Gerenciamento

Comware 7: ACL para gerenciamento Telnet

Diego DiasLeave a comment

A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.

Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL  ao acesso Telnet e SSH.

#
acl basic 2000
 rule 0 permit source 192.168.11.1 0
 rule 5 permit source 192.168.11.12 0
 rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
 telnet server enable
 telnet server acl 2000
! Habilitando o serviço Telnet e aplicando  a ACL 2000
#

Para filtrar o acesso via SSH utilize a mesma lógica.

ssh server enable
ssh server acl 2000

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Diego DiasLeave a comment

Aprenda a configurar switches 3Com 5500 de forma rápida e eficiente com esta segunda parte do guia rápido!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!

ArubaOS-CX: Validando o tipo de transceiver e cabo DAC conectado ao Switch

Diego DiasLeave a comment

Os switches ArubaOS-CX permitem a verificação dos transceivers e cabos DAC conectados ao equipamento, incluindo também as informações do Part NumberSerial Number, suporte a DOM, transceivers não suportados etc., através do comando show interface transceiver e show interface transceiver detail

Switch(config)# show interface transceiver
------------------------------------------------------------------
Port      Type           Product      Serial          Part
                         Number       Number          Number
------------------------------------------------------------------
1/1/25    SFP56DAC0.65   R0M46A       CN91KKAAAB      8121-1715
1/1/26    SFP56DAC0.65   R0M46A       CN91KKAAAC      8121-1715
1/1/27    SFP+DAC1       J9281B       CN2275AAAD      8121-1151
1/1/28    SFP+DAC1       J9281B       CN2295AAAE      8121-1151

switch(config)# show interface transceiver detail
Transceiver in 1/1/8
 Interface Name      : 1/1/8 
 Type                : SFP+SR                                        
 Connector Type      : LC                                            
 Wavelength          : 850nm                                         
 Transfer Distance   : 0.00km (SMF), 20m (OM1), 80m (OM2), 300m (OM3)
 Diagnostic Support  : DOM                                           
 Product Number      : J9150D                                        
 Serial Number       : CN92KJAAA2                                    
 Part Number         : 1990-4634                                     
                                                                     
 Status                                                              
  Temperature : 30.38C                                               
  Voltage     : 3.26V                                                
  Tx Bias     : 5.54mA                                               
  Rx Power    : 0.56mW, -2.52dBm                                     
  Tx Power    : 0.62mW, -2.08dBm                                     
                                                                     
 Recent Alarms:                                                      
                                                                     
 Recent Errors:

Obs: geralmente as informações dos números seriais são utilizadas para registrar os equipamentos com o fabricante, solicitar garantia de suporte, inventário etc.

Switches ArubaOS : Armazenando as credenciais no arquivo de configuração (include-credentials)

Diego DiasLeave a comment

Por padrão, nos Switches ArubaOS, as credenciais não são adicionadas ao arquivo de configurações, com o objetivo de proteger a sua visualização.

Caso haja o desejo de visualizá-las no arquivo de configuração, será necessário habilitar o comando include-credentials, permitindo assim visualizar no arquivo de configuração, como também apagá-las na startup-config.

Habilitando o include-credentials será possível visualizar o usuário em texto plano e a senha em hash, como por exemplo em SHA1 (sendo possível descobrir a senha utilizada utilizando ferramentas online).

Para proteger as credenciais após o include-credentials, digite encrypt-credentials para cifrar o password em aes-256-cbc, no arquivo de configuração.

Vídeo: Comware – LLDP ( Link Layer Discovery Protocol )

Diego DiasLeave a comment

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. Ele opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinâmicamente por equipamentos diretamente conectados.

O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes.

Em resumo, o LLDP oferece:

  • Descoberta automática de dispositivos na rede: Imagine um mapa detalhado da sua rede, com a localização e características de cada dispositivo. O LLDP torna isso possível!
  • Comunicação transparente entre diferentes marcas: Chega de barreiras de comunicação! O LLDP facilita a interoperabilidade, permitindo que dispositivos de diferentes fabricantes se conectem e colaborem sem problemas.
  • Simplificação do gerenciamento de rede: Com o LLDP, você tem acesso a informações valiosas sobre seus dispositivos, facilitando o monitoramento, a solução de problemas e a otimização da performance da rede.

