204.0301.10 - DM2500 - Guia de Configuração Rápida

ACCESS ROUTERS
Versão 1.16.0
GUIA DE CONFIGURAÇÃO RÁPIDA
204.0301.10 - 8 de abril de 2021

DM2500 - Guia de Configuração Rápida Contatos
Contatos
Suporte Técnico
A Datacom disponibiliza um portal de atendimento - DmSupport, para auxílio aos clientes no uso e configuração de nossos
equipamentos.
O acesso ao DmSupport pode ser feito através do link: https://supportcenter.datacom.com.br
Neste portal estão disponíveis firmwares, descritivos técnicos, guia de configuração, MIBs e manuais para download. Além
disto, permite a abertura de chamados para atendimento com a nossa equipe técnica.
Para contato telefônico: +55 51 3933-3122
Salientamos que o atendimento de nosso suporte por telefone ocorre de segunda a sexta-feira das 08:00 as 17:30.
Importante: Para atendimento de suporte em regime 24x7, favor solicitar cotação ao nosso setor comercial.
Informações Gerais
Para qualquer outra informação adicional, visite https://www.datacom.com.br ou entre em contato:
DATACOM
Rua América, 1000
92990-000 - Eldorado do Sul - RS - Brazil
+55 51 3933-3000
DATACOM 204.0301.10 - 8 de abril de 2021 2

DM2500 - Guia de Configuração Rápida Documentações de Produto
Documentações de Produto
Este documento é parte de um conjunto de documentações preparado para oferecer todas as informações necessárias
sobre os produtos DATACOM.
Plataforma de Software
• Guia de Configuração Rápida - Fornece orientações sobre como configurar as funcionalidades de forma rápida no
equipamento
• Release Notes - Fornece orientações sobre as novas funcionalidades, defeitos conhecidos e compatibilidades entre
Software e Hardware
Plataforma de Hardware
• Descritivo - Fornece as características técnicas do Hardware e Software do produto
• Guia de Instalação - Fornece orientações sobre os procedimentos para instalação do produto
A disponibilidade de alguns documentos pode variar dependendo do tipo de produto.
Accesse https://supportcenter.datacom.com.br para localizar as documentações relacionadas ou entre em contato com o

Suporte Técnico para mais informações.

DM2500 - Guia de Configuração Rápida Introdução ao documento
Introdução ao documento
Sobre este documento
Este documento é uma coleção de orientações que proveem uma explanação rápida e objetiva sobre o uso das funcionali-
dades disponíveis no produto. Também cobre as configurações iniciais que normalmente são necessárias imediatamente
após a instalação do produto.
Esse documento foi elaborado para servir como uma fonte eventual para resolução de questões técnicas, por isso
sua leitura sequencial não é mandatória. Entretanto, se você está configurando o equipamento e não é familiar com o
produto é recomendada a leitura do documento desde o princípio.
É assumido que o indivíduo ou indivíduos que gerenciam qualquer aspecto do produto tenham conhecimentos básicos de
Ethernet, protocolos de rede e redes de comunicações em geral.
Público-Alvo
Este guia é voltado para administradores de rede, técnicos ou equipes qualificadas para instalar, configurar, planejar e
manter este produto.
Convenções
Para facilitar o entendimento ao longo deste manual foram adotadas as seguintes convenções:
Ícones
Ícone Tipo Descrição
Nota As notas explicam melhor algum detalhe apresentado no texto.

DM2500 - Guia de Configuração Rápida Introdução ao documento
Ícone Tipo Descrição
Símbolo da diretiva WEEE (Aplicável para União Europeia e outros países com sistema
de coleta seletiva). Este símbolo no produto ou na embalagem indica que o produto não
pode ser descartado junto com o lixo doméstico. No entanto, é sua responsabilidade
levar os equipamentos a serem descartados a um ponto de coleta designado para
a reciclagem de equipamentos eletroeletrônicos. A coleta separada e a reciclagem
Nota
dos equipamentos no momento do descarte ajudam na conservação dos recursos
naturais e garantem que os equipamentos serão reciclados de forma a proteger a saúde
das pessoas e o meio ambiente. Para obter mais informações sobre onde descartar
equipamentos para reciclagem entre em contato com o revendedor local onde o
produto foi adquirido.
Indica que, caso os procedimentos não sejam corretamente seguidos, existe risco de
Perigo
choque elétrico.
Indica presença de radiação laser. Se as instruções não forem seguidas e se não for
Perigo evitada a exposição direta à pele e olhos, pode causar danos à pele ou danificar a
visão.
Perigo Indica emissão de radiação não ionizante.
Esta formatação indica que o texto aqui contido tem grande importância e há risco de
Advertência
danos.
Indica equipamento ou parte sensível à eletricidade estática. Não deve ser manuseado
Advertência
sem cuidados como pulseira de aterramento ou equivalente.
Um ícone de advertência pede atenção para condições que, se não evitadas, podem causar danos físicos ao
equipamento.
Um ícone de perigo pede atenção para condições que, se não evitadas, podem resultar em risco de morte
ou lesão grave.

DM2500 - Guia de Configuração Rápida Sumário
Sumário
Contatos 2
Documentações de Produto 3
Introdução ao documento 4
1 Gerenciamento Básico 12
1.1 Login inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.1 Instalando e energizando o Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.2 Conectando via porta Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.3 Conectando via porta ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.4 Conectando pela primeira vez no equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2 Gerenciamento do firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.1 Atualizando o firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3 Visão geral do CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.1 Modo Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.2 Modo de Configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.3 Tipos de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.4 Colando comandos de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4 Gerenciamento da Configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.1 Restaurando configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.2 Restaurando a configuração de fábrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.5 Gerenciamento dos Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.1 Salvando a configuração em arquivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.2 Exportando os arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.3 Importando os arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.4 Manipulando de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.5.5 Configuração a partir de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.5.6 Configuração a partir do SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 Gerenciamento do Equipamento 21
2.1 Configuração da gerência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.1.1 Gerência exclusiva através da interface física . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.1.2 Gerência compartilhada através da interface física . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.2 Configuração do Acesso a CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.2.1 Configuração do SSH e Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.3 Configuração do hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.4 Configuração do banner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.5 Configuração do relógio e data do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

DM2500 - Guia de Configuração Rápida SUMÁRIO
2.6 Configuração do horário de verão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3 Gerenciamento de Rede 25
3.1 Configuração do NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.1.1 Configurando o cliente NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.1.2 Restrições de acesso do NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.1.3 Verificando o NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.2 Configuração do Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.2.1 Verificando o Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.3 Configuração do protocolo SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.3.1 Configurando o SNMPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.3.2 Configurando o SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.3.3 SNMP Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3.4 Verificando o SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.4 Razão do último reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.4.1 Verificando a razão do último reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4 Ferramentas de Conectividade 32
4.1 Ping e Ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2 Traceroute e Traceroute6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3 SSH Client e Telnet Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.4 Configuração do Source Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
5 OAM 35
5.1 Configuração do NetFlow/IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5.1.1 Verificando o NetFlow/IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.2 Macros e Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.2.1 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.2.2 Verificando o Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.2.3 Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.2.4 Executando uma ação com Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.2.5 Verificando o Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.3 Configuração do TWAMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.3.1 Configurando o TWAMP Reflector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.3.2 Configurando o TWAMP Sender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.3.3 IP SLA Object Tracking com TWAMP, Watch e Macro . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.3.4 TWAMP Comparator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.3.5 Verificando o Twamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.4 tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.5 Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.6 Show tech-support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5.7 Monitor Bandwidth Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.7.1 Configurando o modo servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.7.2 Configurando o modo cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6 Autenticação de Usuários 46
6.1 Alterando a senha padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
6.2 Configuração dos Usuários Locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
6.3 Configuração do TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
6.3.1 Verificando o TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
6.4 Configuração do RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
6.4.1 Verificando o RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
7 Interfaces 51
7.1 Configuração das Interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
7.1.1 Configurando o speed e duplex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
7.1.2 Verificando as Interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
7.2 Configuração das Interfaces Loopback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
7.2.1 Verificando as Interfaces Loopback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
7.3 Configuração das Interfaces Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
7.3.1 Verificando as Interfaces Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
7.4 Configuração das Interfaces Bonding (Agregação) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
7.4.1 Interface Bonding modo Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
7.4.2 Interface Bonding modo Dinâmico (LACP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
7.4.3 Verificando as Interfaces Bonding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
8 Serviços IP 57
8.1 Configuração do Servidor DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
8.1.1 Configurando as opções do servidor DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
8.1.2 Verificando o Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
8.2 Configuração do servidor DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
8.2.1 Verificando o Servidor DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
8.3 Configuração do DHCPv4 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8.3.1 Verificando o DHCPv4 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8.4 Configuração do DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8.4.1 Verificando o DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
8.5 Configuração do Cliente DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
8.5.1 Verificando Cliente do DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
8.6 Configuração do Cliente DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
8.6.1 Verificando Cliente do DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

8.7 Configuração do Cliente PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

8.7.1 Verificando Cliente do PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
9 Roteamento 64
9.1 Configuração do Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
9.1.1 Roteamento Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
9.1.2 Roteamento entre VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
9.1.3 Habilitando ECMP em rotas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
9.1.4 Verificando Rotamento Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
9.2 Configuração do PBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
9.2.1 Verificando Configuração do PBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
9.3 Configuração do RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
9.3.1 Verificando Roteamento RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
9.4 Configuração do RIPng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
9.4.1 Verificando Roteamento RIPng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.5 Configuração do OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.5.1 Configurando um Virtual Link no OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.5.2 Habilitando ECMP no OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.5.3 Configurando filtragem de LSAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.5.4 Filtragem de LSAs anunciadas para outras áreas . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
9.5.5 Filtragem de LSAs anunciadas para a área especificada . . . . . . . . . . . . . . . . . . . . . . . 72
9.5.6 Filtragem de LSAs usando prefix-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
9.5.7 Verificando Roteamento OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
9.6 Configuração do OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
9.6.1 Habilitando ECMP no OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9.6.2 Filtragem de LSAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9.6.3 Verificando Roteamento OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
9.7 Configuração do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
9.7.1 Configurando um neighbor iBGP IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
9.7.2 Configurando um neighbor eBGP IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.7.3 Configurando um neighbor eBGP IPv4 entre loopbacks . . . . . . . . . . . . . . . . . . . . . . . 78
9.7.4 Verificando Roteamento BGP IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
9.7.5 Configurando um neighbor iBGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
9.7.6 Configurando um neighbor eBGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
9.7.7 Configurando um neighbor eBGP IPv6 entre loopbacks . . . . . . . . . . . . . . . . . . . . . . . 81
9.7.8 Configurando communities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
9.7.9 Habilitando ECMP no BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
9.7.10 Verificando Roteamento BGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
9.8 Configuração do BFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

9.8.1 BFD nas rotas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

9.8.2 BFD no OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9.8.3 BFD no OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
9.8.4 BFD no BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
9.8.5 Verificando Sessões BFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
9.9 Configuração do VRRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
9.9.1 Configurando o VRRPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
9.9.2 Configurando o VRRPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
9.9.3 Configurando o VRRP Track Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
9.9.4 Configurando o VRRP Track Route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
9.9.5 Configurando o VRRP Transition Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
9.9.6 Verificando VRRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
9.10 Configuração do PIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
9.10.1 Alterando a versão do IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.10.2 Verificando PIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.11 Configuração da VRF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.11.1 Configurando o VRF lite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
9.11.2 Verificando VRF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
9.12 Configuração do ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
9.12.1 Balaceamento por pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
9.12.2 Balanceamento por fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
9.12.3 Desabilitando o ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
10 Tunelamento 103
10.1 Configuração de túneis GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
10.1.1 Verificando GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
10.2 Configuração de túneis GRE IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
10.2.1 Verificando GRE IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
10.3 Configuração de VPNs IPsec site-to-site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
10.4 Configuração de VPNs IPsec site-to-site com NAT Traversal . . . . . . . . . . . . . . . . . . . . . . . . . 108
10.4.1 Verificando IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
10.5 Configuração de proteção do Túnel GRE com IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
10.5.1 Verificando GRE com IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
10.6 Configuração de VPN IPsec com Virtual Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . 112
10.6.1 Verificando IPsec com VTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
10.7 Configuração de Dynamic Multipoint IPsec VPNs (DMVPN) . . . . . . . . . . . . . . . . . . . . . . . . . 115
10.7.1 Configuração de DMVPN com Suporte a Endereços Dinâmicos nos Spokes . . . . . . . . . . . . . 119
10.7.2 Verificando DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
11 QoS 122

11.1 Configuração do Rate Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

11.2 Configuração de classificação, priorização e remarcação de tráfego de saída . . . . . . . . . . . . . . . 123
11.2.1 Classificação e priorização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
11.2.2 Remarcação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
11.2.3 Classificação de pacotes gerados localmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
11.2.4 Classificação por intervalo de endereços ou portas . . . . . . . . . . . . . . . . . . . . . . . . . 125
11.3 Configuração de remarcação do DSCP no tráfego de entrada . . . . . . . . . . . . . . . . . . . . . . . . 125
11.3.1 Configurando o shaper no tráfego de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
12 Segurança 127
12.1 Configuração do NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
12.1.1 NAT Origem (SNAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
12.1.2 NAT Destino (DNAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
12.1.3 Verificando NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
12.2 Configuração do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
12.2.1 Configurando o Firewall por ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
12.2.2 Configurando o Firewall stateful . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
12.2.3 Proteções do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
12.2.4 Verificando Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
12.3 Verificando sockets abertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Nota Legal 140
Garantia 140

DM2500 - Guia de Configuração Rápida 1 Gerenciamento Básico
1 Gerenciamento Básico
Este capítulo contém as seguintes seções:
• Login inicial
• Gerenciamento do Firmware
• Visão geral do CLI
• Gerenciamento da Configuração
• Gerenciamento dos Arquivos
1.1 Login inicial
1.1.1 Instalando e energizando o Equipamento
Por favor, verificar as instruções detalhadas no Guia de Instalação do equipamento.
1.1.2 Conectando via porta Console
Conectando via porta console
O acesso a CLI do equipamento pode ser realizado pela porta console. É necessário conectar um cabo serial e utilizar um
emulador de terminal como, por exemplo, o Hyper Terminal ou outro similar. O terminal deve ser configurado com 9600
8N1.
1.1.3 Conectando via porta ethernet
Acessando o equipamento via porta ethernet
Na configuração padrão de fábrica o equipamento configura a interface Ethernet 1 (eth1) com o endereço IP 192.168.0.25/24.
Os protocolos SSHv2 e TELNET são habilitados por padrão.

É possível gerenciar o equipamento por qualquer interface Ethernet do equipamento. Configurações adicionais podem ser
feitas para acesso a partir de outras interfaces e também para desabilitar os protocolos SSHv2 ou TELNET, caso seja
necessário.
1.1.4 Conectando pela primeira vez no equipamento
Para acessar o equipamento via CLI é necessário utilizar o usuário de fábrica admin e a senha de fábrica admin.
dm2500 login: admin

Password: admin
dm2500:~$
Por razões de segurança é altamente recomendado modificar a senha padrão do equipamento.
Consulte o capítulo referente à Autenticação de Usuários para verificar como proceder com a alteração das senhas.
1.2 Gerenciamento do firmware
1.2.1 Atualizando o firmware
Entre em contato com o Suporte Técnico DATACOM para verificar as imagens de firmware disponíveis para
download e instalação de acordo com seu produto e seus requisitos.
Para atualização via CLI será necessário utilizar um PC com um servidor TFTP, SCP ou HTTP instalado a fim de encaminhar
o arquivo de firmware para o equipamento.
É possível verificar o firmware instalado no equipamento através do comando show firmware:
dm2500:~$ show firmware

Software:
Version Release Date State
----------------- --------------------- -----------------
1.4.2 2018-07-06 14:25:24 Active/Startup
1.4.0 2018-06-22 09:57:23 Inactive
State:
Active - Running firmware
Invalid - Partition is empty or corrupted
Inactive - Firmware is not running
Startup - Firmware to be used in the next boot
Para enviar o arquivo de firmware através do TFTP, usar o seguinte comando:
firmware add tftp://172.22.107.11/pd3701-1.4.4.swu

Warning! This will overwrite 1.4.0.
Proceed with this operation? (Yes/No) [No] yes
1.4.4 loaded successfully in inactive partition.
Do you want to mark the new firmware as startup and reboot now? (Yes/No) [No] yes [Enter]

Um reboot automático irá ocorrer após o usuário confirmar o reboot.
Caso seja feita a opção por não realizar a troca de firmware e reboot após o download, o usuário poderá realizar a ativação
posteriormente através do comando firmware swap:
dm2500:~$ firmware swap

Do you want to swap the startup firmware partition? [Yes/No] [Yes] yes
1.4.4 is now the startup firmware partition.
Proceed with reboot? (Yes/No) [No] yes
O usuário pode optar por não realizar o reboot do equipamento após o download e ativação do firmware para finalizar o
upgrade em outro momento. Para finalizar o upgrade, poderá reiniciar o equipamento através do comando reboot:
reboot
1.3 Visão geral do CLI
A CLI do DM2500 suporta o modo operacional e o modo de configuração.
1.3.1 Modo Operacional
Ao realizar o login no equipamento o usuário automaticamente entrará no modo operacional. Neste modo é possível
verificar as informações do equipamento, executar teste de conectividade e outros. Neste modo, porém, não é possível
realizar modificações na configuração do equipamento. Enquanto estiver no modo operacional, o prompt do CLI irá
apresentar como prefixo o nome do host configurado e o caractere $ no final da linha, conforme exemplo:
dm2500:~$
Para verificar a lista de comandos operacionais possíveis basta pressionar o ponto de interrogação ? ou
pressionar a tecla [Tab] no prompt.
É possível verificar algumas informações do equipamento no modo operacional através dos seguintes comandos:
Comando Descrição
show inventory Apresenta o inventário do equipamento
show environment Apresenta os valores dos sensores de temperatura
show psu Apresenta os status das fontes de alimentação

Comando Descrição
show firmware Apresenta a versão de firmware
show configuration Apresenta a configuração atual do equipamento
show system cpu-utilization Apresenta os valores da CPU em uso do equipamento
show system memory Apresenta os valores de memória do equipamento
show system uptime Apresenta o uptime do equipamento
show system clock Apresenta o horário atual do equipamento
show users Apresenta os usuários conectados no equipamento
show system storage Apresenta o espaço de armazenamento do sistema
É possível executar qualquer comando do modo operacional dentro do modo de configuração adicionando a palavra-chave
run antes do comando. Abaixo um exemplo:
run show configuration
1.3.2 Modo de Configuração
Para modificar a configuração é necessário entrar no modo de configuração através do seguinte comando:
configure
Ao entrar no modo de configuração, o prompt do CLI irá apresentar o caractere conforme abaixo:
dm2500#
Para sair do modo de configuração, o usuário deverá usar o comando abaixo:
dm2500# exit
1.3.3 Tipos de configuração
O DM2500 possui a configuração candidata, a configuração de inicialização e a configuração corrente, conforme explicado
abaixo.
• Configuração candidata (candidate-config): Enquanto o usuário altera a configuração e não realiza o commit, a
configuração é salva temporariamente como configuração candidata. Se o dispositivo reinicializar ou sair da sessão,
a configuração do candidato será perdida.

