A ferramenta macof inunda a rede local com endereços MAC randômicos forçando alguns switches a atuarem como repetidores, permitindo ao atacante praticar o sniffing da rede.
Pode também ser utilizada em testes para validação de funcionalidades de segurança da rede, como o port-security, pentest e provas de conceito.
Olá amigos, os scripts de hoje fazem parte de um manual muito bacana repassado pelo Fabinho e o Índio da Infraero. Os Scripts seguem como um manual rápido para instalação e/ou configuração de Switches 3Com do modelo 5500 ( parte dos comandos são aceitos na maioria dos Switches da 3Com); os scripts são simples e bastante úteis!
Configurando o nome do Switch
[5500G-EI]sysname SW_Core
[SW_Core]
Configuração de Vlans
Criando uma Vlan e colocando-a um nome
[Switch] vlan 3
[Switch-vlan] name
Criando uma Vlan e colocando-a uma descrição
[Switch] vlan 3
[Switch-vlan] description
Criando uma várias vlans ao mesmo tempo
[Switch] vlan to 2 to 5
Apagando uma vlan
[Switch] undo vlan 2
Mostrando quais as vlans que existem no switch
[Switch] display vlan
Mostrando as informações de uma determinada vlan (descrição, endereço IP se houver, portas tagged e untagged)
[Switch] display vlan 2
Definindo o IP para a VLAN 2
[Switch]interface Vlan-interface 2
[Switch]-Vlan-Interface]ip address 192.168.100.1 255.255.255.0
Configurando o default gateway
[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 (ip do gateway)
Configurações de portas
Entrando no modo de configuração de uma porta
[Switch] interface gigabit-ethernet 1/0/4
Colocando uma descrição na porta
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] description
Adicionando porta a uma vlan
Configurando o tipo de porta
Porta ACCESS: Porta de acesso, utilizada para ligar hosts (estações, servidores, etc)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port link-type access
Porta TRUNK: Porta que permitirá mais de uma vlan trafegar pela porta(utilizando TAG(802.1q). Utilizada como porta de uplink, nas ligações entre switches.
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port link-type trunk
Associando uma porta access a uma vlan.
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port access vlan 5
Removendo uma vlan de uma porta access. A porta voltará a pertencer a vlan 1 (default)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] undo port access vlan
Associando todas as vlans a porta trunk. Desse modo, todas as vlans passarão pela porta trunk
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port trunk permit vlan all
Copiando as configurações de uma porta para outra (vlan, spanningtree, velocidade etc). Não efetua a copia das configurações de controle de broadcast
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6
Copiando as configurações de uma porta para várias portas
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6 to gigabit-ethernet 1/0/12
Definindo a senha do usuário ADMIN como s3nha
local-user admin
service-type telnet terminal
level 3
password cipher s3nha
Removendo os usuários default MANAGER e MONITOR
[Switch]undo local-user manager
[Switch]undo local-user monitor
Configurando e habilitando o gerenciamento SNMP com as comunidades s1ro e s1rw
[Switch]snmp-agent community read s1ro
[Switch]snmp-agent community write s1rw
Removendo as comunidades default PUBLIC e PRIVATE
[Switch]undo snmp-agent community write private
[Switch]undo snmp-agent community read public
Habilitando o spanning tree protocol (já é habilitado por padrão)
[Switch] stp enable
Configurando a versão do rapid spanning tree protocol
[Switch] stp mode rstp
Configurando o switch como root bridge primário do spanning tree
O comando stp root primary configura automaticamente o valor do Bridge Priority para 0 (zero)
[Switch] stp root primary
ou
[Switch] stp priority 0
Configurando o switch como root bridge secundário do spanning tree
O comando stp root secondary configura automaticamente o valor do Bridge Priority para 4096
[Switch] stp root secondary
ou
[Switch] stp priority 4096
Criando um LINK AGGREGATION entre dois Switches. Não esquecer de executar esses procedimentos em ambos os Switches. Neste exemplo estão sendo utilizadas as portas 1/0/25 e 1/0/26 dos dois Switches.
