Resolvi criar este post em cima de algumas experiências que eu já tive, por achar a tecnologia, em si, muito interessante. Muitos não sabem, mas é possível combinar túneis GRE (L3) com VPNs L2 (L2VPN) para alcançar resultados bastante interessantes. Montei o lab em cima do GNS3, e vou disponibilizar todo o material (configurações, cenário e IOS) para que vocês repliquem o mesmo em vossas casas

O objetivo é fazer com que dois CPEs (roteadores, PCs ou mesmo switches) consigam se enxergar via camada 2 - como se estivessem diretamente conectados - mesmo estando a milhares de kilômetros de distância e, fisicamente, atravessando redes sobre as quais não temos qualquer controle (como a Internet). Abaixo, o cenário montado no GNS3.

No caso, a “nuvem” Internet é representada por um roteador no GNS3 (chamado “Internet”). Para os CPEs foram usados roteadores Cisco 3600, e para os PEs e o roteador “Internet”, Cisco 7200. O motivo é que não consegui fazer o AToM (Any Transport over MPLS) funcionar nos 3600. AToM é a tecnologia usada para a emulação de enlaces L2 sobre redes MPLS, e para que isso funcione, é preciso ativar MPLS entre os roteadores PE1 e PE2.

O problema é que temos a Internet no meio do caminho. Para contornar isso, criamos um túnel GRE fazendo com que os roteadores PE1 e PE2 “achem” que estão diretamente conectados. Ativamos, então, AToM neste túnel GRE. O legal desta solução é que não é necessário ativar MPLS nas interfaces que se conectam com o mundo exterior (com a Internet, no exemplo). Apenas nas interfaces túnel. Não vou me extender no assunto pois este já foi tratado em um post anterior, sobre VPNs L2.

Para alcançar o resultado, nos CPEs, em si, nenhuma configuração especial se faz necessária. A única coisa que fiz foi colocar IPs em suas interfaces (192.168.0.1, na F0/0 do CPE1, e 192.168.0.2 na F0/1 do CPE2). Mas para o cenário funcionar, sequer isso seria necessário, já que podemos constatar que a coisa está funcionando via CDP, que como vocês sabem, é um protocolo exclusivamente L2:

CPE1#sh cdp nei

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
CPE2             Fas 0/0            163        R S I      3660      Fas 0/1

Como temos IPs configurados nas duas pontas, a saída do comando “show arp” também mostra que o cenário está funcionando à contento:

CPE1#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.0.1             -   cc08.195c.0000  ARPA   FastEthernet0/0
Internet  192.168.0.2            24   cc09.195c.0001  ARPA   FastEthernet0/0

E, claro, temos o PING:

CPE1#ping 192.168.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/48/128 ms

Se ao invés de roteadores fossem conectados switches como CPEs, poderíamos fechar um trunk entre ambos, mesmo que um estivesse fisicamente no Brasil, e outro no Japão, por exemplo. É claro que existem os problemas com delay, QoS, jitter, etc desta solução, e isso não tem jeito, já que não temos controle sobre os pacotes que caem na Internet (ou em qualquer rede de dados pública). Mas, de qualquer forma, não deixa de ser uma solução interessante, e que pode ser útil em vários cenários do mundo real.

Os arquivos de configuração, .net e os IOS usados nesta demonstração encontram-se disponíveis para download no link abaixo:

http://www.4shared.com/file/1rQdDdbR/Lab_L2VPN.html

Bom lab!!!

Marco.

Popularity: 2% [?]

Pessoal, conforme prometido, segue o link para a gravação do workshop IPv6 ministrado pelo Adilson Florentino, em prol do programa FUNCERTI 2011!

Basta visitar o link abaixo.

http://www.wiziq.com/online-class/587274-workshop-ipv6

Abraço!

Marco.

Popularity: 2% [?]

No Curso CCNP Switch, um dos tópicos que levanta mais dúvidas ainda é Private VLANs (ou PVLANs). O problema é que o material disponível sobre o assunto deixa um pouco a desejar em termos de objetividade. O objetivo deste post é tentar explicar o assunto de forma clara e concisa (será que vai dar?).

