Gerenciamento

Comware 7: Configurando TACACS em uma VPN-Instance (VRF)

September 9, 2024October 20, 2024Diego DiasLeave a comment

Compatilho abaixo o script (comentado) para a autenticação de usuários em uma base remota para administração de um Roteador MSR 30-16. Os testes serviram para validar um Servidor ACS da Cisco para autenticação via TACACS em um Roteador HP. A diferença deste teste para as outras configurações é a utilização do TACACS dentro de uma vpn-instance (VRF).


Configuração
#
ip vpn-instance test
 route-distinguisher 1:1
 vpn-target 1:1 export-extcommunity
 vpn-target 1:1 import-extcommunity
! Criando a VRF “test”
#
super password level 3 simple s3nhasup3r
super authentication-mode scheme
#
telnet server enable
#
hwtacacs scheme acs
! Criando o esquema TACACS com o nome acs
primary authentication 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 172.16.1.1
!Endereço de IP do Switch cadastrado no ACS
key authentication teste123
! Chave para autenticação com o servidor ACS  com a senha"teste123"
key authorization teste123
key accounting teste123
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain acs
authentication login hwtacacs-scheme acs local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme acs local
accounting login hwtacacs-scheme acs local
authentication default hwtacacs-scheme acs local
authorization default hwtacacs-scheme acs
accounting default hwtacacs-scheme acs
authentication super hwtacacs-scheme acs
accounting command hwtacacs-scheme acs
#
domain default enable acs
! Habilitando o dominio acs como default para auetnticação
#
interface Ethernet0/0
 port link-mode route
 ip binding vpn-instance test
 172.16.1.1 255.255.255.0
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch.

A autenticação do “super-usuário” via TACACS também está inclusa no script.

Abração

Roteadores MSR – Acesso OOB

September 5, 2024October 13, 2024Diego DiasLeave a comment

Os Roteadores MSR possuem um módulo de interfaces para gerenciamento OOB (Out of band ) de equipamentos de rede. Para o funcionamento dessa rede OOB basta conectar um cabo RJ45 na porta Async do módulo do Roteador e a outra porta na porta console do Switch/Roteador em que deseja efetuar o acesso. A pinagem do cabo é conhecida como RollOver.

O Andre Gomes encaminhou o procedimento ao blog para acesso utilizando o módulo JF841 (HP 16p Async Serial Intrfc MIM A-MSR Module) em um Roteador MSR 30-20 da HP. “Segue abaixo uma breve explicação de como se faz para acessar a porta console de um equipamento através dos equipamentos de OOB (MSR30-20, por exemplo)”:

Configuração da interface Async

#
interface Async5/0
 async mode flow
 undo detect dsr-dtr
 link-protocol ppp
#
user-interface tty 81 96
 undo shell
 flow-control none
 redirect enable
 terminal type vt100

Efetuando o acesso OOB

telnet < ip do próprio device OOB que você está conectado > 208x

Esse comando é para acessar a porta console dos equipamentos que estão ligados a um router OOB (Out Of Band) como os MSR30-20, por exemplo.A sintaxe desse comando é a seguinte:

telnet <ip do próprio device OOB que você está conectado> 208x (onde o ‘x’ é o número da porta no qual o equipamento remoto está conectado adicionando mais um.

Exemplo: Você quer acessar o Roteador OOB01 com ip: 10.0.0.1 para acessar o Switch001. O switch001, por sua vez, tem a sua porta console conectada a porta 5/2 do nosso Roteador Out Of Band.

Então, para acessarmos a porta console do nosso Switch001, através do nosso Roteador OOB001 devemos fazer os seguintes passos:

– acesse o Roteador OOB001;

– após acessá-lo digite o comando: telnet 10.0.0.1 2083

Lembre-se: o ip 10.0.0.1 é o ip do próprio Roteador OOB01 e estamos usando a porta “virtual” 2083, porque o nosso Switch001 está conectado na porta 5/2 do OOB01 (x = porta OOB + 1; x = 2 +1; x=3)

Obs.: Para sair do equipamento após o acesso a porta console, como neste caso, utilize as teclas: “Ctrl+K”;

Agendando o Reboot no Comware

September 3, 2024October 20, 2024Diego DiasLeave a comment

O Kleber Coelho, enviou a dica abaixo na qual ele precisou mexer em uma configuração sensível no Switch HP 7510 que poderia gerar a perda da gerencia do equipamento.

