ou 2, devendo sempre optar pela versão 2, quando possível, pois ele possui algoritmo de criptografia foi melhorado. Exemplo de configuração: Habilitando SSH em roteadores Cisco BrainRT01#conf t BrainRT01(config)#aaa new model BrainRT01(config)#username admin secret brainwork BrainRT01(config)#ip domain-name brainwork.com.br BrainRT01(config)#crypto key generate rsa modulus 1024 The name for the keys will be: BrainRT01.brainwork.com.br % The key modulus size is 1024 bits Generating RSA keys … [OK] BrainRT01(config)#ip ssh time-out 60 BrainRT01(config)#ip ssh version 2 BrainRT01(config)#ip ssh authentication-retries 3 BrainRT01(config)#ip ssh version 2 BrainRT01(config)#line vty 0 15 BrainRT01(config-line)#transport input ssh BrainRT01(config-line)#end BrainRT01#wr Para verificar o funcionamento do SSH podemos utilizar o comando debug ip ssh e os shows abaixo: BrainRT01#sh ip ssh SSH Enabled – version 2.0 Authentication timeout: 120 secs; Authentication retries: 3 Minimum expected Diffie Hellman key size : 1024 bits BrainRT01#show ssh Connection Version Encryption State Username 0 1.5 3DES Keys exchanged admin 1 1.5 3DES Session started andreo Connection Version Mode Encryption Hmac State Username 3 2.0 IN aes256-cbc hmac-sha1 Session started andreo 3 2.0 OUT aes256-cbc hmac-sha1 Session started andreo BrainRT01# Desde a versão 12.1(19)E alguns IOSs já suportam a versão 2, mas para saber seu seu software suporta o SSH v2 utilize o Cisco Software Advisor (é preciso ter CCO no site da Cisco). Até a próxima.
Cisco 1921 e 1905
Pelo visto os últimos meses foram puxados para o pessoal de desenvolvimento da Cisco… Mais dois novos roteadores estão disponíveis, ambos na família 1900. O 1921 e o 1905 são os mais novos integrantes da linha de produtos ISRg2, e vem juntar-se aos modelos 1941 e 1941W. O 1921 é uma versão mais enxuta do 1941, sendo a maior diferença o fato do 1921 não possuir suporte a módulos ISM (e ser cerca de 40% mais barato). Já o 1905 além de não suportar modulos ISM, também possui apenas um slot EHWIC (o outro vem ocupado por um módulo HWIC-1T, e pelo que consta na documentação é fixo). Com isso ele passou a ser o menor roteador Cisco com porta serial. Depois de parar de produzir o 805, o menor roteador com suporte a interfaces seriais era o 1841, posto agora ocupado pelo 1905. Quanto ao throughput, o 1921 suporta 15 Mbps, com serviços habilitados e o 1905 suporta 10 Mbps (o 1941 suporta 25 Mbps). Página do 1905: Cisco 1905 Integrated Services Router Página do 1921: Cisco 1921 Integrated Services Router Até a próxima.