link-aggregation group 1 mode static
#
interface GigabitEthernet 1/0/25
undo shutdown
port link-aggregation group 1
#
interface GigabitEthernet 1/0/26
undo shutdown
port link-aggregation group 1
Salvando as configurações do Switch
save
Apagando todas as configurações do Switch
reset saved-configuration
reboot
Comandos Display
Informações de uma determinada porta (velocidade, duplex, etc)
display interface GigabitEthernet 1/0/3
Mostrando um resumo de TODAS as portas
display brief interface
Mostrando quais portas do Switch são do tipo TRUNK
display port trunk
Mostrando um sumário do LINK AGGREGATION.
display link-aggregation summary
display link-aggregation verbose
Mostrando a configuração do Switch atual
display current-configuration
Mostrando informações do Spanning Tree, quais portas estão BLOQUEADAS e quais estão em FORWARDING
display stp brief
display stp
E vocês, possuem mais alguma sugestão de comando para os Switches da linha 5500?
Sintam-se a vontade…
Um abração!
Quando a funcionalidade Client Track IP está habilitada, o switch monitora o tráfego de rede para identificar o endereço IP de cada dispositivo conectado à rede. Ele então usa essa informação para criar uma tabela de rastreamento de clientes, que mostra o endereço IP de cada dispositivo, juntamente com o número da porta do switch à qual ele está conectado.
Isso permite que os administradores de rede identifiquem rapidamente a localização física de cada dispositivo, o que pode ser útil para solução de problemas e para fins de segurança. Por exemplo, se um dispositivo estiver causando problemas de rede, o administrador pode usar a tabela de rastreamento de clientes para identificar rapidamente o switch e a porta à qual o dispositivo está conectado.
A funcionalidade Client Track IP também pode ser usada em conjunto com outras ferramentas de gerenciamento de rede, como o Aruba ClearPass Policy Manager, para fornecer uma visão mais completa da rede e dos dispositivos conectados a ela. Em geral, a funcionalidade Client Track IP ajuda os administradores de rede a gerenciar e solucionar problemas em redes complexas de forma mais eficiente.
**Configuração do Client Track IP**
client track ip
*! configurações para descoberta do IP dos dispositivos cliente e envio do framed-ipaddress no accouting da autenticação 802.1x (atributo 8)*
vlan 10
client track ip
vlan 20
client track ip
*! Habilitando na VLAN*
interface 1/1/24
no shutdown
description UPLINK
no routing
vlan trunk native 1
vlan trunk allowed 10, 20
client track ip disable
*! filtrando o client track ip na interface de uplink*
Switch# **show client ip**
MAC Address Interface VLAN IP Address
aa:56:27:f2:c1:aa 1/1/3 10 192.168.10.136
f4:bb:7f:c7:37:8c 1/1/21 20 192.168.20.147
f4:bb:7f:c7:30:ff 1/1/22 20 192.168.20.141
Esses dias durante a releitura do material da H3C “Stackable LAN Switches” decidi traduzir de forma resumida uma das páginas referente a manipulação da tabela de endereços MAC.
O aprendizado de endereços MAC pode ocorrer de forma estática, nunca expira, ou de forma dinâmica pela leitura de mensagens Broadcast, como por exemplo o Protocolo ARP; essa tabela possui validade de tempo.
Adicionando uma entrada estática:
mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id
Criando um “buraco negro” para um endereço MAC:
mac-address blackhole mac-address vlan vlan-id
Desabilitando o aprendizado dinâmico:
mac-address mac-learning disable
Configurando um limite de aprendizado de endereços dinâmicos MAC para uma interface:
mac-address max-mac-count quantidade
Até logo!
O Per VLAN Spanning Tree Protocol (PVST) é uma versão do protocolo Spanning Tree Protocol (STP) que permite que múltiplas instâncias de STP sejam executadas em uma rede local, garantindo que cada VLAN tenha sua própria topologia de spanning tree.