Inicialmente ele salvou a configuração atual do Switch. Após isso, agendou o reboot para 10 minutos (em caso de perda da gerencia, o Switch reiniciaria e voltaria a ultima configuração salva), aplicou a configuração e após o sucesso dos comandos aplicados, ele cancelou o reboot.

A configuração do schedule reboot deverá ser feita no modo “user-view”

Segue o email do Kleber:

Diego, boa tarde, tudo bem?

Recentemente precisei bloquear da divulgação do OSPF um IP de gerência local em um HP-A7510.
Se for útil para você colocar no blog, sinta-se à vontade!

# salvando a configuração atual
save force
# gatilho de reboot para garantir a recuperação, 
# caso dê algo errado e perca o acesso 
schedule reboot delay 10
# criar ACL com redes bloqueadas
system
acl number 2500 name Remove_BOGON_OSPF
# rule deny source <IP> <Wildcard>
rule deny source 192.168.255.0 0.0.0.255
rule permit
# aplicar ACL na instancia OSPF
ospf 1
filter-policy 2500 export
# Se der algo errado e perder acesso, 
#     basta esperar  o equipamento reiniciar em 10 minutos.
# Se tudo der certo, salve e remova o agendamento de reboot.
save force
quit
quit
undo schedule reboot

Agradeço ao Kleber pela dica enviada.

Comware 7 – Autenticação de TACACS com Tac_plus

September 2, 2024October 6, 2024Diego DiasLeave a comment

Galera, durante a criação de um laboratório para testes de autenticação com TACACS de Roteadores MSR com Comware7, utilizamos o Debian com o tac_plus como Servidor.

Segue abaixo os scripts utilizados:

#
# tacacs configuration file
# Pierre-Yves Maunier – 20060713
# /etc/tac_plus.conf
# set the key
key = labcomutadores
accounting file = /var/log/tac_plus.acct
# users accounts
user = student1 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-admin"
       }
}
user = student2 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-operator"	
        }
}

Configuração do Roteador MSR HP

wtacacs scheme tac
primary authentication 192.168.1.10
primary authorization 192.168.1.10
primary accounting 192.168.1.10
! endereço do servidor TACACS
key authentication simple labcomutadores
key authorization simple labcomutadores
key accounting simple labcomutadores
user-name-format without-domain
#
domain tac.com.br
authentication login hwtacacs-scheme tac local
authorization login hwtacacs-scheme tac local
accounting login hwtacacs-scheme tac local
#
domain default enable tac.com.br
#
user-interface vty 0 4
authentication-mode scheme

Até logo

Comware 5: Atualizando o Switch via TFTP com IPv6

August 7, 2024December 21, 2024Diego DiasLeave a comment

Segue abaixo um script para atualização do Comware em um Switch HP 5120 utilizando o protocolo IPv6 como transporte. A atividade é bem simples (como em IPv4) e nos ajuda a desmistificar e nos encorajar a utilizar cada vez mais o “novo” serviço. O procedimento é o mesmo para a maioria dos Switches com o Sistema Operacional Comware (HP/H3C).

<Switch>system

[Switch] ipv6
[Switch] interface vlan 1
[Switch-Vlan-Interface-1]ipv6 address 2001:db8::2/64
[Switch-Vlan-Interface-1]quit
[Switch] quit

<Switch>
<Switch>tftp ipv6 2001:db8:1 put flash:/a5120ei-cmw520-r2208p01-s168.bin
! Fazendo backup da imagem antiga para o Servidor TFTP

<Switch>delete /unreserved a5120ei-cmw520-r2208p01-s168.bin
The contents cannot be restored!!! Delete flash:/a5120ei-cmw520-r2208p01-s168.bin?[Y/N]:y
! Devido a falta de espaçoo para manter a imagem nova e a velha nesse modelo de Switch, 
! iremos deletar a imagem mais antiga.
! O comando /unreserved deleta a imagem sem jogar na lixeira da memória flash

<Switch> tftp ipv6 2001:db8::1 get A5120EI-CMW520-R2220P02.bin
! Copiando a nova imagem para o Switch

<Switch>boot-loader file flash:/a5120ei-cmw520-r2220p02.bin slot all main
This command will set the boot file of the specified board. Continue? [Y/N]:y
! Configurando a nova imagem para "bootar" após o Switch reiniciar

<Switch>disp boot-loader
Slot 1
The current boot app is:  flash:/a5120ei-cmw520-r2208p01-s168.bin
The main boot app is:     flash:/a5120ei-cmw520-r2220p02.bin
The backup boot app is:   flash:/

