Configurazione delle porte di peering

Scopo

Scopo di tale documento è fornire alcuni suggerimenti per la configurazione degli apparati direttamente connessi a MIX.
Verranno evidenziate per le principali tecnologie disponibili sul mercato alcuni consigli per la configurazione di Switch L2 direttamente connessi a MIX, Switch L3 o Router di Peering.

Configurazione Consigliate per Switch L2

Gli esempi qui di seguito riportati fanno riferimento allo scenario architetturale visibile in figura, e sono relativi al dispositivo di rete indicato come ‘Member Switch’.

Connessione attraverso Switch Cisco Catalyst 29xx e 35xx

Nel caso si utilizzi uno Switch Layer 2 Cisco come quelli della serie 2900 e 3500 devono essere tassativamente disabilitati i seguenti protocolli/servizi:

  • VTP (VLAN Trunking Protocol)
  • DTP (Dynamic Trunking Protocol)
  • LLDP (Link Layer Discovery Protocol)
  • UDLD (Unidirectional Link Detection)

In configurazione globale, inserire i seguenti comandi (software IOS)

vtp mode transparent
!
no spanning-tree vlan 100
! Nel caso di non utilizzo di LLDP, disabilitarlo globalmente
no lldp run
! Nel caso di non utilizzo di CDP, disabilitarlo globalmente
no cdp run
!
vlan 100
name MIX
!
interface /IfIdent/
description Interfaccia su MIX
switchport access vlan 100
switchport mode access
switchport nonegotiate
no keepalive
speed nonegotiate
no udld enable
! Se CDP non è stato disabilitato globalmente
no cdp enable
! Se LLDP non è stato disabilitato globalmente
no lldp receive
no lldp transmit
! Se non volete o non potete disabilitare globalmente lo Spanning Tree
spanning-tree bpdufilter enable
end

Famiglia Cisco Catalyst 6500

Per questa tecnologia è ancora molto diffuso il software CatOS, per cui si applicano i seguenti comandi:

set vtp mode off
set port name /IfIdent/ Porta MIX
set cdp disable /IfIdent/
set udld disable /IfIdent/
set trunk /IfIdent/ off dot1q
set spantree bpdu-filter /IfIdent/ enable
set vlan 100 name VLAN su MIX
set vlan 100 /IfIdent

Se non è possibile disabilitare il VTP globalmente l’unico workaround disponibile per renderlo inattivo su base singola porta è usare l2pt:

set port l2protocol-tunnel /IfIdent/ vtp enable

Attenzione, questo comando potrebbe non essere disponibile su tutte le Release CatOS.

Switch L2 Extreme Networks

Il frammento di configurazione visibile nel seguito è relativo ad uno switch Extreme Networks direttamente connesso agli switch MIX, facente anche parte di un ring EAPS. Nell’esempio la porta 1 è connessa a MIX, le porte 2 e 3 appartengono all’Anello. Il router di peering è collegato all’anello sulla vlan MIX. Le porte sono tutte delle Gigabit Ethernet.

create vlan “ring”
configure vlan “ring” tag 1700 # VLAN-ID=0x6a4 Global Tag 9
configure vlan “ring” qosprofile “QP8”
configure vlan “ring” add port 2 tagged
configure vlan “ring” add port 3 tagged
create vlan “mix”
configure vlan “mix” tag 1200 # VLAN-ID=0x4b0 Global Tag 3
configure vlan “mix” add port 1 untagged
configure vlan “mix” add port 2 tagged
configure vlan “mix” add port 3 tagged
configure port 1 auto off speed 1000 duplex full
configure port 2 auto off speed 1000 duplex full
configure port 3 auto off speed 1000 duplex full
disable edp port 1
disable igmp snooping
disable igmp snooping with-proxy
create eaps “ring-eaps”
configure eaps “ring-eaps” mode transit
configure eaps “ring-eaps” primary port 2
configure eaps “ring-eaps” secondary port 3
configure eaps “ring-eaps” add control vlan “ring”
configure eaps “ring-eaps” add protect vlan “mix”
enable eaps “ring-eaps”

Switch L2 Brocade

Nel seguito un frammento di configurazione di uno switch Brocade BiGIron, utilizzato come dispositivo di accessso a L2 alla LAN MIX, il router di peering è connesso ad una altra porta fisica dello stesso switch.

