Core topics

• trunk
• vlans
• etherchannels
• 802.1q

L2 Ports

• access — uma vlan
• trunk — múltiplas vlans
• tunnel — VPN L2 transparente (QinQ)
• dynamic — negociação DTP

Negociation

DTP é habilitado por default (ISL -> Dot1q -> access).

DTP representa uma possível falha de segurança uma vez que devemos saber o destino de cada porta (trunk ou access).

Procure SEMPRE configurar a porta explicitamente como trunk ou access.

Trunking

ISL

• proprietário Cisco
• usa encapsulamento

802.1q

• open standard
• usa tag

DTP

• desirable — inicia negociação
• auto — escuta passivamente por negociação
• on — ajusta explicitamente para trunk e realiza negociação negociação DTP

OBS: TRUNK ON != TRUNK + DTP OFF (nonegotiate) -> desabilita um overhead de negociação de milissegundos, geralmente usado para aplicações com baixíssimo tempo de convergência.

Desabilitando DTP

• nonegotiate
• access
• dot1q-tunnel

Uma falha de convergência pode ocorrer caso configure em um lado “dynamic auto” e no outro “trunk + nonegotiate”. Neste caso um lado trunk habilitado enquanto do outro terá acesso e irá descartar os frames encapsulados, porém o switch que encaminha não sabe disso.

VTP

Permite centralizar a administração dos atributos das VLANs (somente a administração).

Simplifica a administração, mas não vale a pena pelos problemas que pode causar.

VTP por default usa domínio NULL e se receber um pacote com domínio em uma interface trunk herdará o novo domínio. Isso representa outra falha de segurança porque um SW não autorizado pode aprender sobre todas as VLANs na rede.

Autenticação é habilitada por default mesmo com a password não configurada. O que importa é o MD5.

O revision number altera cada vez que uma VLAN é adicionada ou deletada. Portanto, para forçar a sincronia podemos adicionar ou deletar VLANs ou derrubar o link.

Modos:

• server — cria ou deleta VLANs
• client — não cria ou deleta VLANs
• transparent — não altera a database, mas encaminha o update para demais trunks

VTP Pruning

Reduz replicação desnecessária de broadcasts, unknown unicasts e unknown multicasts (unknowns são encaminhados da mesma forma que broadcasts).

Peers perguntam aos vizinhos “quais VLANs vocês tem configuradas?” e “quais VLANs você está no caminho?”. Os vizinhos respondem as listas para as duas solicitações.

Prune eligible list — por default todas as VLANs padrão (2–1001) estão na eligible list. VLANs que não estão na eligible list NÃO podem ser prunadas. É exatamente o oposto da “trunk allowed list”.

VTP é proprietário e, portanto, em ambiente multivendor é recomendado modo transparent.

OBS: Se estiver usando Pruning e conectar um dispositivo que não suporta VTP através de um trunk, o switch não receberá request de pruning. Com isso o switch repassa no uplink que ele precisa de todas as VLANs e todos os switches neste caminho repassam a necessidade. Portanto qualquer equipamento que não suporta VTP e seja conectado através de um trunk estraga tudo que o VTP Pruning tenta otimizar. Para corrigir este cenário, limite as VLANs na trunk allowed list e o VTP assume que o resto pode ser “prunado”.

OBS: Qualquer equipamento no mesmo domínio e com um número de revisão mais alto, quando conectado ao domínio irá modificar a database dos outros SWs (ataque simples).

Modo Transparent (na teoria):

• Versão 1 — encaminha pacotes VTP do mesmo domínio
• Versão 2 — encaminha todas as versões e domínios de VTP (não se importa)

OBS: na prática o modo transparent não encaminha pacotes de domínios diferentes além do DTP ainda bloquear o trunk.

Não é possível utilizar o modo transparent em uma topologia com pruning porque o SW transparent encaminhará as mensagens de pruning nos demais trunks e os neighbors irão prunar tais VLANs nestes trunks, interrompendo a comunicação nelas.