<Switch>reboot
Start to check configuration with next startup configuration file, please wait.........DONE!
This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:y
This command will reboot the device. Continue? [Y/N]:y
Reboot device by command.
! Reiniciando o Switch

<HP>display version
HP Comware Platform Software
Comware Software, Version 5.20.99, Release 2220P02
Copyright (c) 2010-2013 Hewlett-Packard Development Company, L.P.
HP A5120-48G EI Switch uptime is 0 week, 0 day, 0 hour, 2 minutes
! Validando o Upgrade

<HP>display boot-loader
Slot 1
The current boot app is:  flash:/a5120ei-cmw520-r2220p02.bin
The main boot app is:     flash:/a5120ei-cmw520-r2220p02.bin
The backup boot app is:

Pronto, imagem atualizada!

O Software utilizado para copia da imagem foi o TFTPd64 by Ph. Jounin para Windows

Reset de Senha: Switches 3Com, HPN e H3C

July 17, 2024November 25, 2024Diego DiasLeave a comment

Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.

O procedimento abaixo serve para permitir o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….

Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.

Procedimento

Consiga um acesso via Console ao Switch. Reinicie o equipamento e digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…

Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:

BOOT MENU

1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot

…escolha a opção 7, confirme e reinicie o Switch.

No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.

Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).

Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários ..

Seja cauteloso e Boa Sorte!

Comandos Secretos para os Switches 3Com Baseline e HP v1910

July 4, 2024November 16, 2024Diego DiasLeave a comment

Essa semana recebi uma dica bem bacana do Dilson Augusto para a administração de Switches 3Com Baseline.

Pesquisando melhor na Internet sobre o procedimento, vi que há outros modelos como o Switch HP v1910 que também aceitam o “comando secreto” para liberar a configuração de diversas features via CLI.

Ainda não pude testar a dica infomada em equipamentos em produção, então tomem todo o cuidado antes de executar o procedimento abaixo (prestem bastante atenção no warning exibido após a execução do comando) 😉 . De resto, curtam e simulem a dica em laboratório e comentem aqui no blog!!!

Obrigado Dilson. Segue abaixo o texto:

Boa tarde Diego,

Gostaria de compartilhar algo que descobri recentemente depois de muito tempo de pesquisa.
A linha Baseline Switch da HP é conhecida por ter seu gerenciamento console bem “restrito”, para não dizer simplório…

<3Com Baseline Switch>?
User view commands:
initialize  Delete the startup configuration file and reboot system
ipsetup     Specify the IP address of the VLAN interface 1
password    Specify password of local user
ping        Ping function
quit        Exit from current command view
reboot      Reboot system
summary     Display summary information of the device.
upgrade     Upgrade the system boot file or the Boot ROM program

<3Com Baseline Switch>

Então… depois de muita pesquisa, acabei encontrando um comando mais que bacana… Se tiver um switch desses a mão, testa aí:

<3Com Baseline Switch>_cmdline-mode on

Vai apresentar a mensagem:

All commands can be displayed and executed. Continue? [Y/N]Y
Please input password:******
Warning: Now you enter an all-command mode for developer's testing, 
some commands may affect operation by wrong use, please carefully use 
it with our engineer's direction.

A senha é: 512900

<3Com Baseline Switch>?
User view commands:
archive        Specify archive settings
backup         Backup next startup-configuration file to TFTP server
boot-loader    Set boot loader
bootrom        Update/read/backup/restore bootrom
cd             Change current directory
clock          Specify the system clock
cluster        Run cluster command
copy           Copy from one file to another
debugging      Enable system debugging functions
delete         Delete a file
dir            List files on a file system
display        Display current system information
fixdisk        Recover lost chains in storage device
format         Format the device
free           Clear user terminal interface
ftp            Open FTP connection
initialize     Delete the startup configuration file and reboot system
ipsetup        Specify the IP address of the VLAN interface 1
lock           Lock current user terminal interface
logfile        Specify log file configuration
mkdir          Create a new directory
more           Display the contents of a file
move           Move the file
ntdp           Run NTDP commands
password       Specify password of local user
ping           Ping function
pwd            Display current working directory
quit           Exit from current command view
reboot         Reboot system
rename         Rename a file or directory
reset          Reset operation
restore        Restore next startup-configuration file from TFTP server
rmdir          Remove an existing directory
save           Save current configuration
schedule       Schedule system task
screen-length  Specify the lines displayed on one screen
send           Send information to other user terminal interface
sftp           Establish one SFTP connection
ssh2           Establish a secure shell client connection
stack          Switch stack system
startup        Specify system startup parameters
summary        Display summary information of the device.
super          Set the current user priority level
system-view    Enter the System View
telnet         Establish one TELNET connection
terminal       Set the terminal line characteristics
tftp           Open TFTP connection
tracert        Trace route function
undelete       Recover a deleted file
undo           Cancel current setting
upgrade        Upgrade the system boot file or the Boot ROM program

<3Com Baseline Switch>

<3Com Baseline Switch>system-view
System View: return to User View with Ctrl+Z.