• Configuração corrente (running-config): Depois que o usuário executa o comando commit, a configuração
candidata é aplicada à configuração corrente se tornando ativa no equipamento. Se o dispositivo reinicializar a
configuração também será perdida.
• Configuração de inicialização (startup-config): É a configuração salva que será utilizada na inicialização do

equipamento. O uso do comando commit não grava a running-config na configuração de inicialização. O usuário
deverá executar o comando save para salvar a configuração.
Para ativar a configuração candidata no equipamento, é necessário copiá-la para a running-config. O comando commit
aplica a configuração candidata na running-config.
commit
O usuário também pode aplicar temporariamente uma configuração candidata. Ao executar o comando commit-confirm,
a configuração candidata será aplicada temporariamente. O usuário deve realizar um novo commit para que a configuração
seja aplicada definitivamente. Se o novo commit não for executado, a configuração é desfeita após o tempo padrão de 10
minutos.
O padrão de 10 minutos pode ser modificado, como mostrado abaixo, em que o usuário deve confirmar a configuração em
no máximo 5 minutos.
commit-confirm 5
! Confirmando a aplicação da configuração

confirm
Para salvar a configuração corrente do equipamento na configuração de inicialização, o usuário deverá utilizar o comando
save, que salvará a configuração. A configuração é salva por padrão no arquivo config.boot. O comando save deve ser
executado no modo de configuração.
save
Saving configuration to ’config.boot’...
Done
[edit]
No modo de configuração, para apagar todas as alterações executadas até então na configuração candidata o usuário
deverá executar o comando abaixo:
discard
O usuário pode verificar a configuração atual do equipamento utilizando o comando abaixo no modo operacional:
show configuration
Para verificar a configuração candidata corrente, o usuário pode executar o comando show enquanto estiver no modo de
configuração:
show

Para verificar as diferenças entre a configuração atual e a candidata execute o usuário deverá executar o comando
compare:
compare
1.3.4 Colando comandos de configuração
Para colar grande quantidade de linhas no modo de configuração, deve-se utilizar o modo paste. No modo de configuração,
entre com o comando paste. Em seguida, podem ser coladas todas as linhas de configuração. Ao final, entre com o
comando commit para aplicar as configurações e sair do modo paste.
Somente configurações no formato set ou delete podem ser utilizadas.
No exemplo abaixo, o usuário entra no modo paste.
configure
paste
E, em seguida, cola a configuração com o comando commit ao fim.
set system host-name DM2500-A

delete interfaces ethernet eth1 address
set interfaces ethernet eth2 address 10.0.0.1/24
set protocols static route 0.0.0.0/0 next-hop 10.0.0.254
commit
1.4 Gerenciamento da Configuração
1.4.1 Restaurando configuração
Se o usuário deseja reverter para a última configuração aplicada, deve usar o seguinte procedimento:
rollback
commit
Após o rollback o equipamento requer um reboot. Esteja ciente que durante este procedimento haverá
uma breve interrupção no tráfego de dados do equipamento.
1.4.2 Restaurando a configuração de fábrica
Para carregar a configuração de fábrica na configuração candidata o usuário deverá executar o comando:

O procedimento a seguir apagará a configuração atual do equipamento e carregará a configuração de

fábrica.
load default
commit
1.5 Gerenciamento dos Arquivos
1.5.1 Salvando a configuração em arquivo
O usuário pode salvar a configuração candidata em um arquivo (incluindo as configurações padrão) sem aplicá-la no
equipamento. O comando a seguir salvará a configuração candidata em um arquivo chamado CANDIDATE-CONFIG:
save CANDIDATE-CONFIG
1.5.2 Exportando os arquivos
O usuário pode exportar um arquivo de configuração para um servidor SCP, FTP e TFTP externo. O comando a seguir
encaminhará o arquivo via protocolo TFTP salvo como CONFIG_1 para o servidor 172.1.1.1.
save tftp://172.1.1.1/CONFIG_1
1.5.3 Importando os arquivos
O comando abaixo mostra como copiar para o equipamento um arquivo de configuração config_1 existente em um
servidor TFTP com endereço IP 192.168.0.15.
O comando load irá remover a configuração atual e substituí-la pela configuração presente no arquivo.
configure
load tftp://192.168.0.15/config_1
commit
O comando merge também pode ser utilizado. Este comando irá combinar a configuração atual com a configuração
presente no arquivo.
configure
merge tftp://192.168.0.15/config_1
commit

1.5.4 Manipulando de arquivos
Para exibir todos os arquivos salvos, o usuário deve usar o comando abaixo. Uma vez que é um comando de modo
operacional, deve-se adicionar a palavra-chave run na frente do comando quandoestiver no modo de configuração.
show configuration files
É possível exibir o conteúdo de um arquivo de configuração no modo operacional adicionando o nome do arquivo como
parâmetro:
show configuration files <file-name>
Para deletar um arquivo deve-se usar o seguinte comando:
delete configuration <file-name>
1.5.5 Configuração a partir de arquivos
O comando load irá substituir a configuração candidata por aquela contida no arquivo passado como argumento.
load <file-name>
commit
O usuário também pode mesclar uma configuração condidata com um arquivo salvo. Dessa forma, se há novas configura-
ções no arquivo, estas serão carregadas para a configuração candidata. Se há configuração conflitante com a configuração
candidata, as partes conflitantes serão sobrescritas na configuração candidata.
merge <file-name>
commit
1.5.6 Configuração a partir do SNMP
O DM2500 permite configurar o equipamento através do protocolo SNMP utilizando a MIB DATACOM-ROUTER-B-MIB.
O usuário poderá utilizar arquivos de configuração em modo texto criados e disponibilizados previamente em um servidor
TFTP.
É necessário que o equipamento tenha gerência e SNMP configurados previamente. Para maiores delhates
consultar o capítulo Configurando o protocolo SNMP
A sequencia de comandos abaixo é suportada apenas em computadores com sistema operacional Linux.

Suponha que o usuário queira aplicar a configuração cfg-snmp-dm2500 na running-config do equipamento DM2500
com IPv4 172.22.109.30 através do protocolo SNMP usando um servidor TFTP com endereço IPv4 10.0.120.96.
Abaixo a sequencia de comandos para aplicar a configuração do arquivo cfg-snmp-dm2500 na running-config.
snmpset -v2c -c private 172.22.109.30 rtbConfigCopyFileName.0 s cfg-snmp-dm2500

snmpset -v2c -c private 172.22.109.30 rtbConfigCopyServerAddress.0 a 10.0.120.96
snmpset -v2c -c private 172.22.109.30 rtbConfigCopyDestFileType.0 i 1
snmpset -v2c -c private 172.22.109.30 rtbConfigCopyInitTransfer.0 i 2
snmpget -v2c -c private 172.22.109.30 rtbConfigCopyStatus.0

DM2500 - Guia de Configuração Rápida 2 Gerenciamento do Equipamento
2 Gerenciamento do Equipamento
Este capítulo irá guiar o usuário para realizar configurações de gerenciamento do equipamento. Este capítulo contém as
seguintes seções:
• Configuração da gerência
• Configuração do Acesso a CLI
• Configuração do hostname
• Configuração do banner
• Configuração do relógio e data do sistema
• Configuração do horário de verão
2.1 Configuração da gerência
O equipamento pode ser gerenciado através de qualquer interface que possua um endereço IP configurado.
A seguir é descrito como configurar um IP de gerência para estas interfaces.
É possível configurar o gerenciamento do equipamento com endereçamento IPv4 ou IPv6.
O diagrama abaixo representa uma topologia de rede que será utilizada como base nesta sessão.
Configuração da gerência
2.1.1 Gerência exclusiva através da interface física
Este modo de configuração é utilizado em casos em que é possível dedicar uma interface física exclusivamente para a
gerência do equipamento. Por padrão, o endereço IP 192.168.0.25/24 é configurado na interface física eth1.
No procedimento a seguir, é removido o endereço IP padrão da interface e configurado o novo endereço IP 172.24.22.1/24
com gateway 172.24.22.254:
configure
delete interfaces ethernet eth1 address 192.168.0.25/24
set system gateway-address 172.24.22.254
commit
save

2.1.2 Gerência compartilhada através da interface física
Neste modo de configuração, o endereço de gerência é associado à uma VLAN. Desta forma, é possível configurar outras
VLANs com seus respectivos endereços IPs na interface. Por padrão o endereço IP 192.168.0.25/24 é configurado na
interface física eth1.
No procedimento a seguir, é removido o endereço IP padrão da interface e é configurado o novo endereço IP 172.24.22.1/24
e com gateway 172.24.22.254 na VLAN 10:
configure
delete interfaces ethernet eth1 address 192.168.0.25/24
set interfaces ethernet eth1 vif 10 address 172.24.22.1/24
commit
save
2.2 Configuração do Acesso a CLI
O SSH (Secure Shell) e TELNET são protocolos utilizados para acesso ao terminal do equipamento. Ambos vêm habilitados
na configuração de fábrica do equipamento. Recomenda-se desativar o TELNET caso o mesmo não seja utilizado, pois é
um protocolo menos seguro que o SSH.
2.2.1 Configuração do SSH e Telnet
Os próximos passos irão demonstrar como desativar o protocolo TELNET.
configure
delete service telnet
commit
Caso seja necessario é possível alterar as portas e endereços habilitados para acessar os serviços. Suponha que o usuário
queira alterar a porta do TELNET da 23 para a porta 2323. Já para o SSH a porta será alterada da 22 para a porta 2222.
O procedimento descrito abaixo apresentará como realizar estas configurações:
configure
set service telnet port 2323
set service ssh port 2222
commit
Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o comando de
commit.
Abaixo os principais comandos disponíveis para realizar a verificação da funcionalidade. Caso o usuário esteja no nível de
configuração, é necessário utilizar a palavra-chave run antes do comando.
show system login users

2.3 Configuração do hostname
Para configurar o hostname DATACOM-ROUTER-R1, utilizar os comandos abaixo:
configure
set system host-name DATACOM-ROUTER-R1
commit
save
2.4 Configuração do banner
A configuração do banner pode ser realizada para pré-login e pós-login.
O conteúdo do banner deve ser informado em uma única linha e demarcado por aspas duplas (””).
É possível criar o banner com várias linhas utilizando o caractere \n para executar a quebra de linha.
O procedimento abaixo informa como configurar o banner pré-login:
configure
set system login banner pre-login "Permitido o acesso apenas de\npessoal
autorizado."
commit
save
O procedimento abaixo informa como configurar o banner pós-login:
configure
set system login banner post-login "Bem-vindo ao DM2500\n"
commit
save
2.5 Configuração do relógio e data do sistema
A configuração do relógio e data é importante para visualização de logs e eventos no equipamento. O usuário pode ajustar
o relógio do sistema manualmente no modo operacional. Este comando não exige commit.
Recomenda-se fazer uso de sincronização de tempo centralizada através do protocolo NTP.

A sintaxe para configurar a data e hora é: Mês|Dia|Hora|Minuto|Ano.
O comando abaixo configura a data e hora para 08/06/2017 15:40.
set system clock 060815402017
Para alterar a timezone para Brazil/East, utilizar o comando abaixo:
configure
set system time-zone Brazil/East
commit
save
Para verificação do horário do equipamento, utilizar o comando show system clock:
show system clock
2.6 Configuração do horário de verão
Quando configurado o timezone para uma localidade especifica, automaticamente é configurado o horário de verão
seguindo o padrão deste timezone. Porém, caso seja necessário alterar o horário de verão, pode-se utilizar os comandos a
seguir:
configure
set system clock summer-time recurring BRST month-to-start 11
set system clock summer-time recurring BRST month-to-end 2
set system clock summer-time recurring BRST time-to-start 00:00
set system clock summer-time recurring BRST time-to-end 00:00
set system clock summer-time recurring BRST week-day-to-start 1
set system clock summer-time recurring BRST week-day-to-end 1
set system clock summer-time recurring BRST week-to-start 1
set system clock summer-time recurring BRST week-to-end 4
commit
save

DM2500 - Guia de Configuração Rápida 3 Gerenciamento de Rede
3 Gerenciamento de Rede
Este capítulo irá guiar o usuário para realizar configurações de gerenciamento de rede. Este capítulo contém as seguintes
seções:
• Configuração do NTP
• Configuração do Syslog
• Configuração do protocolo SNMP
• Razão do último reboot
3.1 Configuração do NTP
O NTP (Network Time Protocol) é o protocolo utilizado para sincronizar o relógio do sistema com um servidor remoto. Esta
configuração é importante para visualização de logs e eventos no equipamento.
O DM2500 pode atuar simultaneamente como servidor (fornece o tempo) e cliente (consulta o tempo).
É possível configurar o NTP com endereçamento IPv4 ou IPv6.
3.1.1 Configurando o cliente NTP
O cenário abaixo será usado para demonstrar a configuração do NTP para atuar como cliente.
Configuração do NTP
Para configurar o DM2500 como cliente de dois servidores NTP com endereços IPv4 172.24.22.201 e 172.24.22.202,
seguir o procedimento a seguir:
configure
set system ntp server 172.24.22.201
set system ntp server 172.24.22.202
commit
save
Após o cliente NTP estar configurado, o roteador também estará atuando como servidor NTP através das interfaces
ativas. É possível restringir o acesso ao servidor NTP do roteador. O tópico a seguir irá demonstrar como realizar essa
configuração.

Os comandos disponíveis para a realização do Troubleshooting podem ser verificados no tópico Verificando
o NTP.
3.1.2 Restrições de acesso do NTP
As restrições de acesso do NTP adicionam regras de acesso no roteador, atuando como um firewall.
A figura abaixo ilustra um cenário com DM2500 sincronizando o relógio a partir de um servidor NTP da Internet e atuando
como servidor NTP com regras de acesso.
Servidor NTP
Suponha que o DM2500 sincronize o relógio através da Internet com o servidor NTP 200.160.7.186 e o administrador deseja
que o roteador atue como servidor NTP apenas para o dispositivo com endereço IP 10.0.120.1 e dispositivos na rede
172.22.108.0/24.
As configurações abaixo irão demonstrar como realizar esse procedimento.
configure
set system ntp access-control rule 1 action ’permit’
set system ntp access-control rule 1 match-group ’1’
set system ntp access-control rule 1 permit ’serve’
set system ntp access-group 1 address ’10.0.120.1’
set system ntp access-control rule 2 action ’permit’
set system ntp access-control rule 2 match-group ’2’
set system ntp access-control rule 2 permit ’serve’
set system ntp access-group 2 address ’172.22.108.0/24’
set system ntp server ’200.160.7.186’
commit
save
Suponha que o administrador deseja que o roteador atue apenas como cliente NTP, não permitindo que ele atue como
servidor. As configurações abaixo irão demonstrar como realizar esse procedimento.
configure
set system ntp access-control default action deny-all
commit
save

o NTP.
3.1.3 Verificando o NTP
Abaixo os principais comandos disponíveis para realizar o Troubleshooting. Caso o usuário esteja no nível de configuração,
é necessário utilizar a palavra-chave run antes do comando.
show ntp
show ntp detail
show ntp <IP Server>
show ntp authentication
show vrf <vrf-name> ntp
show vrf <vrf-name> ntp detail
show vrf <vrf-name> ntp <IP Server>
show vrf <vrf-name> ntp authentication
show system clock
3.2 Configuração do Syslog
De acordo com a RFC5424, o protocolo Syslog é usado para transportar mensagens de notificação de eventos. O Syslog
é usado por dispositivos de rede para enviar mensagens de eventos para um servidor externo, geralmente chamado
de Syslog Server. Por exemplo, se uma interface Ethernet for desativada, uma mensagem será enviada para o servidor
externo configurado para alertar esta mudança. Esta configuração é importante para visualização de logs e eventos dos
equipamentos da rede de forma centralizada. O DM2500 não trabalha com a severidade dos logs, neste caso todos os logs
serão enviados para o servidor.
É possível configurar o Syslog Remoto com endereçamento IPv4 ou IPv6.
O cenário abaixo será usado para demonstrar a configuração de um servidor de Syslog remoto.
Configuração do Syslog Remoto
O procedimento a seguir demonstra como configurar o DM2500 como cliente de um servidor Syslog remoto com endereço
IPv4 10.1.100.7

configure
set system syslog host 10.1.100.7
commit
save
o Syslog.
3.2.1 Verificando o Syslog
show configuration | match syslog

show log
show log tail
clear log
3.3 Configuração do protocolo SNMP
O SNMP é um protocolo que auxilia administradores de rede a gerenciar dispositivos e solucionar problemas na rede.
O protocolo SNMP possui três versões
Comando Descrição
Versão original do SNMP, não possui nenhum tipo de segurança, pois é

SNMPv1
utilizada uma community, enviada em texto simples, para autenticação.
Versão desenvolvida para corrigir alguns dos problemas da v1, porém a

SNMPv2 segurança ainda é um problema porque utiliza communities em texto
simples.
Suporta segurança e autenticação SHA e MD5, além de suportar cripto-

SNMPv3 grafia dos pacotes com DES ou AES. Recomenda-se utilizar-la, especial-
mente em redes não confiáveis.
É possível configurar o SNMP com endereçamento IPv4 ou IPv6.
O cenário abaixo será usado para demonstrar a configuração do protocolo SNMP.

Configuração do protocolo SNMP
3.3.1 Configurando o SNMPv2
Para habilitar o protocolo SNMPv2 com community private para leitura ou escrita (rw) e enviar traps para o servidor
172.22.1.252, seguir o procedimento a seguir:
configure
set service snmp community private authorization rw
set service snmp trap-target 172.22.1.252
commit
save
o SNMP.
3.3.2 Configurando o SNMPv3
O SNMP trabalha em árvore, por este motivo a view mostra a partir de qual ramo da árvore será possível
consultar os OIDs. Por exemplo: Caso seja configurado root(1).iso(3).org(6).internet(1) todos os OIDs
que iniciam com 1.3.6.1 estarão acessíveis para serem consultados, ou seja, todos OIDs suportados pelo
equipamento.
No exemplo a seguir, é demonstrado a configuração de SNMPv3 com criptografia dos pacotes utilizando AES e usuário
userv3 mais senha user1234 criptografados utilizando SHA. As views configuradas permitem somente as consultas da
IF-MIB (1.3.6.1.2.1.2.2.1) e SysName (1.3.6.1.2.1.1.5.0). As traps serão enviadas para o servidor 172.22.1.252.
configure
set service snmp v3 engineid ’0x80001f8880243d9cbd000000005e5d04ce’
set service snmp v3 user userv3 mode ro
set service snmp v3 user userv3 auth plaintext-key user1234
set service snmp v3 user userv3 auth type ’sha’
set service snmp v3 user userv3 privacy plaintext-key pass1234
set service snmp v3 user userv3 privacy type ’aes’
set service snmp v3 view OidView oid 1.3.6.1.2.1.1.5.0
set service snmp v3 view OidView oid 1.3.6.1.2.1.2.2.1
set service snmp v3 group ReadOnlyGroupAuthPriv seclevel priv
set service snmp v3 group ReadOnlyGroupAuthPriv mode ro
set service snmp v3 group ReadOnlyGroupAuthPriv view OidView
set service snmp v3 user userv3 engineid ’0x80001f8880243d9cbd000000005e5d04ce’
set service snmp v3 user userv3 group ReadOnlyGroupAuthPriv
set service snmp v3 trap-target 172.22.1.252 auth plaintext-key ’user1234’

set service snmp v3 trap-target 172.22.1.252 auth type ’sha’

set service snmp v3 trap-target 172.22.1.252 engineid ’23’
set service snmp v3 trap-target 172.22.1.252 user ’userv3’
commit
save
o SNMP.
3.3.3 SNMP Traps
O agente SNMP também tem a função de gerar alertas (Traps). Para envio das Traps é necessário habilitá-las em pelo
menos um grupo como demonstrado a seguir.
configure
set service snmp trap-enable config
set service snmp trap-enable cpu-core
set service snmp trap-enable cpu-overall
set service snmp trap-enable dying-gasp
set service snmp trap-enable link-up
set service snmp trap-enable link-down
set service snmp trap-enable login
set service snmp trap-enable memory
set service snmp trap-enable temperature
commit
save
o SNMP.
3.3.4 Verificando o SNMP
show configuration | match snmp
3.4 Razão do último reboot
O DM2500 informa a última razão do reboot. Esta informação é notificada através do SNMP, CLI e log do sistema.
3.4.1 Verificando a razão do último reboot
Para verificar a última razão do reboot na CLI, basta executar o comando abaixo:
show system reboot

A informação da última razão do reboot via SNMP pode ser consultada através da MIB DMOS-REBOOT-MIB no objeto
rebootReason.
O exemplo abaixo mostra que o último reboot ocorreu devido a atualização de firmware.
DMOS-REBOOT-MIB::rebootReason.0 = STRING: firmware upgrade

DM2500 - Guia de Configuração Rápida 4 Ferramentas de Conectividade
4 Ferramentas de Conectividade
O DM2500 fornece algumas ferramentas para executar a verificação da conectividade de rede bem como acessar
equipamentos a partir do próprio DM2500.
O usuário deve usar a palavra-chave run antes do comando caso estiver no modo de configuração.
• Ping e Ping6
• Traceroute e Traceroute6
• SSH Client e Telnet Client
• Configuração do Source Address
4.1 Ping e Ping6
O comando ping é um método comum para verificar a conectividade do equipamento com os demais ou para testar algum
protocolo específico.
Para executar um ping com endereçamento IPv4, seguir o procedimento abaixo:
ping 5.178.41.1
PING 5.178.41.1 (5.178.41.1) 56(84) bytes of data.
64 bytes from 5.178.41.1: icmp_seq=1 ttl=61 time=2.15 ms
--- 5.178.41.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.065/2.139/2.272/0.074 ms
Para executar um ping com endereçamento IPv6, seguir o procedimento abaixo:
ping6 2002:c0a8:fe05::6
PING 2002:c0a8:fe05::6(2002:c0a8:fe05::6) 56 data bytes
64 bytes from 2002:c0a8:fe05::6: icmp_seq=1 ttl=62 time=7.94 ms
--- 2002:c0a8:fe05::6 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 4.664/5.903/7.948/1.274 ms
4.2 Traceroute e Traceroute6
O comando traceroute é um método para realizar o diagnóstico da rede informando a conectividade salto a salto
(hop-by-hop) por onde o pacote está passando até o destino final.

