COMUTADORES

Comware 7: Configurando o Route-Aggregation

January 3, 2025December 31, 2024Diego DiasLeave a comment

Diferente da agregação de links com Brige-Aggregation (Link Aggregation ou EtherChannel), que opera na camada 2 (enlace de dados), o Route-Aggregation atua na camada 3 (rede). Ela permite combinar múltiplas interfaces físicas em uma única interface lógica, configurar endereço IP, limitar o dominio de broadcast na interface, aumentar a capacidade de transmissão e fornecer redundância em interfaces no modo routed.

Conceitos Chave:

Interface Route Aggregation: A interface virtual que representa o conjunto de interfaces físicas agregadas.
Interfaces Membro: As interfaces físicas que compõem o grupo de agregação.
Modos de Operação: Algoritmos que determinam como o tráfego é distribuído entre as interfaces membro.

Como Configurar Agregação de Rotas no Comware:

A configuração envolve os seguintes passos:

Crie a Interface Route Aggregation:
[Sysname] interface Route-Aggregation <número>

Substitua <número> por um identificador único para a interface.

Escolha o Modo de Operação (Recomendado):
- hash: Distribui o tráfego usando um hash dos endereços IP de origem e destino, oferecendo um bom balanceamento de carga na maioria dos casos.
- load-share: Distribui o tráfego de forma mais uniforme, independentemente dos endereços IP.

Exemplos:

[Sysname-Route-Aggregation<número>] aggregation mode hash

[Sysname-Route-Aggregation<número>] aggregation mode load-share

Adicione as Interfaces Membro:

Em cada interface física a ser incluída na agregação:

[Sysname-GigabitEthernet<número>] port link-mode route

[Sysname-GigabitEthernet<número>] aggregation <número da Route-Aggregation>

port link-mode route configura a interface para operar na camada 3.

Configure o Endereçamento IP na Interface Route Aggregation:

Atribua um endereço IP à interface lógica:

[Sysname-Route-Aggregation<número>] ip address <endereço IP> <máscara de sub-rede>

Exemplo Prático:

Agregando GigabitEthernet1/0/1 e GigabitEthernet1/0/2 na Route-Aggregation 1 usando o modo hash:

[Sysname] interface Route-Aggregation 1

[Sysname-Route-Aggregation1] aggregation mode hash

[Sysname-Route-Aggregation1] ip address 192.168.1.1 255.255.255.0

[Sysname] interface GigabitEthernet1/0/1

[Sysname-GigabitEthernet1/0/1] port link-mode route

[Sysname-GigabitEthernet1/0/1] aggregation 1

[Sysname] interface GigabitEthernet1/0/2

[Sysname-GigabitEthernet1/0/2] port link-mode route

[Sysname-GigabitEthernet1/0/2] aggregation 1

Dependendo da versão do Comware a configuração pode ser como o modelo abaixo

[Router]interface route-aggregation 1

link-aggregation mode dynamic

! Habilitando a formação do Route-Aggregation via LACP

ip address 192.168.1.1 255.255.255.0

! Atribuindo um endereço IP a Interface

quit

# Configurando as portas para participarem do Route-Aggregation

interface Gigabitethernet 3/0/1

port link-aggregation group 1

quit

interface Gigabitethernet 3/0/2

port link-aggregation group 1

quit

Verificação:

Use display route-aggregation <número> para monitorar o status da agregação.

Para visualizar se a agregação de portas foi executada corretamente, utilize o comando display link-aggregation summary

[Router] display link-aggregation summary

Aggregation Interface Type:

BAGG — Bridge-Aggregation, RAGG — Route-Aggregation

Aggregation Mode: S — Static, D — Dynamic

Loadsharing Type: Shar — Loadsharing, NonS — Non-Loadsharing

Actor System ID: 0x8000, 000f-e2ff-0001

AGG AGG Partner ID Select Unselect Share

Interface Mode Ports Ports Type

———————————————————————

RAGG1 D 0x8000, 000f-e2ff-00aa 2 0 Shar

Diferenças entre Bridge Aggregation e Route Aggregation:

Característica	Bridge Aggregation	Route Aggregation
Camada de Operação	Camada 2	Camada 3
Tipo de Tráfego	Ethernet	IP
Endereçamento	Não necessário nas interfaces membro	Necessário na interface Route Aggregation
Função Principal	Largura de banda e redundância entre switches	Largura de banda e redundância entre roteadores

Observações Importantes:

As interfaces membro devem ter a mesma velocidade e configuração duplex.
A configuração deve ser consistente em ambos os lados da conexão.

