Author: Diego Dias

DHCP Snooping

Diego DiasLeave a comment

A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.

Com o DHCP Snooping configurado, o Switch inspeciona as mensagens DHCP entre uma máquina cliente e servidor com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack, como o desenho abaixo:

O comando “ip dhcp snooping” configurado globalmente habilita o serviço no Switch.

Com o serviço habilitado, informe explicitamente qual VLAN deverá filtrar as mensagens DHCP Offer e DHCP Ack ; com o comando “ip dhcp snooping vlan vlan-range”.

ip dhcp snooping
! Habilitando o processo globalmente
ip dhcp snooping vlan 20
! Habilitando o dhcp snooping na vlan 20

Os comandos listados restringirão todas as portas do Switch na VLAN 20 como untrusted (não confiável). Filtrando todas as mensagens de oferta do serviço DHCP (a solicitação de serviço DHCP pela máquina cliente não sofrerá nenhuma restrição).

Para o funcionamento do “Servidor DHCP válido” deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.
No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/8 conectada ao servidor DHCP válido como trust.

Configuração

Switch#conf t
Switch(config)#interface GigabitEthernet1/8
Switch(config-if)#ip dhcp snooping trust

Visualisando

O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.

Switch# show ip dhcp snooping binding
MacAddress   IpAddress      Lease(sec) Type  VLAN  Interface
00:FF:16:89:E6:88 192.168.20.2 86250   dhcp-snooping  10  Gi1/12

Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
20
DHCP snooping is configured on the following Interfaces:
Insertion of option 82 is enabled
   circuit-id format: vlan-mod-port
    remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
GigabitEthernet 1/8          yes         unlimited
GigabitEthernet 1/12         no          unlimited

Dúvidas e sugestões, deixe um comentário! ;)

Referências
https://supportforums.cisco.com/pt/blog/153731

Identificação e Autenticação

Diego DiasLeave a comment

No mundo digital, onde armazenamos uma quantidade enorme de dados confidenciais, a segurança cibernética se tornou uma preocupação primordial e proteger os dados e sistemas contra acessos não autorizados é crucial para empresas e indivíduos. O controle de acesso lógico garante que apenas usuários legítimos e autorizados possam acessar aplicativos, recursos e informações confidenciais. A identificação e autenticação são dois processos importantíssimos nesse controle para garantir  a confidencialidade, integridade e disponibilidade dos dados.

Identificação

A identificação se refere ao processo de estabelecer a identidade de um indivíduo ou entidade. Um usuário deve fornecer sua identidade a um sistema para iniciar o processo de autenticação, autorização e auditoria. O processo de fornecer uma identidade pode envolver digitar um nome de usuário, exibir dados biométricos, como face, impressões digitais, utilizar um Smartcard etc. O principal objetivo é que durante a autenticação o usuário deve demonstrar identidades exclusivas.

Autenticação

A autenticação, é o processo de verificar a identidade de um usuário antes de conceder acesso a um sistema, aplicativo ou recurso, comparando uma ou mais informações fornecidas em uma base de dados com identidades validas, como contas de usuários. AS informações de autenticação utilizadas para verificar a identidade é privada de precisa ser protegida.

Imagine uma conta de e-mail,  ao inserir seu nome de usuário e senha, você está fornecendo suas credenciais de autenticação. O sistema verifica se essas informações correspondem a um usuário real e, se tudo estiver correto, permite seu acesso à conta bancária.

Identificação e autenticação acontecem juntos, fornecendo inicialmente a identidade e então providenciando a autenticação. Imaginando que um usuário reivindica uma identidade (usuário diego.dias@email.com) mas não prova sua sua identidade ( com uma senha) e mesmo assim consegue acesso a um sistema, não há formas de provar que o usuário é Diego Dias, pois qualquer um que o conhece poderá se passar por ele.

Autorização e Accouting

Dois elementos adicionais de segurança no controle de acesso aos sistemas são: a autorização que permite acesso aos recursos após o processo de autenticação e contabilidade que audita todos as ações de um usuário ao acessar um sistema como leitura, modificação ou remoção de um arquivo, por exemplo.