Para executar um traceroute com endereçamento IPv4, seguir o procedimento abaixo:
traceroute 5.178.41.1
traceroute to 5.178.41.1 (5.178.41.1), 30 hops max, 38 byte packets
1 192.168.48.3 (192.168.48.3) 2.029 ms 4.345 ms 1.751 ms
2 192.168.48.1 (192.168.48.1) 2.842 ms 2.488 ms 3.226 ms
3 192.168.254.22 (192.168.254.22) 3.582 ms 3.403 ms 3.622 ms
4 192.168.84.22 (192.168.84.22) 2.306 ms 1.802 ms 2.264 ms
5 5.178.41.1 (5.178.41.1) 2.219 ms 1.651 ms 54.376 ms
Pode-se especificar um endereço IP como origem dos pacotes utilizando o parâmetro source-address, conforme o
exemplo a seguir.
traceroute 5.178.41.1 source-address 172.22.103.240
Para executar um traceroute com endereçamento IPv6, seguir o procedimento abaixo:
traceroute6 2002:c0a8:fe05::6
traceroute to 2002:c0a8:fe05::6 (2002:c0a8:fe05::6) from 1997::c0a8:3002,
30 hops max, 16 byte packets
1 1997::c0a8:3001 (1997::c0a8:3001) 13.877 ms 2.298 ms 2.249 ms
2 2001::c0a8:3001 (2001::c0a8:3001) 3.64 ms 2.969 ms 2.869 ms
3 2002:c0a8:fe05::6 (2002:c0a8:fe05::6) 4.444 ms 3.624 ms 5.787 ms
Pode-se especificar um endereço IPv6 como origem dos pacotes utilizando o parâmetro source-address, conforme o
exemplo a seguir.
traceroute 2002:c0a8:fe05::6 source-address 2020:ffff:ac16::67f0
4.3 SSH Client e Telnet Client
É possível acessar outros equipamentos através dos protocolos SSH e TELNET a partir de um equipamento com DM2500.
Para acessar um equipamento com endereço IPv4 192.168.1.254através do SSH ,o usuário deve usar o comando abaixo,
especificando o usuário a ser autenticado, neste exemplo, o usuário admin:
ssh admin@192.168.1.254
Pode-se especificar um endereço IP como origem da conexão utilizando o parâmetro source-address, conforme o
exemplo a seguir.
ssh admin@192.168.1.254 source-address 172.22.103.240
Para acessar um equipamento com endereço IPv4 192.168.1.254 através do TELNET o usuário deve usar o comando
abaixo:
telnet 192.168.1.254

4.4 Configuração do Source Address
É possível especificar um endereço IP na configuração global a qual será utilizado como endereço de origem para os
pacotes gerados pelas aplicações configuradas.
O roteador irá utilizar o endereço IP da configuração mais específica como precedência para o source-
address, logo se um comando for executado ou algum protocolo for configurado com o parâmetro de
source-address, a requisição será enviada com o endereço IP específico.
configure
set system ip source-address-global ’172.22.37.1/32’
set system ipv6 source-address-global ’2001:db8:37::1/128’
commit
Outra forma de configuração possível é especificar o endereço de origem que será utilizado por determinada aplicação.
Configuração IPv4.
configure
set system ip source-address copy-files ’172.22.37.1/32’
set system ip source-address fw-upgrade ’172.22.37.1/32’
set system ip source-address ntp ’172.22.37.1/32’
set system ip source-address ssh ’172.22.37.1/32’
set system ip source-address telnet ’172.22.37.1/32’
set system ip source-address traceroute ’172.22.37.1/32’
commit
Configuração IPv6.
configure
set system ipv6 source-address copy-files ’2001:db8:37::1/128’
set system ipv6 source-address fw-upgrade ’2001:db8:37::1/128’
set system ipv6 source-address ntp ’2001:db8:37::1/128’
set system ipv6 source-address ssh ’2001:db8:37::1/128’
set system ipv6 source-address telnet ’2001:db8:37::1/128’
set system ipv6 source-address traceroute ’2001:db8:37::1/128’
commit
Para persistir a configuração após reboot, o usuário deverá utilizar o comando save no modo de configuração.
Abaixo o principal comando disponível para realizar a verificação do source-address. Caso o usuário esteja no nível de
show configuration | match source-address
Pode-se especificar um endereço IP como origem da conexão utilizando o parâmetro source-address, conforme o
exemplo a seguir.
telnet 192.168.1.254 source-address 172.22.103.240

DM2500 - Guia de Configuração Rápida 5 OAM
5 OAM
Este capítulo exibe um grupo de funcionalidades de Operação, Administração e Manutenção (OAM) de rede que fornecem
indicação de falha de rede, localização de falhas, informações de desempenho e funções de dados e diagnóstico. Ele
contém as seguintes seções:
• Configuração do NetFlow/IPFIX
• Macros e Watch
• Configuração do TWAMP
• Tcpdump
• Dump
• Show tech-support
• Monitor Bandwidth Test
5.1 Configuração do NetFlow/IPFIX
O serviço de Monitoramento de fluxo permite coletar informações de fluxos IP. O Roteador suporta as versões 5, 9 e 10 do
NetFlow, onde a última também é conhecida como IPFIX (IP Flow Information Export) que está baseado no padrão IETF
(Internet Engineering Task Force). Este padrão define como as informações do fluxo IP são formatadas e transferidas do
exportador para o coletor, coletando informações de fluxos IPv4, conforme mostrado na seguinte figura. O exportador
coleta periodicamente informações sobre pacotes que fluem através do roteador para um registro do fluxo. Então, o
exportador envia o registro em um pacote UDP para o coletor.
Cenário NetFlow/IPFIX
Suponha que o usuário queira monitorar o fluxo das interfaces eth1 e eth2 e deseja encaminhar esta coleta para o servidor
10.0.120.102 através da porta 4739 utilzando a versão 10 do Netflow. O procedimento a seguir apresentará como realizar
esta configuração:
configure
set service netflow destination 10.0.120.102 port ’4739’
set service netflow version ’10’
set service netflow interface ’eth1’
ser service netflow interface ’eth2’

commit
commit.
Ao configurar NetFlow/IPFIX é possível fornecer uma amostragem determinística ou aleatória para um subconjunto de
tráfego selecionando apenas um pacote em um conjunto de pacotes de forma sequencial (n é um parâmetro configurável
pelo usuário).
Diz-se que a amostragem é determinística se o usuário definir a taxa de amostragem para 1 em cada 100 pacotes, neste
ponto o NetFlow/IPFIX examinará os pacotes 1, 101, 201, 301 e assim por diante.
No modo de amostragem aleatória, os pacotes de entrada são selecionados aleatoriamente para que um em cada
n-pacotes sequencias seja selecionado em média para seu processamento.
configure
! Amostragem 1 em 100 pacotes
set service netflow sampling-rate 100
! Modo da amostragem
set service netflow sampling-rate 100 mode deterministic
commit
o NetFlow/IPFIX.
5.1.1 Verificando o NetFlow/IPFIX
show netflow configuration

show netflow export
show netflow interfaces
show netflow stats
show vrf <vrf-name> netflow configuration
show vrf <vrf-name> netflow export
show vrf <vrf-name> netflow interfaces
show vrf <vrf-name> netflow stats
5.2 Macros e Watch
Este capítulo apresenta ferramentas do DM2500 para automação na execução de tarefas, bem como a possibilidade de
criar scripts de execução automática com base no status das funcionalidades do DM2500.
5.2.1 Macro
Macros são conjuntos de comandos do CLI que podem ser executados pelo usuário ou através da funcionalidade Watch do
DM2500. As ações de macro são executadas em ordem, como se fossem digitadas ou executadas pelo operador.

O exemplo abaixo cria uma macro para configurar o servidor NTP:
set system macro 1 action 1 cli ’configure’

set system macro 1 action 2 cli ’set system ntp server 172.22.107.2’
set system macro 1 action 3 cli ’commit’
commit
Para executar a macro que configura o servidor NTP deve ser utilizado o comando abaixo:
system execute macro 1
o Macro.
5.2.2 Verificando o Macro
show configuration | match macro
5.2.3 Watch
O Watch é uma funcionalidade que permite ao DM2500 tomar decisões (execuções de macros) com base na saída de
comandos do CLI. O Watch atua como um operador que executa comandos no equipamento em intervalos predefinidos e
a partir da saída desses comandos, executa determinadas ações de forma proativa.
O exemplo abaixo executa um PING para um IPv4 a cada 10 segundos, procura a expressão 0 received no retorno do
comando e registra logs com o resultado desta operação.
set system watch 1 cli ’ping 10.0.120.96 count 1’

set system watch 1 interval ’10’
set system watch 1 match 1 regex ’0 received’
set system watch 1 ’log’
set system watch 1 ’enabled’
commit
o Watch.
5.2.4 Executando uma ação com Watch
Após ter uma Macro definida, é possível executá-la via Watch. Os passos abaixo irão demonstrar uma aplicação com
execução via Watch.

No exemplo abaixo o Watch irá monitorar o status do VRRP na interface eth5 e alterar o hostname do equipamento para
MASTER-ROUTER ou BACKUP-ROUTER com base no status do VRRP.
Configuração das Macros:

set system macro 9 action 2 cli ’set system host-name MASTER-ROUTER’
set system macro 10 action 2 cli ’set system host-name BACKUP-ROUTER’
commit
Configuração do Watch:
set system watch 1 cli ’show vrrp interface eth5 group 1’

set system watch 1 ’log’
set system watch 1 match 1 regex ’MASTER’
set system watch 1 match 1 execute macro ’9’
set system watch 1 match 1 else execute macro ’10’
commit
A cada 10 segundos o equipamento irá executar o comando show vrrp interface eth5 e irá procurar pela palavra chave
MASTER. Caso a palavra chave seja encontrada, a macro 9 será executada, caso contrário, a macro 10 será executada.
o Watch.
5.2.5 Verificando o Watch
show configuration | match watch

show log watch
5.3 Configuração do TWAMP
O protocolo TWAMP (Two-Way Active Measurement Protocol) mede parâmetros de desempenho da rede, sendo eles:
latência, variação de latência (jitter) e perda de pacotes. A implementação do servidor TWAMP é baseada nas especificações
descritas na RFC 5357.
A arquitetura da solução de servidor no TWAMP possui os seguintes componentes lógicos:
• Session Reflector: Adiciona informações aos pacotes de teste recebidos e os envia de volta.
• Server: Gerencia várias sessões do TWAMP.
A arquitetura da solução de cliente no TWAMP possui os seguintes componentes lógicos:

• Session Sender: Cria e envia pacotes de teste TWAMP para o Session Reflector.
• Control Client: Envia solicitações ao servidor TWAMP para estabelecer novas sessões.
Arquitetura do TWAMP
O TWAMP no DM2500 possui algumas restrições conforme indicado abaixo:
• São suportadas até 10 sessões de monitoramento.
• Não há suporte a autenticação/criptografia.
• O reflector é capaz de escutar uma única porta de controle de cada vez.
O cenário abaixo será usado para demonstrar a configuração do TWAMP.
Cenário TWAMP
5.3.1 Configurando o TWAMP Reflector
Suponha que o usuário queira configurar um Sender e Reflector se comunicando através da porta 15000 (default é 862). O
procedimento a seguir apresentará como realizar esta configuração:
configure
set service twamp reflector port 15000
commit
o Twamp.

5.3.2 Configurando o TWAMP Sender
configure
set service twamp sender session 1 port 15000
set service twamp sender session 1 destination-ip 20.20.20.250
set service twamp sender session 1 source-ip 10.10.10.250
set service twamp sender session 1 time-interval 10
set service twamp sender session 1 session-duration 120
set service twamp sender session 1 packet-size 1280
set service twamp sender session 1 enable
commit
No sender é possível configurar a opção para ter medições de forma unidirecionais
configure
set service twamp sender session 1 one-way-results
commit
commit.
É possível configurar TWAMP tanto Sender como Reflector com suporte a IPv6, o que muda na configuração
são os endereços que ao invés de ser IPv4 serão IPv6.
o Twamp.
5.3.3 IP SLA Object Tracking com TWAMP, Watch e Macro
O TWAMP pode atuar como monitor da rede e gerar informações da qualidade do caminho entre um ou mais roteadores.
Em conjunto com as funcionalidades Watch e Macro, é possível criar uma aplicação para atuar como IP SLA na rede.
Cenário TWAMP IP SLA
Dado o cenário da figura acima, imagine que o administrador de rede queira monitorar a latência dos pacotes da rede
entre o R1 e R2, e da rede entre R1 e R3. Para isso serão configuradas duas sessões do TWAMP entre o R1 e R2 e entre R1 e R3.
Configuração do roteador 1:

set service twamp sender session 1 ’enable’

set service twamp sender session 1 session-duration ’10’
set service twamp sender session 1 time-interval ’10’
set service twamp sender session 1 source-ip ’25.12.0.1’
set service twamp sender session 1 destination-ip ’25.12.0.2’
set service twamp sender session 2 ’enable’
set service twamp sender session 2 session-duration ’10’
set service twamp sender session 2 time-interval ’10’
set service twamp sender session 2 source-ip ’25.13.0.1’
set service twamp sender session 2 destination-ip ’25.13.0.3’
commit
No R2 e R3 basta habilitar o reflector que irá processar a refletir os pacotes de volta para o R1:
set service twamp reflector

commit
Para verificar o funcionamento do TWAMP no R1, deve-se usar os seguintes comandos:
show twamp sender session 1

show twamp sender session 2
o Twamp.
5.3.4 TWAMP Comparator
Dado o cenário anterior onde o R1 com IP 33.33.33.31 pode alcançar o R4 com IP 33.33.33.34 por dois caminhos, um
passando pelo R2 e o outro passando pelo R3. Se o R1 estiver rodando o TWAMP monitorando os caminhos R1, R2 e R1,
R3, o Watch pode forçar o tráfego do IP 33.33.33.31 passar através do melhor caminho de acordo com os resultados e
métricas do TWAMP.
Para simplificar as regras do Watch é possível configurar comparadores de sessão do TWAMP no R1:
! Habilita o comparador 1 para as sessões 1 e 2 do TWAMP

set service twamp sender comparator 1 sessions ’1’
set service twamp sender comparator 1 sessions ’2’
! Atribui peso 100 (máximo) para perda de pacotes
set service twamp sender comparator 1 weights loss ’100’
! Atribui peso 10 para delays
set service twamp sender comparator 1 weights max-delay ’10’
commit
A configuração do parâmetro weights serve para priorizar os parâmetros comparados.
O comparador busca os resultados da sessão do TWAMP 1 e 2 e retorna a melhor (Best session):

show twamp sender comparator 1

Session 1
Status: Enabled/Running
Test: 4151
Max delay: 0.29 ms
Avg delay: 0.21 ms
Max jitter: 0.12 ms
Avg jitter: 0.02 ms
Loss ratio: 0.000000 % (weight: 100)
Calculated weight: 100
Session 2
Status: Enabled/Running
Test: 4170
Max delay: 0.27 ms (weight: 10)
Avg delay: 0.21 ms
Max jitter: 0.07 ms
Avg jitter: 0.03 ms
Loss ratio: 0.000000 % (weight: 100)
Calculated weight: 110
Best session: 2
Com o TWAMP configurado e funcionando juntamente com o comparador de sessões, os comandos para configurar o
Watch são:
set system watch 1 cli ’show twamp sender comparator 1’
! Se encontrar ’Best session: 2’ executa macro 2
set system watch 1 match 1 regex ’Best session: 2’
! Se encontrar ’Best session: 1’ executa macro 1
set system watch 1 match 2 regex ’Best session: 1’
commit
A cada 10 segundos o equipamento irá executar o comando show twamp sender comparator 1 e irá procurar por Best
session: 2 ou Best session: 1 tomando uma ação de acordo.
A ação para forçar o tráfego do R1 passar através do melhor caminho a partir dos dados e métricas dos resultados do
TWAMP, será alterar a métrica da rota de destino para o R1 alcançar o R2, utilizando Macros.
Configuração das Macros que serão usadas para configurar as rotas estáticas no R1.
! Configura rota para o caminho R1, R2 e R4:

set system macro 1 action 2 cli ’set protocols static route 33.33.33.4/32 next-hop 25.12.0.2 distance 1’
! Configura rota para o caminho R1, R3 e R4:
commit
o Twamp.

5.3.5 Verificando o Twamp
show twamp reflector

show twamp reflector clients
show twamp sender session [ <1-10> ]
show twamp sender session [ <1-10> ] details
show twamp sender session [ <1-10> ] details two-way
show twamp sender session [ <1-10> ] details far-end
show twamp sender session [ <1-10> ] details near-end
show twamp debug [ all | tail [ <number> ] ]
show vrf <vrf-name> twamp reflector
show vrf <vrf-name> twamp reflector clients
show vrf <vrf-name> twamp sender session [ <1-10> ]
show vrf <vrf-name> twamp sender session [ <1-10> ] details
show vrf <vrf-name> twamp sender session [ <1-10> ] details two-way
show vrf <vrf-name> twamp sender session [ <1-10> ] details far-end
show vrf <vrf-name> twamp sender session [ <1-10> ] details near-end
show vrf <vrf-name> twamp debug [ all | tail [ <number> ] ]
5.4 tcpdump
O tcpdump é um recurso de captura de pacotes que permite aos administradores de rede capturar pacotes recebidos
e/ou enviados pelo equipamento e analisá-los localmente ou salvá-los e exportá-los para análise off-line usando uma
ferramenta como o Wireshark. Para ativar e capturar pacotes, use o comando debug tcpdump no modo de usuário.
dm2500:~$ debug tcpdump interface <interface> save-to-file count 100
A captura gerada será salva no arquivo capture.pcap e exportá-la para um servidor TFTP o usuário deverá utilizar o
seguinte comando:
dm2500:~$ copy tcpdump-capture to tftp://172.22.107.11
5.5 Dump
O comando dump é uma ferramenta de diagnóstico que gera um arquivo criptografado solicitado pelo suporte da
DATACOM quando o usuário abre um chamado.
O comando dump deve ser utilizado no modo usuário.
dm2500:~$ dump
O comando irá gerar um arquivo binário com a data e hora do dia, e o usuário pode exportá-lo para um servidor TFTP.
DM2500:~$ copy dump ?

Possible completions:
dump_20181106092150.bin Copy from local dump file
DM2500:~$ copy dump dump_20181106092150.bin to tftp://172.22.107.11
######################################################################## 100.0%

5.6 Show tech-support
O comando show tech-support é uma ferramenta de diagnóstico que fornece uma série de informações importantes para
depurar problemas que ocorrem na operação do equipamento.
O comando show tech-support deve ser utilizado no modo usuário.
dm2500:~$ show tech-support
Os comandos de show a seguir são executados automaticamente através do comando show tech-support.
show firmware
show inventory
show environment
show psu
show config tree
show log dhcp
5.7 Monitor Bandwidth Test
A funcionalidade monitor bandwidth-test é uma ferramenta de diagnóstico que permite testar o throughput entre o
cliente e o servidor utilizando o Iperf3. O DM2500 suporta os modos cliente e servidor utilizando endereços IPv4 e IPv6.
5.7.1 Configurando o modo servidor
A porta TCP 5201 é utilizada no modo servidor.
Somente é suportado o teste Throughput TCP.
O servidor suporta conexões IPv4 e IPv6.
Configurando para o DM2500 ficar aguardando a conexão do cliente Iperf:
monitor bandwidth-test accept
Configurando para o DM2500 ficar aguardando a conexão do cliente Iperf na VRF:

monitor bandwidth-test vrf <vrf_name> accept
5.7.2 Configurando o modo cliente
O cliente suporta conexões IPv4 e IPv6.
Configurando para o DM2500 se conectar ao servidor Iperf:
monitor bandwidth-test initiate <ip_address>
Configurando para o DM2500 se conectar ao servidor Iperf na VRF:
monitor bandwidth-test vrf <vrf_name> initiate <ip_address>

DM2500 - Guia de Configuração Rápida 6 Autenticação de Usuários
6 Autenticação de Usuários
Apenas uma conta de usuário é configurada por padrão no DM2500. O usuário é o admin com senha admin e possui nível
de privilégio admin.
• Alterando a senha padrão
• Configuração dos Usuários Locais
• Configuração do TACACS+
• Configuração do RADIUS
6.1 Alterando a senha padrão
Por razões de segurança é altamente recomendado modificar a senha padrão do equipamento.
Para alterar a senha padrão do usuário admin, seguir os passos abaixo:
configure
set system login user admin authentication plaintext-password new-password
commit
commit.
6.2 Configuração dos Usuários Locais
Os próximos passos irão demonstrar como configurar um novo usuário chamado “joao” com senha “joao1234” e
privilégios de administrador “admin”.
configure
set system login user joao authentication plaintext-password joao1234
set system login user joao level ’admin’
commit
Os próximos passos irão demonstrar como deletar o usuário “joao”.
configure
delete system login user joao
commit
commit.