Comecemos pela RFC5517, que define as PVLANs. Notem que, apesar de existir uma RFC sobre o assunto, o protocolo é proprietário Cisco, ou seja, PVLANs criadas em switches Cisco não enxergam PVLANs em switches não-Cisco (se é que existe algum outro fabricante que trabalhe com este recurso - eu, sinceramente, desconheço).

A idéia por trás de PVLANs é relativamente simples. Como explica a RFC5517, em uma rede Ethernet comutada, temos um único domínio de broadcast, o que pode gerar problemas de segurança (usuários não autorizados acessando informações de usuários autorizados). Uma forma de resolver o problema é isolar em camada 2 os usuários preocupados com a segurança de seus dados associando a cada um destes usuários uma VLAN distinta. O problema é que o campo VLAN ID do cabeçalho de um frame Ethernet possui apenas 12 bits de extensão, o que é suficiente para a criação de um máximo (teórico) de 4094 VLANs, ou seja, apenas 4094 usuários poderiam, em tese, se beneficiar desta separação.

Private VLANs é uma solução Cisco que endereça este problema de escalabilidade no que se refere à resolver o problema acima mencionado. Basicamente, PVLANs são VLANs dentro de VLANs, ou VLANs “aninhadas”. Lembrem-se que VLANs são domínios de broadcast. PVLANs são a quebra destes domínios de broadcast em múltiplos sub-domínios (”sub-VLANs”) isolados. Por definição, membros de uma VLAN não podem se comunicar em L2 com membros de outra VLAN, ou seja, um elemento L3 (como um router) se faz necessário para permitir esta comunicação. Com PVLAns este conceito permanece.

PVLANs possuem 3 tipos de portas:

• Promiscuous (P): Normalmente usadas para conexão de um elemento L3 (router). Este tipo de porta pode enviar e receber frames de qualquer outra porta da VLAN primária.
• Isolated (I): Este tipo de porta pode se comunicar apenas com portas (P), ou seja, são portas “stub”.
• Community (C): Este tipo de porta pode trocar frames com outras portas (C) na mesma sub-VLAN e com portas (P).

E podemos ainda ter 2 tipos distintos de PVLANs:

• Isolated VLAN: Encaminha frames de portas (I) para portas (P). Como portas (I) não podem trocar frames umas com as outras, apenas UMA VLAN do tipo Isolated pode existir para conexão de todas as portas (I) com portas (P).
• Community VLANs: Transportam frames entre portas (C) dentro de uma mesma sub-VLAN e de portas (C) para portas (P) da VLAN Primária.

Neste ponto, imagino que a pergunta que vocês devem estar se fazendo - ainda - é: “Por que diacho alguém vai precisar de PVLANs, quando existem tantas outras formas de prover segurança em termos de rede?”

PVLANs fazem muito sentido quando falamos de ambientes compartilhados, como um datacenter por exemplo, onde servidores de diversos clientes operam no mesmo ambiente físico em modo “co-location”. Existem outros usos, mas aí é de cada um identificar a necessidade de utilizar ou não o recurso .

Vamos fazer um exercício para verificar os conceitos e testar nosso entendimento. Observem o diagrama abaixo.

Temos uma VLAN primária 100 e três VLANs secundárias (sub-VLANs) 101, 102 e 103, sendo que as duas primeiras são do tipo Community, e a 103 do tipo Isolated. Observem que a subrede IP usada é a mesma para todas as sub-VLANs. Na verdade, a associação de uma subrede ocorre por VLAN primária (no caso, a 100). Por isso, as sub-VLANs sempre usarão esta mesma subrede.

Máquinas associadas à sub-VLAN 101 podem se comunicar com outras máquinas associadas à mesma sub-VLAN e com o router. O mesmo vale para máquinas associadas à sub-VLAN 102. Máquinas associadas à sub-VLAN 103 apenas enxergam o router. Nada mais.

