quarta-feira, 21 de outubro de 2015

Estudos para o CCIE - 6

Bom pessoal, demorei um pouco para postar sobre a atualização do projeto para o CCIE porque além de ter mudado para um apartamento (demorei para montar o lab novamente) fiquei realmente desanimado com a alta do dólar nos últimos meses, sendo que para "bancar" as provas ficou meio complicado, fazendo uma conta de padaria, a prova escrita custa $400, a prática no lab móvel esta $1.900 então fazendo uma conta com a cotação do dólar a 4,50 (nas provas é utilizado a cotação do dólar turismo) acaba saindo R$ 10.350 dilmas....

- Bom  nesse período estudei algumas tecnologias diferentes do meu cronograma, por exemplo precisei aprender mais a fundo QOS e MPLS (motivos profissionais):


- Assisti metade dos vídeos de BGP, MPLS e QOS aproveitei pois estava assistindo via tablet durante o período de ida e volta do trabalho;
 
- Acabei não realizando muito os labs do INE pois demorei para instalar o rack ele e além disso troquei o notebook que usava o GNS, então fiquei um tempo sem praticar e só com esse tempo parado já estou desacostumando a fazer tshoots na velocidade que fazia;

- Criei um ambiente de MPLS/BGP simulando uma operadora entregando um link entre 2 localidades:


Nesse post há mais informações das configurações e dos testes que fiz nesse lab:


- Tive um problema meio complicado com uma aplicação SAP, os sintomas do problema eram que a usuária utilizava a aplicação e do nada ela perdia a conexão com o servidor (2 redes diferentes, uma em um datacenter e outra em uma filial passando por 1 link mpls), snifei a máquina dos usuários que estavam com problema:


Percebi que estava ocorrendo muitos erros de TCP DUP ACK ou seja duplicação de ACK, e isso ocorre quando o sever ou o cliente não recebem a resposta do SYN enviado ou recebem em ordem incorreta e acaba ocorrendo o reenvio do ACK ou o envio de ACK duplicado, eliminei os problemas na lan (criei uma vlan especifica para as workstations) e passei a verificar o comportamento do link pois me pareceu problema de gargalo no MPLS. 

Tive que estudar um pouco em como iria priorizar o tráfego de saída dessa aplicação, o primeiro passo foi entender em qual categoria dscp ela se encaixa, descobri que o tráfego SAP entra como transational/interactive  (client-server)- AF21  e que necessitava de uma certa qualidade, com as configurações  da operadora em mãos:

class-map match-any Multimidia_VPN-IP
 match ip dscp ef
 match ip dscp cs5
 match ip dscp af41
 match ip dscp cs4
class-map match-any Ouro_VPN-IP
 match ip dscp af31
 match ip dscp cs3
class-map match-any Video_IN
 match ip dscp af41
class-map match-any Prata_IN
 match ip dscp af12
class-map match-any Prata_VPN-IP
 match ip dscp af12
 match ip dscp cs1
class-map match-any Suporte_VPN-IP
 match ip dscp af21
 match ip dscp af22
 match ip dscp cs2
class-map match-any Ouro_IN
 match ip dscp af31
!
policy-map XXX_10MB_WAN
 class Multimidia_VPN-IP
    priority 3000
    police 3000000 conform-action transmit  exceed-action drop
 class Ouro_VPN-IP
    bandwidth 2048
 class Prata_VPN-IP
    bandwidth 3584
     random-detect dscp-based
 class Suporte_VPN-IP
    bandwidth 104
 class class-default
    fair-queue
     random-detect dscp-based
policy-map XXXX_10MB_WAN_SHAPE
 class class-default
    shape average 10240000
  service-policy XXXX_10MB_WAN
policy-map XXXX_10MB_LAN
 class Video_IN
   police cir 3000000
     conform-action set-dscp-transmit af41
     exceed-action drop
 class Ouro_IN
   police cir 2048000
     conform-action set-dscp-transmit af31
     exceed-action set-dscp-transmit af11
 class Prata_IN
   police cir 3584000
     conform-action set-dscp-transmit af12
     exceed-action set-dscp-transmit af11
 class class-default
  set ip dscp af11

Percebi que o tráfego af21 estava entrando na class-map Suporte_VPN-IP que por sua vez estava com uma prioridade bem baixa em relação aos outros tráfegos (af21 também é usado para telnet, então eles garantem somente o mínimo para conseguir conectar no roteador em caso de emergência) e que não conseguem alterar as configurações pois teriam que alterar no backbone inteiro deles.

Então como as minhas opções estavam ficando escassas , resolvi criar uma marcação em cima desse tráfego e alterar ele na saída via class-map e policy map, o primeiro passo foi criar a acl estendida:

ip access-list extended SAP
 permit tcp any range 3200 3299 any
 permit tcp any range 3300 3388 any
 permit tcp any range 3390 3399 any
 permit tcp any range 3600 3699 any
 permit tcp any range 4800 4899 any
 permit tcp any range 8000 8099 any
 permit tcp any range 8100 8199 any
 permit tcp any range 44400 44499 any
 permit tcp any range 50000 59999 any

Utilizei o  Modular quality of service (QoS) Command-Line Interface (CLI) (MQC), que na verdade é uma evolução do QoS comum, simplificando a classificação/manipulação do tráfego via class-map e o policy-map (parece muito com route-map):

class-map match-all QOS_SAP
 match access-group name SAP
!
policy-map QOS
 class QOS_SAP
  set dscp ef

Como podem perceber, selecionai o access-group SAP (ACL) e criei a policy-map para que quando ocorrer o match na classe, ele altere o dscp para ef (prioridade máxima).

Agora algo meio complicado é que dependendo da caixa/versão/tipo de interface você não consegue aplicar a policy-map na direção de outbound, então dependendo do que você precisa, você terá que utilizar outra técnica de QoS.

Para aplicar a policy:

R1(config-if)#service-policy input QOS

Para validar:

R1#sh policy-map interface 
  Service-policy input: QOS

    Class-map: QOS_SAP (match-all)  
      68121 packets, 4416918 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: access-group name SAP

    Class-map: class-default (match-any)  
      496086 packets, 61391119 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: any 

Problema temporariamente resolvido.

- Agora vou focar em BGP esse próximo mês, vou focar nos laboratórios do INE pois acabei me embaralhando (fiz alguns labs mais avançados e me perdi).

Abraços 

Nenhum comentário:

Postar um comentário