Konfiguracja przełączników HP ProCurve Cz. V – Limitowanie i QoS

  Limitowanie i QoS Pisząc o limitach trzeba wspomnieć o ochronie użytkowników przed nimi samymi. Rozgłoszenia potrafią zalewać sieć, a szczególnie to widać w dużych płaskich sieciach. Wypracowaliśmy dość skuteczną […]

 

Limitowanie i QoS

Pisząc o limitach trzeba wspomnieć o ochronie użytkowników przed nimi samymi. Rozgłoszenia potrafią zalewać sieć, a szczególnie to widać w dużych płaskich sieciach. Wypracowaliśmy dość skuteczną metodę.

Począwszy od przełączników dostępowych ustawiamy limit rozgłoszeń na wszystkich portach dostępowych na 1%.

Można to osiągnąć poniższym poleceniem (1-46 to numery portów dostępowych objętych limitem, czyli 47 i 48 są nie limitowane)

(config)# interface 1-46 broadcast-limit 1

Na uplinku do przełącznika nadrzędnego (cora) nie ustawiamy limitu. W przykładzie to trunc na portach 47 i 48. Gdy testowaliśmy nań limitowanie, doświadczaliśmy problemów wydajnościowych. Przy dużym ruchu przełączniki się krztusiły. Po drugiej stronie uplinka (na corze) ustawiamy limitowanie jak na zwykłym porcie dostępowym – 1%.

Ustawienia limitowania można podejrzeć za pomocą polecenia:

(config)# show interfaces brief

Status and Counters - Port Status

                  | Intrusion                                MDI   Flow Bcast
Port    Type      | Alert     Enabled Status Mode            Mode  Ctrl Limit
------- --------- + --------- ------- ------   ----------   ----   ---- -----
1       100/1000T | No        Yes     Up         100FDx     MDI     off  1
2       100/1000T | No        Yes     Up         100FDx     MDI     off  1
3       100/1000T | No        Yes     Up         1000FDx    MDI     off  1
4       100/1000T | No        Yes     Up         1000FDx    MDI     off  1
5       100/1000T | No        Yes     Up         1000FDx    MDI     off  1
6       100/1000T | No        Yes     Up         1000FDx    MDIX    off  1
7       100/1000T | No        Yes     Up         1000FDx    MDIX    off  1
8       100/1000T | No        Yes     Down       1000FDx    Auto    off  1
9       100/1000T | No        Yes     Down       1000FDx    Auto    off  1
10      100/1000T | No        Yes     Down       1000FDx    Auto    off  1
...

Kolejnym limitem który, powinno się wprowadzić, na wszystkich portach dostępowych, jest ograniczenie liczby MACów na porcie, obsługiwany za pomocą Port Security.

(config)# port-security 1-46 learn-mode limited-continuous address-limit 10 action send-disable

Powyższa linijka ustawia limit do 10 adresów na portach 1-46.(Można ustawić maksymaly limit do 32 adresów.) Na końcu linii zanjduje się „action send-disable” oznacza to, że po przekroczeniu liczby 10 MACów na porcie, ten zostanie wyłączony.
Ustawianie 1 adresu na porcie nie jest dobrym rozwiązaniem. Wiele kart sieciowych, podczas bootowania systemu, otrzymuje losowy adres MAC, co skutkuje wyłączeniem portu na przełączniku.
Limitowanie adresów na porcie jest doskonałym zabezpieczeniem przeciw pętli.

Działanie mechanizmu można podejrzeć wykonując polecenie:

# show port-security intrusion-log

Flagi, czyli alerty naruszenia reguły, czyścimy poleceniem:

port-security #port clear-intrusion-flag

Następnie możemy już włączyć port.

Należy wspomnieć co się dzieje w przypadku awarii np pętli. Sieć jest zalewana syfem. Karty sieciowe często w tej sytuacji zaczną wariować i same zaczynają wysyłać syf i często z losowymi MACami. Sytuacja w sieci się pogarsza, z analizy ruchu nie da się nic wywnioskować i pozostaje kolejne odłączanie portów, co zresztą też jest mało skuteczne bo zwariowane karty generują nadal syf. W przypadku gdy tam gdzie to możliwe włączymy ograniczenie MACów na porcie, mechanizm niemal natychmiast wytnie źródło problemów i/lub zwariowane karty.

Zdarza się, że na niektórych portach nie można założyć ograniczenia ilości MACów. Na przykład gdy do protu jest podłączony duży przełącznik niezażądany. W takich przypadkach pozostaje Loop-porotect.

Loop-protect jest mechanizmem wysyłającym, co określony czas, ramkę. Jeśli ta wróci port jest tymczasowo wyłączany. Zdarzenie to można wychwycić trapem SNMP.

Aby zabezpieczyć port przed pętlą wydajemy następujące polecenie:

loop-protect 1-46 receiver-action send-disable
loop-protect trap loop-detected
loop-protect disable-timer 1800
loop-protect transmit-interval 1

Pierwsza linia ustawia zabezpieczenia przeciw pętlom na portach 1-46. Jeżeli zostanie tam wykryta pętla port zostanie wyłączony

Nie ma potrzeby wprowadzać loop-protecta na uplinkach. W przypadku pętli nie chcemy odcinać się od przełączników. Pozbawi to nas możliwości zdalnego zarządzania i (automatycznego) usunięcia problemu.

Na koniec warto wspomnieć o wbudowanym w VLANy mechanizmie priorytetyzacji zgodnym z IEEE P802.1p (http://en.wikipedia.org/wiki/IEEE_802.1p). W dużym skrócie VLAN służalcy do zarządzania przełącznikami, autoryzacji na porcie i przesyłania informacji krytycznych dla funkcjonowania sieci winno się oznaczyć jako o priorytecie 7 (Network Control). Komunikację między serwerami można prowadzić w VLANie o priorytecie 3 (Critical Applications).

vlan 10 qos priority 7
vlan 104 qos priority 3

 

I to już koniec tej wstępnej serii wpisów an temat konfiguracji ProCurve jeżeli pojawi się zainteresowanie tematem postaramy się kontynuować serie i opisać parę zaawansowanych mechanizmów dostępnych w urządzeniach HP.
Idźcie w pokoju LAMY Amen