Abaixo os principais comandos disponíveis para realizar a verificação da funcionalidade. O usuário deve usar a palavra-
chave run antes do comando caso estiver no modo de configuração.
show system login user
6.3 Configuração do TACACS+
O TACACS+ (Terminal Access Controller Access-Control System) é um protocolo baseado no modelo AAA (Authentication,
Authorization Accounting) que fornece os serviços de autenticação, autorização e auditoria de forma segura com
criptografia do pacote inteiro. Esta criptografia depende de uma chave secreta compartilhada em cada dispositivo. São
suportados os modos de autenticação PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication
Protocol) e ASCII (American Standard Code for Information Interchange).
O cenário abaixo será usado para demonstrar a configuração do TACACS+.
Cenário do TACACS+
Para configurar o TACACS+, o usuário deve especificar o endereço do servidor e a chave secreta a ser usada para autenticar
os usuários. É recomendável escrever a chave secreta entre aspas simples para permitir utilizar caracteres especiais.
Suponha que o usuário queira configurar a autenticação tipo ascii, autorização e contabilidade com dois servidores
TACACS+, um IPv4 e outro IPv6. O servidor IPv4 possui o endereço 10.1.100.7 e o servidor IPv6 o endereço 2019:1234::1,
ambos com a chave secreta pass1234.
O servidor TACACS+ IPv4 terá prioridade de autenticação sobre o servidor TACACS+ IPv6, caso os dois sejam
configurados.
O procedimento a seguir apresentará como realizar esta configuração:
configure
set system login tacplus-server host 10.1.100.7 secret ’pass1234’
set system login tacplus-server host 2019:1234::1 secret ’pass1234’
set system login tacplus-server authentication-type ’ascii’
set system login tacplus-server authorization
set system login tacplus-server accounting
commit
Após realizar esta configuração, a autenticação ocorrerá na base do TACACS+. Se a autenticação no servidor TACACS+
falhar, a autenticação ocorrerá na base local.

commit.
O timeout default do TACACS+ é de 2 segundos para alterar para o próximo modo de autenticação ou para o próximo
servidor TACACS+ configurado. Caso o usuário deseje é possível alterar este valor utilizando os comandos a seguir:
configure
set system login tacplus-server timeout 1
commit
Não é permitido configurar servidores RADIUS e TACACS+ simultaneamente.
commit.
o TACACS+.
6.3.1 Verificando o TACACS+
show tacacs
show log tacacs
show vrf <vrf-name> tacacs
6.4 Configuração do RADIUS
O RADIUS (Remote Authentication Dial In User Service) é um protocolo cliente-servidor que protege as redes contra acesso
não autorizado e é baseado no modelo AAA que fornece os serviços de autenticação, autorização e contabilidade. Os
clientes RADIUS neste caso os DM2500 enviam solicitações de autenticação para um servidor RADIUS central que contém
todas as informações de autenticação do usuário e de acesso ao serviço de rede.
O cenário abaixo será usado para demonstrar a configuração do RADIUS.

Cenário do RADIUS
Não é possível configurar o RADIUS com endereçamento IPv6.
Para configurar o RADIUS, o usuário deve especificar o endereço do servidor e a chave secreta a ser usada para autenticar
os usuários. É recomendavel escrever a chave secreta entre aspas simples para permitir utilizar caracteres especiais.
Suponha que o usuário queira configurar a autenticação, autorização e contabilidade com dois servidores RADIUS que
possuem IPv4 192.168.1.1 e 172.22.107.4, ambos com a chave secreta pass1234. O procedimento a seguir apresentará como
realizar esta configuração:
configure
set system login radius-server host 192.168.1.1 port ’1812’
set system login radius-server host 192.168.1.1 secret ’pass1234’
set system login radius-server host 192.168.1.1 timeout ’2’
set system login radius-server host 172.22.107.4 port ’1812’
set system login radius-server host 172.22.107.4 secret ’pass1234’
set system login radius-server host 172.22.107.4 timeout ’2’
commit
Não é permitido configurar servidores RADIUS e TACACS+ simultaneamente.
commit.
o RADIUS.
6.4.1 Verificando o RADIUS

show radius
show log radius
show vrf <vrf-name> radius

DM2500 - Guia de Configuração Rápida 7 Interfaces
7 Interfaces
Este capítulo apresentará como configurar as interfaces disponíveis no equipamento.
Ao definir mais de um endereço IPv4/IPv6 na interface recomenda-se, usar o parâmetro address-secondary.

Caso contrario o endereço primário (endereço que foi definido com o parâmetro address) será sobrescrito.
• Configuração das Interfaces Ethernet
• Configuração das Interfaces Loopback
• Configuração das Interfaces Bridge
• Configuração das Interfaces Bonding (LAG)
7.1 Configuração das Interfaces Ethernet
Por padrão, todas as interfaces Ethernet estão desativadas, exceto a interface eth1, que possui o IP de
gerência na configuração padrão.
Para ativar administrativamente uma interface ethernet, o usuário deve utilizar o procedimento abaixo.
configure
delete interfaces ethernet eth2 disable
commit
Para desativar administrativamente uma interface ethernet, o usuário deve utilizar o procedimento abaixo.
configure
set interfaces ethernet eth2 disable
commit
Interfaces que não estão configuradas ficam desativadas e não aparecem no show configuration. É possível remover a
configuração inteira de uma interface ethernet através do seguinte procedimento:
configure
delete interfaces ethernet eth2
commit
as Interfaces Ethernet.

7.1.1 Configurando o speed e duplex
No DM2500 todas as interfaces ethernet possuem o modo auto-negociado habilitado por padrão. Nesse modo ocorre a
negociação do speed e duplex da interface de modo automático, levando em consideração o link remoto.
É possível alterar a configuração da interface para trabalhar no modo forçado. O procedimento abaixo exibe como
configurar uma interface para trabalhar no modo forçado com velocidade de 100 Mbps full-duplex.
Ambos os lados do link (local e remoto) devem estar configurados da mesma forma.
configure
set interfaces ethernet eth7 speed 100
set interfaces ethernet eth7 duplex full
commit
Seguindo o exemplo acima, caso a interface utilize um link ótico deve-se utilizar o parâmetro 100fx.
configure
set interfaces ethernet eth7 speed 100fx
set interfaces ethernet eth7 duplex full
commit
commit.
as Interfaces Ethernet.
7.1.2 Verificando as Interfaces Ethernet
show interfaces ethernet

show interfaces ethernet detail
show interfaces counters
show vrf <vrf-name> interfaces ethernet
show vrf <vrf-name> interfaces ethernet detail
show vrf <vrf-name> interfaces counters
show interfaces utilization bandwidth
show interfaces utilization packets
7.2 Configuração das Interfaces Loopback
Uma interface de loopback é uma interface especial somente de software que emula uma interface física e permite que o
roteador “conecte-se” a si mesmo. Os pacotes roteados para a interface de loopback são roteados novamente para o

roteador e processados localmente. Os pacotes roteados pela interface de loopback, mas não destinados à interface de
loopback, são descartados.
É possível configurar até quatro interfaces loopback (lo1 até lo4)
Suponha que o usuário queira criar duas interfaces loopback a lo1 e a lo2 com endereços IPv4 e IPv6. O procedimento a
seguir demonstra como realizar esta configuração.
configure
set interfaces loopback lo1 address 192.168.255.105/32
set interfaces loopback lo1 address-secondary 192.168.254.105/32
set interfaces loopback lo2 address 2400:c0ca:beef::1/64
commit
commit.
as Interfaces Loopback.
7.2.1 Verificando as Interfaces Loopback
show interfaces
show interfaces loopback
show vrf <vrf-name> interfaces loopback
show vrf <vrf-name> interfaces loopback detail
7.3 Configuração das Interfaces Bridge
A configuração da Bridge permite conectar vários segmentos de rede (geralmente segmentos de LAN) no nível da camada 2
(switching).
Como a Bridge ocorre na camada 2 e os endereços IP são relevantes apenas na camada 3 (routing, a camada
de rede), os endereços IP não são permitidos nas interfaces que estão sendo conectadas.

Podem ser adicionadas diretamente a uma Bridge as interfaces Ethernet e as Interfaces de VLANs.
Suponha que o usuário queira criar uma bridge br1 com endereço IPv4 e IPv6 para conectar as interfaces ethernet eth2,
eth3 e eth4. O procedimento a seguir demonstra como realizar esta configuração.
configure
set interfaces bridge br1 address 192.168.10.2/24
set interfaces bridge br1 address 2018:c0ca:cafe::2/64
set interfaces ethernet eth2 bridge-group bridge br1
commit
as Interfaces Bridge.
7.3.1 Verificando as Interfaces Bridge
show bridge
show interfaces
show interfaces bridge
show vrf <vrf-name> interfaces bridge
show vrf <vrf-name> interfaces bridge detail
7.4 Configuração das Interfaces Bonding (Agregação)
A agregação de link IEEE 802.3ad permite criar uma interface lógica contendo uma ou mais interfaces físicas. A agregação
de vários links ou interfaces físicas cria um único link lógico (LAG) ponto-a-ponto. O LAG possibilita dividir os fluxos entre
as interfaces físicas aumentando efetivamente a largura de banda. Outra vantagem da agregação de links é o aumento da
disponibilidade do link de comunicação entre os dois equipamentos, se uma das interfaces físicas falhar, o LAG continuará
a transportar o tráfego através das interfaces remanescentes.

Exemplo de cenário com agregação de links
As interfaces Bonding do DM2500 suportam três modos de balanceamento do tráfego de saída, chamados de Hash Policy:
• layer2: Usa endereço MAC para gerar o hash.
• layer2+3: Combina endereço MAC e endereço IP para gerar o hash.
• layer3+4: Combina endereço IP e porta para gerar o hash.
7.4.1 Interface Bonding modo Estático
Os próximos passos irão demonstrar como configurar a interface bonding no modo estático usando duas (2) interfaces
Ethernet, totalizando uma banda possível de 2Gbps.
configure
set interfaces bonding bond8 address ’192.168.53.1/24’
set interfaces bonding bond8 description ’INTF-BONDING’
set interfaces bonding bond8 hash-policy ’layer2’
! Configura modo estático
set interfaces bonding bond8 mode ’xor-hash’
set interfaces ethernet eth7 bond-group ’bond8’
commit
as Interfaces Bonding.
7.4.2 Interface Bonding modo Dinâmico (LACP)
O LACP (Link Aggregation Control Protocol) é um protocolo utilizado para garantir a conectividade fim-a-fim de interfaces
agregadas (LAG). Ele detecta e protege a rede contra uma variedade de configurações incorretas, garantindo que os links
sejam agregados apenas em um bundle se eles forem configurados e cabeados de forma consistente. O LACP pode ser
configurado de dois modo:
• Modo Ativo (Active): O dispositivo envia imediatamente mensagens LACP (LACP PDUs) quando a interface é
ativada.
• Modo Passivo (Passive): Coloca uma interface em um estado de negociação passivo, no qual a interface aguarda o
envio das PDUs do remoto para iniciar a negociação e estabelecimento do Link Aggregation.

Se pelo menos um dos lados (endpoints) estiver configurado como ativo, o LAG pode ser formado assumindo uma
negociação bem-sucedida dos outros parâmetros.
Os próximos passos irão demonstrar como configurar a interface bonding de forma dinâmica usando duas (2) interfaces
Ethernet, totalizando uma banda possível de 2Gbps.
configure
set interfaces bonding bond8 address ’192.168.53.1/24’
set interfaces bonding bond8 description ’INTF-BONDING’
set interfaces bonding bond8 hash-policy ’layer2’
set interfaces bonding bond8 lacp-rate ’slow’
! Configura modo dinâmico
set interfaces bonding bond8 mode ’802.3ad’
commit
as Interfaces Bonding.
7.4.3 Verificando as Interfaces Bonding
show interfaces bonding

show interfaces bonding <bondX>
show interfaces bonding <bondX> brief
show interfaces bonding <bondX> slaves
show interfaces bonding <bondX> status
show vrf <vrf-name> interfaces bonding
show vrf <vrf-name> interfaces bonding <bondX>
show vrf <vrf-name> interfaces bonding <bondX> brief
show vrf <vrf-name> interfaces bonding <bondX> slaves
show vrf <vrf-name> interfaces bonding <bondX> status

DM2500 - Guia de Configuração Rápida 8 Serviços IP
8 Serviços IP
Alguns provedores de acesso à Internet requerem o uso de PPPoE (Point-to-Point Protocol ver Ethernet) para a conexão à
Internet . Também podem utilizar o protocolo DHCP (Dynamic Host Configuration Protocol) para realizar a atribuição
dinâmica de endereços IPs, DNS, gateway, entre outros. Este capítulo abordará como configurar estes tipos de serviços no
DM2500.
Este capítuo contém as seguintes seções:
• Configuração do Servidor DHCPv4
• Configuração do servidor DHCPv6
• Configuração do DHCPv4 Relay
• Configuração do DHCPv6 Relay
• Configuração do Cliente DHCPv4
• Configuração do Cliente DHCPv6
• Configuração do Cliente PPPoE
8.1 Configuração do Servidor DHCPv4
O DM2500 oferece a funcionalidade de servidor DHCPv4. Através desse recurso o equipamento pode distribuir dinamica-
mente endereços IPv4 a outros elementos conectados na mesma sub-rede
Supondo que o usuário deseja configurar um servidor DHCPv4 na rede 10.10.10.0/24 no range 10.10.10.5 até 10.10.20.
Também deseja que um servidor identificado por um MAC específico receba o endereço 10.10.10.2 e que a validade dos IPs
concedidos até o processo de renovação dure 24 horas.
Os próximos passos irão mostrar como realizar estas configurações.
O servidor DNS enviado pelo DHCP server deve ser o utilizado na sua rede, no exemplo abaixo é utilizado o
DNS público do Google.
configure
set interfaces ethernet eth3 address ’10.10.10.1/24’
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 lease 86400
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 dns-server
8.8.8.8
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 default-router
10.10.10.1
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 start 10.10.10.5
stop 10.10.10.20
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 domain-name
dhcp-internal
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 static-mapping
SERVER-10-2 ip-address 10.10.10.2
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 static-mapping
SERVER-10-2 mac-address 00:04:df:cc:3a:04
commit

commit.
o Servidor DHCP.
8.1.1 Configurando as opções do servidor DHCPv4
O DM2500 suporta algumas opções do DHCPv4 predefinidas, além da configuração por código, permitindo que qualquer
opção disponível no protocolo DHCP seja configurado. Para maiores informações sobre os códigos e formatos aceitos
por cada código, favor consultar a RFC 2132. Os próximos passos irão mostrar alguns exemplos de como realizar estas
configurações.
Configuração da opção SMTP server predefinida:
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 smtp-server
172.22.103.32
commit
Configuração da opção LPR Server (código 9) com um endereço IPv4:
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 option 9 ipv4
172.22.103.32
commit
Configuração da opção LPR Server (código 9) com dois endereços IPv4 (172.22.103.32 e 172.22.103.40):
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 option 9
hex ac:16:67:20:ac:16:67:28
commit
Configuração da opção Hostname (código 12):
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 option 12
ascii DM2500-6GT
commit
o Servidor DHCP.
8.1.2 Verificando o Servidor DHCP

show dhcp server leases

show dhcp server statistics
show vrf <vrf-name> dhcp server leases
show vrf <vrf-name> dhcp server statistics
show log dhcp
8.2 Configuração do servidor DHCPv6
O DM2500 oferece a funcionalidade de servidor DHCPv6. Através desse recurso o equipamento pode distribuir dinamica-
mente endereços IPv6 a outros hosts conectados na mesma sub-rede.
Os próximos passos irão demonstrar como configurar o serviço para prover endereços IPv6 na rede 2001:C0A8:5600::/64
com validade dos endereços para renovação de 24 horas e um host identificado pelo UID recebendo o endereço
2001:c0a8:5600::10.
configure
set interfaces ethernet eth3 address ’2001:C0A8:5600::1/64’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 address-range
prefix ’2001:C0A8:5600::/64’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 domain-search
’dhcp-internal’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 lease-time
default ’86400’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 name-server
’2001::2’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 static-mapping
teste identifier ’00:01:00:01:5b:cd:f6:b7:00:aa:00:00:00:0a’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 static-mapping
teste ipv6-address ’2001:c0a8:5600::10’
commit
commit.
o Servidor DHCPv6.
8.2.1 Verificando o Servidor DHCPv6
show dhcpv6 server leases

show dhcpv6 server statistics
show vrf <vrf-name> dhcpv6 server leases
show vrf <vrf-name> dhcpv6 server statistics
show log dhcp

8.3 Configuração do DHCPv4 Relay
O DM2500 oferece a funcionalidade de DHCPv4 Relay para encaminhar as solicitações DHCP de uma determinada rede
para um servidor DHCP presente em outra rede. Cada interface envolvida no DHCPv4 Relay deve ser configurada. Assim,
por exemplo, se as solicitações estão chegando na interface eth0 e o servidor DHCPv4 especificado na configuração é
acessado através da interface eth1, tanto a eth0 quanto a eth1 devem ser configuradas para o DHCP Relay.
Supondo que o usuário deseja configurar um DHCPv4 Relay para encaminhar as solicitações DHCP dos clientes que estão
na rede 10.10.10.0/24 para o servidor DHCPv4 que está em outra rede com o endereço 10.20.30.1/24.
configure
set service dhcp-relay interface ’eth1’
set service dhcp-relay interface ’eth0’
set service dhcp-relay server ’10.20.30.1’
set service dhcp-relay relay-options relay-agents-packets ’discard’
commit
commit.
o DHCPv4 Relay.
8.3.1 Verificando o DHCPv4 Relay
show configuration | match dhcp-relay

show log dhcp
8.4 Configuração do DHCPv6 Relay
O DHCPv6 Relay atende a solicitações enviadas por clientes DHCPv6 e as encaminha para servidores DHCPv6. Como os
pacotes de solicitação do cliente e as solicitações retransmitidas geralmente são transportados em pacotes multicast IPv6,
o usuario deve especificar explicitamente as interfaces nas quais o Relay deve atender solicitações e as interfaces nas
quais ele deve retransmitir essas solicitações.
Supondo que o usuário deseja configurar um DHCPv6 Relay para encaminhar as solicitações DHCP dos clientes que estão
na rede 2605:ef80:240::1/64 para o servidor DHCPv6 que está em outra rede com o endereço 2600::c0a8:2d01.

configure
set interfaces ethernet eth0 address ’2605:ef80:240::1/64’
set interfaces ethernet eth1 ipv6 address eui64 ’2404:6800:4001::/64’
set service dhcpv6-relay listen-interface ’eth0’
set service dhcpv6-relay upstream-interface eth1 address ’2600::c0a8:2d01’
commit
Como o funcionamento do DHCPv6 Relay é diferente do DHCPv4 Relay, é necessario configurar Router Advertisement na
interface que está recebendo as solicitações.
configure
set interfaces ethernet eth0 ipv6 router-advert managed-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert other-config-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert prefix 2605:ef80:240::/64 autonomous-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert prefix 2605:ef80:240::/64 on-link-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert send-advert ’true’
commit
commit.
o DHCPv6 Relay.
8.4.1 Verificando o DHCPv6 Relay
show configuration | match dhcpv6-relay

show log dhcp
8.5 Configuração do Cliente DHCPv4
É possível configurar um cliente DHCPv4 vinculado a uma interface Ethernet para atribuição dinâmica de IPv4 conforme
determinação de um servidor DHCPv4. Suponha que o usuário queira obter o endereço IPv4 através da interface eth4. Os
próximos passos irão mostrar como realizar estas configurações.
configure
set interfaces ethernet eth4 address dhcp
commit
commit.
Cliente do DHCPv4.

