O VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.
Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.
Há também cenários que o roteador Master do VRRP continua ativo, mas não consegue encaminhar os pacotes devido a interface saída (como para a Internet por exemplo) cair. Podemos então fazer o track para o processo VRRP monitorar algum objeto, que pode ser o estado da interface( UP ou down), pingar determinado site, teste de conexão telnet e etc; e dessa forma reduzir a prioridade VRRP baseando-se em uma condição.
Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das funcionalidades Root-Guard e Loop-Guard.
Root Guard: A configuração da porta como Root Guard permite à uma porta Designada a prevenção do recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente.
Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Em um cenátio atípico, quando uma porta alternativa parar de receber BPDU (mas ainda UP) ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento criando assim um Loop lógico em toda a LAN. Nesse caso a funcionalidade deixará a porta alternativa sem comunicação (como blocking em loop-inconsistent) até voltar a receber BPDU’s do Switch Root.
Aula 8 do Treinamento Comware para Switches HP. As ACLs, também chamadas de listas de acesso, são utilizadas para determinar se um pacote será permitido ou descartado pelo switch/roteador com as ações PERMIT ou DENY.
A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.
No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.
Instalando Freeradius no Slackware
1 – Baixe os pacotes do slackbuilds.org e instale normalmente;
2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;
3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;
4 – Adicione na primeira linha: student1 Cleartext-Password := “labhp” ! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’
5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123 ! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius
6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:
Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20
7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.
8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.
10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:
Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7
Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.
Configurando o Comware7
#
interface GigabitEthernet1/0
ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
accounting-on enable
user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio
nas-ip 10.12.0.102
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
domain default enable bbb
#
user-vty 0 63
authentication-mode scheme
SD-WAN é a sigla para se referir ao termo “Software-Defined Wide Area Network”. Trata-se de uma abordagem onde as definições de tráfego são controladas por software de forma a se criar uma rede overlay para permitir a conectividade no âmbito de redes WAN.
Podendo ser composta de links dedicados, Internet de banda larga e serviços sem fio, a tecnologia SD-WAN permite gerenciar aplicativos de maneira eficiente, em particular aqueles na nuvem.
O tráfego é encaminhado de maneira automática e dinâmica pelo caminho WAN mais adequado e eficiente com base nas condições de rede, demandas das aplicações, requisitos de QoS e custo de circuito.
As versões novas do Comware 7 já possuem suporte para configuração de “match” nos perfis de tráfego para fins de QoS e etc; baseado no reconhecimento das aplicações, conforme output abaixo:
[MSR1002-4]traffic classifier APLICACAO operator or
[MSR1002-4-classifier-APLICACAO]if-match application ?
STRING<1-63> Application name. 'A-Z', 'a-z', '0-9', '_', and '-' are
permitted, but 'invalid' and 'other' are prohibited
afs3-kaserver AFS/Kerberos authentication service
aol America Online
appleqtc Apple Quick Time
bgp Border Gateway Protocol
bittorrent BitTorrent File Transfer Traffic
bootpc Bootstrap Protocol Client
bootps Bootstrap Protocol Server
chargen Character Generator
citrixadmin Citrix ADMIN
citrixima Citrix IMA
citriximaclient Citrix MA Client
clearcase Clearcase
cma CORBA Management Agent
corba-iiop Corba Internet Inter-Orb Protocol
corba-iiop-ssl Corba Internet Inter-Orb Protocol SSL
corbaloc CORBA LOC
cuseeme Desktop Video Conferencing
daytime Daytime Protocol
dbase dBASE Unix
dhcpv6-client DHCPv6 Client
dhcpv6-server DHCPv6 Server
dicom Digital Imaging and Communications in Medicine, DICOM
dicom-iscl DICOM ISCL
dicom-tls DICOM TLS
dns Domain Name Server
dns-llq DNS Long-Lived Queries
doom Doom Id Software
echo Echo
edm-adm-notify EDM ADM Notify
edm-manager EDM Manger
edm-mgr-cntrl EDM MGR Cntrl
edm-mgr-sync EDM MGR Sync
edm-stager EDM Stager
edm-std-notify EDM STD Notify
finger Finger
fix Financial Information Exchange
ftp File Transfer [Control]
ftp-data File Transfer [Default Data]
ftps ftp protocol, control, over TLS/SSL
ftps-data ftp protocol, data, over TLS/SSL
g-talk Google Talk
gnutella-rtr gnutella-rtr
gnutella-svc gnutella-svc
gopher Gopher