Consulte a documentação específica do seu equipamento Comware para detalhes adicionais e configurações avançadas. Implementar a agregação de rotas pode melhorar significativamente o desempenho e a resiliência da sua rede.

TOPOLOGIA DE REDE CAMPUS – NETWORK DESIGN – 2 E 3 CAMADAS

January 2, 2025December 31, 2024Diego DiasLeave a comment

No mundo conectado de hoje, onde dados, voz e vídeo convergem nas redes corporativas, a alta disponibilidade é crucial para o sucesso dos negócios. Uma rede local (LAN) bem projetada é a base para garantir essa disponibilidade. E uma das melhores maneiras de construir uma LAN robusta e eficiente é adotar um design hierárquico.

Por que um design hierárquico?

Imagine sua rede como um prédio com andares bem definidos. Cada andar tem uma função específica, o que facilita a organização e o gerenciamento. O design hierárquico funciona da mesma forma, dividindo a rede em camadas distintas. Isso traz diversas vantagens:

Gerenciamento Simplificado: Com uma estrutura organizada, fica mais fácil monitorar, configurar e manter a rede.
Escalabilidade: Expandir a rede se torna mais simples, pois novas camadas podem ser adicionadas conforme a necessidade, sem afetar a estrutura existente.
Troubleshooting Eficaz: A divisão em camadas facilita a identificação e resolução de problemas, agilizando o diagnóstico e minimizando o tempo de inatividade.

Um design hierárquico é a chave para uma LAN eficiente, escalável e fácil de gerenciar, garantindo a alta disponibilidade que sua empresa precisa.

Switches Aruba CX – Configuração através do celular.

December 31, 2024Diego DiasLeave a comment

Você pode configurar um switch Aruba CX usando o aplicativo móvel Aruba CX. Este aplicativo permite que você execute tarefas como:

Conectar-se ao switch pela primeira vez e configurar as definições operacionais básicas — tudo sem exigir que você conecte um emulador de terminal à porta do console.
Ver e alterar a configuração de recursos ou definições de switch individuais.
Gerenciar a configuração em execução e a configuração de inicialização do switch, incluindo:
- Transferir arquivos entre o switch e seu dispositivo móvel.
- Compartilhar arquivos de configuração do seu dispositivo móvel.
- Copiar a configuração em execução para a configuração de inicialização.

Para configurar um switch Aruba CX usando o aplicativo móvel, siga estas etapas:

Instale o adaptador USB Bluetooth na porta USB do switch. Para switches que têm vários módulos de gerenciamento, você deve instalar o adaptador USB Bluetooth na porta USB do módulo de gerenciamento ativo. Para obter informações sobre a localização da porta USB no switch, consulte o Guia de instalação do switch.
Use as configurações de Bluetooth em seu dispositivo móvel para emparelhar e conectar o switch ao seu dispositivo móvel. Um switch suporta uma conexão Bluetooth ativa por vez.
Abra o aplicativo móvel Aruba CX.
O aplicativo descobrirá automaticamente o switch. Selecione o switch ao qual você deseja se conectar.
Faça login no switch usando o nome de usuário e senha padrão.
O assistente de configuração o guiará pelo processo de configuração das definições básicas do switch.
Depois que o switch for configurado, você poderá usar o aplicativo móvel para exibir e alterar as definições do switch.

Observações:

O aplicativo móvel Aruba CX requer que o switch esteja executando o AOS-CX versão 10.07 ou posterior.
O aplicativo móvel Aruba CX está disponível para dispositivos iOS e Android.

Diferenças entre Access Points Aruba Instant On e IAPs com AOS 8 e AOS 10

December 30, 2024December 30, 2024Diego DiasLeave a comment

Se você está avaliando soluções de rede Wi-Fi da Aruba, provavelmente já se deparou com termos como Instant On, IAP (Instant Access Point – hoje dentro da brand HPE Aruba Networking Access Points) com AOS 8 e AOS 10. Embora todos sejam produtos de alta qualidade, são voltados para diferentes públicos e necessidades, suas características técnicas e funcionais variam significativamente.

