A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..
Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil!
protocolo FCoE permite o encapsulamento de Fibre Channel dentro de quadros Ethernet com o uso de um Ethertype dedicado 0×8906. O quadro Fibre Channel deverá manter-se intacto dentro do Ethernet.
O protocolo FCoE também é complementado por implementações no Ethernet, chamadas de Data Center Bridging (DCB). O DCB é uma coleção de padrões do IEEE 802.1 que permitem melhorias no protocolo Ethernet para Data Centers resolvendo questões como descarte de pacotes, priorização de tráfego em congestionamentos, etc.
A exigência de uma rede de armazenamento (SAN) é que o ambiente forneça a comutação “sem perdas na transmissão de quadros”. As melhorias adicionadas ao protocolo fazem o Ethernet “compatível” com uma rede de Storage.
Os Switches HPe/Aruba 5900CP e 5940 com módulos de portas convergentes possibilitam a configuração tanto de portas Ethernet, FC e FCoE.
Para a configuração FC e FCoE nos Switches convergentes baseados no Comware, será necessário converter o modo do switch, criar as interfaces VFC para FCoE ou converter uma porta Ethernet para FC no caso de uma interface Fibre Channel.
Topologia e Configuração
No cenário abaixo, mostraremos a configuração no Comware para as interfaces TenGigabitEthernet 1/0/1 para o servidor com CNA (conectividade FCoE), TenGigabitEthernet 1/0/2 ou FC1/0/2 para rede SAN e TenGigabitEthernet 1/0/3 para rede LAN.
1 – Configure o switch como “advanced working mode”, salve a configuração e reinicie o equipamento:
[SW1] system-working-mode advance
Do you want to change the system working mode? [Y/N]:y
The system working mode is changed, please save the configuration and reboot the system to make it effective.
[SW1] quit
<SW1> save safely force
<SW1> reboot force
2- Habilite FCF mode:
[SW1] fcoe-mode fcf
3- Crie a VSAN e atribua a VLAN:
[SW1] vsan 100
[SW1-vsan100] quit
[SW1] vlan 100
[SW1-vlan100] fcoe enable vsan 100
[SW1-vlan100] quit
4- Crie uma interface Virtual Fibre Channel (VFC) e configure como uma F_port
[SW1] interface vfc1
[SW1-Vfc1]
[SW1-Vfc1] fc mode f
5- Vincule a VFC para a interface física
[SW1-Vfc2] bind interface Ten-GigabitEthernet 1/0/50
6 – Atribua a interface VFC para a SAN correspondente
[SW1-Vfc2] port trunk vsan 100
7 – Configure a interface física para suportar o VSAN transport VLAN
[SW1] interface Ten-GigabitEthernet 1/0/1
[SW1-Ten-GigabitEthernet1/0/1] port link-type trunk
[SW1-Ten-GigabitEthernet1/0/1] port trunk permit vlan 100
… configuração para a interface FC conectada à rede de Storage…
8. Mude a interface de Ethernet para FC e atribua a VSAN
[SW1] int ten 1/0/2
[SW1 Ten-GigabitEthernet1/0/2]port-type fc
[SW1-Fc1/0/2] fc mode e
[SW1-Fc1/0/2] port access vsan 100
… para a interface Ethernet conectada à rede LAN…
9. Configure o uplink para o switch Ethernet
[SW1 interface ten-gigabitethernet 1/0/3
[SW1-Ten-GigabitEthernet1/0/3] port link-type trunk
[SW1-Ten-GigabitEthernet1/0/3] port trunk permit vlan 10
[SW1-Ten-GigabitEthernet1/0/3] quit
Comandos display
display interface brief
display interface vfc brief
display interface fc1/0/2
display fc login
display fc name-service database
Com os comandos acimas finalizamos a configuração inicial de FcoE
Espero ter ajudado. Até a o próximo artigo!
Nesse video, explicamos a configuração de VLANs em Switches Aruba baseados no Aruba-OS-CX.
A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples (mas certa atenção). O comando dhcp-snooping configurado globalmente e atribuindo às VLANs desejadas, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).
Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trust (confiável), incluíndo as portas de uplink.
Nesse vídeo, descrevemos a configuração do DHCP-Snooping em Switches Aruba-OS.
Nesse vídeo, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração de VLANs com as portas access e trunk, Link-Aggregation com LACP, assim como os detalhes de alguns parâmetros relacionados a essas funcionalidades.
Nesse vídeo, explicamos a configuração de Link Aggregation em Switches ArubaOS-CX.
Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.
A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.
Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.
No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber.
Nesse vídeo explicamos a configuração do PVID nas portas access e trunk de um switch.
O que é PVID?
O PVID, sigla para Port VLAN ID, é um identificador atribuído a cada porta de um switch. Ele define a VLAN padrão para a qual os quadros não marcados (sem tag) serão enviados quando ingressarem na porta. Imagine cada porta como um portal para uma VLAN específica.
Como funciona o PVID?
Ao receber um quadro não marcado, o switch verifica o PVID da porta de entrada. Se o quadro pertencer à VLAN padrão da porta (definida pelo PVID), o switch o encaminha para os dispositivos dentro dessa VLAN. Já se o quadro precisar ser direcionado para outra VLAN, o switch adiciona a tag da VLAN correspondente ao quadro antes de enviá-lo.
Para portas Trunk, o PVID padrão é a VLAN 1.
O post de hoje foi escrito em colaboração com o Rafael Eduardo, para a criação de servidor DHCP em Switches ArubaOS. A funcionalidade é bastante útil em localidades de pequeno e médio porte, que assim, utilizando o Switch como Servidor DHCP, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede etc.
Configuração
vlan 4 tagged 1-3,8 ip address 192.168.4.1 255.255.255.0 dhcp-server ! Habilitando o dhcp-server na VLAN exit
Script para criar o pool de dhcp para aquela Vlan
dhcp-server pool "VLAN4"
default-router "192.168.4.1"
! Endereço IP do Gateway
dns-server "8.8.8.8,8.8.4.4"
! Endereços IP do servidor DNS
network 192.168.4.0 255.255.255.0
! Endereço da Rede
range 192.168.4.2 192.168.4.254
! Endereços que serão fornecidos para as requisições DHCP na rede.
exit
dhcp-server enable ! Habilitando o servidor DHCP globalmente no Switch
Trocando informações no escopo DHCP
Caso haja a necessidade de trocar alguma informação no escopo DCHP de uma VLAN, siga os passos abaixo:
1º Desabilite o dhcp server
dhcp-server disable
2º Escolha o pool a ser editado
dhcp-server pool "VLAN4"
3º Remova o item a ser editado no caso abaixo o range
no range 192.168.4.2 192.168.4.254
4º Configure o novo escopo a ser entregue pelo Switch via DHCP
range 192.168.4.5 192.168.4.250
5º Habilite o serviço DHCP novamente
dhcp-server enable
Dicas de comandos show
Para verificar o Pool de IPs e quantos estão livres para atribuição, digite:
show dhcp-server pool
Para verificar os IPs atribuídos
show dhcp-server binding
A agregação de links, também conhecida como Link Aggregation (IEEE 802.3ad), é um protocolo padronizado que permite combinar múltiplas conexões Ethernet em um único canal virtual, aumentando significativamente a largura de banda disponível e aprimorando a redundância da rede. Essa tecnologia é comumente utilizada em ambientes de alta performance e missão crítica,
Nesse vídeo, utilizando o Simulador HCL, demonstramos a configuração do Link-Aggregation.
COMUTADORES 