E como configuramos este cenário? Abaixo, o script:

Passo 1:

Vamos criar a VLAN primária 100 e as sub-VLANs (ou VLANs secundárias) 101, 102 e 103:

! Criando a VLAN primaria, que sera dividida para dar origem as outras 3
!
vlan 100
private-vlan primary
!
! Criando as VLANs secundarias Community 101 e 102
!
vlan 101
private-vlan community
!
vlan 102
private-vlan community
!
! Criando a VLAN secundaria Isolated 103
!
vlan 103
private-vlan isolated
!
! Associacao das VLANs secundarias 101, 102 e 103 a VLAN primaria 100
!
vlan 100
private-vlan assoc 101,102,103
!
end

Passo 2:

Agora, vamos associar as portas do switch às VLANs secundárias criadas. Observe que as portas pertencem à duas VLANs simultaneamente: VLAN primária (100) e VLAN Secundária (101, 102 ou 103).

!
! Community ports: community VLAN
!
interface range FastEthernet 0/2 - 3
switchport mode private-vlan host
switchport private-vlan host-association 100 101
!
interface range FastEthernet 0/4 - 5
switchport mode private-vlan host
switchport private-vlan host-association 100 102
!
! Isolated port: isolated VLAN
!
interface range FastEthernet 0/6 - 7
switchport mode private-vlan host
switchport private-vlan host-association 100 103
!
end

Passo 3:

Falta agora criar a porta Promiscuous (P), e fazer o mapeamento do downstream de acordo com o planejado. Lembrem-se que a VLAN Primária (100 no caso) é usada para enviar frames no sentido downstream para todas as portas (C) ou (I).

! Porta conectada ao router
!
interface FastEthernet 0/1
switchport mode private-vlan promisc
switchport private-vlan mapping 100 add 101,102,103
!
end

NOTA: É importante ressaltar que se você precisar configurar uma interface SVI neste switch (se ele for L3, claro), isso apenas pode ser feito na VLAN primária. Isso pelo simples motivo que todas as VLANs secundárias são “subordinadas” à VLAN primária e não funcionam sem ela. No nosso caso, a config ficaria algo assim:

interface Vlan 100
ip address 172.16.0.1 255.255.0.0

Espero que tenham gostado !

Abraço,

Marco Filippetti

Fontes consultadas:

http://blog.ine.com/2008/01/31/understanding-private-vlans/
http://tools.ietf.org/html/rfc5517
http://isc.sans.org/diary.html?storyid=8785

Popularity: 3% [?]

Uma vez mais, uma importante contribuição do Eduardo Laino - Obrigado Eduardo, pela constante contribuição com posts de qualidade! Vamos prestigiá-lo uma vez mais deixando comments sobre este interessantíssimo e muito bem escrito post sobre a tecnologia WDM.

—————————————————————

WDM

No inicio dos anos 90, foi desenvolvida a tecnologia WDM, com o objetivo de tornar mais eficiente o uso de fibras ópticas. Esta tecnologia consiste em unir, em uma mesma fibra, vários sinais de luz, comprimentos de ondas diferentes, cada um gerado por um laser separado, levando o sinal até o fim, e separando novamente.

Essa multiplexação tem o objetivo de aumentar a capacidade de transmissão e utilizar a largura de banda da fibra óptica de forma mais adequada. A grande vantagem associada ao WDM é a possibilidade de se modular o aumento da capacidade de transmissão conforme o mercado e de acordo com a necessidade de tráfego. A principal razão para a utilização destes sistemas é o baixo custo. Estes sistemas possibilitam o alcance de uma melhor relação entre custos e bits transmitidos, sob determinadas condições. Algumas análises mostram que, para distâncias menores que 50Km, a solução de multi-fibra é menos dispendiosa e para distâncias maiores que este valor, o custo da solução WDM é melhor.