Um efetivo sistema de controle de acesso requer um mecanismo forte de identificação e autenticação assim como os serviços de autorização e contabilidade. Em contraste se um usuário não acesso o sistema com suas credenciais, mesmo que os logs registrem os eventos e acesso ao sistema, não será possível identificar quais usuários executaram determinadas ações.

Fatores de autenticação

Os fatores de autenticação são os elementos que comprovam sua identidade durante o processo de autenticação. Tradicionalmente, o fator mais comum era a senha, mas com o aumento das ameaças cibernéticas, métodos mais robustos e seguros se tornaram necessários.

Atualmente, os fatores de autenticação podem ser categorizados em três tipos principais:

1. Algo que você sabe: Essa categoria inclui senhas, PINs, padrões de desbloqueio e perguntas de segurança. São informações que você deve memorizar e manter em sigilo.

2. Algo que você tem: Nesse caso, a autenticação se baseia em um objeto físico em sua posse, como um token de segurança, cartão inteligente ou smartphone com aplicativo autenticador. Ao tentar acessar o sistema, um código único é gerado no dispositivo e deve ser inserido para completar o processo.

3. Algo que você é: Essa categoria utiliza características biométricas, como impressão digital, reconhecimento facial ou íris, para verificar sua identidade. São métodos altamente seguros, pois dependem de características únicas do seu corpo.

Autenticação Baseada em Localização, Ausência e Contexto

Em adição aos 3 principais métodos de autenticação podemos adicionar outros métodos

Algo que você é: Essa categoria inclui localização do usuário por tipo de dispositivo e  localização geográfica.

Autenticação baseada em contexto: trabalha com o atendimento de requisitos para o processos de autenticação como  localização, horário, tipo de dispositivo, etc.

Algumas soluções podem basear o processo de autenticação baseado em algo que você não é, como por exemplo, mesmo com as credenciais corretas um sistema pode não autenticar o acesso a determinado sistema caso a geolocalização seja suspeita. Dispositivos moveis também podem solicitar o uso de gestos como mover as mãos, mover a  cabeça, conectar pontos ou sorrir.Esse método é referido como algo que você faz.

Fator Único vs. Multifator: Qual a Melhor Escolha?

A autenticação por fator único (FA) utiliza apenas um único fator, geralmente uma senha, para verificar a identidade do usuário. Apesar de sua simplicidade, esse método é considerado menos seguro, pois se baseia em um único ponto de falha.

Já a autenticação multifator (MFA) combina dois ou mais fatores de autenticação, tornando o processo de login significativamente mais seguro. Mesmo que um dos fatores seja comprometido, os outros ainda fornecem camadas de proteção adicionais.

A MFA é altamente recomendada para proteger contas confidenciais, como bancos online, e-mails e sistemas corporativos. Diversos serviços online, como Google, Facebook e Amazon, oferecem opções de MFA para aumentar a segurança de suas contas.

Implementando a Autenticação em Sua Vida Digital

Para garantir a segurança de seus dados e sistemas, siga estas dicas para implementar a autenticação em sua vida digital:

  • Ative a MFA em todas as contas importantes: Priorize contas bancárias, e-mails, mídias sociais e qualquer outro serviço que armazene informações confidenciais.
  • Utilize senhas fortes e exclusivas: Crie senhas complexas com combinações de letras maiúsculas e minúsculas, números e símbolos, evitando reutilizá-las em diferentes plataformas.
  • Considere a autenticação biométrica: Se disponível, utilize a autenticação por impressão digital, reconhecimento facial ou íris para maior segurança.
  • Mantenha seus softwares atualizados: Atualize regularmente o sistema operacional, navegadores e aplicativos para garantir que as últimas medidas de segurança estejam implementadas.
  • Esteja atento a phishing e outras técnicas de engenharia social: Tenha cuidado com emails, mensagens ou sites suspeitos que solicitam suas credenciais.

Lembre-se: a segurança cibernética é um processo contínuo. Mantenha-se informado sobre as novas ameaças e práticas de segurança para garantir que seus dados e sistemas estejam sempre protegidos.

Ao implementar os fatores de autenticação de forma adequada, você construirá um escudo robusto contra invasores cibernéticos, protegendo seu mundo digital e garantindo a tranquilidade de saber que suas informações estão seguras.