Comware: Reset de senha via SNMP

Diego DiasLeave a comment

O Paulo Roque nos enviou um procedimento muito bacana para acesso à console de um Switch HP baseado no Comware com o IRF configurado quando não se tem a senha do equipamento, mas a community SNMP ainda é conhecida (o procedimento também funciona em Switches não configurados com o IRF).

Para executar esse procedimento precisaremos de:

  • um servidor para coleta e configuração do Switch via SNMP
  • um servidor para transferência de arquivos que utilize o serviço FTP.
  • máquina para acesso via console.

Para facilitar o exemplo, o nosso cenário incluirá todos os serviços instalados em uma só máquina, conforme desenho abaixo.

A máquina 192.168.1.40 está com o serviço SNMP e  FTP instalados , além do cabo console diretamente conectado do notebook ao Switch.

  1. Teste  a conectividade com o Switch via SNMP
# snmpwalk -v 2c -c pri123 192.168.1.1 .1.3.6.1.2.1.1

SNMPv2-MIB::sysDescr.0 = STRING: H3C Comware software. H3C S12508 Product Version 
S12500-CMW520-R1728P01. Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.25506.1.391
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (1672958598) 193 days, 15:06:25.98
SNMPv2-MIB::sysContact.0 = STRING: NOC-teste @ +55 11 aaaa bbbb
SNMPv2-MIB::sysName.0 = STRING: Switch-teste
SNMPv2-MIB::sysLocation.0 = STRING: Hangzhou, China
SNMPv2-MIB::sysServices.0 = INTEGER: 78
  1. Faça o download da configuração do Switch para o servidor FTP
#snmpset -v 2vc -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 i 3 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 s aa.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 i 4

O Sistema irá returnar a seguinte informação:

iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 = INTEGER: 3
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 = STRING: "aa.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 = INTEGER: 4
  1. Ao efetuar o download do arquivo, caso o Switch não esteja configurado com a autenticação por TACACS/RADIUS, abra o arquivo de configuração e veja se a senha foi configurada como não-cifrada. Nesse caso,  se for possível detectar a senha, descarte todos os processos abaixo  e faça a autenticação no Switch com  a senha escrita no arquivo de configuração.

Se o procedimento acima não resolver para efetuar a autenticação ao Switch, continue com os passos abaixo para alterar a configuração corrente do Switch via SNMP e assim desabilitar o processo de autenticação da console do equipamento

  1. Crie um arquivo chamado “passreset.cfg” e insira a seguinte configuração:
user-interface aux 0 1
 authentication-mode none

obs: o nome do arquivo é apenas sugestivo

  1. Salve o arquivo no servidor FTP
  2. Utilize o servidor FTP para transferência do arquivo para o Switch  e via snmpset  envie os atributos abaixo via SNMP para o Switch (o equipamento irá solicitar o download da configuração ao servidor ftp pela instruções utilizadas via SNMP).
# snmpset -v 2c -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 i 4 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 s passreset.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 i 4

O Sistema irá retornar as seguintes informações:

iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 = INTEGER: 4
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 = STRING: "passreset.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 = INTEGER: 4

O comando snmpset permitirá que o Switch faça o download do arquivo passreset.cfg do FTP e assim aplicar as configurações na configuração corrente (memória RAM [current-configuration]) sem alterar as outras configurações do equipamento.

Nesse caso, será removida a autenticação da console, permitindo o acesso como administrador ao Switch.

Vídeo: Comware – Configurando RADIUS

Diego DiasLeave a comment

Autenticação Segura para Switches e Roteadores 3Com/HP com Comware: Domine o Script e Proteja Sua Rede!

Gerenciar seus switches e roteadores 3Com/HP com Comware de forma segura e eficiente é crucial para garantir a integridade e a confidencialidade da sua rede. Neste vídeo, apresentamos um guia para autenticação de usuários via Telnet, SSH e outros protocolos, permitindo que você controle o acesso à sua infraestrutura de rede com total precisão.

