Switches ArubaOS –  Comando encrypt-credentials

Diego DiasLeave a comment

O comando encrypt-credentials disponível em switches ArubaOS é utilizado para criptografar credenciais armazenadas na configuração do dispositivo. Isso melhora a segurança, pois evita que senhas e chaves de autenticação sejam expostas em texto plano.

Funcionamento:

O comando encrypt-credentials ativa a criptografia para credenciais armazenadas em arquivos de configuração. Quando esse recurso está habilitado, as credenciais (como senhas de usuários locais, TACACS+ ou RADIUS) são criptografadas usando um algoritmo seguro (como AES-256).

Switch(config)# encrypt-credentials

**** CAUTION ****

This will encrypt all passwords and authentication keys.

The encrypted credentials will not be understood by older software versions. The resulting config file cannot be used by older software versions. It may also break some of your existing user scripts.

Before proceeding, please save a copy of your current config file, and associate the current config file with the older software version saved in flash memory. See “Best Practices for Software Updates” in the Release Notes.

A config file with ‘encrypt-credentials’ may prevent previous software versions from booting. It may be necessary to reset the switch to factory defaults. To prevent this, remove the encrypt-credentials command or use an older config file.

Save config and continue [y/n]? y

O comando aceita um argumento opcional para definir uma chave secreta pré- compartilhada usada para criptografia. No entanto, a maioria das implementações usa uma chave interna fixa.

Switch(config)# encrypt-credentials pre-shared-key plaintext ChaveSecreta1

Save config and continue [y/n]? y

A funcionalidade aumenta a segurança do switch, pois as credenciais ficam ilegíveis no arquivo de configuração, mesmo se alguém obtiver acesso não autorizado.

Ajuda na conformidade com regulamentações de segurança que exigem a proteção de dados confidenciais.

A habilitação do encrypt-credentials tem seus desafios em processos de troubleshooting pois pode tornar a solução de problemas mais complexa, pois as credenciais ficam ocultas.

Se você esquecer a chave secreta pré-compartilhada (caso a utilize), pode ser necessário redefinir a configuração do switch para recuperar o acesso.

Pontos de atenção

O comando encrypt-credentials criptografa apenas credenciais armazenadas na configuração do switch. Não criptografa dados em trânsito pela rede.

É importante implementar outras medidas de segurança, como senhas fortes e restrições de acesso, para proteger o switch.

Comandos relacionados:

show encrypt-credentials: Exibe o status da criptografia de credenciais (ativado ou desativado).

no encrypt-credentials: Desabilita a criptografia de credenciais (as credenciais voltam a ser exibidas em texto plano).

Referência

Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch

Até logo!

Vídeo: Comware – Resumo Spanning-Tree

Diego DiasLeave a comment

O Objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do Switch Root (Raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino mas com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.

Nesse vídeos fazemos um resumo do Spanning-Tree e suas configurações.

Switches ArubaOS – diagnostico de cabo com o Time-Domain Reflectometer (TDR)

Diego DiasLeave a comment

O Time-Domain Reflectometer (TDR) é uma técnica de medição usada para caracterizar e localizar falhas em cabos metálicos, como par trançado. Se houver alguma falha no cabo, parte do sinal do incidente é enviado de volta para a origem. O TDR também:

  • Localiza a posição das falhas em metros;
  • Detecta e relata circuitos abertos, curtos-circuitos e incompatibilidades de impedância em um cabo;
  • Detecta troca de par (direto / cruzado) em cada par de cabo em cabo de par trançado;
  • Detecta a polaridade do par (positivo / negativo) em cada par de canais em um cabo;

O TDR é integrado à maioria dos switches Aruba como as linhas 2930, 3810 e 5400.

Primeiro execute o comando test cable-diagnostics no modo de configuração para as interfaces que deseja efetuar os testes ( que não estejam em produção no momento) e após isso valide com o comando show cable-diagnostics.