Top of Rack (ToR) e End of Rack (EoR)

Diego DiasLeave a comment

A implantação de novos switches em Data Centers é uma tarefa que demanda planejamento, pois a escolha do design, equipamentos e o posicionamento físico para cada dispositivo de rede influenciará em toda a estrutura do cabeamento.

Pensando na otimização dos custos e recursos, falaremos nesse post sobre o  posicionamento de Switches como Topo de Rack (ToR) e Fim de fila (EoR)

Os modelos ToR e EoR representam como os Switches e servidores serão conectados entre si e possuem impacto direto sobre a maior parte do esquema de cabeamento.

Top of Rack

No modelo ToR os servidores são conectados a um ou dois Switches Ethernet instalados dentro do Rack. Apesar do nome ser Topo de Rack, os switches não possuem a necessidade de serem instalados na parte superior. A principal caracteristica desse modelo  é o cabeamento via UTP (não necessariamente uma regra), com o cabo relativamente curto entre os equipamentos (servidores e switches) no mesmo rack.

A passagem de fibra é estendida entre o switch de acesso para os switches de distribuição/agregação.

O investimento do cabeamento é reduzido, aumentando o espaço em rack. Em contrapartida, há o aumento do custo com equipamentos de rede e a quantidade de equipamentos a serem gerenciados.

No site http://bradhedlund.com/2009/04/05/top-of-rack-vs-end-of-row-data-center-designs/ o autor faz a seguite colocação (em uma tradução livre):

“Cada rack é conectado ao Data Center com fibra, portanto, não há nenhuma necessidade de uma infra-estrutura volumosa e dispendiosa de cabeamento UTP correndo entre os racks e ao longo do ambiente. Grandes quantidades de cabos de cobre colocam um fardo adicional sobre as instalações do Data Center, podendo obstruir o fluxo de ar, e geralmente, requer mais racks e infra-estrutura dedicada apenas a aplicação de patches e gerenciamento de cabos. Longas distâncias para o tamanho do cabo também podem colocar limitações em velocidades de acesso, servidores e tecnologia de rede. O modelo Topo de Rack evita esses problemas, pois não há necessidade de uma grande infra-estrutura de cabeamento de cobre. Isso é muitas vezes o fator chave para um projeto Top of Rack ser selecionado sobre EoR.”

Segue alguns pontos relevantes levantados no modelo:

Vantagens

  • Facilidade no gerenciamento do cabeamento, menor custo de cabos .
  • Arquitetura por rack e facilidade de futuras transições para novas velocidades no uplink como 40GB e 100Gb.
  • Problemas em um switch afeta um baixo numero de servidores.

Desvantagens

  • Maior número Switches para gerenciar.
  • Problemas de escalabilidade para o STP e conexões para os Switches de agregação e distribuição.
  • Aumento no custo do hardware, em razão do numero de switches.

End of Rack

O modelo End of Rack é baseado no cabeamento por entre os racks ( dos switches para os servidores). O modelo de fim de fila reduz o número de equipamentos de rede e otimiza a utilização de portas  nos  switches.

O termo descreve a utilização de switches que atendam aos servidores de uma fila de racks. Dentro do rack o cabeamento dos servidores poderá ser direcionado para um patch pannel no topo do rack utilizando um cabo UTP curto, então o patch pannel “direciona” os cabos sob o piso ou de maneira elevada  para o rack “fim de fila” com os switches de rede.

A grande quantidade de cabos de RJ45 no fim da fila pode causar um problema de gerenciamento de cabos.

Os switches utilizados no modelo EoR são geralmente modulares, com grande densidade de portas, supervisoras, fontes redundantes, alta disponibilidade e boa capacidade de encaminhamento de quadros/pacotes.

Uma variação do modelo tambem é descrita como MoR, Middle of rack, com os Switches sendo dispostos nos racks centrais ao inves  do fim da fila de Racks.