VTPv3

Corrige problema de segurança relacionado a sobrescrever o número de revisão através do uso de primary/secondary servers. Para realizar qualquer alteração primeiro precisa promover o SW para “primary” (evitando acidentes). Isto separa a função de “server” e “atualizador temporário”.

“New advertisements” tornam a administração mais fácil:

• extended vlans
• private vlans
• MST config
• hidden password
• VTPv3 pode ser habilitado globalmente ou por interface.
• Função de “secondary server” e “cliente” é essencialmente a mesma na prática porque não pode alterar vlans.
• VTPv3 pode habilitar pruning globalmente na topologia

#vtp primary-server [vlan|mst] — Usa modo exec para promover SW para primary no modo “vlan” (normal) ou “mst” permitindo topologias lógicas diferentes. EX: SW pode ser server para “vlan” e client para “mst”.

#show vtp status — Mostra as features para “vlan” e “mst”. Se “primary ID” é 0000.0000.0000, não existe primary server na rede.

https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/solution_guide_c78_508010.html

Extended VLANs

• 1006–4094
• Requerem VTP transparent, portanto não permitem pruning
• Funciona com VTPv3, mas a maioria dos equipamentos não suporta
• Portanto VLANs estendidas devem ser especificadas em cada SW

L3 Routing

• Switched Virtual Interface (SVI)
• Native Routed Interface

SVI mostra “protocol down” quando não há uma instância de STP para a VLAN.

Quando não possui “default gateway” configurado, o SW manda ARP para tudo. Se algum router nas VLANs estiver usando proxy-arp pode confundir o comportamento e testes porque responde com seu próprio ARP. Ficar atendo com MACs repetidos.

A escolha entre SVI e Native L3 depende basicamente da topologia. Além do que interfaces nativas L3 convergem mais rápido porque não precisam esperar o STP convergir primeiro.

Router-on-a-Stick

• Versão antiga da SVI
• Roteadores não suportam DTP ou VTP
• Roteadores encapsulam pacotes através de sub-interfaces
• VLAN nativa deve ser especificada na interface (ou sub-interface) ou usar tag

Etherchannel

• Usado para agregar banda de links físicos
• Utiliza mesma lógica de PPP Multilink
• Pode ser qualquer tipo de interface (L2, L3, Trunk, Tunnel)

OBS: Etherchannel é o nome patenteado da Cisco para “NIC teaming”. Nic teaming é a agregação de portas de acesso para servidores (L2).

Modos de Etherchannel

• on — sem negociação
• PAgP — desirable ou auto
• LACP — active ou passive

Novamente, a vantagem de não usar negociação é convergir mais rápido. A desvantagem é não prevenir contra falhas de configuração.

Load balance

• source and destination MAC
• source and destination IP

Se uma interface está sendo muito mais utilizada do que as outras, obviamente é porque o load balance não está adequado.

Interfaces membras do channel precisam ter a mesma configuração principal.

Sempre configure o channel com as interfaces DOWN para evitar falhas na negociação que podem gerar loops L2.

Não tem como saber qual o caminho L1 o fluxo está percorrendo no channel porque todos os MACs e o STP apontam para o channel. O que conseguimos verificar é a utilização dos links.

OBS: Ao realizar alterações em um channel, altere a interface lógica e as interfaces membras todas ao mesmo tempo usando “range”.

OBS: Quando o channel é criado, ele herda o “tipo de interface” das interfaces membras (L2, L3, Trunk ou Tunnel). Se mudar o tipo de interface (ex: L2-> L3) sem mudar o channel, elas são retiradas do bundle (…e tá feita a cagada). Portanto SEMPRE especifique o tipo de interface corretamente antes de adicionar ao channel.

802.1q Tunneling

Criado para oferecer serviço VPN over Ethernet, geralmente utilizado em ambientes Metro Ethernet. É uma versão “light” de MPLS VPN.

PE adiciona um tag 802.1q adicional para todos os frames recebidos do CE, chamado “metro tag” ou “QinQ”. Portanto para o SP cada cliente estará dentro de uma única VLAN e não permite que as VLANs se comuniquem porque cada uma tem sua própria MAC table.

