miércoles, 14 de mayo de 2014
Comandos Utiles para diagnosticos de falla en la SAN (Storage Area Network)
CISCO - MDS
show fcns database
Para mostar todos los equipos de almaceneamiento logeados en las VSANs del fabric
show flogi database
Muestra todo los equipos de almaceneamiento logeados en el switch SAN (FLOGI - Fabric Login)
show topology
Muestra la topologia de los switches conectados de la SAN
show interface fc x/y
verifica el estado de la negociacion de un puerto
Activar un ISL entre 2 switches SAN
config t
interface fc x/y
switchport rate-mode dedicated
switch port mode e
switchport fcrxbbcredit 16
BROCADE
switchshow - Muestra indicadores de los puertos sin enlace
portshow <port> - Proporciona estadisticas de los puertos con error
porterrshow - Muestra la salud de los puertos
portstatsshow <port> - Muestra el detalle de los errores
portstatsclear <port> para limpiar los contadores
cfgshow - Muestra la configuracion de la Zonas
defzone - Muestra la configuracion por defecto de la zon
nsshow -t - Displaya los nombre de los servidores con detalles
nodefind <alias> - Para encontrar un dispositivo en el fabric
nodefind <WWPN> - Para encontrar un dispositivo en el fabric
fcping permite validar la conectividar del servidor
lunes, 5 de mayo de 2014
Configurando NAT en routers Cisco
Existe varios modo de configuracion de los routers Cisco, la mas comunes son las siguientes:
Configurando NAT para permitir que los usuarios internos accedan a Internet
interface Fast ethernet 0/0
!---Interface interna del router
ip address 10.0.0.1 255.0.0.0
ip nat inside
interface Fast ethernet 0/1
!---Interface externa del router
ip address 172.16.1.1 255.255.255.0
ip nat outside
ip nat pool ovrld 172.16.1.2 172.16.1.2 prefix 24
ip nat inside source list 10 pool ovrld overload
access-list 10 permit 10.0.0.0 0.255.255.255
Configurando NAT para permitir publicar aplicaciones
interface Fast ethernet 0/0
!---Interface interna del router
ip address 10.0.0.1 255.0.0.0
ip nat inside
interface Fast ethernet 0/1
!---Interface externa del router --- Internet
ip address 172.16.1.1 255.255.255.0
ip nat outside
!---Publicando los servicios con la misma IP
ip nat inside source static tcp 172.16.1.10 80 10.10.10.2 80
ip nat inside source static tcp 172.16.1.10 25 10.10.10.3 25
ip nat inside source static udp 172.16.1.10 53 10.10.10.4 53
show ip nat translations Para visualizar la tabla de NAT
show ip nat statistics Mostrar las estadisticas
clear ip nat translations Borrar la tabla de NAT
domingo, 4 de mayo de 2014
Problemas de Voip cuando trabajamos con NAT
Los dispositivos que realizan NAT tienen como misión trabajar con IP privadas para usar un numero limitado de Ips publicas ya que son muy escasas. Gracias a estos muchos computadores dentro de una empresa se comunican con el exterior con pocas direcciones IPs publicas.
El NAT trabaja a nivel de capa 3 y 4 del modelo OSI, es por esto que varias aplicaciones que mandan la información de IPs y Puertos dentro de los paquetes TCP/UDP no trabajarán en un firewall normal.
La funcionalidad de NAT Tranversal en los firewalls ayuda a muchos protocolos como el de voz sobre IP para lograr su funcionamiento, el firewall modifica los paquetes tcp y udp a nivel aplicación para que funcione la aplicacion. En el caso del h323 por ejemplo las Ips y puertos de la comunicacion de voip va a traves de la capa de aplicacion y es por esta razon que una comunicación con Voip no funcionará si no se usa un firewall que trabaje los paquetes a nivel aplicación.
Otras de las soluciones en caso de tener problemas con el NAT Transversal, es usar el firewall transparente (modo bridge) o el Nat0 (nateo de las aplicaciones con su misma dirección IP)
El NAT trabaja a nivel de capa 3 y 4 del modelo OSI, es por esto que varias aplicaciones que mandan la información de IPs y Puertos dentro de los paquetes TCP/UDP no trabajarán en un firewall normal.