Os sistemas WDM possuem algumas características básicas, apresentadas a seguir:

• Flexibilidade de capacidade: migrações de 622 Mbps para 2,5 Gbps e, a seguir para 10 Gbps poderão ser realizadas sem a necessidade de se trocar os amplificadores e multiplexadores WDM. Desta maneira, é possível se preservar os investimentos realizados; 
• Transparência a sinais transmitidos: podem transmitir uma grande variedade de sinais de maneira transparente. Como não há o envolvimento de processos elétricos, diferentes taxas de transmissão e sinais poderão ser multiplexados e transmitidos para o outro lado do sistema, sem a necessidade de uma conversão ópto-elétrica; 
• Permite crescimento gradual de capacidade: um sistema WDM pode ser planejado para 16 canais, podendo ter sua operação iniciada com um número menor de canais. A introdução de mais canais no sistema pode ser feita simplesmente adicionando novos equipamentos terminais; 
• Reutilização dos equipamentos terminais e da fibra: permite o crescimento da capacidade, mantendo os mesmos equipamentos terminais e a mesma fibra;
• Atendimento de demanda inesperada: geralmente, o tráfego aumenta mais rapidamente que o esperado e, neste caso, alguns sistemas podem não possuir uma infra-estrutura disponível para suportá-lo. Os sistemas WDM podem solucionar este problema, economizando tempo na expansão da rede.

DWDM

DWDM (Dense Wavelength Division Multiplexing - multiplexação densa por comprimento de onda) é uma tecnologia WDM. Os sistemas DWDM podem combinar até 64 canais em uma única fibra. No entanto, podemos encontrar, na prática, sistemas DWDM que podem multiplexar até 128 comprimentos de onda. Além disso, foram realizados alguns testes que provaram ser possível a multiplexação de até 206 canais. Os sistemas DWDM utilizam comprimentos de onda entre aproximadamente 1500 nm e 1600 nm e apresentam alta capacidade de transmissão por canal, 10 Gbps, podendo alcançar 1Tbps na transmissão de dados sobre uma fibra óptica.

O DWDM é a chave tecnológica para integração das redes de dados, voz e imagem de altíssima capacidade. Atualmente, o DWDM é utilizado principalmente em ligações ponto-a-ponto. Nessa tecnologia, é possível que cada sinal transmitido esteja em taxas ou formatos diferentes. Desta forma, a capacidade de transmissão de sistemas DWDM podem ser ampliadas consideravelmente e de maneira relativamente fácil. E ainda é capaz de manter o mesmo grau de desempenho, confiabilidade e robustez do sistema.

Nas redes ópticas emprega-se a utilização de um link DWDM ponto-a-ponto. Neste sistema, emissores de luz lançam feixes de luz na entrada do multiplexador óptico. Este mux irá combinar os diferentes comprimentos de onda em um único caminho, sendo então acoplados em uma fibra monomodo. No final do link, os canais ópticos são separados pelo demultiplexador óptico e levados para os diferentes receptores. Para links de transmissão que possuem longas distâncias, é preciso que os sinais sejam amplificados. Para isso, utiliza-se um amplificador óptico.

UDWDM

O U-DWDM (Ultra - Dense Wavelength Division Multiplexing) é considerado como o próximo estágio nas comunicações ópticas. Esta tecnologia combina 128 ou 256 comprimentos de onda em uma única fibra óptica, sendo que cada comprimento de onda teria uma taxa de transmissão de 2.5 Gb/s, 10 Gb/s e até 40 Gb/s. No U-DWDM os canais estão espaçados de 10 GHz, o que corresponde a 0.08 nm.

CONCLUSÃO

Apesar de apresentar custo elevado em relação às tecnologias usadas atualmente, as fibras ópticas nos oferecem muitas vantagens, como, por exemplo, imunidade não só a interferências externas, mas também a freqüências de rádio e radar e impulsos eletromagnéticos. As fibras ópticas também apresentam baixa atenuação, imunidade a ruídos externos e taxas de transmissão maiores. O WDM, por sua vez, é usado para ampliar ainda mais a capacidade de transmissão da fibra. Essa tecnologia tem como princípio, combinar vários comprimentos de onda diferentes em uma única fibra. O WDM possui uma série de variações como o CWDM, o DWDM e o WWDM. Futuramente teremos também o U-DWDM, que irá multiplexar centenas de comprimentos de onda em apenas uma fibra, alcançando taxas de transmissão na ordem de Tb/s. Com o aumento da procura por aplicações que exigem altas taxas de transmissão de dados, acompanhado da crescente evolução das próprias fibras e das tecnologias aplicadas nas redes ópticas, espera-se que, brevemente, os cabos metálicos sejam substituídos por cabos de fibra óptica.

Popularity: 2% [?]