Vantagens

  • Poucos Switches para gerenciar, potencialmente menor custo de equipamentos de rede e manutenção.
  • Requer poucas portas nos Switches de agregação/distribuição.
  • Menos nós de rede para o encaminhamento de pacotes.
  • Topologia simplificada para o Spanning-Tree

Desvantagens

  • Requer uma robusta infraestrutura para cabeamento.
  • Maiores distâncias de cabeamento interferem na velocidade dos servidores.
  • Problemas no upgrade de Switches.

Referências

Data Center Virtualization Fundamentals – Cisco Press – 2013 – Gustavo A.A. Santana

bradhedlund.com/2009/04/05/top-of-rack-vs-end-of-row-data-center-designs/

http://rekrowten.wordpress.com/2012/10/01/tor-vs-eor-vs-fabric-extender-designs-make-your-rack-clean/

IMPRESSÃO 3D E SUAS OPORTUNIDADES – MATHIAS BUSSINGER – PODCAST #8

Diego DiasLeave a comment

Nesse bate-papo conversamos com o gigante Mathias Bussinger sobre tecnologia de impressão 3D e suas aplicações na indústria, saúde, ou até mesmo como hobby.

A materialização de um objeto impresso em 3D é conseguida através de processos aditivos. Em um processo aditivo, um objeto é concebido geralmente através da sobreposição de camadas sucessivas de material até a conclusão. Cada uma dessas camadas pode ser vista como uma seção transversal em fatias finas do objeto nos softwares tipo “slicers” ou fatiadores. O projeto desejado pode ser modelado pelo usuário ou simplesmente baixados nos vastos repositórios que são alimentados pela comunidade de entusiastas gratuitamente em sua maioria.

A impressão 3D permite que você materialize formas de geometrias complexas usando menos material, com menor custo, comparado aos métodos tradicionais de fabricação. Esta tecnologia é um dos pilares da nova revolução tecnológica que permitem transformar seus projetos, planos e portfólios em algo sólido e concreto.

Ambiente de Lab Gratuito – Cisco Devnet Sandbox

Diego DiasLeave a comment

O ambiente Cisco DevNet Sandbox permite que engenheiros, desenvolvedores, administradores de rede, arquitetos ou qualquer pessoa que queira desenvolver e testar as APIs, controladores, equipamentos de rede, suíte de colaboração e muito mais da ferramentas da Cisco, possa fazê-lo gratuitamente!

Cisco DevNet Sandbox
https://developer.cisco.com/site/sandbox/

Outros Links
Meraki API V1: https://developer.cisco.com/meraki/api-v1/
Postman, API development tool: https://www.postman.com/
Meraki API V1 Postman Documentation (import from here): https://documenter.getpostman.com/view/897512/SzYXYfmJ
Getting started with Postman: https://developer.cisco.com/meraki/build/meraki-postman-collection-getting-started/
https://documenter.getpostman.com/view/897512/SzYXYfmJ#intro

Protegendo o Spanning-Tree (STP)

Diego DiasLeave a comment

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

As funcionalidades comentadas no vídeo usam como referência Switches 3Com/HP para mitigar os ataques ao STP, mas servem como exemplo para todos principais vendors. As features são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).

Cabo usb-serial no Linux com minicom

Diego DiasLeave a comment

Utilizar adaptadores usb-serial no sistema operacional com o Windows para configuração de equipamentos de rede, pode ser um parto. Dependendo do fabricante e do adaptador, achar o drive correto para o cabo pode nos fazer gastar horas ou mesmo não conseguir fazer o adaptador funcionar.

Se você for usuário de windows e tem dificuldades de achar o drive correto, suba uma VM e faça o teste em uma distro como o Debian usando o minicom.

Versões mais nova do SO linux, montam automaticamente a conexão na partição:  /dev/ttyUSB0

Para visualizar se o cabo foi reconhecido digite dmesg | grep tty

root@debian:/home/cierais# dmesg | grep tty
[    0.000000] console [tty0] enabled
[    2.212788] 00:05: ttyS0 at I/O 0x3f8 (irq = 4, base_baud = 115200) is a 16550ª
[  112.564462] usb 1-2.2: pl2303 converter now attached to ttyUSB0

No debian, instale o minicom com:

 apt-get install minicom

Configure a conexão:

 minicom -s

Obs: digite A ou B para diminuir ou aumentar a velocidade da conexão

Altere a configuração, salve  e faça o teste.

 minicom

Caso a comunicação não se estabeleça, verifique os cabos e adaptadores, certifique a velocidade da conexão e faça as alterações na configuração através das teclas Ctrl + A Z.