Switch(config)# test cable-diagnostics 4
This command will cause a loss of link on all tested ports and will take several seconds per port to complete.  Use the 'show cable-diagnostics'
command to view the results.
Continue (y/n)?  y

Switch(config)# show cable-diagnostics
 Cable Diagnostic Status - Copper Ports
       MDI    Cable       Cable Length or
  Port Pair   Status      Distance to Fault
  ---- ------ ----------- ---------------------
    4  1-2    OK          5m
       3-6    OK          4m
       4-5    OK          5m
       7-8    OK          4m

Referências

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=26625

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=19188

https://community.arubanetworks.com/blogs/vikramsaruba1/2015/04/03/time-domain-reflectometer-in-aruba-switch

Comware 5 – Limpando a lixeira

Diego DiasLeave a comment

O comando dir, permite visualizarmos os arquivos dentro de um diretório. Caso estejamos na raiz (sem digitar em nenhum comando para mover-se no modo user-view), o comando irá exibir o conteúdo da memória flash:

<4800G>dir
Directory of flash:/

   0     -rw-    483956  Jun 26 2000 10:45:17   a5500ei-btm-715-us.btm
   1     -rw-  13940314  Jun 26 2000 10:49:24   a5500ei-cmw520-r2220p02.bin
   2     drw-         -  Apr 26 2000 12:00:31   seclog
   3     drw-         -  Apr 26 2000 13:14:20   oldcfg

31496 KB total (7164 KB free)

As vezes para atualizar o sistema operacional do Switch ou Roteador precisamos liberar espaço na memória flash. Utilize o comando delete para remover os arquivos:

<4800G>delete a5500ei-cmw520-r2220p02.bin
Delete flash:/a5500ei-cmw520-r2220p02.bin?[Y/N]:
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
.
%Delete file flash:/a5500ei-cmw520-r2220p02.bin...Done.

O comando dir /all exibe quais arquivos estão na lixeira exibindo o nome do arquivo entre colchetes( [ ] ).

<4800G>dir /all
Directory of flash:/
   0     -rwh         4  Apr 26 2000 12:19:54   snmpboots
   1     -rwh      4184  Apr 26 2000 13:23:14   private-data.txt
   2     drw-         -  Apr 26 2000 12:00:31   seclog
   3     drw-         -  Apr 26 2000 13:14:20   oldcfg
   4     -rwh      8221  Apr 26 2000 13:23:19   qosindex
   5     -rw-      7638  Apr 26 2000 13:20:14   [3comoscfg.cfg]
   5     -rw-  10315278  Jun 26 2000 10:39:39   [s4800g-cmw520-r2102p02.bin]
   5     -rw-      9811  Apr 26 2000 13:14:55   [teste-qos.cfg]
   5     -rw-     23867  Apr 26 2000 13:15:18   [atual.cfg]
   5     -rw-     23867  Apr 26 2000 13:15:39   [atual.cfg.bkp]
   5     -rw-     12611  Apr 26 2000 13:15:59   [3comoscfg.cfg.old]
   5     -rw-    483956  Apr 26 2000 14:13:07   [a5500ei-btm-715-us.btm]
   5     -rw-  13940314  Apr 26 2000 14:13:20   [a5500ei-cmw520-r2220p02.bin]

Após a exclusão do arquivo, o mesmo ficará na lixeira até efetuarmos a limpeza com o comando reset recycle-bin.

Para deletar o arquivo de forma que o mesmo não vá para lixeira utilize o comando delete /unreserved [nome do arquivo].

Obs: Tome cuidado para não desligar o equipamento caso tenha removido os arquivos do Comware.

O comando boot-loader define qual imagem será escolhida como principal e a de  backup na inicialização do Switch.

Por Exemplo, após atualização por TFTP da imagem atual do Switch de s4800g-cmw520-r2102p02.bin para s4800g-cmw520-r2202p15-s56.bin, precisaremos informar ao equipamento qual versão do Sistema Operacional iremos utilizar no próximo boot.

<4800G>boot-loader file S4800G-cmw520-r2202p15-s56.bin main

Faça a validação com o comando display boot-loader

Bootrom

No documento de liberação de releases para alguns modelos de Switches será solicitado o upgrade do bootrom .

