Vídeo:COMO ESCOLHER UM SWITCH DE REDE?

Diego DiasLeave a comment

O mercado de TI oferece uma grande variedade de modelos de switches para os mais diversos fins.

Nesse video montamos uma lista de itens que pode te ajudar a qualificar o equipamento adequado com alguns simples pontos.

  • Perfil do equipamento;
  • Definir os ativos que conectarão ao Switch;
  • Infra;
  • Funcionalidades;
  • Throughput;
  • Integração com os equipamentos de outros fabricantes da rede ;
  • Profissionais capacitados na equipe para gerenciamento;
  • Troubleshooting;
  • Robustez/ Credibilidade do fabricante / Garantia;
  • Custo $$$;

Comware – Password-control

Diego DiasLeave a comment

A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.

Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc.

O comando display password-control permit visualizar quais configurações estão ativas:.

[Switch]display password-control
 Global password control configurations:
 Password control:                    Disabled
 Password aging:                      Enabled (90 days)
 Password length:                     Enabled (10 characters)
 Password composition:                Enabled (1 types, 1 characters per type)
 Password history:                    Enabled (max history records:4)
 Early notice on password expiration: 7 days
 Maximum login attempts:              3
 Action for exceeding login attempts: Lock user for 1 minutes
 Minimum interval between two updates:24 hours
 User account idle time:              90 days
 Logins with aged password:           3 times in 30 days
 Password complexity:                 Disabled (username checking)
                                      Disabled (repeated characters checking)
[Switch]

A configuração abaixo permite o controle de senha para switches configurados com autenticação local:

# Habilitando o password-control globalmente.
[Switch] password-control enable

# Proibe que o usuário faça login após duas falhas consecutivas.
[Switch] password-control login-attempt 2 exceed lock

# Defina o tempo de 30 dias para todas as senhas.
[Switch] password-control aging 30

# Defina o intervalo mínimo de atualização de senha para 36 horas.
[Switch] password-control password update interval 36

# Especifique que um usuário pode fazer o login cinco vezes no prazo de 60 dias após a expiração da senha.
[Switch] password-control expired-user-login delay 60 times 5

# Defina o tempo de inatividade máximo da conta para 30 dias.
[Switch] password-control login idle-time 30

# Recuse qualquer senha que contenha o nome de usuário ou o nome de usuário inverso.
[Switch] password-control complexity user-name check

Para verificar usuários bloqueados digite display password-control  blacklist:

[Switch]display password-control  blacklist
 Blacklist items matched: 1.
 Username: jose
    IP: 192.168.0.4    Login failures: 3    Lock flag: lock

Para resetar o usuário bloqueado digite:

<Switch>reset password-control blacklist user-name jose

Até mais!

Referências

Comware: STP desabilitado!!!!

Diego DiasLeave a comment

Os Switches baseados no Comware, dependendo da versão, podem vir de fábrica com o protocolo STP desabilitado, assim como a maioria dos Protocolos e Serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite. 

[Switch] display stp
Protocol Status :disabled
Protocol Std. :IEEE 802.1s
Version :3
Bridge-Prio. :32768
MAC address :000f-e203-0200
Max age(s) :20
Forward delay(s) :15
Hello time(s) :2
Max hops :20
! Identificando que o STP está desabilitado no Switch

[Switch]stp enable
%Jun 18 16:21:10:253 2012 Switch MSTP/6/MSTP_ENABLE: STP is now
enabled on the device.
! Habilitando o Spanning-Tree

Um grande abraço

Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

Diego DiasLeave a comment

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.

Switches ArubaOs – Configurando um Range de Interfaces

Diego DiasLeave a comment

Os switches ArubaOS permitem o agrupamento de portas  para determinadas configurações, como por exemplo, atribuir uma VLAN a diversas portas ao mesmo tempo.