Comparativo Detalhado:

Característica	Aruba Instant On	IAPs com AOS
Público-alvo	Pequenas empresas, usuários domésticos	Empresas de médio e grande porte, redes complexas
Gerenciamento	Aplicativo móvel, portal web na nuvem	Virtual Controller, Aruba Central, AirWave
Recursos	Essenciais (SSIDs, rede para convidados, WPA2/3)	Avançados (802.1X, QoS, roaming rápido, análise de RF, wIDS/wIPS)
Escalabilidade	Baixa a média	Alta
Custo	Mais acessível	Mais elevado
Facilidade de Uso	Extremamente fácil	Requer conhecimento técnico sobre o produto e RF para melhor desempenho da solução

Aruba Instant On

Os Access Points (APs) da linha Instant On são projetados para pequenas e médias empresas que precisam de uma solução de rede simples, eficiente e fácil de configurar. Entre suas características principais são:

Gestão na nuvem: Controle total via aplicativo móvel ou portal web, sem necessidade de hardware adicional.
Fácil configuração: Configuração intuitiva em poucos passos, ideal para usuários com pouca experiência em redes.
Licenciamento incluso: Não há custos adicionais para acesso à nuvem.
Público-alvo: Pequenos escritórios, lojas de varejo, cafés e pequenas redes corporativas.
Desempenho sólido: Suporte para Wi-Fi 6 em modelos mais recentes, garantindo boa performance para aplicações comuns.

Apesar de serem simples de usar, os APs Instant On têm algumas limitações, como menos recursos avançados de personalização e integração com redes complexas.

Mais informações e modelos podem ser encontrados em: https://www.arubainstanton.com/pt-br/produtos/access-points/

Desafios:

Escalabilidade.
Funcionalidades avançadas de RF e segurança

HPE Aruba Networking Access Points

A flexibilidade dos Access Points Aruba da linha Enterprise é uma de suas maiores vantagens, permitindo sua implantação em diversos cenários. Um mesmo equipamento pode operar de forma independente (Instant AP), em cluster, ser gerenciado por uma controladora física ou virtual, ou até mesmo pela nuvem através do Aruba Central.

Essa versatilidade, comprovada pela documentação da Aruba, garante a consistência das configurações independentemente do modo de operação escolhido (Instant, controladora on-premise ou Aruba Central). O termo “Instant AP” destaca essa capacidade de operação autônoma, onde o AP funciona sem a necessidade inicial de uma controladora.

Os modelos da linha Enterprise permitem a escolha de Access Point nos modelos indoor e outdoor, com opções de APs com antenas internas ou externas e com diferentes tipos de proteção IP6x, throughput, kits de montagem e interfaces de rede.

Atualmente, há dois principais sistemas operacionais em atualização pelo fabricante que podem ser instalados nos modelos e definem o seu modo de operação, o AOS8 e o AOS10.

O AOS é o sistema operacional que alimenta os IAPs. O AOS 10 é a versão mais recente, trazendo melhorias em desempenho, segurança, recursos de nuvem e experiência do usuário. A atualização do AOS 8 para o AOS 10 pode exigir planejamento, especialmente para configurações mais complexas.

Aruba IAP com AOS 8

Os APs Aruba IAP (Instant Access Points) que utilizam o sistema operacional AOS 8 são projetados para redes corporativas de médio e grande porte, com a gestão on-premise.

Características principais:

Permite Cluster instantâneo: Configuração de redes sem controlador físico (Instant Mode), permitindo que até 128 APs funcionem como uma única entidade.

Permite a Gerência através da Mobility Controller (controladora física ou virtual) e redundância de controladora através da Mobility Conductor.

Recursos avançados: Suporte a funcionalidades como AirMatch (otimização de RF), ClientMatch (melhor associação de clientes), e integração com ClearPass e AirWave.

Customização avançada: Oferece controle granular sobre políticas de rede e segurança.

Desafios:

Configuração mais complexa, que exige maior conhecimento técnico.
Necessidade de licenciamento adicional para alguns recursos,

Vantagem:

Licenciamento perpetuo.

Aruba IAP com AOS 10

O AOS 10 é a evolução do AOS 8 e foi projetado para maximizar o gerenciamento em nuvem. Ele oferece uma abordagem simplificada e moderna, especialmente para redes distribuídas.

Entre suas características principais estão:

Gestão unificada em nuvem: Dependência total do Aruba Central, que passa a ser obrigatório para gerenciamento.

Infraestrutura simplificada: O conceito de controller-less é levado ao extremo, reduzindo ainda mais a necessidade de infraestrutura local.

Escalabilidade: Suporte para redes maiores e mais distribuídas, com dezenas ou centenas de APs espalhados por vários locais.