Referências

Acesso em 07/06/18
https://www.vivaolinux.com.br/dica/Minicom-em-notebooks

arpspoof com SSLStrip

Diego DiasLeave a comment

Os ataques à rede local do tipo man-in-the-middle, ou comumente conhecido como MITM, permitem ao atacante posicionar-se no meio da comunicação entre duas partes. Este ataque é útil para conduzir outros ataques, como sniffing (captura das informações) e session hijacking (sequestro de sessão).

A ferramenta arpspoof falsifica mensagems ARP reply com o intuido de direcionar o tráfego da máquina alvo para a máquina do atacante.

A ferramenta SSLStrip, escrita por Moxie Marlinspike, é bastante utilizada em um ataque man-in-the-middle para SSL Hijacking. O SSLStrip fecha uma sessão HTTP com a vítima e uma sessão HTTPS com a página web, capturando assim as informações que deveriam ser criptografadas.

vPC – virtual Port Channel

Diego DiasLeave a comment

A tecnologia de Port Channel ( também chamada de Etherchannel ou Link Aggregation),permite a agregação de uplinks Ethernet entre dois Switches, formando um único link lógico para prover aumento de banda, além de fornecer balanceamento de pacotes.

Por padrão, a agregação de links possui a limitação de permitir a conexão apenas entre 2 dispositivos.

A tecnologia Cisco vPC (virtual Port Channel) permite a dupla abordagem (dual-homing) de um switch ou servidor para dois Switches de forma a agregar os 2 links como um único link lógico e “simular” à agregação de links e também ao protocolo STP, como se a conexão fosse efetuada entre 2 dispositivos, ao invés de 3. O equipamento conectado aos Switches Nexus (com a configuração vPC) que desejam efetuar a agregação de portas, enxergará os Switches Nexus como um único equipamento lógico.

Em grandes redes, a redundância de equipamentos é muitas vezes uma exigência de projeto para proteção de falha de hardware e também para fornecer caminhos alternativos.

Tecnologias como STP e Port Channel possuem benefícios para proteger a rede de loop e prover redundância em caso de falhas em links ou equipamentos de rede. A convergência do STP ocorre aproximadamente 6 segundos, enquanto uma solução Port Channel tem o potencial de recuperação de falhas em menos de um segundo.

O diferencial da tecnologia vPC  é permitir que dois Switches Nexus diferentes formem um único Port Channel para um terceiro equipamento.

Um par de Switches Nexus que usa o vPC acaba parecendo a outros dispositivos de rede como um único switch de camada 2 lógico. No entanto, os dois switches permanecem como dois switches com o plano controle gerenciados separadamente, incluíndo modificações no plano de dados dos Switches para assegurar o encaminhamento da pacotes da melhor maneira.

Terminologia do vPC

A arquitetura VPC consiste nos seguintes componentes:

 – VPC Peer: Switches com o vPC configurado como pares.

– VPC Peer-Link : Este link cria a ilusão de um único plano de controle. com envio de BPDUs e LACP entre os Switches vPC pares. O link também é usado para sincronizar a tabela de endereço MAC e entradas IGMP para IGMP Snooping. Se um dispositivo vPC é também Switch L3, o vPC Peer-Link também carrega pacotes HSRP.

– VPC Peer-Keepalive link: o vPC Peer-Keepalive link é uma ligação lógica que muitas vezes é executado através de uma rede OOB. Ele fornece um caminho de comunicação L3 que é utilizado para monitorar a conectividade do vPC Peer Switch. O Switch envia uma mensagem de heartbeat a cada 2 segundos. O keepalive link não carrega nenhuma configuração de controle, dados ou sincronização.

– vPC Member port: esta porta é uma porta que está em um dos switches vPC; que participa de um dos vPC Port Channel.

– Orphan Port: o termo “porta órfã” refere-se a uma porta do switch que é ligado a um dispositivo órfão (não configurado como Port Channel) com uma conexão simples. O termo tambem pode ser utilizado se um dispositivo que está conectado a um vPC perde todas as conexões de um dos pares VPC.