Quando o PVST é ativado em uma VLAN, cada switch na rede mantém uma instância do STP para cada VLAN, em vez de uma única instância do STP para toda a rede. Cada instância de STP cria uma topologia de spanning tree separada para sua VLAN correspondente.
Os Switches Aruba CX permitem a configuração do Rapid PerVLAN Spanning-Tree para interoperabilidade com Switches Cisco, por exemplo.
Para efetuar a configuração basta mudar a versão do STP para o RPVST, configurar globalmente as VLANs que terão suas instancias como PerVLAN e alterar a prioridade, se necessário.
spanning-tree mode rpvst
spanning-tree
spanning-tree vlan 35,36,65,66
spanning-tree vlan 35 priority 15
spanning-tree vlan 36 priority 15
spanning-tree vlan 65 priority 15
spanning-tree vlan 66 priority 15
6300# **show spanning-tree summary root**
STP status : Enabled
Protocol : RPVST
System ID : b8:d4:e7:a0:67:00
Root bridge for VLANs :
VLAN Priority Root ID cost Time Age Dly Root Port
—
VLAN35 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
VLAN36 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
VLAN65 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
VLAN66 4096 00:23:04:ee:be:c8 2004 2 20 15 lag1
Olá pessoal, hoje comentaremos sobre o script de configuração que permite atribuirmos uma VLAN dinamicamente a um host baseado na rede de origem. O método é útil para redes que utilizam endereços IP estáticos para hosts e necessitam de mobilidade para
os usuários.
A configuração também permite corrigirmos erros ou limitações na topologia ocasionado por HUBs ou Switches não-gerenciáveis.
No exemplo abaixo a conectamos ao Switch 4800G um Switch não-gerenciável. Ao Switch não-gerenciável conectamos duas máquinas de sub-redes diferentes (192.168.2.33/24 e 192.168.3.20/24) que deveriam pertencer a VLAN 2 e 3 .
O Script abaixo auxiliará as máquinas à serem atribuídas as suas respectivas sub-redes de forma transparente ao usuário.
vlan 2 ip-subnet-vlan ip 192.168.2.0 255.255.255.0 ! Atribuindo a sub-rede 192.168.2.0/24 à VLAN 2 # vlan 3 ip-subnet-vlan ip 192.168.3.0 255.255.255.0 ! Atribuindo a sub-rede 192.168.3.0/24 à VLAN 3 # interface GigabitEthernet1/0/30 port link-type hybrid ! Configurando a Interface Giga1/0/30 como híbrida, a porta híbrida permite a atribuição dinâmica de VLANs baseada em diversos fatores como endereços MAC, Protocolo, etc. port hybrid vlan 1 to 3 untagged ! Configurando a porta híbrida para permitir as VLAN 1,2 e 3 encaminhar/receber quadros sem TAG, incluíndo Broadcasts. port hybrid ip-subnet-vlan vlan 2 ! Configurando a porta para atribuição dinâmica da VLAN 2 port hybrid ip-subnet-vlan vlan 3 ! Configurando a porta para atribuição dinâmica da VLAN 3 #
[4800G]disp int g1/0/30 <saída omitida> Forbid jumbo frame to pass PVID: 1 Mdi type: auto Link delay is 0(sec) Port link-type: hybrid Tagged VLAN ID : none Untagged VLAN ID : 1-3 Port priority: 0 Peak value of input: 183 bytes/sec, at 2000-04-26 15:21:31 Peak value of output: 78 bytes/sec, at 2000-04-26 15:22:32
Obs: A configuração para atribuição de VLAN dinâmica baseado na rede de origem possui desvantagens em comparação a atribuição de VLAN estática a uma porta, devido a problemas de encaminhamento de TODOS os broadcast para as VLANs atribuídas e a verificação do endereço IP de cada pacote pelo Switch, para depois vincular o quadro a VLAN correta.
Espero que tenham gostado, até logo!
Fala Galera, tudo bom!?