gprs-data GPRS Data
gprs-sig GPRS SIG
gtp-control GTP-Control Plane (3GPP)
gtp-user GTP-User Plane (3GPP)
h225 H.323 Call Setup
h245 Control Protocol for Multimedia Communication
h263-video H.263 Video Streaming
h323callsigalt H.323 Call Signal Alternate
h323gatedisc H.323 Gatekeeper Discovery
h323hostcallsc H.323 Host Call Secure
hl7 Health Level Seven
http Hyper Text Transfer Protocol
https http protocol over TLS/SSL
ibm-db2 IBM-DB2
ica Citrix ICA
icabrowser Citrix ICA
ils Windows Internet Locator service
imap Internet Message Access Protocol
imap3 Interactive Mail Access Protocol v3
imaps imap4 protocol over TLS/SSL
ipx Internet Packet Exchange
irc Internet Relay Chat Protocol
irc-serv IRC-SERV
ircs Secure IRC
irdmi iRDMI
isakmp Internet Security Association and Key Management Protocol
isi-gl Interoperable Self Installation Graphics Language
kazaa KaZaA
kerberos Kerberos
kerberos-adm kerberos administration
kerberos-iv kerberos version iv
kftp Kerberos V5 FTP Control
kftp-data Kerberos V5 FTP Data
klogin Klogin
kshell Kshell
ktelnet Kerberos V5 Telnet
l2tp Level 2 Tunnel Protocol
ldap Lightweight Directory Access Protocol
ldaps ldap protocol over TLS/SSL
login Login
mdns Multicast DNS
mdnsresponder Multicast DNS Responder IPC
mgcp-callagent Media Gateway Control Protocol Call Agent
mgcp-gateway Media Gateway Control Protocol Gateway
microsoft-ds Microsoft Directory Services
mmcc multimedia conference control tool
ms-sql-m Microsoft-SQL-Monitor
ms-sql-s Microsoft-SQL-Server
msn-messenger MSN Messenger
msrpc Microsoft RPC
netbios-dgm NETBIOS Datagram Service
netbios-ns NETBIOS Name Service
netbios-ssn NETBIOS Session Service
news news
nfs Network File System
nicname Nicname
nmap Network Mapper
nntp Network News Transfer Protocol
nntps nntp protocol over TLS/SSL
notes IBM Lotus Notes
npp Network Printing Protocol
ntp Network Time Protocol
orasrv Oracle
ott One Way Trip Time
pcanywheredata Symantic PCAnywhere Data
pcanywherestat Symantic PCAnywhere Stat
pop3 Post Office Protocol Version 3
pop3s pop3 protocol over TLS/SSL
pptp Point-to-Point Tunneling Protocol
presence XMPP Link-Local Messaging
printer Printer
radius Remote Authentication Dial In User Service (RADIUS)
radius-acct RADIUS Accounting
radius-dynauth RADIUS Dynamic Authorization
ras H.323 Gatekeeper Registration Admission Status
rcp Radio Control Protocol
rfb Remote Framebuffer
rip Routing Information Protocol
rsh Remote Shell Commands
rsvp-encap-1 Resource Reservation Protocol Encapsulation-1
rsvp-encap-2 Resource Reservation Protocol Encapsulation-2
rsvp-tunnel RSVP Tunnel
rsync rsync
rtcp Real-Time Control Protocol
rtelnet Remote Telnet Service
rtp Real-Time Transport Protocol
rtsp Real Time Streaming Protocol
sccp Skinny Client Control Protocol
sdp Session Description Protocol
sip Session Initiation Protocol
smtp Simple Mail Transfer
snmp Simple Network Management Protocol
snmptrap Simple Network Management Protocol Trap
socks Firewall ecurity Protocol
sqlexec IBM Informix SQL Interface
sqlexec-ssl IBM Informix SQL Interface Encrypted
sqlnet SQL*NET for Oracle
ssh The Secure Shell (SSH) Protocol
stun Session Traversal Utilities for NAT (STUN) port
stuns STUN over TLS
sunrpc SUN Remote Procedure Call
svn Subversion
syslog System Logging
systat System Statistics
tacacs Terminal Access Controller Access Control System
tacacs-ds TACACS-Database Service
telnet Telnet
telnets telnet protocol over TLS/SSL
tftp Trivial File Transfer
time Time
timed Time Server
tunnel TUNNEL
who Who
whoispp whois++
x11 X Window System
xdmcp X Display Manager Control Protocol
Os testes foram executados em um Roteador MSR1002-4 com Version 7.1.059, Release 0305P04.
O crescimento explosivo do mercado de dispositivos IoT e das tecnologias de rede sem fio de última geração como Wifi 6 (802.11ax) exige uma atenção redobrada na escolha dos switches com Power over Ethernet (PoE). Essa tecnologia combina o envio de dados e energia elétrica através de um único cabo Ethernet, simplificando drasticamente a infraestrutura de rede e oferecendo diversas vantagens:
Redução de custos: Elimine a necessidade de cabos de alimentação separados, economizando em materiais e mão de obra.
Maior simplicidade: Instalação e gerenciamento mais fáceis, com menos cabos emaranhados.
Flexibilidade: Posicione dispositivos em qualquer lugar, sem se preocupar com tomadas elétricas.
Escalabilidade: Expanda sua rede facilmente, à medida que suas necessidades crescem.
Segurança: Alimentação centralizada e protegida, minimizando riscos e otimizando o desempenho.
Controle inteligente: Monitore e gerencie dispositivos remotamente, com recursos avançados de automação.
Neste vídeo completo, você encontrará:
Explicação detalhada dos diferentes padrões PoE.
Dicas valiosas para escolher o switch PoE ideal para suas necessidades:
Quantidade de portas PoE e tipo de PoE (padrão, PoE+, etc.).
Potência total PoE e por porta.
Recursos adicionais de gerenciamento e segurança.
Compatibilidade com seus dispositivos IoT e Wi-Fi.
COMUTADORES 