Segue abaixo uma dica que pode agilizar a vida de muitos administradores:

switch# configure terminal
switch(config)# interface 9-10
! agrupando  as portas 9 e 10 para configuração
switch(eth-9-10)# untagged 2
! configurando as portas para participarem da VLAN 2
switch(eth-9-10)# dldp enable
! habilitando o dldp nas portas 9 e 10
switch(eth-9-10)# exit
switch(config)#
switch(config)# interface 11-15,17
! agrupando  as portas 11, 12, 13, 14,15 e 17 para configuração 
switch(eth-11-15,17)# untagged vlan 5
! configurando as portas para participarem da VLAN 5

Validando a configuração com o comando show running-config structured :

switch(config)# show running-config structured | begin interface 9
 interface 9
    dldp enable
    untagged vlan 2
    exit
 interface 10
    dldp enable
    untagged vlan 2
    exit
 interface 11
    untagged vlan 5
    exit
 interface 12
    untagged vlan 5
    exit
 interface 13
    untagged vlan 5
    exit
 interface 14
    untagged vlan 5
    exit
 interface 15
    untagged vlan 5
    exit
 interface 16
    untagged vlan 1
    exit
 interface 17
    untagged vlan 5
    exit

Até logo!

Cowmare: Dicas para usar o “display current-configuration”

Diego DiasLeave a comment

Dicas para usar o “display current-configuration”

Navegando pela internet descobri em alguns blogs dicas interessantes para visualizar a configuração em equipamentos com o Comware (Switches e Roteadores 3Com, H3C e HPN). Como no site: http://configureterminal.com/hp-comware/

Fiz uma pequena adaptação em português para alguns comandos que podem ser bastante úteis.

 display this

O comando display this exibe a configuração baseado na “view” de acesso. Por exemplo, se estivermos aplicando a configuração em uma interface GigabitEthernet, o comando display this exibirá as configurações aplicadas na interface.

[HP]
[HP]interface  GigabitEthernet 1/0/1
[HP-Ethernet1/0/1]display this
#
interface GigabitEthernet1/0/1
 port link-mode route
 ip address 159.63.229.149 255.255.255.252
#

display current-configuration

O comandodisplay current-configuration exibe  a configuração aplicada corrente na “memória RAM” do equipamento.É possível extrair algumas “dicas” do comando visualizando as opções:

[HP]disp current-configuration ?
  by-linenum     Display configuration with line number
  configuration  The pre-positive and post-positive configuration information
  exclude        Display current configuration without specified module
  interface      The interface configuration information
  |              Matching output

by-linenum

O “sufixo” by-lineum permite exibir a configuração numerada, como por exemplo, facilitando o troubleshooting remoto para identificar a linha que deseja demonstrar ao outro técnico.

[HP]display current-configuration by-linenum
    1:  #
    2:   version 5.20, Release 9101
    3:  #
    4:   sysname SW1
    5:  #
    6:   undo voice vlan mac-address 00e0-bb00-0000
    7:  #
    8:   domain default enable system
    9:  #
   10:   ip unreachables enable
   11:  #
   12:   lldp enable
   13:  #
   14:   rpr mac-address timer aging 100
   15:  #
   16:  vlan 1
   17:  #
   18:  domain system
   19:   access-limit disable
  ---- More ----

configuration

O “sufixo” configuration permite exibir a configuração de determinado processo…

[HP]disp current-configuration configuration ?
  attack-defense-policy  Display Attack-defense-policy configuration
  bgp                    Display Bgp configuration
  by-linenum             Display configuration with line number
  isp                    Display Isp configuration
  post-system            Display Post-system configuration
  route-policy           Display Route-policy configuration
  system                 Display System configuration
  ugroup                 Display Ugroup configuration
  user-interface         Display User-interface configuration
  wlan-rrm               Display Wlan-rrm configuration
  |                      Matching output

[SW1]display  current-configuration configuration bgp
#
bgp 65012
 import-route direct
 undo synchronization
 peer 172.16.0.2 as-number 65000
 peer 172.16.0.2 advertise-community
 peer 172.16.0.2 substitute-as
#
return

Pipe |

A utilização do “|” permite selecionarmos apenas parte da configuração para ser exibida , incluindo a utilização de algumas expressões regulares. O “include” exibe apenas parte da configuração que contêm a palavra selecionada, o “begin” exibe a configuração a partir da primeira palavra encontrada e o “exclude” exibe a configuração sem a palavra selecionada.