Segue mais uma videoaula sobre os principais comandos para administração e gerenciamento de Switches e Roteadores baseados no Comware (3Com/HP, H3C).
Abração
O Time-Domain Reflectometer (TDR) é uma técnica de medição usada para caracterizar e localizar falhas em cabos metálicos, como par trançado. Se houver alguma falha no cabo, parte do sinal do incidente é enviado de volta para a origem. O TDR também:
O TDR é integrado à maioria dos switches Aruba como as linhas 2930, 3810 e 5400.
Primeiro execute o comando test cable-diagnostics no modo de configuração para as interfaces que deseja efetuar os testes ( que não estejam em produção no momento) e após isso valide com o comando show cable-diagnostics.
Switch(config)# test cable-diagnostics 4
This command will cause a loss of link on all tested ports and will take several seconds per port to complete. Use the 'show cable-diagnostics'
command to view the results.
Continue (y/n)? y
Switch(config)# show cable-diagnostics
Cable Diagnostic Status - Copper Ports
MDI Cable Cable Length or
Port Pair Status Distance to Fault
---- ------ ----------- ---------------------
4 1-2 OK 5m
3-6 OK 4m
4-5 OK 5m
7-8 OK 4m
Referências
https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=26625
https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=19188
Para aqueles que estão acostumados a gerenciar Switches 3Com/H3C/HP baseados no Comware e precisam administrar switches em ambientes multivendor, com equipamentos HP Procurve, podem utilizar o comando comware-help-display para habilitar alguns comandos do Comware no Provision.
Habilite a feature com o comando
HP-5406zl(config)# comware-help-display
Exemplo de configuração
HP-5406zl(config)# interface vlan 32 HP-5406zl(vlan-32)# display this vlan 1 name "default" no untagged A1,A3-A4,A7-A8,A10,A14-A16,A20 untagged A2,A5-A6,A9,A13,A17-A19,A21-A22,Trk1-Trk2 ip address dhcp-bootp ip igmp dhcp-snooping exit vlan 10 name "RH" untagged A1 no ip address exit vlan 31 !saída omitida HP-5406zl(vlan-32)# display current-configuration ; J8697A Configuration Editor; Created on release #K.15.17.0008 hostname "HP-5406zl" module 1 type j8702a comware-help-display enable console idle-timeout 7200 console idle-timeout serial-usb 7200 dhcp-snooping no telnet-server time timezone -200 no web-management !saída omitida
Abraços
O post abaixo foi encaminhado como dica pelo André Gomes e é bem interessante para quem administra equipamentos remotos e precisa saber quais equipamentos estão com uma SFP conectada ou se o espaço reservado para elas está vazio, ou mesmo verificar se o Switch reconheceu o modelo do transceiver.Para verificar se tem gbic no módulo de fibra de um equipamento, execute o comando display interface.
Por exemplo:
display interface GigabitEthernet3/1/3 GigabitEthernet3/1/3 current state: DOWN Line protocol current state: DOWN Description: GigabitEthernet3/1/3 Interface The Maximum Transmit Unit is 1500 Link delay is 1(sec) Internet protocol processing : disabled IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a669-3333 IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a669-3333 Media type is optical fiber, Port hardware type is 1000_BASE_SX_SFP (...saída omitida)
Reparem que mesmo que a interface esteja sem fibra, ou seja, com o status de “DOWN” aparece o tipo de GBIC: “1000_BASE_SX_SFP”.
Agora como comparativo, segue um output de porta que não possui gbic instalada:
display interface GigabitEthernet3/1/7 GigabitEthernet3/1/7 current state: DOWN Line protocol current state: DOWN Description: GigabitEthernet3/1/7 Interface The Maximum Transmit Unit is 1500 Link delay is 1(sec) Internet protocol processing : disabled IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a669-7777 IPv6 Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3ce5-a669-7777 Media type is not sure, Port hardware type is No connector (...saída omitida)
Os comandos foram executados em um roteador A8808 e no switch A7510.
COMUTADORES 