Cisco Fabric Services

Cisco Fabric Services é usado como o principal protocolo do plano de controle do vPC, e comunica-se atraves de um peer link e não necessita de nenhuma configuração..

O Protocolo executa várias funções como:

–  Switches vPC devem sincronizar a tabela de endereços MAC. Por exemplo, um peer vPC aprende um novo endereço MAC em um vPC. Esse endereço MAC também está programado na tabela L2F do outro dispositivo de pares para o mesmo VPC. Este processo de aprendizado do endereço MAC substitui o  o mecanismo normal de aprendizagem MAC e impede tráfego  de ser encaminhados atraves dos vPC Peer-Link desnecessariamente.

– A sincronização de informações IGMP snooping é efetuada pelo Cisco Fabric Services. L2F do tráfego multicast com o vPC é baseado no comportamento IGMP snooping modificado que sincroniza as entradas IGMP entre os pares vPC. Em uma implementação vPC, o tráfego IGMP um switch do pares vPC  desencadeia a programação do hardware para a entrada multicast em ambos os dispositivos membros vPC.

– Cisco Fabric Services também é usado para se comunicar informações de configuração essencial para garantir consistência de configuração e compatibilidade. Durante a verificação de compatibilidade, em vPC pares, informações de configuração são transmitidas para o outro vPC para verificar se as portas membro vPC pode realmente formar um Port Channel.

– Cisco Fabirc Services é usado para controlar o status vPC. Quando todas as portas membros vPC em um dos switches vPC cair, Cisco Fabric Services é usado para notificar o switch par vPC que suas portas se tornaram Orphan port. Todo o tráfego que é recebido no Peer-link por aquele vPC, agora deve ser encaminhado via vPC local.

– Pares Layer 3 vPC sincronizam suas respectivas tabelas ARP. Esse recurso é ativado de forma transparente e ajuda a garantir o tempo de convergência mais rápida uma vez reinciado um Switch vPC. Quando dois switches são reconectados após uma falha, eles usam Cisco Fabric Services para executar a sincronização da tabela ARP.

Entre o par de Switches vPC, uma eleição é realizada para determinar um dispositivo vPC primário e secundário. Essa eleição é não-preemptiva. A função principal é administração do plano de controle, determinando qual dos Switches será o principal, responsável pela geração e processamento de BPDUs STP para o vPC.

Ambos os Switches participam ativamente no encaminhamento de tráfego para o vPC. No entanto, os papéis primários e secundários também são importantes em determinados cenários de falha, principalmente em uma falha no Peer-link. Quando o Peer-link vPC falhar, os VPC Switches tentarão determinar através do mecanismo de keepalive-peer se o Switch par ainda está operacional. Se positivo o Switch secundário operacional suspende todas as portas vPC member port. O secundário também coloca em shutdown as interfaces virtuais (SVIs)  associadas as VLANs configuradas e permitidas na ligação dos pares vPC.

Para os protocolos LACP e STP, os Switches pares vPC apresentam-se como um único dispositivos lógicos para dispositivos que estão conectados em um vPC. Para LACP, esse cenário é possível com a criação do LACP system ID para ambos os Switche vPC a partir de um pool  de endereço MAC reservados, que são combinadas com o vPC domain ID. Para o STP, o comportamento depende da utilização da opção de peer-switch option. Se a opção peer-switch option não for usada, o vPC primário é responsável pela geração e processamento de BPDUs e usa seu próprio Bridge ID para os BPDUs do vPC. Quando a opção peer-switch option é usada, ambas Switches primários e secundários enviam e processam BPDUs. No entanto, eles vão usar o mesmo Bridge ID para apresentar-se como um único switch ao dispositivo que está conectado ao vPC.