[HP]display current-configuration | ?
  begin    Begin with the line that matches
  exclude  Match the character strings excluding the regular expression
  include  Match the character strings including with the regular expression

No exemplo abaixo, utilizaremos o include para visualizar a parte da configuração que inclua a palavra “face”

[HP]display current-configuration | include face
interface NULL0
interface GigabitEthernet1/0/1
interface GigabitEthernet1/0/2
interface GigabitEthernet1/0/3
interface GigabitEthernet1/0/4
interface GigabitEthernet1/0/5
interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/7
interface GigabitEthernet1/0/8
interface GigabitEthernet1/0/9
interface GigabitEthernet1/0/10
interface GigabitEthernet1/0/11
interface GigabitEthernet1/0/12
interface GigabitEthernet1/0/13
interface GigabitEthernet1/0/14
interface GigabitEthernet1/0/15
interface GigabitEthernet1/0/16
interface GigabitEthernet1/0/17
interface GigabitEthernet1/0/18
interface GigabitEthernet1/0/19
interface GigabitEthernet1/0/20
interface GigabitEthernet1/0/21
interface GigabitEthernet1/0/22
  ---- More ----

[HP]display  current-configuration | include ^v
vlan 1
vlan 2 to 4
vlan 10
vlan 20
vlan 30
vlan 40

Outros inumeros exemplos podem ser utilizados com expressões regulares para filtro de exibição da configuração.

A utilização do “begin” exibe a configuração a partir da primeira palavra encontrada (parte da palavra).

[HP]display current-configuration | begin Ten
interface Ten-GigabitEthernet1/0/25
 port link-type trunk
 port trunk permit vlan 1 20
#
interface Ten-GigabitEthernet1/0/26
#
interface Ten-GigabitEthernet1/0/27
#
interface Ten-GigabitEthernet1/0/28
#
user-interface aux 0
user-interface vty 0 15
#
return
[HP]

outros comandos interessantes para visualizar a configuração são os caracteres “/” or “+” or “-“:

/ o mesmo que “begin”
+ o mesmo que “include”
– o mesmo que “exclude”

O primeiro primeiro passo é digitar o ” display current”

[HP]display current-configuration
#
 version 5.20, Release 1110P05
#
 sysname HP
#
 irf mac-address persistent timer
 irf auto-update enable
 undo irf link-delay
#
 domain default enable system
#
 telnet server enable
#
vlan 1
#
radius scheme system
 server-type extended
 primary authentication 127.0.0.1 1645
 primary accounting 127.0.0.1 1646
 user-name-format without-domain
#
domain system
 access-limit disable
  ---- More ----

Quando o “—More—” aparecer para a paginação da configuração, digite a tecla “/” mais a palavra para filtro da configuração. Em nosso exemplo usaremos “/Ten”:

/Ten
filtering...
interface Ten-GigabitEthernet1/0/25
 port link-type trunk
 port trunk permit vlan 1 10
#
interface Ten-GigabitEthernet1/0/26
#
interface Ten-GigabitEthernet1/0/27
#
interface Ten-GigabitEthernet1/0/28
#
ospf 1
 area 0.0.0.0
  network 10.1.1.1 0.0.0.0
  network 10.1.2.1 0.0.0.0
#
 load xml-configuration
#
user-interface aux 0
user-interface vty 0 15
#
return
[HP]

Utilize o “-” para não exibir parte da da configuração. Em nosso exemplo, “net”:

-net

filtering...
#
interface NULL0
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
  ---- More ----

Até logo!

Interface Null 0

Diego DiasLeave a comment

A Interface Null é uma interface lógica disponível em Switches e Roteadores para manipulação  em processos de Roteamento.

Configurando uma Rota Estática com o Gateway para NULL fará que os pacotes direcionados para aquela Rede sejam descartados.

ip route-static 192.168.1.0 255.255.255.0 Null 0
! Configurando a rota 192.168.1.0/24  para encaminhar à Interface Null 0

Em processos de Roteamento Dinâmico a Interface Null 0 poderá ser utilizada para manipulação de Rotas como: sumarização, filtro, injeção de prefixos, etc.

Abraços a todos!

Switches ArubaOS – Configurando OSPF com autenticação MD5

Diego DiasLeave a comment

O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

SwitchA

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.133 255.255.255.252
   ip ospf 10.168.32.133 area backbone
   ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
   exit
vlan 10
   ip address 10.10.10.1 255.255.255.0
   ip ospf 10.10.10.1 area 10

SwitchB

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.134 255.255.255.252
   ip ospf 10.168.32.134 area backbone
   ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
   exit

Verificando o estabelecimento de vizinhança

SwitchA# sh ip ospf neighbor

 OSPF Neighbor Information

                                                         Rxmt         Helper
  Router ID       Pri IP Address      NbIfState State    QLen  Events Status
  --------------- --- --------------- --------- -------- ----- ------ ------
  10.168.32.133   1   10.168.32.134   DR        FULL     0     7      None

Até logo.