! Definire una VLAN per la porta MIX e per il router di Peering
vlan number name “MIX” by port
no spanning-tree
untagged ethernet if-verso-switch-MIX
untagged ethernet if-verso-router-peering

Configurazione Consigliate per Switch L3 / Router di Peering

Vengono riportate nel seguito alcuni template di configurazione per router di peering o switch di Livello tre, connessi alla LAN di peering MIX, secondo lo schema visibile in figura.

Router Cisco

Lo scopo del frammento di configurazione riportato qui di seguito è quello di disabilitare tutte e funzionalità che generano traffico indesiderato sulla LAN di Peering MIX:

Protocolli di Autoconfigurazione:

  • DHCP
  • BOOTP
  • TFTP della configurazione via MIX

Altri Protocolli e Servizi il cui traffico non deve essere indirizzato verso la LAN di Peering MIX

  • CDP
  • DEC MOP
  • IP redirects
  • IP directed broadcasts
  • proxy ARP
  • IPv6 RouterAdvertisements
  • L2keepalive

Configurazione Globale

! Disattivare il DHCP
no service dhcp!Release più datate di IOS potrebbero richiedere invece il seguente comandono ip bootp server
! Non permettere di scaricare configurazioni via TTP
no service config
! Non attivare CDP sul router di peering
no cdp run

Configurazione di Interfaccia

! Disabilitare gli IP redirects
no ip redirects
! Eliminare il proxy ARP
no ip proxy-arp
! Se il CDP non è stato disabilitato a livello globale, inibirlo vs MIX
no cdp enable
! Disabilitare i directed broadcasts
no ip directed-broadcast
! Se ilDEC/MOP non è stato disabilitato a livello globale, inibirlo vs MIX
no mop enable
! Per porte Giga Ethernet: no auto-negotiation.
no negotiation auto
! duplex fissato sulla porta verso MIX
duplex full
! L2 keepalives non hano senso sulla porta MIX
no keepalive

Router / Switch L3 Extreme Networks

Il frammento di configurazione incluso mostra i dettagli fondamentali di configurazione per un router/switch L3 Extreme connesso tramite la porta 1 su MIX nelal vlan ‘mix’ (untagged).

# Config information for VLAN mix. # create vlan “mix” configure vlan “mix” tag 1200 configure vlan “mix” protocol “IP” configure vlan “mix” ipaddress 217.29.66./Y/ 255.255.254.0 configure vlan “mix” add port 1 untagged # configure port 1 display-string “MIX” disable edp port 1 # enable ipforwarding vlan “mix” disable ipforwarding broadcast vlan “mix” disable ipforwarding fast-direct-broadcast vlan “mix” disable ipforwarding ignore-broadcast vlan “mix” disable ipforwarding lpm-routing vlan “mix” disable isq vlan “mix” disable irdp vlan “mix” disable icmp unreachable vlan “mix” disable icmp redirects vlan “mix” disable icmp port-unreachables vlan “mix” disable icmp time-exceeded vlan “mix” disable icmp parameter-problem vlan “amsix” disable icmp timestamp vlan “mix” disable icmp address-mask vlan “mix” disable subvlan-proxy-arp “mix” configure ip-mtu 1500 vlan “mix” # IP Route Configuration # configure iproute add blackhole default disable icmpforwarding vlan “mix” disable igmp vlan “mix”

Router / Switch L3 Force 10

Il frammento di configurazione incluso mostra i dettagli fondamentali di configurazione per un router/switch L3 Force10 connesso tramite una porta 10Gbit Ethernet.