La funcionalidad de NAT Tranversal en los firewalls ayuda a muchos protocolos como el de voz sobre IP para lograr su funcionamiento, el firewall modifica los paquetes tcp y udp a nivel aplicación para que funcione la aplicacion. En el caso del h323 por ejemplo las Ips y puertos de la comunicacion de voip va a traves de la capa de aplicacion y es por esta razon que una comunicación con Voip no funcionará si no se usa un firewall que trabaje los paquetes a nivel aplicación.
Otras de las soluciones en caso de tener problemas con el NAT Transversal, es usar el firewall transparente (modo bridge) o el Nat0 (nateo de las aplicaciones con su misma dirección IP)
jueves, 24 de abril de 2014
Entendiendo tipos de puertos STP en Cisco Nexus
Existen 3 tipos de puertos
Spanning Tree Edge Ports:
Spanning Tree Network Ports:
- Spanning Tree Edge Ports equivalente a PortFast
- Spanning Tree Network Ports
- Spanning Tree Normal Ports
Spanning Tree Edge Ports:
Pueden ser puertos de acceso o trunking, no reciben BPDUs y es necesario manejarlo con precaucion porque podemos provocar un loop involuntario.
Spanning Tree Network Ports:
Es usado para conectar switches o bridges. Si conectamos un equipo edge com un servidor, el puerto se desactivara.
Spanning Tree Normal Port:
Es el puerto por defecto y puede conectarse switches, servidores, etc.
sábado, 15 de junio de 2013
Diagnostico de Problemas con Spanning Tree
Spanning Tree
Es un protocolo de capa 2 del modelo OSI, se utiliza en los switches capa 2 y su función es manejar los bucles redundantes en la topologia de red. Este protocolo permite generar un camino único de interconexion entre los switches, los demás caminos son bloqueados.
Estado de los puertos
Bloqueo: En este estado se recibira BPDUs pero no los enviara.
Escucha: Este es el estado despues del bloqueo y se busca una ruta de menor coste. Si existe una ruta de mayor coste se coloca en nuevamente en Bloqueo. Solo se procesa las BPDUs.
Aprendizaje: A este estado se llega desde Escucha, se actualizan las tablas de Mac Address, se procesa los BPDUs.
Desactivado: Es el estado cuando el puerto se desactiva o el administrador lo desactiva.
Principales Problemas
Trafico Unireccional
Ocurre cuando la fibra de transmisión o de recepción en el puerto del switch se desconecta, esto causa que el BPDU se deje de enviar o se reciba. Por ejemplo si un switch no recibe el BPDU el no bloquea el puerto por lo que el trafico de datos que envíe este switch por el puerto con problemas, pasara al otro switch sin que se considere este camino parte del spanning tree, por lo que se genera el loop debido a que el trafico daría vueltas.
En los switches cisco podemos controlar esta situacion actibvando el protocolo UDLD (UniDirectional Link Detection)
Es un protocolo de capa 2 del modelo OSI, se utiliza en los switches capa 2 y su función es manejar los bucles redundantes en la topologia de red. Este protocolo permite generar un camino único de interconexion entre los switches, los demás caminos son bloqueados.
Estado de los puertos
Bloqueo: En este estado se recibira BPDUs pero no los enviara.
Escucha: Este es el estado despues del bloqueo y se busca una ruta de menor coste. Si existe una ruta de mayor coste se coloca en nuevamente en Bloqueo. Solo se procesa las BPDUs.
Aprendizaje: A este estado se llega desde Escucha, se actualizan las tablas de Mac Address, se procesa los BPDUs.
Desactivado: Es el estado cuando el puerto se desactiva o el administrador lo desactiva.
Principales Problemas
Trafico Unireccional
Ocurre cuando la fibra de transmisión o de recepción en el puerto del switch se desconecta, esto causa que el BPDU se deje de enviar o se reciba. Por ejemplo si un switch no recibe el BPDU el no bloquea el puerto por lo que el trafico de datos que envíe este switch por el puerto con problemas, pasara al otro switch sin que se considere este camino parte del spanning tree, por lo que se genera el loop debido a que el trafico daría vueltas.
En los switches cisco podemos controlar esta situacion actibvando el protocolo UDLD (UniDirectional Link Detection)
En el modo de configuracion global podemos activar el udld enable, también lo podemos activar por puerto.
Conexion de un Switch a otro Switch con puerto configurado como Port Fast
Si se conecta un nuevo switch a un puerto Port Fast y existe varios caminos redundantes, definitivamente vamos a provocar un loop en la red.