Obviamente todos os links para o CE devem ser configurados manualmente e todos os SWs do ISP devem conhecer a VLAN.

Principal problema dessa solução é não ser escalável porque a rede fim-a-fim toda do ISP precisa ser L2 trunking.

• OBS: MPLS é “over IP” e portanto é escalável.

Segundo principal problema é que por ser L2, os SWs do ISP precisam conhecer os MACs de todos os end-hosts de todos os clientes. Obviamente isto também não escala.

Apenas os links para os CEs precisam ser Dot1q. Internamente a rede do ISP pode ser do1q ou ISL desde que seja L2 trunking fim-a-fim.

Terceiro principal problema é que usam TAG L2 de 4 bytes. Portanto se a MTU interna do ISP é de 1500 bytes, a MTU do cliente deve ser 1496 bytes. Como ethernet não suporta fragmentação, se o cliente encaminhar frames com MTU padrão (1500 bytes), eles serão descartados.

• OBS: Para cada “QinQ” são descartados 4 bytes de overhead.
• OBS: Novamente, MPLS resolve este cenário porque utiliza pacotes IP, que podem ser fragmentados.

SWs utilizando “QinQ” descartam pacotes de control plane dos CEs (CDP, VTP, STP, etc) porque eles usam MACs especiais que não são permitidos.

L2 Protocol Tunneling

Utilizado tipicamente para resolver a questão acima com “QinQ”, codificando os protocolos de control plane dentro de um MAC específico.

Protocolo proprietário Cisco.

Geralmente não há motivos para usar isso sem “QinQ” mas tecnicamente podemos fazer um tunnel L2 de protocolos tornando os SWs no caminho transparentes.

QinQ não funciona legal caso a VLAN de acesso para algum cliente seja a mesma VLAN nativa de um trunk. O resultado é que o switch não adiciona o TAG e vaza o pacote do cliente (com as TAGs de VLAN) na rede interna do SP. Então as VLANs internas do cliente vazam para as VLANs de acesso dos outros clientes (com respectivos números). Solução para isso é habilitar TAG de vlan nativa no ISP.

L2 protocol tunneling permite tunnelar etherchannels. Usado geralmente quando se precisa de mais banda do que o ISP oferece com 1 interface. O channel deve ser específico fim-a-fim, do contrário causa loop L2 e portanto precisa de uma VLAN separada para cada interface fim-a-fim membra do channel.

Spanning-tree

1. Eleger root bridge
2. Eleger root port em cada SW
3. Eleger portas designadas em cada SW

Eleição da Root Bridge se baseia na melhor Bridge Identifier

• Bridge priority 0–61440 (incrementos de 4096)
• System ID extension 0–4095 (número da VLAN)
• — A priority funcional é a soma da priority configurada + sys-id-ext.
• MAC address
• OBS: Se utilizar prioridade padrão na rede, SWs mais antigos tendem a se tornar root por terem MAC mais antigo.

Eleição da Root Port:

1. Menor custo até o root
2. Menor BID
3. Menor Port ID

Eleição da Designated Port:

1. Menor custo até o root
2. Menor BID
3. Menor Port ID

Todas as outras portas entram em blocking (BLK) mode.

• Recebem BPDU
• Descartam tráfego
• Não podem enviar tráfego

OBS: Fora a eleição do Root, quase todo o resto pode ser ajustado através do custo.

OBS: É através do sys-id-ext que o SW identifica a VLAN de uma BPDU.

STP Timers

Hello

• Frequência de envio de BPDUs
• Default 2 seg

MaxAge

• Tempo máximo de espera entre BPDUs
• Default 20 seg

Forward Delay

• Tempo utilizado nos estados de listening e learning
• Default 15 seg

Timers são ajustados pela Root bridge

• No modo PVST somente a Root gera BPDUs

Tempo de convergência default é 50 seg (20s + 15s +15s).