! Disabilitare il proxy-arp sull’interfaccia MIX
Force10(conf)#interface tengigabitethernet 0/0
Force10(conf-if-te-0/0)#no ip proxy-arp
! Disabilitare Ipv6 ND RA
Force10(conf-if-te-0/0)#ipv6 nd suppress-ra
! L’ARP timeout di default è settato a 4 hr ma può essere modificato
Force10(conf)#interface tengigabitethernet 0/0
Force10(conf-if-te-0/0)#arp timeout /minuti/

Router / Switch L3 Brocade

Il seguente frammento di configurazione descrive come configurare un BigIron come switch di L3 connesso direttamente a MIX.

! Configuazione dell’interfaccia MIX
interface ethernet if
port-name “MIX”
! Attivare la porta solo a livello 3
route-only
no spanning-tree
! Disabilitare IPv6 ND-RA (Router Advertisements)
ipv6 nd suppress-ra
! Disabilitare il discovery automatico delle VLAN.
no vlan-dynamic-discovery
! IP address
ip address 216.29.6X.Y 255.255.254.0
! No redirects
no ip redirect
no ipv6 redirect
! MIX raccomanda almeno 2 ore come valore di ARP timeouts
ip arp-age 120
! Per porte fast-ethernet: settare fissi duplex e velocità
speed-duplex 100-full

In alcune release di Ironware il settaggio di default delle richieste ICMPv6 ND era ad 1 sec, intervallo che si consiglia decisamente di allungare, ad un valore ragionevole di un’ora, con il comando:

! Set dell’intervallo di ritrasmissione a 1 hr.
ipv6 nd ns-retransmit 3600

Router Juniper

In ambiente Juniper assicurarsi innanzi tutto di scambiare solo rotte Unicast sulla LAN di MIX aggiungendo il seguente comando a tutti i neighbor, gruppi e prefix-limits:

set family inet unicast

Anche un solo neighbor settato con family inet ‘any’ farà attivare il multicast e conseguentemente l’MBGP.

IPv4 ARP Cache Timeout

L’ARP cache timeout di Juniper è settato a 20 minuti: per ridurre il quantitativo di traffico broadcast ARP non necessario, consigliamo di settare questo timeout a 4 ore. I comandi che seguono realizzano questa configurazione.

> “configure”
Entering configuration mode
[edit]
you@juniper# edit system arp
[edit system arp]
you@juniper# set aging-timer 240
[edit system arp]
you@juniper# show | compare
[edit system arp]
aging-timer 240;
[edit system arp]
you@juniper# commit and-quit
commit complete
Exiting configuration mode

A partire dalla release JUNOS 9.4 l’ARP cache timeout è anche configurabile su base interfaccia singola:

[edit system arp aging-timer interface interface-name] aging-timer-minutes;

Configurazione di porte in Link Aggregation verso MIX

E’ possibile affasciare porte MIX secondo lo schema visibile nella figura seguente. Per questa attività è sempre indispensabile prendere contatto con l’Ufficio Tecnico MIX per coordinare l’attività di configurazione. Nel seguito sono comunque riportate alcune linee guida per la configurazione lato afferente.

Il servizio è disponibile in modalità standard su porte Gigabit e 10 Gigabit, fino ad un massimo di 8.

Cisco Catalyst 6500

Il Port Channel va configurato in modalità on non negotiate o desirable gli switch MIX non abilitano di default il protocolloLACP e non utilizzano il PAgP. L’utilizzo del protocollo LACP è possibile previo accordo con l’Ufficio Tecnico MIX.

Alcuni moduli di Interfaccia cisco possono presentare limitazioni nella quantità di traffico veicolabile sul link aggregato. Verificare la documentazione relativa ai propri apparati.

! Esempio di Configurazione Port Channel MIX:
interface GigabitEthernet1/1
description MIX Link 1
no ip address
no ip redirects
no ip proxy-arp
no keepalive
no cdp enable
channel-group 1 mode on
!
interface GigabitEthernet1/2
description MIX Link 2
no ip address
no ip redirects
no ip proxy-arp
no keepalive
no cdp enable
channel-group 1 mode on
!
interface Port-channel1
description MIX aggregated link
ip address 217.29.6x.y 255.255.254.0
no ip redirects
no ip proxy-arp
no keepalive
!