Recursos modernos: Melhoria no AI Insights, automação de tarefas de rede e suporte mais robusto para IoT.

Público-alvo: Empresas distribuídas geograficamente, redes corporativas modernas e MSPs (Managed Service Providers).

Desafios:

Dependência da nuvem para gerenciamento.
Requer uma assinatura ativa do Aruba Central.

Vantagem:

Escalabilidade
Plataforma única para gerência de Access Points, Switches e Gateways
Uso de Inteligência Artificial para gestão da rede e troubleshooting

Conclusão

A escolha entre Aruba Instant On e os Access Point Aruba da linha Enterprise depende diretamente do tamanho, complexidade e requisitos de sua rede.

Se você busca simplicidade e custo-benefício para uma rede de pequeno porte, o Instant On é ideal.
Para redes corporativas robustas com necessidade de personalização utilize a linha HPE Aruba Networking Access Points.

Comware 7: QinQ

December 28, 2024December 21, 2024Diego DiasLeave a comment

A feature QinQ (802.1q sobre 802.1q), conhecido também como Stacked VLAN ou VLAN sobre VLAN, suporta a utilização de duas TAGs 802.1q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.

Para o cliente é como se a operadora tivesse estendido o cabo entre os seus Switches. Já para a Operadora não importa se o cliente está mandando um frame com TAG ou sem TAG, pois ele adicionará mais uma TAG ao cabeçalho e removerá na outra ponta apenas a ultima TAG inserida.

Em resumo, o tráfego no sentido de entrada na porta configurada com QinQ, adicionará uma TAG 802.1q ao quadro, mesmo em casos que já houver a marcação de VLANs, entretanto no sentido de saída, é removido apenas a última TAG acrescentada, sendo mantida a TAG 802.q inserida pelo cliente.

Passos para Configurar o QinQ em Comware 7:

Entrar no Modo de Configuração do Sistema:

<Sysname> system-view

Configurar a Interface para QinQ:
- Entrar no modo de configuração da interface:
- [Sysname] interface <tipo-de-interface> <número-da-interface>

Exemplo: [Sysname] interface GigabitEthernet1/0/1

Habilitar o QinQ Básico:

Para habilitar o QinQ básico na interface:

[Sysname-GigabitEthernet1/0/1] qinq enable

Configurar a S-VLAN (Para QinQ Básico):

Após habilitar o QinQ básico, configure a S-VLAN que será adicionada aos frames:

[Sysname-GigabitEthernet1/0/1] port vlan <ID-da-S-VLAN>

Exemplo: [Sysname-GigabitEthernet1/0/1] port vlan 100

Configurar o QinQ Seletivo (Opcional):

Para habilitar o QinQ seletivo e mapear C-VLANs específicas para uma S-VLAN:

Criar um mapeamento de VLAN:
[Sysname] vlan mapping <ID-da-C-VLAN> to <ID-da-S-VLAN>

Exemplo: [Sysname] vlan mapping 10 to 100 (mapeia a C-VLAN 10 para a S-VLAN 100)

Habilitar o QinQ seletivo na interface e aplicar o mapeamento:
[Sysname-GigabitEthernet1/0/1] qinq selective
[Sysname-GigabitEthernet1/0/1] port link-type hybrid
[Sysname-GigabitEthernet1/0/1] undo port hybrid vlan <ID-da-S-VLAN>
[Sysname-GigabitEthernet1/0/1] port hybrid tagged-vlan <ID-da-S-VLAN>

Note que em Selective QinQ, a porta precisa estar em modo hybrid e a S-VLAN precisa estar configurada como tagged.

Configurar o TPID (Opcional):

Se o provedor de serviços usar um TPID diferente de 0x8100, configure-o na interface:

[Sysname-GigabitEthernet1/0/1] qinq tpid <valor-TPID>

Exemplo: [Sysname-GigabitEthernet1/0/1] qinq tpid 0x88a8

Exemplo de Configuração de QinQ Básico:

Um switch conecta a rede do cliente (com VLANs 10 e 20) à rede do provedor usando a S-VLAN 100:

<Sysname> system-view

[Sysname] interface GigabitEthernet1/0/1

[Sysname-GigabitEthernet1/0/1] qinq enable

[Sysname-GigabitEthernet1/0/1] port vlan 100

Neste exemplo, todos os frames que entram na interface GigabitEthernet1/0/1 receberão a tag S-VLAN 100.