Alto uso de CPU del Switch
Debido a que el protocolo STP (Spanning Tree Protocol) esta implementado por software un alto uso de CPU del switch puede causar problemas en la convergencia del STP.
En lo switches cisco podemos ejecutar estos comando para diagnosticar los problemas relacionados a STP.
show interfaces
show spanning-tree
show bridge
show processes cpu
debug spanning-tree
Configuracion de Puertos de Red en los Servidores
Es muy importante tener una configuración adecuada de los adaptadores de red del servidor, en primer lugar siempre se debe fijar la velocidad de red y fijarlo a duplex. La velocidad de red puede ser de 10giga o 1giga, siempre se debe coordinar con el administrador de la red de validar esta configuración y que en ambos lados tenga los mismos parámetros.
Efecto de la configuración en half duplex
En este caso el servidor y el switch solo tienen un par de hilos del cable ethernet para transmitir y recibir información. Esto hace que la transmisión que realice el servidor tenga muchas colisiones debido a que siempre estaría recibiendo el broadcast de la red y no podría transmitir paquetes mientras este recibiéndolos. Es por eso se recomienda el uso de una configuración de full duplex, para que la transmisión y recepción se realice por diferentes par de hilos.
Efecto de la configuración en Auto
Esta situación no es recomendable porque la tarjeta de red esta constantemente negociando y cuando se trasmite alto trafico se pierden los paquetes por lo que la eficiencia de la red disminuye.
Con la nacionalización de servidores, actualmente los servidores que tienen alojadas las maquinas virtuales usan puertos de red en modo trunking quiere decir que se utilizan mas de una vlan ademas no solo usa un camino de red único, sino usa varias interfaces de red en el modo activo/backup o en etherchannel.
Efecto de la configuración en half duplex
En este caso el servidor y el switch solo tienen un par de hilos del cable ethernet para transmitir y recibir información. Esto hace que la transmisión que realice el servidor tenga muchas colisiones debido a que siempre estaría recibiendo el broadcast de la red y no podría transmitir paquetes mientras este recibiéndolos. Es por eso se recomienda el uso de una configuración de full duplex, para que la transmisión y recepción se realice por diferentes par de hilos.
Efecto de la configuración en Auto
Esta situación no es recomendable porque la tarjeta de red esta constantemente negociando y cuando se trasmite alto trafico se pierden los paquetes por lo que la eficiencia de la red disminuye.
Con la nacionalización de servidores, actualmente los servidores que tienen alojadas las maquinas virtuales usan puertos de red en modo trunking quiere decir que se utilizan mas de una vlan ademas no solo usa un camino de red único, sino usa varias interfaces de red en el modo activo/backup o en etherchannel.
Mac Address y Direcciones Ips de los Servidores
Normalmente un servidor debería tener una dirección MAC y una dirección IP, pero debido a que lo servidores tienen varias direcciones Ips en una tarjeta de red (como direcciones Ips secundarias) tenemos una sola mac address con asociadas con una sola dirección IP.
En un router o switch capa 3 cisco podemos encontrar lo siguiente:
Router#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.14.22 - 000C.3322.6232 ARPA FastEthernet0/40
Internet 192.168.14.23 - 000C.3322.6232 ARPA FastEthernet0/40
Internet 192.168.14.24 - 000C.3322.6232 ARPA FastEthernet0/40
Internet 192.168.14.25 - 000C.3322.6232 ARPA FastEthernet0/40
La razón de que un servidor tenga varias IPs depende mucho de las aplicaciones, muchas tenemos servidores webs con certificados digitales y para este caso es obligatorio el uso de una direccion Ip secundaria por dominio o nombre de la web.
Las direcciones Mac Address son unicas por cada dirección IP, quiere decir que siempre una dirección IP debería tener solo una direccion Mac Address. En el caso que tengamos varias direcciones Macs para una IP, esto significaría que la Ip esta duplicada o existe una mala configuración de la tarjeta de red cuando este tiene varias tarjetas de red como redundancia. (en este ultimo caso podríamos tener trafico indeseable porque la tabla de mac address de los switches si no contiene las macs de los servidores el trafico dirigido a este servidor podria ser inundado a todos los puertos del switch)
Lo que no deberíamos tener
- Una direccion Ip duplicada entre servidores
- Una direccion Mac Address duplicada entre servidores
- Una direccion IP con varias direcciones Mac Address
Suscribirse a:
Entradas
(
Atom
)