Configuração

Para configurar o virtual Port Channel é recomendado que você siga os seguintes passos:

  1. Defina o vPC domain
  2. Estabeleça a conectividade peer-keepalive
  3. Configure o peer link
  4. Crie o vPC

Nexus-A

#Nexus-A
vrf context vpc
! Criando a VRF vpc para isolar o tráfego keepalive
vpc domain 56
  peer-keepalive destination 192.168.56.6 source 192.168.56.5 vrf vpc
! Criando o vPC domain 56 e a conectividade peer-keepalive.
! O vPC domain deve ser o mesmo em ambos os Switches
#
interface port-channel5
  switchport
  switchport mode trunk
  vpc 5
! Após a configuração do Port Channel o mesmo deve ser configurado como parte do vPC.
! O ID do Channel e do vPC podem ser diferente, mas a configuração deve ser consistente
! em ambos os devices.
#
interface port-channel56
  switchport
  switchport mode trunk
  spanning-tree port type network
  vpc peer-link
! Configurando o Port Channel 56 como vPC peer-link
#
interface Ethernet4/17
 description vPC member port
  switchport
  switchport mode trunk
  spanning-tree port type network
  channel-group 5 mode active
  no shutdown
#
interface Ethernet4/19
  description conexão vPC peer
  switchport
  switchport mode trunk
  spanning-tree port type network
  channel-group 56 mode active
  no shutdown
#
interface Ethernet4/20
  description conexão vPC peer
  switchport
  switchport mode trunk
  spanning-tree port type network
  channel-group 56 mode active
  no shutdown
#
interface Ethernet4/21
  description conexão Peer-Keepalive
  vrf member vpc
  ip address 192.168.56.5/24
  no shutdown
#

Nexus-B

#Nexus-B
vrf context vpc
!
vpc domain 56
  peer-keepalive destination 192.168.56.5 source 192.168.56.6 vrf vpc
#
interface port-channel5
  switchport
  switchport mode trunk
  vpc 5
#
interface port-channel56
 switchport
  switchport mode trunk
  spanning-tree port type network
  vpc peer-link
#
interface Ethernet4/22
  description vPC member-port
  switchport
  switchport mode trunk
  spanning-tree port type network
  channel-group 5 mode active
  no shutdown
#
interface Ethernet4/23
  description conexão vPC peer
  switchport
  switchport mode trunk
  spanning-tree port type network
  channel-group 56 mode active
  no shutdown
#
interface Ethernet4/24
  description conexão vPC peer
  switchport
  switchport mode trunk
  spanning-tree port type network
  channel-group 56 mode active
  no shutdown
#
interface Ethernet4/25
  description conexão Peer-Keepalive
  vrf member vpc
  ip address 192.168.56.6/24
  no shutdown

Switch de Acesso

#Switch de Acesso
interface port-channel5
  switchport mode trunk
  speed 10000
#
interface Ethernet1/5
   switchport mode trunk
  spanning-tree port type network
  channel-group 5 mode active
  no shutdown
#
interface Ethernet1/6
   switchport mode trunk
  spanning-tree port type network
  channel-group 5 mode active
  no shutdown
#

Outputs

N7K2-vdc5# show vpc
Legend:
(*) - local vPC is down, forwarding via vPC peer-link
vPC domain id : JK
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 inconsistency reason : success
vPC role : primary
Number of vPCs configured : 2
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
vPC Peer-link status
---------------------------------------------------------------------
id Port Status Active vlans
-- ---- ------ --------------------------------------------------
1 Po56 up 2,P0,Q0
vPC status
----------------------------------------------------------------------
id Port Status Consistency Reason Active vlans
-- ---- ------ ----------- ------ ------------
5 PoP up success success 1,50,60

N7K2-vdc5# show vpc peer-keepalive
vPC keep-alive status : peer is alive
--Peer is alive for : (54) seconds, (92) msec
--Send status : Success
--Last send at : 2013.04.17 15:13:49 384 ms
--Sent on interface : Eth4/20
--Receive status : Success
--Last receive at : 2013.04.17 15:13:48 877 ms
--Received on interface : Eth4/20
--Last update from peer : (0) seconds, (940) msec
vPC Keep-alive parameters
--Destination : 192.168.56.6
--Keepalive interval : 1000 msec
--Keepalive timeout : 5 seconds
--Keepalive hold timeout : 3 seconds
--Keepalive vrf : vpc
--Keepalive udp port : 3200
--Keepalive tos : 192

Até logo!