8.5.1 Verificando Cliente do DHCPv4
show dhcp client leases

show interfaces
show vrf <vrf-name> dhcp client leases
show vrf <vrf-name> interfaces
show log dhcp
8.6 Configuração do Cliente DHCPv6
É possível configurar um cliente DHCPv6 vinculado a uma interface Ethernet para atribuição dinâmica de IPv6 conforme
determinação de um servidor DHCPv6. Suponha que o usuário deseja que o endereço IPv6 da interface Ethernet eth4 seja
atribuído dinamicamente a partir de um servidor DHCPv6 conectado a ela. Os próximos passos irão mostrar como realizar
estas configurações.
configure
set interfaces ethernet eth4 address dhcpv6
commit
commit.
Cliente do DHCPv6.
8.6.1 Verificando Cliente do DHCPv6
show dhcpv6 client leases

show dhcpv6 client identifiers
show interfaces
show vrf <vrf-name> dhcpv6 client leases
show vrf <vrf-name> dhcpv6 client identifiers
show vrf <vrf-name> interfaces
show log dhcp
8.7 Configuração do Cliente PPPoE
O encapsulamento PPPoE (Point-to-Point Protocol over Ethernet) para uma interface Ethernet está definido na RFC2516.
Esse tipo de interface é modelado como ponto-a-ponto e é usado para conectar-se a um ponto da rede com suporte a
PPPoE. Com o encapsulamento PPPoE, os endereços IP locais e remotos podem ser negociados automaticamente em vez

de explicitamente especificados pelo usuário. Por padrão a negociação é executada automaticamente se os endereços não
forem especificados.
A sessão PPPoE apenas pode ser configurada para funcionar com endereços IPv4, e é possível configurar
até 15 interfaces PPPoE.
Suponha que o usuário deseja estabelecer uma sessão PPPoE usando a interface pppoe 15 a qual está associada com a
interface ethernet eth1. Os próximos passos irão mostrar como realizar estas configurações.
configure
set interfaces pppoe 15 user-id user1@datacom.com.br
set interfaces pppoe 15 password d4t4c0m
set interface ethernet eth1 pppoe 15
commit
O tamanho máximo do MSS (Maximum Segment Size) do TCP é 1460 bytes considerando 1500 bytes de MTU (Maximum
Transmission Unit). O PPPoE utiliza 8 dos 1460 bytes para o encapsulamento dos dados, isto faz com que pacotes TCP que
utilizem o MSS com tamanho de 1460 bytes sejam fragmentados ou descartados no roteador. Uma das formas de resolver
este problema é ajustando o tamanho do MSS utilizando os comandos a seguir:
configure
set interfaces ethernet eth1 policy route ’MSS’
set policy route MSS description ’TCP_MSS’
set policy route MSS rule 1 protocol ’tcp’
set policy route MSS rule 1 set tcp-mss ’1452’
set policy route MSS rule 1 tcp flags ’SYN’
commit
commit.
Cliente do PPPoE.
8.7.1 Verificando Cliente do PPPoE
show interfaces pppoe

show interfaces pppoe <interface pppoe> log

DM2500 - Guia de Configuração Rápida 9 Roteamento
9 Roteamento
O roteamento é o processo de encaminhar pacotes ao seu destino usando endereços de rede. O roteamento é executado
por dispositivos capazes de trocar informações necessárias para criar tabelas contendo informações de caminho para
chegar a um destino, usando protocolos de roteamento dinâmicos ou entradas atribuídas manualmente.
Os protocolos de roteamento dinâmico, como o OSPF, reúnem as informações necessárias dos dispositivos vizinhos para
criar sua tabela de roteamento, usada para determinar para onde o tráfego será enviado.
Como alternativas aos métodos dinâmicos, existem rotas estáticas. As rotas estáticas são recomendadas em roteadores
que possuem poucas redes e menos caminhos para o destino.
As informações recebidas através dos protocolos de roteamento são adicionadas em uma tabela chamada RIB (Routing
Information Base) que é a base para o cálculo da definição do melhor caminho. O resultado do cálculo da rota é a FIB
(Forwarding Information Base) que contém as informações que os dispositivos utilizam para rotear o tráfego.
• Configuração do Roteamento
• Configuração do PBR
• Configuração do RIP
• Configuração do RIPng
• Configuração do OSPFv2
• Configuração do OSPFv3
• Configuração do BGP
• Configuração do BFD
• Configuração do VRRP
• Configuração do PIM
• Configuração da VRF
• Configuração do ECMP
9.1 Configuração do Roteamento
9.1.1 Roteamento Estático
O roteamento estático tem por objetivo encaminhar pacotes entre redes distintas com a configuração das rotas de forma
manual pelos administradores de rede. Por padrão, VLANs diferentes não se comunicam, pois estão em domínios de
broadcast exclusivos.

9.1.2 Roteamento entre VLANs
Para que a comunicação entre duas VLANs seja realizada, é necessário utilizar um roteador ou uma forma de roteamento
no próprio equipamento. O roteamento entre VLANs permite esta comunicação. A rede associada à interface é inserida na
tabela de roteamento e pode ser acessada por outras redes.
O cenário abaixo será usado para demonstrar a configuração do roteamento estático e entre VLANs.
Configuração do roteamento estático e entre VLANs
Suponha que o usuário deseje permitir o roteamento entre as VLAN 100 e VLAN 200 na interface ethernet eth1 e a VLAN
2 na interface eth2 para ser utilizada como rota default estática onde o gateway possui o endereço IPv4 10.10.0.1/30. Os
próximos passos irão mostrar como realizar estas configurações.
configure
commit
Rotamento Estático.
9.1.3 Habilitando ECMP em rotas estáticas
O ECMP é automaticamente habilitado para rotas estáticas caso seja habilitado globalmente. Não há configuração
específica para rotas estáticas.
Para mais detalhes sobre os modos de balanceamento do ECMP, consultar a sessão Configuração do ECMP.
commit.

Rotamento Estático.
9.1.4 Verificando Rotamento Estático
show ip route
show ip route static
show vrf <vrf-name> ip route
show vrf <vrf-name> ip route static
9.2 Configuração do PBR
O roteamento baseado em políticas (Policy-based routing PBR) permite ao usuário usar regras de tráfego IP para classificar
o tráfego com base em seus atributos e aplicar processamento diferencial de acordo com sua classificação e rotear
seletivamente os pacotes IP, por exemplo, para um próximo salto alternativo.
Todos os pacotes recebidos em uma interface são considerados para roteamento baseado em políticas, desde que a
interface seja atribuída a uma politica de roteamento. Quando nenhuma política de roteamento é aplicada, as decisões de
roteamento são feitas usando a tabela de roteamento padrão (main) do sistema.
As políticas PBR podem ser aplicadas a interfaces do data-plane para tráfego de entrada, mas não para interfaces loopback,
túnel ou bridge. No DM2500 o usuário não pode aplicar políticas PBR a pacotes gerados localmente.
O cenário abaixo será usado para demonstrar a configuração do PBR.
Configuração do PBR
Suponha que o usuário deseja configurar uma política PBR nas VLANs 10 e 20 que estão configuradas na interface eth1,
para que o tráfego originado na rede 192.168.10.0/24 seja encaminhado pelo próximo salto 192.168.100.1 que é alcançável
via interface eth2, e para o tráfego originado na rede 192.168.20.0/24 seja encaminhado pelo próximo salto 192.168.200.1
que é alcançável via interface eth3. Os próximos passos irão mostrar como realizar estas configurações.

configure
set interface ethernet eth1 vif 10 address 192.168.10.1/24
set interface ethernet eth1 vif 20 address 192.168.20.1/24
set interface ethernet eth2 address 192.168.100.2/30
set interface ethernet eth3 address 192.168.200.2/30
set policy route PBR-LAN rule 10 destination address 0.0.0.0/0
set policy route PBR-LAN rule 10 source address 192.168.10.0/24
set policy route PBR-LAN rule 10 set table 10
set policy route PBR-LAN rule 20 destination address 0.0.0.0/0
set policy route PBR-LAN rule 20 source address 192.168.20.0/24
set policy route PBR-LAN rule 20 set table 20
set interfaces ethernet eth1 policy route PBR-LAN
set protocols static table 10 route 0.0.0.0/0 next-hop 192.168.100.1
set protocols static table 20 route 0.0.0.0/0 next-hop 192.168.200.1
commit
commit.
Configuração do PBR.
9.2.1 Verificando Configuração do PBR
show policy route

show ip route
show vrf <vrf-name> policy route
9.3 Configuração do RIP
O RIP (Routing Information Protocol) é um protocolo de roteamento dinâmico adequado para redes pequenas e homogê-
neas. É classificado como um protocolo de gateway interior (IGP) e emprega o algoritmo de roteamento de vetor de
distância. O RIP determina o melhor caminho, contando os saltos até o destino. A contagem máxima de saltos é 15 (16 é
considerada uma distância infinita), tornando o RIP menos adequado para grandes redes.
Configuração do RIP
Suponha que o usuário deseja configurar uma sessão RIP através da interface eth2 pelo endereço IPv4 10.0.40.1/30 e
também deseja divulgar a rede 10.0.30.0/24 que está conectada pela eth4. Os próximos passos irão mostrar como realizar
estas configurações.

configure
set protocols rip network 10.0.30.0/24
set protocols rip interface eth2
commit
commit.
Roteamento RIP.
9.3.1 Verificando Roteamento RIP
show ip route
show ip route rip
show ip rip status
show ip rip
show log rip
debug rip
show vrf <vrf-name> ip route rip
show vrf <vrf-name> ip rip status
show vrf <vrf-name> ip rip
debug vrf <vrf-name> rip
9.4 Configuração do RIPng
O RIPng (Routing Information Protocol next generation) é um protocolo de roteamento dinâmico adequado para redes
IPv6 pequenas e homogêneas. É classificado como um protocolo de gateway interior (IGP) e emprega o algoritmo de
roteamento de vetor de distância. O RIPng determina o melhor caminho contando os saltos até o destino. A contagem
máxima de saltos é 15 (16 é considerada uma distância infinita), tornando o RIPng menos adequado para grandes redes.
RIPng é uma extensão do RIP versão 2 para IPv6.
O cenário abaixo será usado para demonstrar a configuração do RIPng.
Configuração do RIPng
Suponha que o usuário deseja configurar uma sessão RIPng através da interface eth2 pelo endereço IPv6 2001:cafe:1::1/64
e também deseja divulgar a rede 2001:cafe:4::/64 que está conectada pela eth4.

configure
set interfaces ethernet eth2 address 2001:cafe:1::1/64
set interfaces ethernet eth4 address 2001:cafe:4::1/64
set protocols ripng network 2001:cafe:4::/64
set protocols ripng interface eth2
commit
commit.
Roteamento RIPng.
9.4.1 Verificando Roteamento RIPng
show ipv6 route

show ipv6 route ripng
show ipv6 ripng
show ipv6 ripng status
show log rip
debug ripng
show vrf <vrf-name> ipv6 route
show vrf <vrf-name> ipv6 route ripng
show vrf <vrf-name> ipv6 ripng
show vrf <vrf-name> ipv6 ripng status
debug vrf <vrf-name> ripng
9.5 Configuração do OSPFv2
O OSPFv2 (Open Shortest Path First version 2) é o IGP (Internal Gateway Protocol) descrito pela RFC 2328 (versão 2) para
roteamento de endereços IPv4. Este protocolo é utilizado dentro de um mesmo AS (Autonomous System), justificando a
sua denominação de Internal. É baseado no algoritmo de Dijkstra, que calcula o caminho mais curto para cada destino
com base nos custos de cada link.
O cenário abaixo será usado para demonstrar a configuração do OSPFv2.
Configuração do OSPFv2
Recomenda-se usar a interface loopback ao invés das interfaces físicas devido à estabilidade, pois estão
sempre ativas.

Suponha que o usuário queira realizar um sessão OSPF na área 8048 com network-type do tipo ponto-a-ponto através das
seguintes configurações:
DM2500: Interface eth1 na VLAN 503 com endereço IPv4 192.168.72.5/30 e interface loopback com IPv4 192.168.255.41/32
sendo utilizada como router-id no OSPFv2 na área 0. O DM2500 também irá divulgar a rede 192.168.64.0/22 no qual está
conectada pela interface eth3.
configure
set interfaces loopback lo address 192.168.255.41/32
set interfaces ethernet eth1 vif 503 ip ospf network point-to-point
set protocols ospf area 8048 network 192.168.255.41/32
set protocols ospf log-adjacency-changes detail
set protocols ospf parameters abr-type standard
set protocols ospf parameters router-id 192.168.255.41
commit
commit.
Roteamento OSPFv2.
9.5.1 Configurando um Virtual Link no OSPFv2
Para um cenário OSPF funcionar corretamente, todas as áreas do protocolo devem estar conectadas diretamente com
a Área 0 (backbone) do OSPF. Entretanto, existem situações em que o roteador de outras áreas do OSPF não estejam
conectados fisicamente ao roteador de borda (ABR - Area Border Router) da Área 0. Para resolver este problema, um link
virtual pode ser configurado entre estes roteadores simulando uma conexão direta.
O cenário abaixo será usado para demonstrar a configuração do Virtual Link no OSPFv2.
Configurando o Virtual Link no OSPFv2
Suponha que o usuário queira conectar a Área 20 com a Área 0 através da Área 10. Um Virtual Link será configurado entre
os ABRs da Area 0 (DM25-1) e da Area 20 (DM25-2).
DM25-1

configure
set interfaces loopback lo1 address ’1.1.1.1/32’
set protocols ospf area 0 network ’192.168.0.0/28’
set protocols ospf area 0 area-type ’normal’
set protocols ospf area 10 virtual-link ’2.2.2.2’
set protocols ospf log-adjacency-changes ’detail’
set protocols ospf parameters abr-type ’standard’
set protocols ospf parameters router-id ’1.1.1.1’
commit
DM25-2
configure
set interfaces loopback lo1 address ’2.2.2.2/32’
set protocols ospf area 10 virtual-link ’1.1.1.1’
set protocols ospf log-adjacency-changes ’detail’
set protocols ospf parameters abr-type ’standard’
commit
commit.
Roteamento OSPFv2.
9.5.2 Habilitando ECMP no OSPFv2
O ECMP é automaticamente habilitado no OSPFv2 caso seja habilitado globalmente. Não há configuração específica para
OSPF.
Para mais detalhes sobre os modos de balanceamento do ECMP, consultar a sessão Configurando o ECMP.
9.5.3 Configurando filtragem de LSAs
O recurso de filtragem de anúncios LSAs do tipo 3 (Summary) estende a capacidade de um ABR que está executando
o protocolo OSPFv2 para filtrar LSAs do tipo 3 entre diferentes áreas OSPF. Esse recurso permite que apenas prefixos
especificados sejam enviados de uma área para outra e restringe todos os outros prefixos. Esse tipo de filtragem por área
pode ser aplicado fora de uma área específica, em uma área específica, ou dentro e fora das áreas OSPF ao mesmo tempo.
Os seguintes casos mostram ao usuário como configurar a filtragem de LSAs de diferentes maneiras:

9.5.4 Filtragem de LSAs anunciadas para outras áreas
Suponha que o usuário deseja filtrar LSAs do tipo 3 (Summary) as quais são anunciadas para outras áreas de rotas
intra-area de uma área especifica. A seguinte configuração com uma breve explicação demonstra como pode ser feito esse
tipo de filtragem.
configure
set policy access-list 5 rule 1 action ’permit’
set policy access-list 5 rule 1 source inverse-mask ’0.0.255.255’
set policy access-list 5 rule 1 source network ’10.10.0.0’
set protocols ospf area 5 export-list 5
commit
No exemplo acima, qualquer rota intra-área da área 5 e do range 10.10.0.0/16 (por exemplo, 10.10.1.0/24 e 10.10.2.128/30)
serão anunciados para outras áreas como um LSA Summary, de Tipo 3 mas quaisquer outros (por exemplo, 10.11.0.0/16 ou
10.128.30.16/30) não. Esta configuração só é relevante se o roteador for um ABR para a área especificada.
Roteamento OSPFv2.
9.5.5 Filtragem de LSAs anunciadas para a área especificada
Suponha que o usuário deseja filtrar LSAs do tipo 3 (Summary) sendo anunciados para dentro da área especificada.
A seguinte configuração com uma breve explicação demonstra como pode ser feito esse tipo de filtragem.
configure
set policy access-list 5 rule 1 action ’permit’
set policy access-list 5 rule 1 source inverse-mask ’0.0.255.255’
set policy access-list 5 rule 1 source network ’10.20.0.0’
set protocols ospf area 5 import-list 5
commit
No exemplo acima, qualquer rota anunciada dentro da área 5 e do range 10.20.0.0/16 será anunciada na área como LSAs
do tipo 3, mas quaisquer outras não. Esta configuração só é relevante se o roteador for um ABR para a área especificada.
Roteamento OSPFv2.
9.5.6 Filtragem de LSAs usando prefix-list
A filtragem de LSAs to tipo 3 (Summary) também pode ser configurada como nos exemplos anteriores, mas usando
prefix-lists e especificando a direção da filtragem (inbound ou outbound).

A seguinte configuração demonstra como pode ser feito esse tipo de filtragem.
configure
set policy prefix-list Deny-Route-192 rule 1 action ’deny’
set policy prefix-list Deny-Route-192 rule 1 le ’32’
set policy prefix-list Deny-Route-192 rule 1 prefix ’192.168.20.0/24’
set policy prefix-list Deny-Route-192 rule 2 action ’permit’
set policy prefix-list Deny-Route-192 rule 2 le ’32’
set policy prefix-list Deny-Route-192 rule 2 prefix ’0.0.0.0/0’
set protocols ospf area 5 filter-list out ’Deny-Route-192’
commit
O exemplo acima permite filtrar uma rota com o prefixo 192.168.20.0/24 que está sendo propagada na área 5, mas que
atualmente está sendo repassada para todo o dominio OSPF. Para isso é configurado um filter-list no ABR com a área 5 e
com ajuda do prefix-list o usuario poderá fazer o bloqueio do prefixo 192.168.20.0/24
Roteamento OSPFv2.
9.5.7 Verificando Roteamento OSPFv2
show ip ospf
show ip ospf neighbors
show ip ospf database
show ip route
show ip route ospf
show log ospf
debug ospf
show vrf <vrf-name> ip ospf
show vrf <vrf-name> ip ospf neighbors
show vrf <vrf-name> ip ospf database
show vrf <vrf-name> ip route ospf
debug vrf <vrf-name> ospf
9.6 Configuração do OSPFv3
O OSPFv3 (Open Shortest Path First version 3) é um IGP (Internal Gateway Protocol) descrito na RFC 5340 para roteamento
de endereços IPv6. Por se tratar de um IGP, é um protocolo utilizado dentro de um mesmo AS (Autonomous System). É
baseado no algoritmo de Dijkstra, que calcula o caminho mais curto para cada destino com base nos custos de cada link.
O cenário abaixo será usado para demonstrar a configuração do OSPFv3.

Configurando o OSPFv3
No exemplo abaixo será configurado um neighbor IPv6 do tipo ponto-a-ponto na interface eth1.150. A loopback do DM2500
terá o endereço IPv6 2001:db8:ffff::1/128 e também o endereço IPv4 177.66.5.1/32. O endereço IPv4 da loopback será
utilizado como router-id do OSPFv3. Ainterface loopback lo1 será configurada como passive, pois não serão formadas
adjacências através dela. A interface eth2 terá o endereço IPv6 2001:db8:100::1/64 e não formará nenhuma adjacência
OSPFv3. Sua rede será redistribuída para o OSPFv3 através do comando redistribute connected.
configure
set interfaces loopback lo1 address 2001:db8:ffff::1/128
set interfaces loopback lo1 ipv6 ospfv3 passive
set interfaces ethernet eth1 vif 150 address 2001:db8::1/64
set interfaces ethernet eth1 vif 150 ipv6 ospfv3 network point-to-point
set interfaces ethernet eth2 address 2001:db8:100::1/64
set protocols ospfv3 area 0 interface lo1
set protocols ospfv3 area 0 interface eth1.150
set protocols ospfv3 redistribute connected
commit
Roteamento OSPFv3.
9.6.1 Habilitando ECMP no OSPFv3
O ECMP é automaticamente habilitado no OSPFv3 caso seja habilitado globalmente. Não há configuração específica para
OSPF.
9.6.2 Filtragem de LSAs
No cenário abaixo, o DM2500 tem interfaces em duas áreas diferentes do OSPFv3. A interface eth1 está na área 0 e a
interface eth2 está na área 1. Considerando que ambas são áreas normais, os LSAs recebidos na área 0 serão enviandos
também para a área 1. Neste cenário, não há filtragem de LSAs. Os LSAs são anunciados de uma área para outra.