Cisco GSR

Oltre alla configurazione del Port Channel il contatto con l’ufficio tecnico MIX è indispensabile utilizzando questa tecnologia poiché spesso si sono riscontrati problemi nell’assegnazione del MAC address statico MIX.

! Esempio configurazione Port Channel verso MIX:
!
interface Port-channel1
description MIX Port Channel
ip address 217.29.6x.y 255.255.254.0
no ip redirects
no ip directed-broadcast
no ip proxy-arp
channel-group minimum active 1
no channel-group bandwidth control-propagation
hold-queue 150 in
!
interface GigabitEthernet1/2/1
no keepalive
no negotiation auto
channel-group 1
no cdp enable
!
interface GigabitEthernet1/2/2
no keepalive
no negotiation auto
channel-group 1
no cdp enable
!

Switch L3 Brocade

Le Piattaforme più datate come i BigIron JetCore hanno limitazioni sulla configurazione delle porte per la Link Aggregation.
La porta primaria deve essere dispari e la secondaria deve essere direttamente adiacente alla primaria. Sui BigIron 15000 non è possibile utilizzare porte nello slot n.8 o direttamente adiacenti

! Esempio Port Channel MIX su BigIron JetCore
trunk server ethernet slot/port to slot/port+1


Le famiglie di Switch BigIron RX e MLX/XMR non presentano alcuna limitazione sulla creazione dei Port Channel:

! Port Channel MIX su switch RX/MLX/XMR
trunk ethe slot/port to slot/port ethe otherslot/otherport to otherslot/otherport
Consigli per la configurazione della porta di peering su MIX
Cod. MIX 305 – Versione 1.2 15/20

Juniper M-Series

Non ci sono problemi con la Link Aggregation, in particolare dalla release JunOS 6.0 in avanti. Segue un esempio di configurazione:


[edit]
ops@junix# show chassis
aggregated-devices {
ethernet {
device-count 1;
}
}

[edit]
ops@junix# show interfaces ge-2/1/0
gigether-options {
802.3ad ae0;
}
[edit]
ops@junix# show interfaces ge-3/1/0
gigether-options {
802.3ad ae0;
}

[edit]
ops@junix# show interfaces ae0
description “MIX”;
unit 0 {
family inet {
filter {
input MIX-in;
output MIX-out;
}
address 217.29.6x.y/23;
}
family inet6 {
address 2001:7F8:B:100:1D1:A5Dx:xxxx:y/64;
}
}

Opzionalmente è disponibile una funzionalità più avanzata di load balancing:

#
routing-options {
autonomous-system abcde;
forwarding-table {
export [ load-balance ];
}
}
policy-options {
policy-statement load-balance {
then {
load-balance per-packet;
}
}
}
forwarding-options {
hash-key {
family inet {
layer-3;
layer-4;
}
}
}

In caso in cui non sia sufficientemente granulare è possibile modificare l’algoritmo di hashing tramite alcune opzioni non documentate introdotte a partire da JunOS 7.


hash-key {
family inet {
layer-3 {
destination-address;
protocol;
source-address;
}
layer-4 {
destination-port;
source-port;
type-of-service;
}
}
}

È inoltre possibile configurare il numero minimo di link attivi che, se non disponibili, causerà la caduta della Link Aggregation, non essendo quest’ultimo in grado di veicolare su MIX tutto il traffico previsto.


aggregated-ether-options {
minimum-links 2;
Consigli per la configurazione della porta di peering su MIX
Cod. MIX 305 – Versione 1.2 18/20
link-speed 1g;
}

Configurazione di porte TAGGED su MIX

Le porte di interconnessione verso gli Switch di MIX sono configurabili anche su VLAN multiple, in base allo standard 802.1q.
Per questa attività è sempre indispensabile prendere contatto con l’Ufficio Tecnico MIX per coordinare l’attività di configurazione. Nel seguito sono comunque riportate alcune linee guida per la configurazione lato afferente.
Gli scenari in cui è possibile utilizzare porte tagged su MIX sono molteplici, nello specifico riportiamo solo i casi più comuni:

  1. Porta di peering taggata sulla VLAN di Peering e su una o più VLAN privata per interconnessione diretta con
    altro membro o Closed User Group ( per cui va obbligatoriamente sottoscritto il servizio di Q-tagging delle porte
    coinvolte)
  2. Porte di interconnessione per peering diretti configurate esclusivamente su VLAN dedicate
  3. Porte di accesso ad altri servizi forniti da altri Membri MIX in ambienti opportunamente segregati (VLAN private)

Di seguito gli stralci di configurazione per i più comuni Vendor

Ambiente Cisco

int gig 1.100
encap dot1q 100
description – Mix Milano –
ip addr 217.29.6x.y 255.255.254.0
int gig 1.501
description – MIX OHM –
encap dot1q 501
ip addr 185.1.186.x 255.255.255.0

Ambiente Juniper

user@host# set interfaces ge-0/0/0 vlan-tagging
user@host# set interfaces ge-0/0/0 unit 0 alias “MIX-MILANO”
user@host# set interfaces ge-0/0/0.0 vlan-id 100
user@host# set interfaces ge-0/0/0.0 family inet address 217.29.6x.y/23
user@host# set interfaces ge-0/0/0 unit 1 alias “MIX-OHM”
user@host# set interfaces ge-0/0/0.1 vlan-id 501
user@host# set interfaces ge-0/0/0.1 family inet address 185.1.186.x/24

Ambiente Mikrotik

/interface vlan
add interface=sfp-sfpplus1 name=MIX-MILANO vlan-id=100
/ip address
add address=217.29.6x.y/23 interface=MIX-MILANO network=217.29.66.0
/interface vlan
add interface=sfp-sfpplus1 name=MIX-OHM vlan-id=501
/ip address
add address=185.1.186.x/24 interface=MIX-OHM network=185.1.186.0

Coesistenza tra VLAN MIX e Altri IX gestiti da MIX (MIX-OHM, MIX-BO) per porte Tagged

In questo paragrafo si vuoel approfondire lo scenario di Porta di Peering collegata presso un POP MIX ove è attiva una LAN di Peering Locale ( OHM Carini, Mix Bologna c/O Regione Emilia Romagna) e attiva contemporaneamente sulla VLAN di Peering Pubblico di MIX e sulla VLAN di Peering Pubblico locale al Pop OHM. Le VLAN di Peering Pubblico locale su PoP remoti non sono estendibili agli altri POP MIX distribuiti su Milano, essendo utilizzate per definire una collocazione geografica precisa dello scambio di traffico. Per quanto concerne la configurazione del tagging 802.1Q vedasi le istruzioni operative di cui al paragrafo precedente.

Come già esplicitato in precedenza la VLAN Locale deve essere utilizzata come la via primaria di scambio traffico tra i membri, collegati sugli switch MIX colocati a Carini o a Bologna. In questo scenario l’effetto atteso è semplicemente ottenibile configurando un valore di Local_Preference più elevato sugli annunci ricevuti dalla sessione BGP attiva sulla VLAN MIX-OHM rispetto a quelli ricevuti sulla sessione attiva sulla VLAN di Peering Pubblico MIX, sia diretta che tramite RS, sempre che vengano mantenuti coerenti gli annunci da entrambe le parte su tutte e due le sessioni, come è auspicabile.

Qui di seguito un esempio pratico nello scenario della connessione che coinvolge operatori collegati a Milano e a Carini. Le stesse considerazioni valgono per il Pop di Bologna.
Nel caso in cui uno dei due peering partner abbia più di una porta attiva sulla VLAN MIX e che una di queste sia fisicamente connessa alla Fabric di Milano, per semplicità untagged come nella figura seguente, in condizioni normali il traffico tra ISP1 e ISP2 fluisce lungo il path tratteggiato in verde per mezzo delle sessioni attive sulla VLAN MIX . In caso di fault della porta OHM di ISP1 il traffico ISP1-ISP2 verrà instradato dalla sessione di backup attiva o via Route Server MIX di Milano.

Contattaci