<4800G>bootrom update file s4800g-btm_604.btm

Após efetuados os passos acima, reinicie o equipamento com o comando reboot.

Inté!

Switches Procurve – Comando ‘comware-help-display’

Diego DiasLeave a comment

Para aqueles que estão acostumados a gerenciar Switches 3Com/H3C/HP baseados no Comware e precisam administrar switches em ambientes multivendor, com equipamentos HP Procurve, podem utilizar o comando comware-help-display para habilitar alguns comandos do Comware no Provision.

Habilite a feature com o comando

HP-5406zl(config)# comware-help-display

Exemplo de configuração

HP-5406zl(config)# interface vlan 32
HP-5406zl(vlan-32)# display this
vlan 1
name "default"
no untagged A1,A3-A4,A7-A8,A10,A14-A16,A20
untagged A2,A5-A6,A9,A13,A17-A19,A21-A22,Trk1-Trk2
ip address dhcp-bootp
ip igmp
dhcp-snooping
exit
vlan 10
name "RH"
untagged A1
no ip address
exit
vlan 31
!saída omitida

HP-5406zl(vlan-32)# display current-configuration
; J8697A Configuration Editor; Created on release #K.15.17.0008
hostname "HP-5406zl"
module 1 type j8702a
comware-help-display enable
console idle-timeout 7200
console idle-timeout serial-usb 7200
dhcp-snooping
no telnet-server
time timezone -200
no web-management
!saída omitida

Abraços

Comware 7: comando Send

Diego DiasLeave a comment

Em empresas de médio e grande porte é comum encontramos cenários onde um ou mais administradores de rede efetuam o acesso remoto em um unico equipamento para fins de troubleshooting, etc.

O comando send , em Switches HP baseados no Comware, permite enviar uma mensagem pela própria CLI para alertar os outros usuários sobre uma determinada informação relevante, como por exemplo, a execução de um comando como o reboot.

Configurando

Primeiro, identifique com o comando display users os usuários conectados.

<Switch>display users
The user application information of the user interface(s):
Idx UI      Delay    Type Userlevel
+ 29  VTY 0   00:00:00 SSH  3
  30  VTY 1   00:00:04 SSH  0

Following are more details.

VTY 0   :
User name: fulano
Location: 192.168.208.23
VTY 1   :
User name: ciclano
Location: 192.168.208.93

+    : Current operation user.
F    : Current operation user work in async mode.

Com o comando send, é possível escolher se a informação será enviada para um determinado administrador  ou para todos os usuários conectados ao equipamento.

<Switch>send ?
INTEGER<0-44>  Specify one user terminal interface
all            All user terminal interfaces
aux            Aux user terminal interface
tty            Async serial user terminal interface
vty            Virtual user terminal interface

<Switch>send all
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
Pessoal, reiniciaremos o Switch em 2 minutos
Send message? [Y/N]:y
! Enviando a mensagem para ser impressa na tela dos outros usuários

<Switch>

***
***
***Message from con0 to con0
***
Pessoal, reiniciaremos o Switch em 2 minutos

<Switch>
! Exemplo de como o texto será exibido

Até logo.

Comware 5 – Comando “screen-length disable”

Diego DiasLeave a comment

 comado screen-length disable aplicado no modo user-view  < > possibilita a que as saídas para o comando “display”   não exibam o “more” para paginação dos outputs solicitados. Conforme exemplo abaixo sem o comando screen-length disable aplicado:

<SW1>disp current-configuration
#
version 5.20, Release 9101
#
sysname SW1
#
domain default enable system
#
vlan 1
#
vlan 2 to 4
#
vlan 99
#
domain system
access-limit disable
state active
---- More ----

A dica é útil para quem faz a coleta de informações em TXT por exemplo, e em programas de terminais como o Putty ou por script (o comando screen-length disable  exibirá a saída toda de uma só vez).

<SW1>screen-length disable
% Screen-length configuration is disabled for current user.

para remover utilize o undo:

<SW1>undo screen-length disable
% Screen-length configuration is recovered for current user.

Até logo!