Topologia OSPFv3 sem filtragem de LSAs
configure
set interfaces loopback lo1 address 2001:db8::1/128
set interfaces loopback lo1 ipv6 ospfv3 passive
set interfaces ethernet eth1 2001:db8:100::1/64
set interfaces ethernet eth1 ipv6 ospfv3 network point-to-point
set interfaces ethernet eth2 address 2001:db8:200::1/64
set protocols ospfv3 parameters router-id 177.66.0.1
set protocols ospfv3 area 0 interface eth1
commit
Caso não se queira que todos os LSAs da área 0 sejam anunciados à area 1, é possível configurar import e export lists nas
áreas.
É necessário que o equipamento seja um ABR (area border router) para fazer filtragem de LSAs.
Um modo de filtrar os LSAs é configurar um import-list na área 1. No exemplo abaixo, é configurada uma access-list IPv6
rejeitando qualquer rede dentro do prefixo 2001:db8:ffff::/48. Esta ACL é aplicada como import-list na area 1, fazendo com
que LSAs contendo estas redes não sejam importados para esta área.
Filtragem de LSAs
configure
set policy access-list6 reject-lsas rule 10 action ’deny’
set policy access-list6 reject-lsas rule 10 source network ’2001:db8:ffff::/48’
set policy access-list6 reject-lsas rule 100 action ’permit’
set policy access-list6 reject-lsas rule 100 source ’any’
set protocols ospfv3 area 1 import-list reject-lsas
commit
Outra forma de filtrar os LSAs é configurar uma export-list na área 0. Os LSAs recebidos na área 0 deixaram de ser

exportados para outras áreas.
configure
set protocols ospfv3 area 0 export-list reject-lsas
commit
Roteamento OSPFv3.
9.6.3 Verificando Roteamento OSPFv3
show ipv6 ospf

show ipv6 ospf neighbors
show ipv6 ospf database
show ipv6 route
show ipv6 route ospf
show log ospfv3
debug ospfv3
show vrf <vrf-name> ipv6 ospf
show vrf <vrf-name> ipv6 ospf neighbors
show vrf <vrf-name> ipv6 ospf database
show vrf <vrf-name> ipv6 route
show vrf <vrf-name> ipv6 route ospf
debug vrf <vrf-name> ospfv3
9.7 Configuração do BGP
O protocolo BGP (Border Gateway Protocol) é usado para a troca de informações de roteamento entre AS’s (Autonomous
Systems) na Internet. Ao estabelecer uma vizinhança com um AS diferente, o BGP é chamado de eBGP (external BGP) e
quando a vizinhança é estabelecida entre roteadores do mesmo AS, o BGP é chamado de iBGP (internal BGP).
9.7.1 Configurando um neighbor iBGP IPv4
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com ambos os neighbors pertencentes
ao mesmo Autonomous System, sendo uma sessão iBGP (internal BGP). Em uma sessão iBGP, a sessão é estabelecida
entre as interfaces loopback dos equipamentos. Para que os equipamentos envolvidos tenha conectividade com as suas
loopbacks, é necessário que um IGP, como o OSPF, seja habilitado.

Configurando um neighbor BGP IPv4
Será estabelecida uma sessão iBGP com os seguintes parâmetros:
• AS number: 27686
• Loopback: 192.168.0.1/32
• Neighbor loopback: 192.168.0.2/32
• Interface eth5, VLAN 377, endereço IPv4 192.168.84.1/30
• Interface eth2, endereço IPv4 150.185.128.1/19
• Redistribuição das rotas conectadas
configure
set interfaces loopback address 192.168.0.1/32
set protocols bgp 27686 neighbor 192.168.0.2 nexthop-self
set protocols bgp 27686 neighbor 192.168.0.2 soft-reconfiguration inbound
set protocols bgp 27686 neighbor 192.168.0.2 remote-as 27686
set protocols bgp 27686 neighbor 192.168.0.2 update-source 192.168.0.1
set protocols bgp 27686 redistribute connected
set protocols bgp 27686 parameters log-neighbor-changes
commit
Roteamento BGP IPv4.
9.7.2 Configurando um neighbor eBGP IPv4
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com neighbors pertencentes a AS’s
diferentes, sendo uma sessão eBGP (external BGP). Para sessões eBGP, geralmente usam-se os endereços das interfaces
físicas entre os equipamentos para estabelecer a sessão, e não a interface loopback, como é feito em sessões iBGP.
Configurando um neighbor eBGP IPv4

Será estabelecida uma sessão eBGP com os seguintes parâmetros:
• Local AS number: 27686
• Remote AS number: 232318
• Redistribuição das rotas conectadas
configure
commit
Abaixo os principais comandos disponíveis para realizar a verificação do BGP IPv4. Caso o usuário esteja no nível de
9.7.3 Configurando um neighbor eBGP IPv4 entre loopbacks
diferentes, sendo uma sessão eBGP (external BGP).
Neste exemplo, a sessão BGP é estabelecida entre as interfaces loopbacks dos equipamentos. Para que o equipamento
consiga chegar até a loopback do vizinho, é necessário a configuração de uma rota estática.
O parâmetro ebgp-multihop é utilizado para permitir que uma sessão BGP seja estabelecida entre roteadores a mais
de um hop de distância. O valor padrão do parâmetro ebgp-multihop é 1, ou seja, é possível estabelecer uma sessão
somente entre roteadores diretamente conectados.
Neste caso, apesar dos roteadores estarem diretamente conectados, o DM2500 exige que seja configurado o ebgp-
multihop com um valor maior que 1 para se permita o estabelecimento da sessão eBGP entre as loopbacks.

Configurando um neighbor eBGP IPv4 entre loopbacks
• Loopback: 192.168.0.1/32
• Neighbor loopback: 192.168.0.2/32
configure
set interfaces loopback address 192.168.0.1/32
set protocols bgp 27686 neighbor 192.168.0.2 ebgp-multihop 2
commit
9.7.4 Verificando Roteamento BGP IPv4
show ip bgp
show ip bgp summary
show ip bgp neighbors
show ip route
show ip route bgp
debug bgp
show log bgp
show vrf <vrf-name> ip bgp
show vrf <vrf-name> ip bgp summary
show vrf <vrf-name> ip bgp neighbors
show vrf <vrf-name> ip route bgp
debug vrf <vrf-name> bgp

9.7.5 Configurando um neighbor iBGP IPv6
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com ambos os neighbors pertencentes
ao mesmo Autonomous System, sendo uma sessão iBGP (internal BGP). Em uma sessão iBGP, a sessão é estabelecida
entre as interfaces loopback dos equipamentos. Para que os equipamentos envolvidos tenha conectividade com as suas
loopbacks, é necessário que um IGP, como o OSPFv3, seja habilitado.
Configurando um neighbor iBGP IPv6
Será estabelecida uma sessão iBGP com os seguintes parâmetros:
• AS number: 27686
• Loopback: 2001:db8::1/128
• Neighbor loopback: 2001:db8::2/128
• Interface eth5, VLAN 377, endereço IPv6 2001::1/64
• Interface eth2, endereço IPv6 2001:cafe::1/48
• Redistribuição de rotas conectadas
configure
set interfaces loopback address 2001:db8::1/128
set interfaces ethernet eth2 address 2001:cafe::1/48
set interfaces ethernet eth5 vif 377 address 2001::1/64
set protocols ospfv3 area 0 interface eth2.101
set protocols ospfv3 area 0 interface loopback
set protocols ospfv3 parameters router-id 192.168.0.1
set protocols bgp 27686 neighbor 2001:db8::2 address-family ipv6-unicast soft-reconfiguration’inbound’
set protocols bgp 27686 neighbor 2001:db8::2 remote-as 27686
set protocols bgp 27686 neighbor 2001:db8::2 update-source 2001:db8::1
set protocols bgp 27686 address-family ipv6-unicast redistribute connected
commit
9.7.6 Configurando um neighbor eBGP IPv6
diferentes, sendo uma sessão eBGP (external BGP). Para sessões eBGP, geralmente usam-se os endereços das interfaces

físicas entre os equipamentos para estabelecer a sessão, e não a interface loopback, como é feito em sessões iBGP.
Configurando um neighbor eBGP IPv6
• Redistribuição de rotas conectadas
configure
set protocols bgp 27686 neighbor 2001::2 address-family ipv6-unicast soft-reconfiguration ’inbound’
set protocols bgp 27686 neighbor 2001::2 remote-as 232318
set protocols bgp 27686 neighbor 2001::2 update-source 2001::1
set protocols bgp 27686 address-family ipv6-unicast redistribute connected
commit
9.7.7 Configurando um neighbor eBGP IPv6 entre loopbacks
diferentes, sendo uma sessão eBGP (external BGP).
Neste exemplo, a sessão BGP é estabelecida entre as interfaces loopbacks dos equipamentos. Para que o equipamento
consiga chegar até a loopback do vizinho, é necessário a configuração de uma rota estática.
O parâmetro ebgp-multihop é utilizado para permitir que uma sessão BGP seja estabelecida entre roteadores a mais
de um hop de distância. O valor padrão do parâmetro ebgp-multihop é 1, ou seja, é possível estabelecer uma sessão
somente entre roteadores diretamente conectados.
Neste caso, apesar dos roteadores estarem diretamente conectados, o DM2500 exige que seja configurado o ebgp-
multihop com um valor maior que 1 para se permita o estabelecimento da sessão eBGP entre as loopbacks.

Configurando um neighbor eBGP IPv6 entre loopbacks
• Loopback: 2001:db8::1/128
• Neighbor loopback: 2001:db8::2/128
configure
set interfaces loopback address 2001:db8::1/128
set protocols bgp 27686 neighbor 2001:db8::2 address-family ipv6-unicast soft-reconfiguration ’inbound’
set protocols bgp 27686 neighbor 2001:db8::2 remote-as 232318
set protocols bgp 27686 neighbor 2001:db8::2 update-source 2001:db8::1
set protocols bgp 27686 neighbor 2001:db8::2 ebgp-multihop 2
set protocol static route6 2001:db8::2/128 next-hop 2001::2
commit
9.7.8 Configurando communities
O cenário abaixo será usado para demonstrar a configuração de communities no protocolo BGP.

Configurando communities
configure
commit
Os prefixos recebidos do ASN 3549 serão reanunciados ao ASN 232318. O prefixo 203.0.0.13/24 será marcado com a
community 3549:1000 antes de ser reanunciado.
set policy prefix-list asn3549-203_0_0_13 rule 1 action ’permit’

set policy prefix-list asn3549-203_0_0_13 rule 1 prefix ’203.0.0.13/24’
set policy route-map adv-to-asn232318 rule 10 action ’permit’
set policy route-map adv-to-asn232318 rule 10 match ip address prefix-list ’asn3549-203_0_0_13’
set policy route-map adv-to-asn232318 rule 10 set community ’3549:1000’
set bgp 27686 neighbor 192.168.84.2 route-map export ’adv-to-asn232318’
Dois prefixos são recebidos do ASN 232318. Um dos prefixos, o 198.51.100.0/24, é recebido com a community 27686:501. Há
uma configuração no DM2500 para que prefixos com esta community específica sejam anunciados com prepend de 2 ASNs.
set policy community-list 1 rule 1 action ’permit’

set policy community-list 1 rule 1 regex ’27686:501’
set policy route-map adv-to-asn3549 rule 10 match community community-list 1
set policy route-map adv-to-asn3549 rule 10 set as-path-prepend ’27686 27686’
set bgp 27686 neighbor 192.168.84.6 route-map export ’adv-to-asn3549’
9.7.9 Habilitando ECMP no BGP
O ECMP pode ser habilitando no BGP definindo um número máximo de caminhos de mesmo custo para um mesmo
destino que o protocolo pode utilizar. Na configuração abaixo, são definidos quatro caminhos máximos para eBGP e iBGP.
Desta forma, o protocolo irá instalar até 4 rotas para um mesmo destino, caso as rotas possuam o mesmo custo.

configure
set protocols bgp 27686 maximum-paths ebgp 4
set protocols bgp 27686 maximum-paths ibgp 4
9.7.10 Verificando Roteamento BGP IPv6
show ip bgp
show ip bgp summary
show ip bgp neighbors
show ipv6 route
show ipv6 route bgp
debug bgp
show log bgp
show vrf <vrf-name> ip bgp
show vrf <vrf-name> ip bgp summary
show vrf <vrf-name> ip bgp neighbors
show vrf <vrf-name> ip route bgp
debug vrf <vrf-name> bgp
9.8 Configuração do BFD
BFD (Bidirectional Forwarding Detection) é um protocolo para detecção de falhas de continuidade no link entre dois
equipamento. Ele pode ser habilitado para rotas estáticas, BGP ou OSPF. Sua utilização possibilita que a convergência dos
referidos protocolos seja mais rápida quando ocorre alguma falha no caminho entre os dois equipamentos. Para cada link
monitorado pelo BFD é criada uma sessão.
Os seguintes parâmetros podem ser configurados para cada interface:
• Minrx (Desired Minimum Receive Interval) – É o intervalo mínimo, em microssegundos, entre pacotes de controle
recebidos que o equipamento deseja utilizar.
• Mintx (Required Minimum Transmit Interval) – É o intervalo mínimo, em microssegundos, entre pacotes de
controle transmitidos que o sistema deseja utilizar.
• Multipler (Detection Multiplier) – O intervalo de transmissão do pacote de controle é multiplicado por este valor,
que dará o timeout da sessão BFD.

set protocols bfd interface <interface> mintx <100-10000>

set protocols bfd interface <interface> minrx <100-10000>
set protocols bfd interface <interface> multiplier <3-255>
Estas configurações são realizadas por interface, ou seja, todas as sessões BFD criadas em uma dada
interface serão configuradas com os estes valores.
As sessões BFD funcionam apenas no modo single-hop.
Não há suporte ao modos “Echo mode” e “Demand Mode”.
9.8.1 BFD nas rotas estáticas
O BFD pode ser configurado nas rotas estáticas para todas as interfaces, uma interface específica, ou apenas para uma rota
estática.
Só é possível habilitar o BFD em uma rota estática se existir uma interface com IP na mesma rede do IP
configurado como “next-hop” da Rota Estática.
Para ativar o BFD em todas as rotas estáticas em todas as interfaces, o usuário deverá executar o seguinte procedimento:
configure
set protocols static bfd all-interfaces
commit
Para ativar o BFD somente nas rotas estáticas de uma interface específica, o usuário deverá executar o seguinte procedi-
mento:
configure
set protocols static bfd interface <interface>
commit
Para ativar o BFD somente em uma rota estática específica, o usuário deverá executar o seguinte procedimento:
configure
set protocols static route <network/mask> next-hop <next-hop-ip> bfd
commit
O cenário abaixo será usado para demonstrar a configuração do BFD habilitado em rotas estáticas.

Rota estática com BFD
Assumindo o cenário acima, os próximos passos irão demonstrar como configurar o BFD habilitado em rotas estáticas:
configure
! Configurações no DM25_1
set protocols static route 20.20.20.0/24 next-hop 1.1.1.2 bfd
set protocols static route 10.10.10.0/24 next-hop 1.1.1.2 bfd
commit
Sessões BFD.
9.8.2 BFD no OSPF
O BFD pode ser configurado no OSPFv2 para todas as interfaces ou para uma interface específica. Para ativar o BFD em
todas as interfaces participantes do OSPF, o usuário deverá executar a seguinte configuração:
configure
set protocols ospf bfd all-interfaces
commit
Para ativar o BFD em apenas uma interface participante do OSPF, o usuário deverá executar a seguinte configuração:
configure
set protocols ospf bfd interface <interface>
commit
O cenário abaixo será usado para demonstrar a configuração do BFD habilitado com OSPF.
OSPF com BFD

Segue um exemplo de configuração do BFD com OSPF baseado no cenário acima:
configure
set interfaces loopback lo address ’10.0.0.1/32’
set protocols ospf bfd interface eth1
set interfaces loopback lo address ’10.0.0.2/32’
set protocols ospf bfd interface eth1
commit
Sessões BFD.
9.8.3 BFD no OSPFv3
O BFD pode ser configurado no OSPFv3 para todas as interfaces ou para uma interface específica. Para ativar o BFD em
todas as interfaces participantes do OSPFv3, o usuário deverá executar a seguinte configuração:
configure
set protocols ospfv3 bfd all-interfaces
commit
Para ativar o BFD em apenas uma interface participante do OSPFv3, o usuário deverá executar a seguinte configuração:
configure
set protocols ospfv3 bfd interface <interface>
commit
O cenário abaixo será usado para demonstrar a configuração do BFD com OSPFv3.
OSPFv3 com BFD
Segue um exemplo de configuração do BFD com OSPFv3 baseado no cenário acima:
configure
set interfaces ethernet eth1 address ’2001:db8:ff::1/64’
set interfaces loopback lo1 address ’2001:db8::1/128’
set protocols ospfv3 bfd interface eth1

set interfaces ethernet eth1 address ’2001:db8:ff::2/64’

set interfaces loopback lo1 address ’2001:db8::2/128’
set protocols ospfv3 bfd interface eth1
commit
Sessões BFD.
9.8.4 BFD no BGP
O BFD pode ser configurado para um neighbor BGP através do comando “fall-over” conforme o procedimento descrito
abaixo:
configure
set protocols bgp <bgp_id> neighbor <neighbor_ip> fall-over bfd
commit
O cenário abaixo será usado para demonstrar a configuração do BFD habilitado com BGP.
BGP com BFD
Segue um exemplo de configuração do BFD com BGP baseado no cenário acima:
configure
set protocols bgp 1 neighbor 1.1.1.2 fall-over bfd
set protocols bgp 2 neighbor 1.1.1.1 fall-over bfd
commit
É possível utilizar o BFD com neighbors BGP IPv4 e também IPv6.

Sessões BFD.
9.8.5 Verificando Sessões BFD
show bfd
show bfd session
show bfd session detail
show log bfd
show vrf <vrf-name> bfd
show vrf <vrf-name> bfd session
show vrf <vrf-name> bfd session detail
9.9 Configuração do VRRP
O protocolo VRRP (Virtual Router Redundancy Protocol) funciona para redundância de Gateway em uma rede, com o
objetivo de dois ou mais roteadores compartilharem o mesmo IP virtual no modo ativo/backup (por padrão).
Para os outros dispositivos da rede, o VRRP permite que o gateway seja visualizado como um único equipamento.
O VRRP é bastante simples em sua função básica: um Roteador é eleito o Master e é responsável pelo encaminhamento do
tráfego da rede para os equipamentos que tem o IP Virtual como gateway. O segundo roteador chamado de Backup
apenas monitora os pacotes VRRP do barramento. Quando o equipamento Master deixar de funcionar, o equipamento
Backup assume suas funções como Master.
No DM2500, o VRRP é suportado nas interfaces físicas, e nas sub-interfaces (VLAN interfaces).
O roteador configurado com a maior prioridade será inicialmente eleito como Master. Se todos os roteadores
tiverem a mesma prioridade, o roteador com o endereço IP mais alto será eleito como Master.
É recomendado habilitar a função de preemption que permitirá que o roteador que era master antes de
uma falha, ao retornar da falha assuma novamente a posição de master.
9.9.1 Configurando o VRRPv2
O DM2500 tem suporte a versão VRRPv2 com endereçamento IPv4, descrito pelas RFCs 2338 e 3768.
O cenário abaixo será usado para demonstrar a configuração do VRRPv2.