Aprenda a:

  • Implementar autenticação centralizada: Crie um ambiente seguro para administração de seus dispositivos, restringindo o acesso apenas a usuários autorizados.
  • Gerenciar diferentes protocolos: O script oferece suporte a diversos protocolos de autenticação, como Telnet, SSH, VTY e console, adaptando-se às suas necessidades específicas.
  • Configurar níveis de acesso personalizados: Defina diferentes níveis de acesso para diferentes usuários, garantindo que cada um tenha apenas as permissões necessárias para realizar suas tarefas.
  • Auditar e monitorar acessos: Mantenha um registro completo das tentativas de autenticação, identificando atividades suspeitas e protegendo sua rede contra invasores.

Comandos secretos para os Switches HP 1950

Diego DiasLeave a comment

Galera, segue abaixo a dica para liberar a configuração de algumas funcionalidades via CLI para os Switches HP 1950.

O comando “xtd-cli-mode” no modo user-view libera a configuração “avançada” do Switch via CLI.

Após digitar o comando aparecerá a imagem de warning abaixo. A senha é: foes-bent-pile-atom-ship

<HPE>xtd-cli-mode
All commands can be displayed and executed in extended CLI mode. Switch to extended CLI mode? [Y/N]:Y
Password:
Warning: Extended CLI mode is intended for developers to test the system. Before using commands in extended CLI mode, contact the Technical Support and make sure you know the potential impact on the device and the network.

Após isso os comandos abaixo serão liberados:

<HPE>?
User view commands:
  archive             Archive configuration
  backup              Backup the startup configuration file to a TFTP server
  boot-loader         Software image file management
  bootrom             Update/read/backup/restore bootrom
  cd                  Change current directory
  cfd                 Connectivity Fault Detection (CFD) module
  clock               Specify the system clock
  copy                Copy a file
  debugging           Enable system debugging functions
  delete              Delete a file
  diagnostic-logfile  Diagnostic log file configuration
  dir                 Display files and directories on the storage media
  display             Display current system information
  exception           Exception information configuration
  fdisk               Partition a storage médium
  fixdisk             Check and repair a storage médium
  format              Format a storage médium
  free                Release a connection
  ftp                 Open an FTP connection
  gunzip              Decompress file
  gzip                Compress file
  install             Perform package management operation
  lock                Lock the current line
  logfile             Log file configuration
  md5sum              Compute the hash digest of a file using the MD5 algorithm
  mkdir               Create a new directory
  monitor             System monitor
  more                Display the contents of a file
  move                Move a file
  oam                 OAM module
  ping                Ping function
  process             Process management
  pwd                 Display current working directory
  python              Source using python script
  quit                Exit from current command view
  reboot              Reboot operation
  rename              Rename a file or directory
  reset               Reset operation
  restore             Restore next startup-configuration file from TFTP server
  rmdir               Remove an existing directory
  save                Save current configuration
  scheduler           Scheduler configuration
  scp                 Establish an SCP connection
  screen-length       Multiple-screen output function
  security-logfile    Security log file configuration
  send                Send information to other lines
  sftp                Establish an SFTP connection
  sha256sum           Compute the hash digest of a file using the SHA256
                      algorithm
  ssh2                Establish a secure shell client connection
  startup             Specify system startup parameters
  super               Switch to a user role
  system-view         Enter the System View
  tar                 Archive management
  tclquit             Exit from TCL shell
  tclsh               Enter the TCL shell
  telnet              Establish a telnet connection
  terminal            Set the terminal line characteristics
  tftp                Open a TFTP connection
  tracert             Tracert function
  undelete            Recover a deleted file
  undo                Cancel current setting
  web                 Web configuration
  xml                 Enter XML view
  xtd-cli-mode        Switch to extended CLI mode to display and execute all commands (special authorization required)

Até logo!

Referência:
https://jailsonnascimento.wordpress.com/2017/04/26/habilitando-todos-os-comando-no-switch-hp-1950/