[3Com Baseline Switch]display cpu-usage history
100%|
95%|
90%|
85%|
80%|
75%|
70%|
65%|
60%|
55%|
50%|
45%|
40%|
35%|
30%|
25%|
20%|             #
15%|             #
10%|             #
5% |#            #
------------------------------------------------------------
10        20        30        40        50        60  (minutes)
cpu-usage last 60 minutes(SYSTEM)

[3Com Baseline Switch]

Caso queira compartilhar no blog, sinta-se a vontade… pode vir a auxiliar diversos administradores de rede.

Referências

Segue o link como referência o Switch HP v1910
http://glazenbakje.wordpress.com/2012/08/21/hp-v1910-secret-commando-list-how-to-enable-it/

Segue a saída publicada no forum da HP para o Switch 3Com 2952
http://h30499.www3.hp.com/hpeb/attachments/hpeb/itrc-269/30228/1/user_mode_cli.txt

Switches ArubaOS – Utilizando transceivers de outros fabricantes

June 17, 2024June 2, 2024Diego DiasLeave a comment

Os Switches ArubaOS, como o 3810M, 5400r entre outros, permitem a utilização de transceivers não homologados e de outros fabricantes com o comando allow-unsupported-transceiver:

Switch(config)# allow-unsupported-transceiver

O comando permite que o administrador habilite a utilização de transceivers de outros fabricantes sem que o switch tente autenticá-lo como uma peça genuína da HPE Aruba, mas não há garantia de que todos os transceivers de terceiros funcionem.

Após executar o comando, reinsira o transceiver “não suportado” no Switch ou execute o comando antes de inserir-los. Para validar os transceivers execute os seguintes comandos:

switch# show tech transceivers

Transceiver Technical Information:

 Port # | Type   | Prod # | Serial #   | Part #
--------+-----------+------------+------------------+----------
A21     | 1000SX | J4858C | 3CA404J4BK | 1990-3662
H8 *    | 1000SX | ??     | unsupported|
J8      | ??     | ??     | unsupported|

switch# display transceiver interface ethernet 1/10
 
 1/10 transceiver information:
   Transceiver Type               : 1000T-sfp      
   Connector Type                 : RJ45           
   Wavelength(nm)                 : n/a                            
   Transfer Distance(m)           : 100m (copper),                 
   Digital Diagnostic Monitoring  : NO     
   Vendor Name                    : n/a  
   Ordering Name                  :   ??

Considerações do fabricante

Esse é um recurso não suportado e isto não implica em suporte do fabricante para um transceiver não certificado.
Atualizações no firmware do switch podem afetar a operação do transceiver – a Aruba não oferece garantia para corrigir qualquer problema relacionado a transceptores não suportados.
Esse é um recurso não documentado – o comando para ativar o recurso não está listado nos guias de operação do produto, nem notas de lançamento. O recurso não aparece na CLI com o “?”.
O Suporte HPE pode negar a substituição da garantia do switch host se o uso de um transceiver “não suportado” for suspeita de ter danificado o switch host.

Referência
https://community.arubanetworks.com/aruba/attachments/aruba/CampusSwitching/3089/1/ARUBAOS-SWITCH%20UNSUPPORTED%20TRANSCEIVER%20GUIDE%20V2.pdf

Vídeo: Switches ArubaOS – Principais comandos para Gerenciamento

June 13, 2024May 16, 2024Diego DiasLeave a comment

Nesse vídeo, fizemos um resumo com os principais comandos para administração de Switches Aruba-OS.

Vídeo: Switches ArubaOS – RESET de Senha e proteção para os botões CLEAR e RESET

June 11, 2024May 16, 2024Diego DiasLeave a comment

Nesse vídeo explicamos como apagar a senha da configuração dos Switches ArubaOS, executar o Factory Reset e aplicar a Segurança nos botões frontais.

COMUTADORES

CONFIGURAÇÃO E ADMINISTRAÇÃO DE SWITCHES COMWARE (3COM, HPE, H3C,INTELBRÁS) E SOLUÇÕES ARUBA