VRRPv2
Assumindo o cenário conforme o diagrama acima, temos o seguinte exemplo para configurar o roteador master do VRRP:
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication password ’d4t4c0m’
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication type ’ah’
set interfaces ethernet eth2 vrrp vrrp-group 254 preempt ’true’
set interfaces ethernet eth2 vrrp vrrp-group 254 priority ’200’
set interfaces ethernet eth2 vrrp vrrp-group 254 virtual-address ’192.168.253.41’
set interfaces ethernet eth4 vif 4056 address ’192.168.45.105/24’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication password ’d4t4c0m’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication type ’ah’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 preempt ’true’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 priority ’200’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 virtual-address ’192.168.45.1’
commit
Assumindo o cenário conforme o diagrama acima, temos o seguinte exemplo para configurar o roteador backup do VRRP:
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 version 2
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication password ’d4t4c0m’
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication type ’ah’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 version 2
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication password ’d4t4c0m’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication type ’ah’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 virtual-address ’192.168.45.1’
commit
O próximo exemplo baseia-se no exemplo anterior, incluindo todas as interfaces em um grupo de sincronização para que,
se uma das interfaces no Master falhar em qualquer um dos grupos VRRP, todas as interfaces que controlam o Master
passem a ser interfaces em um roteador backup.
Master
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 sync-group ’DATACOM_SYNC’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 sync-group ’DATACOM_SYNC’
commit
Backup

configure
set interfaces ethernet eth2 vrrp vrrp-group 254 sync-group ’DATACOM_SYNC’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 sync-group ’DATACOM_SYNC’
commit
VRRP.
9.9.2 Configurando o VRRPv3
O protocolo VRRP versão 3 oferece suporte para endereços IPv4 e IPv6 descrito pela RFC 5798, enquanto o VRRP versão 2
suporta apenas endereços IPv4.
No DM2500, o VRRPv3 é suportado nas interfaces físicas e nas sub-interfaces (VLAN interfaces).
A versão 3 do VRRP não tem suporte a autenticação.
O cenário abaixo será usado para demonstrar a configuração do VRRPv3.
VRRPv3
Será demonstrada a configuração do protocolo VRRPv3 nos roteadores Master e Backup utilizando como base o cenário
acima.
Master

configure
set interfaces ethernet eth2 address ’2018::2/64’
set interfaces ethernet eth2 vrrp vrrp-group 21 version ’3’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-address ’2018::1’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-link-local ’auto-configuration’
set interfaces ethernet eth4 vif 2477 address ’2477::2/64’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 version ’3’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-address ’2477::1’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-link-local ’auto-configuration’
commit
Backup
configure
set interfaces ethernet eth2 address ’2018::3/64’
set interfaces ethernet eth2 vrrp vrrp-group 21 version ’3’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-address ’2018::1’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-link-local ’auto-configuration’
set interfaces ethernet eth4 vif 2477 address ’2477::3/64’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 version ’3’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-address ’2477::1’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-link-local ’auto-configuration’
commit
O próximo exemplo baseia-se no exemplo anterior, incluindo todas as interfaces em um grupo de sincronização para que,
se uma das interfaces no Master falhar em qualquer um dos grupos VRRP, todas as interfaces que controlam o Master
passem a ser interfaces em um roteador backup.
Master
configure
set interfaces ethernet eth2 vrrp vrrp-group 21 sync-group ’DTC_SYNC’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 sync-group ’DTC_SYNC’
commit
Backup
configure
set interfaces ethernet eth2 vrrp vrrp-group 21 sync-group ’DTC_SYNC’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 sync-group ’DTC_SYNC’
commit
VRRP.

9.9.3 Configurando o VRRP Track Interface
Existem cenários onde o roteador Master do VRRP continua ativo mas não consegue encaminhar os pacotes devido a
interface de saída (como para a Internet por exemplo) cair. O DM2500 permite configurar o track para o processo VRRP
monitorar algum objeto, que pode ser o estado da interface (Up/Down) ou monitorar o estado de uma rota, desta forma
reduzir a prioridade VRRP baseando-se em uma condição.
O VRRP Track Interface monitora o estado da interface (Up/Down) e reduz a prioridade do roteador VRRP caso a interface
altere seu estado para down.
O VRRP Track Interface é suportado para IPv4 e IPv6
Caso o roteador seja o IP address owner (o endereço configurado na interface é igual ao endereço virtual), a
prioridade será sempre 255 e não será decrementada pelo tracking.
O cenário abaixo será usado para demonstrar a configuração do VRRP Track Interface.
VRRP Track Interface
A configuração abaixo será utilizada para demonstrar a redução da prioridade do VRRP do Roteador Master de forma que
quando o link de saída configurado com track-interface cair, o Roteador Backup se tornará o Master.
Master
configure
! Configurando o track-interface, em caso de falha ele reduzirá a prioridade do VRRP para 150
set interfaces ethernet eth4 vrrp vrrp-group 254 track-interface eth2 weight ’50’
commit
Backup

configure
commit
Quando a interface eth2 do Roteador Master falhar, o track do VRRP irá identificar a falha e assim reduzir a prioridade do
VRRP do Roteador Master, dessa forma o Roteador Backup se tornará o Master.
VRRP.
9.9.4 Configurando o VRRP Track Route
O VRRP Track Route monitora o estado de alguma rota e reduz a prioridade do roteador VRRP caso a rota não seja mais
atingível.
O VRRP Track Interface é suportado apenas para IPv4
O cenário abaixo será usado para demonstrar a configuração do VRRP Track Route.
VRRP Track Route
A configuração abaixo será utilizada para demonstrar a redução da prioridade do VRRP do Roteador Master de forma que
quando a rota 8.8.8.8 não for atingível, o Roteador Backup se tornará o Master.
Master
configure
! Configurando o track-route, em caso de falha ele reduzirá a prioridade do VRRP para 150
set interfaces ethernet eth4 vrrp vrrp-group 254 track-route IPv4 target ’8.8.8.8’
set interfaces ethernet eth4 vrrp vrrp-group 254 track-route IPv4 weight ’50’
commit

VRRP.
9.9.5 Configurando o VRRP Transition Scripts
Os scripts de transição podem ajudá-lo a implementar vários ajustes, como iniciar e interromper serviços, ou até mesmo
modificar a configuração do DM2500 na transição do VRRP. Esta configuração fará com que o processo VRRP faça chamada
a um script que será executado conforme configurado durante as transições do VRRP.
O VRRP Transition Scripts suporta apenas ações sobre os túneis IPSec
Os estados do VRRP que são monitorados para disparar os scripts são:
• backup: Ação de transição do estado do VRRP para backup.
• fault: Ação de transição do estado do VRRP para fault.
• master: Ação de transição do estado do VRRP para master.
As ações que os scripts podem executar com base nos estados do VRRP são:
• ipsec-start: Inicia o IPSec na transição de estado do VRRP.
• ipsec-restart: Reinicia o IPSec na transição de estado do VRRP.
• ipsec-stop: Para o IPSec na transição de estado do VRRP.
A configuração abaixo será utilizada para demonstrar a parada do processo dos túneis IPSec após o estado do VRRP alterar
para backup, assim como o inicio do processo dos túneis IPSec quando o VRRP alterar para master.
Master:
configure
! Configurando o transition-scripts, em caso do estado mudar para backup ira parar o IPSec
set interfaces ethernet eth4 vrrp vrrp-group 254 run-transition-scripts
backup ’ipsec-stop’
! Configurando o transition-scripts, em caso do estado mudar para master ira iniciar o IPSec
set interfaces ethernet eth4 vrrp vrrp-group 254 run-transition-scripts
master ’ipsec-start’
commit
VRRP.

9.9.6 Verificando VRRP
show vrrp
show vrrp detail
show vrrp interfaces <interface>
show vrrp statistics
show vrrp sync-group
show log vrrp
show vrf <vrf-name> vrrp
show vrf <vrf-name> vrrp detail
show vrf <vrf-name> vrrp interfaces <interface>
show vrf <vrf-name> vrrp statistics
show vrf <vrf-name> vrrp sync-group
9.10 Configuração do PIM
O protocolo PIM (Protocol Independent Multicast) é uma família de protocolos com objetivo de suportar o roteamento de
fluxos multicast. Estes protocolos utilizam as rotas aprendidas pelo equipamento para criação do caminho dos fluxos
multicast, não dependendo de nenhum protocolo de roteamento específico. Existem diversos protocolos da família PIM,
sendo eles: PIM SM (Sparse Mode) , PIM SSM (Source-Specific Multicast), PIM DM (Dense Mode) e Bidirectional PIM. Estes
protocolos basicamente se diferenciam no modo de construção do caminho para roteamento dos fluxos multicast.
Somente são suportados os modos PIM SM e PIM SSM.
O cenário abaixo será usado para demonstrar a configuração dos protocolos PIM SM com RP estático, PIM SSM e OSPF.
PIM
Será demonstrado a configuração do protocolo PIM utilizando como base o cenário acima.
EQUIPMENT-A
configure
set protocols ospf log-adjacency-changes
set protocols pim rp-address 20.20.20.20

set interfaces loopback lo1 ip pim enable

set interfaces ethernet eth1 ip ospf network broadcast
set interfaces ethernet eth1 ip pim enable
commit
EQUIPMENT-B
configure
set protocols ospf log-adjacency-changes
set protocols pim rp-address 20.20.20.20
set interfaces loopback lo1 ip pim enable
set interfaces ethernet eth1 ip ospf network broadcast
commit
PIM.
9.10.1 Alterando a versão do IGMP
O IGMP versão 3 é a configuração default deste equipamento, mas caso seja necessário é possível alterar a versão do IGMP
utilizando os comandos abaixo.
O IGMP versão 3 suporta o PIM SM e PIM SSM, e a versão 2 do IGMP suporta somente o PIM SM.
Alterar o protocolo IGMP para versão 2:
configure
set interfaces ethernet eth1 ip pim igmp v2
commit
Alterar o protocolo IGMP para versão 3:
configure
set interfaces ethernet eth1 ip pim igmp v3
commit

PIM.
9.10.2 Verificando PIM
show pim
show pim route-cache
show pim statistics
show log pim
9.11 Configuração da VRF
O VRF (Virtual Routing and Forwarding) é uma funcionalidade que permite a existência de instâncias de roteamento
isoladas em um mesmo equipamento.
Somente é suportada a criação de sete VRFs no produto.
Algumas funcionalidades não são suportadas em VRFs. Para mais detalhes sobre as funcionalidades não
suportadas, consultar o documento DM2500 Release Notes.
9.11.1 Configurando o VRF lite
A VRF lite é uma versão mais básica do VRF, sem suporte a sinalização por MPLS.
O cenário abaixo será usado para demonstrar a configuração do VRF lite.

Isolamento de tráfego entre clientes com VRFs
Não deve haver comunicação entre os clientes 1 e 2. Portanto, duas VRFs serão configuradas para isolar as tabelas de
roteamento e o tráfego entre ambos. Serão utilizadas as seguintes especificações:
VRF CLI1
• Interface na VLAN 10 com endereço IPv4 192.168.10.1/24
VRF CLI2
configure
set vrf CLI1 interfaces ethernet eth1 vif 10 address 192.168.10.1/24
commit
O cenário abaixo será usado para demonstrar a configuração de um cenário com gerência fora da VRF e uma VRF de dados
com sobreposição dos endereços IP.
VRF com sobreposição dos endereços IP
Não existe comunicação entre a rede de gerência na interface eth1 e a VRF de dados CLI1 na interface eth6. As duas
interfaces utilizam o mesmo endereço IP.
Serão utilizadas as seguintes especificações:
GERÊNCIA

• Interface eth1 com endereço IPv4 192.168.0.1/24
VRF CLI1
• Interface eth6 com endereço IPv4 192.168.0.1/24
configure
set vrf CLI1 interfaces ethernet eth6 address 192.168.0.1/24
commit
VRF.
9.11.2 Verificando VRF
show vrf <vrf name> interfaces

show vrf <vrf name> ip route
9.12 Configuração do ECMP
O ECMP (Equal Cost Multi-Path) permite que fluxos ou pacotes para um mesmo destino possam ser transmitidos através de
multiplos caminhos de mesmo custo.
O balanceamento pode ser realizado por pacotes ou por fluxos.
9.12.1 Balaceamento por pacotes
No modo packet, não são levados em consideração fluxos. Os pacotes são balanceados utilizando round-robin entre os
next-hops disponíveis.
Configuração para IPv4:
configure
set system ip ecmp packets
commit

configure
set system ipv6 ecmp packets
commit
9.12.2 Balanceamento por fluxo
O balanceamento por fluxo pode ser realizado de duas formas: ports-unaware e ports-aware.
No modo ports-unware, as portas TCP/UDP não são consideradas na identificação do flow.
configure
set system ip ecmp ports-unaware
commit
configure
set system ipv6 ecmp ports-unaware
commit
No modo ports-aware, as portas TCP/UDP são consideradas na identificação do flow.
configure
set system ip ecmp ports-aware
commit
configure
set system ipv6 ecmp ports-aware
commit
9.12.3 Desabilitando o ECMP
Para desabilitar o ECMP, basta seguir as configurações abaixo.
configure
set system ip ecmp disabled
commit
configure
set system ipv6 ecmp disabled
commit

A configuração de ECMP pode ser realizada também em VRFs. Para isto, basta executar as as configurações
listadas anterioremente no contexto da VRF, como em set vrf <vrf-name> system ip ecmp ... ou set vrf
<vrf-name> system ipv6 ecmp ...
Consulte a sessão do protocolo de roteamento específico para ver como habilitar o ECMP no mesmo.

DM2500 - Guia de Configuração Rápida 10 Tunelamento
10 Tunelamento
O tunelamento consiste no encapsulamento de um protocolo em outro protocolo para viabilizar transparência e maior
segurança na passagem de dados através das redes públicas não seguras ou até mesmo em redes privadas.
Este capítulo contém as seguintes sessões:
• Configuração de túneis GRE
• Configuração de túneis GRE IPv6
• Configuração de VPNs IPsec site-to-site
• Configuração de VPNs IPsec site-to-site com NAT Traversal
• Configuração de proteção do Túnel GRE com IPsec
• Configuração de VPNs IPsec com Virtual Tunnel Interface
• Configuração de Dynamic Multipoint IPsec VPNs (DMVPN)
10.1 Configuração de túneis GRE
O GRE (Generic Routing Encapsulation) é um método de encapsulamento de pacotes IP através de infraestrutura IP, com
objetivo de interconectar redes que se comunicam através de infraestrutura pública (geralmente a Internet).
O cenário abaixo será utilizado para descrever como configurar um túnel GRE.
Cenário com Túnel GRE
Suponha que o usuário deseja criar um túnel GRE ponto-a-ponto na rede 35.35.35.0/31 entre os equipamentos R1 e R2,
ambos conectados na Internet com endereços IPv4 fixos atribuídos e redes internas distintas aprendidas por OSPF. O
procedimento a seguir demonstra como realizar esta configuração.
Roteador 1 (R1)
configure
set interfaces tunnel tun0 address 35.35.35.1/31
set interfaces tunnel tun0 encapsulation gre
set interfaces tunnel tun0 local-ip 209.165.201.15
set interfaces tunnel tun0 remote-ip 201.122.120.3

commit
Roteador 2 (R2)
configure
set interfaces tunnel tun0 address 35.35.35.2/31
set interfaces tunnel tun0 encapsulation gre
set interfaces tunnel tun0 local-ip 201.122.120.3
set interfaces tunnel tun0 remote-ip 209.165.201.15
commit
commit.
GRE.
10.1.1 Verificando GRE
show interfaces tunnel

show interfaces tunnel detail
show vrf <vrf-name> interfaces tunnel
show vrf <vrf-name> interfaces tunnel detail
10.2 Configuração de túneis GRE IPv6
O GRE pode também ser utilizado com endereçamento IPv6 para o DM2500.
O cenário abaixo será utilizado para descrever como configurar um túnel GRE com IPv6.
Cenário com Túnel GRE IPv6

Suponha que o usuário deseja criar um túnel GRE IPv6 ponto-a-ponto na rede fd01::1/64 entre os equipamentos R1 e R2,
ambos conectados na Internet com endereços IPv6 fixos atribuídos e redes internas configuradas via rotas estáticas. O
procedimento a seguir demonstra como realizar esta configuração.
Roteador 1 (R1)
configure
set interfaces ethernet eth1 address ’fd00:1::1/64’
set interfaces ethernet eth8 address ’2001:1290:1::6/64’
set interfaces tunnel tun0 address ’fd01::1/64’
set interfaces tunnel tun0 encapsulation ’gre6’
set interfaces tunnel tun0 local-ip ’2001:1290:1::6’
set interfaces tunnel tun0 mtu ’2000’
set interfaces tunnel tun0 remote-ip ’2001:1290:1:5::2’
set protocols static route6 ::/0 next-hop ’2001:1290:1::1’
commit
Roteador 2 (R2)
configure
set interfaces ethernet eth1 address ’fd00::1/64’
set interfaces ethernet eth8 address ’2001:1290:1:5::2/64’
set interfaces tunnel tun0 address ’fd01::2/64’
set interfaces tunnel tun0 encapsulation ’gre6’
set interfaces tunnel tun0 local-ip ’2001:1290:1:5::2’
set interfaces tunnel tun0 mtu ’2000’
set interfaces tunnel tun0 remote-ip ’2001:1290:1::6’
set protocols static route6 ::/0 next-hop ’2001:1290:1:5::1’
commit
commit.
GRE IPv6.
10.2.1 Verificando GRE IPv6

show interfaces tunnel detail
show vrf <vrf-name> interfaces tunnel
show vrf <vrf-name> interfaces tunnel detail
10.3 Configuração de VPNs IPsec site-to-site
O IPsec (Internet Protocol Security) é um conjunto de protocolos definidos pela IETF para garantir a troca segura de pacotes
IPv4 e IPv6 através de redes não seguras (Internet). O protocolo conta com mecanismos de verificação da integridade dos
dados garantindo que não tenham sido modificados por alguém não autorizado, além de assegurar a confidencialidade,
onde somente os peers autorizados podem ver os dados, adotando métodos de encriptação e controle de acesso.

Por padrão o DM2500 utiliza o IKE (Internet Key Exchange) versão 1 para gerenciamento automático das
chaves para encriptação.
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com IPv4.
Cenário VPN IPsec
Os roteadores DM2500 possuem LAN com endereçamento IPv4 conforme apresentado na figura acima. O endereçamento
IP da WAN dos roteadores está demonstrado nas configurações a seguir, assim como todos os parâmetros utilizados para o
IPsec.
O procedimento a seguir demonstra como realizar esta configuração.
Roteador 1 (DM2500 6GT)
configure
set vpn ipsec ike-group ike-grp-1 proposal 1 hash ’sha1’
set vpn ipsec ike-group ike-grp-1 proposal 1 dh-group ’14’
set vpn ipsec ike-group ike-grp-1 proposal 1 encryption ’aes256’
set vpn ipsec esp-group esp-grp-1 pfs ’dh-group14’
set vpn ipsec esp-group esp-grp-1 proposal 1 hash ’sha1’
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption ’aes256’
set vpn ipsec site-to-site peer 80.80.80.1 authentication pre-shared-secret ’datacom123’
set vpn ipsec site-to-site peer 80.80.80.1 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 80.80.80.1 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 80.80.80.1 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 80.80.80.1 tunnel 1 local prefix ’192.168.10.0/24’
set vpn ipsec site-to-site peer 80.80.80.1 tunnel 1 remote prefix ’192.168.6.0/24’
set vpn ipsec site-to-site peer 80.80.80.1 local-address ’80.80.80.2’
set vpn ipsec ipsec-interfaces interface ’eth1.800’
commit
configure
set vpn ipsec esp-group esp-grp-1 pfs dh-group14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 80.80.80.2 tunnel 1 local prefix 192.168.6.0/24

set vpn ipsec site-to-site peer 80.80.80.2 tunnel 1 remote prefix 192.168.10.0/24
commit
commit.
IPsec.
Alternativamente ao IPv4, o IPsec pode também ser configurado com IPv6.
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com IPv6.
Cenário VPN IPsec com IPv6
Os roteadores DM2500 possuem LAN com endereçamento IPv6 conforme apresentado na figura acima. O endereçamento
IPv6 da WAN dos roteadores está demonstrado nas configurações a seguir, assim como todos os parâmetros utilizados
para o IPsec.
configure
set interfaces ethernet eth1 vif 104 address ’2804:130c::2/64’
set interfaces ethernet eth2 vif 101 address ’fd00::1/64’
set vpn ipsec site-to-site peer 2804:130c::1 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2804:130c::1 authentication pre-shared-secret ’d4t4c4m’
set vpn ipsec site-to-site peer 2804:130c::1 connection-type ’respond’
set vpn ipsec site-to-site peer 2804:130c::1 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2804:130c::1 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2804:130c::1 local-address ’2804:130c::2’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 id ’@respondTun1’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 allow-nat-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 allow-public-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 local prefix ’fd00::/64’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 remote prefix ’fd00:1::/64’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 remote-id ’@initiatorTun1’

set protocols static interface-route6 fd00:1::/64 next-hop-interface ’eth1.104’

commit
configure
set interfaces ethernet eth1 vif 104 address ’2804:130c::1/64’
set interfaces ethernet eth2 vif 101 address ’fd00:1::1/64’
set vpn ipsec site-to-site peer 2804:130c::2 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2804:130c::2 authentication pre-shared-secret ’d4t4c4m’
set vpn ipsec site-to-site peer 2804:130c::2 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2804:130c::2 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2804:130c::2 local-address ’2804:130c::1’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 id ’@initiatorTun1’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 allow-nat-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 allow-public-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 local prefix ’fd00:1::/64’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 remote prefix ’fd00::/64’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 remote-id ’@respondTun1’
set protocols static interface-route6 fd00::/64 next-hop-interface ’eth1.104’
commit
commit.
IPsec.
10.4 Configuração de VPNs IPsec site-to-site com NAT Traversal
Os pacotes IPsec nativos são encapsulados usando o ESP (Encapsulated Security Payload). Nesses pacotes, os endereços IP
são incorporados no pacote encapsulado. Isso causa problemas quando os pacotes IPsec devem atravessar um dispositivo
que faz NAT. Quando acontece o NAT (Network Address Translation), o dispositivo NAT substitui seu próprio endereço
IP de origem (e às vezes um número de porta) pelo IP de origem e pela porta nos pacotes de saída. O dispositivo NAT
escuta uma resposta e, quando um pacote de resposta é recebido, o dispositivo NAT inverte a tradução para que o
pacote de entrada possa chegar ao destino correto. Isso permite que endereços IP dentro de uma rede privada sejam
“ocultos” de redes externas. O NAT não funciona bem com o IPsec, porque os endereços IP são incorporados no payload do
pacote encapsulado. Por vários motivos, isso significa que o peer IPsec não pode ser localizado atrás de um dispositivo
NAT. O IPsec possui uma feature chamada NAT Traversal (NAT-T, RFCs 3947 e 3948) permite que cada pacote IPsec seja
reencapsulado em um pacote UDP, que pode ser manipulado corretamente pelo dispositivo configurado com NAT. O NAT-T
é executado sobre o IPsec. Para suportar NAT-T, o dispositivo que faz NAT e possui firewall deve ser configurado para
permitir a seguinte configuração:
- IKE através da porta UDP 500
- IPsec NAT-T através da porta UDP 4500

- ESP Alguns dispositivos de NAT já vem pré-configurados com tudo isso em um recurso chamado “IPsec Passthrough”. No
entanto, o IPsec Passthrough é incompatível com o NAT traversal. Os dispositivos com IPsec Passthrough reconhecem os
pacotes IPsec UDP e tentam incorretamente encaminhar os pacotes. Isso corrompe os pacotes de tal maneira que o NAT-T
não funciona mais.
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com NAT-Traversal.
Cenário VPN IPsec com NAT-Traversal
O procedimento a seguir demonstra como pode ser configurado o cenário proposto.
Configuração – DM2500 4GT
configure
set vpn ipsec site-to-site peer 0.0.0.0 tunnel 1 local prefix ’192.168.10.0/24’
set vpn ipsec site-to-site peer 0.0.0.0 tunnel 1 remote prefix ’192.168.60.0/24’
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 192.168.0.0/16 exclude 192.168.10.0/24
set vpn ipsec ipsec-interfaces interface ’eth3’
commit
Uma mudança importante em essa configuração é o endereço do peer. Ele está definido como 0.0.0.0 para representar
“qualquer” endereço IP. Como o endereço IP do peer é praticamente desconhecido, o DM2500 4GT não iniciará conexões
com o peer, apenas receberá conexões do peer.
Configuração – DM2500 6GT
configure
set vpn ipsec esp-group esp-grp-1 pfs dh-group14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 190.100.10.210 tunnel 1 local prefix 192.168.60.0/24
set vpn ipsec site-to-site peer 190.100.10.210 tunnel 1 remote prefix 192.168.10.0/24
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 192.168.0.0/16 exclude 192.168.60.0/24
commit

commit.
IPsec.
10.4.1 Verificando IPsec
show vpn ipsec status

show vpn ipsec sa
show vpn ipsec sa detail
show vpn ike sa
show vpn ike status
show vpn debug
show vpn debug detail
show vpn debug peer <IP Address>
show log vpn ipsec
show vrf <vrf-name> vpn ipsec status
show vrf <vrf-name> vpn ipsec sa
show vrf <vrf-name> vpn ipsec sa detail
show vrf <vrf-name> vpn ike sa
show vrf <vrf-name> vpn debug
show vrf <vrf-name> vpn debug detail
show vrf <vrf-name> vpn debug peer <IP Address>
10.5 Configuração de proteção do Túnel GRE com IPsec
Os túneis GRE não são criptografados e não fornecem segurança além de uma simples chave trocada em texto puro em
cada pacote. Isso significa que os túneis GRE, por conta própria, não fornecem segurança adequada para ambientes de
produção. Ao mesmo tempo, os túneis baseados em políticas do IPsec, não conseguem rotear diretamente protocolos não
IP ou multicast, e o IPsec também possui limitações do ponto de vista das operações. O uso de interfaces de túnel em
conjunto com IPsec VPN fornece conexões de túnel roteáveis entre gateways. Para túneis roteáveis seguros, as interfaces
do túnel GRE devem ser usadas em conjunto com uma conexão IPsec, de modo que o túnel IP possa ser protegido pelo
túnel IPsec. O cenário abaixo será usado para demonstrar a configuração da proteção do túnel GRE com IPsec.
Cenário Túnel GRE com IPsec
Suponha que o usuário deseja configurar um túnel GRE entre dois DM2500 com proteção IPsec entre os mesmos pontos
finais. O procedimento a seguir demonstra como realizar esta configuração.

configure
set interfaces tunnel tun1 remote-ip ’192.168.72.6’
set interfaces tunnel tun1 multicast ’enable’
set interfaces tunnel tun1 address ’192.168.191.1/30’
set interfaces tunnel tun1 local-ip ’192.168.254.41’
set interfaces tunnel tun1 encapsulation ’gre’
set vpn ipsec ike-group IKE-CLINK-BRM key-exchange ’ikev2’
set vpn ipsec ike-group IKE-CLINK-BRM lifetime ’3600’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 dh-group ’14’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 encryption ’aes256’
set vpn ipsec esp-group ESP-CLINK-BRM lifetime ’1800’
set vpn ipsec esp-group ESP-CLINK-BRM pfs ’enable’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 encryption ’aes128’
set vpn ipsec esp-group ESP-CLINK-BRM mode ’transport’
set vpn ipsec site-to-site peer 192.168.72.6 authentication pre-shared-secret ’d4t4c0m’
set vpn ipsec site-to-site peer 192.168.72.6 ike-group ’IKE-CLINK-BRM’
set vpn ipsec site-to-site peer 192.168.72.6 tunnel 2018 protocol ’gre’
set vpn ipsec site-to-site peer 192.168.72.6 tunnel 2018 esp-group ’ESP-CLINK-BRM’
set vpn ipsec site-to-site peer 192.168.72.6 connection-type ’initiate’
set protocols static route 192.168.64.0/22 next-hop ’192.168.191.2’
commit
configure
set interfaces tunnel tun1 remote-ip ’192.168.254.41’
set vpn ipsec ike-group IKE-CLINK-BRM key-exchange ’ikev2’
set vpn ipsec ike-group IKE-CLINK-BRM lifetime ’3600’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 dh-group ’14’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 encryption ’aes256’
set vpn ipsec esp-group ESP-CLINK-BRM lifetime ’1800’
set vpn ipsec esp-group ESP-CLINK-BRM pfs ’enable’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 encryption ’aes128’
set vpn ipsec esp-group ESP-CLINK-BRM mode ’transport’
set vpn ipsec site-to-site peer 192.168.254.41 authentication pre-shared-secret ’d4t4c0m’
set vpn ipsec site-to-site peer 192.168.254.41 ike-group ’IKE-CLINK-BRM’
set vpn ipsec site-to-site peer 192.168.254.41 tunnel 2018 protocol ’gre’
set vpn ipsec site-to-site peer 192.168.254.41 tunnel 2018 esp-group ’ESP-CLINK-BRM’
set protocols static route 192.168.45.0/24 next-hop ’192.168.191.1’
commit
commit.
GRE com IPsec.

10.5.1 Verificando GRE com IPsec

show vpn ipsec sa
show vpn ipsec sa detail
show vpn debug
show log vpn ipsec
show vrf <vrf-name> vpn ipsec sa detail
show vrf <vrf-name> vpn ike sa
10.6 Configuração de VPN IPsec com Virtual Tunnel Interface
O IPsec com Virtual Tunnel Interfaces (VTIs) fornece um tipo de interface roteável para estabelecer túneis IPsec e uma
maneira fácil de definir a proteção entre sites para formar uma rede sobreposta. As VTIs IPsec simplificam a configuração
do IPsec para proteção de links remotos e simplifica o gerenciamento de rede.
No DM2500 não há suporte para cenários com alta disponibilidade ou balanceamento de carga utilizando
túneis com VTI.
Cenário IPsec com VTI
Note que em um cenário IPsec com VTI não se utiliza a configuração de tunnel X local e tunnel X remote dentro do IPsec
peer. É utilizado a configuração de vti bind dentro do peer e o tráfego a ser encriptado deve ser encaminhado para uma
interface VTI que está associada com o IPSec.
As interfaces VTI possuem a config de IP address, mas esta não realiza nenhum tipo de encapsulamento no pacote
(diferente do GRE). O endereço do IPsec peer e o local-address devem ser os endereços das interfaces físicas (WANs), não
os endereços das VTIs.
Suponha que o usuário deseja configurar um túnel com MTU (Maximum Transmission Unit) de 1400 bytes utilizando

interfaces VTI entre dois DM2500 com proteção IPsec. O procedimento a seguir demonstra como realizar esta configuração.
O MTU da interface VTI deve ser menor que o MTU da interface física por onde vão ser enviados os pacotes
criptografados. No exemplo abaixo a VTI tem MTU de 1400 e a eth4 tem MTU de 1500. Neste caso existe uma
diferença de 100 bytes, suficiente para o overhead que o IPsec adiciona e para evitar fragmentação na
interface eth2.
Roteador R1 (DM2500)
configure
set interfaces ethernet eth4 mtu ’1500’
set interfaces vti vti1 address ’11.11.11.1/30’
set interfaces vti vti1 description ’IPsec-IPv4’
set interfaces vti vti1 mtu ’1400’
set protocols static interface-route 192.167.0.0/16 next-hop-interface ’vti1’
set vpn ipsec esp-group esp-grp-1 compression ’disable’
set vpn ipsec esp-group esp-grp-1 lifetime ’28800’
set vpn ipsec esp-group esp-grp-1 mode ’tunnel’
set vpn ipsec esp-group esp-grp-1 pfs ’enable’
set vpn ipsec ike-group ike-grp-1 dead-peer-detection action ’hold’
set vpn ipsec ike-group ike-grp-1 dead-peer-detection interval ’30’
set vpn ipsec ike-group ike-grp-1 dead-peer-detection timeout ’120’
set vpn ipsec ike-group ike-grp-1 key-exchange ’ikev2’
set vpn ipsec ike-group ike-grp-1 lifetime ’28800’
set vpn ipsec site-to-site peer 192.168.3.2 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 192.168.3.2 connection-type ’respond’
set vpn ipsec site-to-site peer 192.168.3.2 vti bind ’vti1’
set vpn ipsec site-to-site peer 192.168.3.2 vti esp-group ’esp-grp-1’
commit
save
configure
set interfaces ethernet eth4 mtu ’1500’
set interfaces vti vti1 address ’11.11.11.2/30’
set interfaces vti vti1 mtu ’1400’
set protocols static interface-route 192.168.0.0/16 next-hop-interface ’vti1’
set vpn ipsec site-to-site peer 192.168.3.1 authentication pre-shared-secret ’mysecret123’


set vpn ipsec site-to-site peer 192.168.3.1 vti bind ’vti1’
set vpn ipsec site-to-site peer 192.168.3.1 vti esp-group ’esp-grp-1’
commit
save
Alternativamente ao IPv4, o IPsec com VTI pode também ser configurado com endereçamento IPv6.
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com IPv6 utilizando interface VTI.
Cenário IPsec com VTI
configure
set interfaces ethernet eth3 address ’2001:f0ca::1/64’
set interfaces ethernet eth4 address ’2001:b0ca::1/64’
set interfaces vti vti2 address ’fc00:1111::1/126’
set protocols static interface-route6 2001:f0ca::/64 next-hop-interface ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::2 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2001:b0ca::2 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 2001:b0ca::2 connection-type ’respond’
set vpn ipsec site-to-site peer 2001:b0ca::2 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::2 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::2 local-address ’2001:b0ca::1’
set vpn ipsec site-to-site peer 2001:b0ca::2 vti bind ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::2 vti esp-group ’esp-grp-1’
commit
save
configure
set interfaces ethernet eth3 address ’2001:ba1a::1/64’
set interfaces ethernet eth4 address ’2001:b0ca::2/64’
set interfaces vti vti2 address ’fc00:1111::2/126’


set protocols static interface-route6 2001:ba1a::/64 next-hop-interface ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::1 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2001:b0ca::1 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 2001:b0ca::1 connection-type ’initiate’
set vpn ipsec site-to-site peer 2001:b0ca::1 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::1 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::1 local-address ’2001:b0ca::2’
set vpn ipsec site-to-site peer 2001:b0ca::1 vti bind ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::1 vti esp-group ’esp-grp-1’
commit
save
commit.
IPsec com VTI.
10.6.1 Verificando IPsec com VTI
show interfaces vti

show vpn ipsec sa
show vpn debug
show log vpn ipsec
10.7 Configuração de Dynamic Multipoint IPsec VPNs (DMVPN)
A funcionalidade DMVPN é o conjunto dos protocolos Multipoint Generic Routing Encapsulation (mGRE), Next Hop
Resolution Protocol (NHRP) e o IPsec (Internet Protocol Security). A solução utiliza IPsec para encapsular o tráfego mGRE,
que por sua vez é utilizado para transporte de dados e a comunicação de protocolos de roteamento através dos túneis GRE.
Utilizando estes protocolos é criada a topologia hub-and-spoke onde o hub, ou roteador principal, tem conexão com todos

os spokes e os spokes tem apenas com o hub. A finalidade da DMVPN é criar túneis dinâmicos entre os spokes, garantindo
tráfego criptografado entre todos os elementos da topologia sem passar pelo hub. No DM2500 estão implementadas as
fases 2 e 3. A diferença entre elas é que na fase 3 tanto os túneis, quanto a tabela de roteamento serão sob-demanda. Desta
forma o spoke irá sobrescrever o next-hop do pacote e ignorar a rota default, caso existir (que poderia apontar para o hub).
O cenário abaixo será usado para demonstrar a configuração de uma DMVPN fase 2 entre um hub e dois spokes.
Cenário DMVPN.
DM25-R1
configure
set interfaces ethernet eth3 description ’LAN-R1’
set interfaces ethernet eth1 description ’WAN-INTERNET-R1’
set interfaces tunnel tun0 description ’DMVPN-Tunnel-GRE-R1’
set interfaces tunnel tun0 parameters ip key ’1’
set protocols memory-limit ’100’
set protocols nhrp tunnel tun0 cisco-authentication ’P@ssw0rd’
set protocols nhrp tunnel tun0 holding-time ’90’
set protocols nhrp tunnel tun0 multicast ’dynamic’
set vpn ipsec esp-group ESP-DMVPN compression ’disable’
set vpn ipsec esp-group ESP-DMVPN lifetime ’3600’
set vpn ipsec esp-group ESP-DMVPN mode ’tunnel’
set vpn ipsec esp-group ESP-DMVPN pfs ’disable’
set vpn ipsec esp-group ESP-DMVPN proposal 1 encryption ’aes256’
set vpn ipsec esp-group ESP-DMVPN proposal 1 hash ’sha1’
set vpn ipsec ike-group IKE-DMVPN key-exchange ’ikev1’
set vpn ipsec ike-group IKE-DMVPN lifetime ’28800’
set vpn ipsec ike-group IKE-DMVPN proposal 1 dh-group ’24’
set vpn ipsec ike-group IKE-DMVPN proposal 1 encryption ’aes256’
set vpn ipsec ike-group IKE-DMVPN proposal 1 hash ’sha1’
set vpn ipsec profile NHRPVPN authentication mode ’

Idioma

204.0301.10 - DM2500 - Guia de Configuração Rápida

Enviado por

Dados do documento

Direitos autorais

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

204.0301.10 - DM2500 - Guia de Configuração Rápida

Enviado por

Direitos autorais:

ACCESS ROUTERS

GUIA DE CONFIGURAÇÃO RÁPIDA

204.0301.10 - 8 de abril de 2021

O acesso ao DmSupport pode ser feito através do link: https://supportcenter.datacom.com.br

Para contato telefônico: +55 51 3933-3122

Para qualquer outra informação adicional, visite https://www.datacom.com.br ou entre em contato:

Rua América, 1000

92990-000 - Eldorado do Sul - RS - Brazil

DATACOM 204.0301.10 - 8 de abril de 2021 2

• Descritivo - Fornece as características técnicas do Hardware e Software do produto

• Guia de Instalação - Fornece orientações sobre os procedimentos para instalação do produto

A disponibilidade de alguns documentos pode variar dependendo do tipo de produto.

Accesse https://supportcenter.datacom.com.br para localizar as documentações relacionadas ou entre em contato com o

DATACOM 204.0301.10 - 8 de abril de 2021 3

Sobre este documento

Ícone Tipo Descrição

Nota As notas explicam melhor algum detalhe apresentado no texto.

DATACOM 204.0301.10 - 8 de abril de 2021 4

Ícone Tipo Descrição

Perigo Indica emissão de radiação não ionizante.

DATACOM 204.0301.10 - 8 de abril de 2021 5

DATACOM 204.0301.10 - 8 de abril de 2021 6

2.6 Configuração do horário de verão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

DATACOM 204.0301.10 - 8 de abril de 2021 7

5.6 Show tech-support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

DATACOM 204.0301.10 - 8 de abril de 2021 8

8.7 Configuração do Cliente PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

DATACOM 204.0301.10 - 8 de abril de 2021 9

9.8.1 BFD nas rotas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

DATACOM 204.0301.10 - 8 de abril de 2021 10

11.1 Configuração do Rate Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Nota Legal 140

DATACOM 204.0301.10 - 8 de abril de 2021 11

• Visão geral do CLI

• Gerenciamento dos Arquivos

1.1 Login inicial

1.1.1 Instalando e energizando o Equipamento

Por favor, verificar as instruções detalhadas no Guia de Instalação do equipamento.

1.1.2 Conectando via porta Console

Conectando via porta console

1.1.3 Conectando via porta ethernet

Acessando o equipamento via porta ethernet

DATACOM 204.0301.10 - 8 de abril de 2021 12

1.1.4 Conectando pela primeira vez no equipamento

dm2500 login: admin

Por razões de segurança é altamente recomendado modificar a senha padrão do equipamento.

1.2 Gerenciamento do firmware

1.2.1 Atualizando o firmware

É possível verificar o firmware instalado no equipamento através do comando show firmware:

dm2500:~$ show firmware

Para enviar o arquivo de firmware através do TFTP, usar o seguinte comando:

firmware add tftp://172.22.107.11/pd3701-1.4.4.swu

DATACOM 204.0301.10 - 8 de abril de 2021 13

Um reboot automático irá ocorrer após o usuário confirmar o reboot.

dm2500:~$ firmware swap

1.3 Visão geral do CLI

A CLI do DM2500 suporta o modo operacional e o modo de configuração.

1.3.1 Modo Operacional

show inventory Apresenta o inventário do equipamento

show environment Apresenta os valores dos sensores de temperatura

show psu Apresenta os status das fontes de alimentação

DATACOM 204.0301.10 - 8 de abril de 2021 14

show firmware Apresenta a versão de firmware

show configuration Apresenta a configuração atual do equipamento

show system cpu-utilization Apresenta os valores da CPU em uso do equipamento

show system memory Apresenta os valores de memória do equipamento