Exemplo de Configuração de QinQ Seletivo:

Mapear a C-VLAN 10 para a S-VLAN 100 e a C-VLAN 20 para a S-VLAN 200:

<Sysname> system-view

[Sysname] vlan mapping 10 to 100

[Sysname] vlan mapping 20 to 200

[Sysname] interface GigabitEthernet1/0/1

[Sysname-GigabitEthernet1/0/1] qinq selective

[Sysname-GigabitEthernet1/0/1] port link-type hybrid

[Sysname-GigabitEthernet1/0/1] undo port hybrid vlan 100

[Sysname-GigabitEthernet1/0/1] port hybrid tagged-vlan 100

[Sysname-GigabitEthernet1/0/1] undo port hybrid vlan 200

[Sysname-GigabitEthernet1/0/1] port hybrid tagged-vlan 200

Verificação:

display interface <tipo-de-interface> <número-da-interface>: Exibe informações sobre a interface, incluindo a configuração de QinQ.
Capturas de pacotes (usando um analisador de protocolo como o Wireshark) podem ser usadas para verificar as tags VLAN nos frames.

Considerações Importantes:

MTU (Maximum Transmission Unit): O QinQ adiciona bytes extras ao frame, o que pode exigir o ajuste do MTU nas interfaces envolvidas para evitar fragmentação. Geralmente, aumenta-se o MTU para 1504 ou 1508 bytes. O comando é: [Sysname-GigabitEthernet1/0/1] mtu 1504.
Interoperabilidade: Certifique-se de que os switches em ambas as extremidades da conexão QinQ sejam compatíveis e estejam configurados corretamente.

Configurando

No Exemplo acima deveremos configurar nos Switches A e B uma VLAN para cada cliente e a configurar as interfaces conectadas aos Switches do cliente, como qinq enable. Como detalhe, percebam que é necessário desabilitar o STP em cada interface para os BPDU’s de cada empresa não interferir na topologia STP de cada uma. Segue abaixo a configuração dos Switches A e B:

Vlan 10
name clienteA
!
Vlan 11
name clienteB
!
Vlan 12
name clienteC
!
Interface GigabitEthernet x/y/z
port link-type access
qinq enable
stp disable

Em caso de necessidade de transporte de protocolos de camada 2 como CDP, LLDP, STP e etc, é possivel utilizar na interface algum dos comandos abaixo:

bpdu-tunnel dot1q { cdp | dldp | eoam | gvrp | hgmp | lacp | lldp |pagp | pvst
| stp | udld | vtp }

A configuração dos Switches de cada cliente não sofre nenhuma alteração em particular e a visão de cada um será como se os Switches estivessem diretamente conectados.

Comware: Configuração de VLANs, Roteamento e STP para Switches

Image December 27, 2024December 21, 2024Diego DiasLeave a comment

Comware: OSPF – Roteador Designado (DR) e Roteador Designado de Backup (BDR)

December 26, 2024December 21, 2024Diego DiasLeave a comment

Para o estabelecimento de uma adjacência no OSPF os Roteadores vizinhos devem se reconhecer para trocarem informações, encaminhando e recebendo mensagens Hello nas Interfaces participantes do OSPF; no endereço de Multicast 224.0.0.5.

Durante estabelecimento da Adjacência, serão trocadas informações dos Roteadores da Rede como a informação da área, prioridade dos Roteadores, etc. Após a sincronizarem as informações, os Roteadores da área terão a mesma visão da Topologia e rodarão o algoritmo SPF para escolha do melhor caminho para chegar ao Destino.

Os Roteadores (já) Adjacentes encaminharão mensagens Hellos ( verificação da disponibilidade), mensagens LSA com as atualizações da rede e mensagens a cada 30 minutos de refresh de cada LSA para certificar que os a tabela OSPF (LSDB) esteja sincronizada.

Durante a falha de um Link, a informação é inundada (flooded) para todos os Roteadores Adjacentes da Área.

Em ambientes Multiacesso como redes Ethernet, os Roteadores OSPF elegem um Roteador Designado (DR) para formar Adjacência e encaminhar os LSA’s somente para ele. O Roteador DR reencaminha os updates recebidos por um vizinho para os outros Roteadores na mesma LAN.

Há também a eleição de um Roteador Desingnado de Backup (BDR) para assumir em caso de falha do DR.

O método de eleição do DR e BDR é bastante efetivo e confiável para estabelecimento de Adjacências e mensagens trocadas para manutenção do OSPF, economizando assim recursos conforme o crescimento da Topologia.

Quando ocorre uma mudança na topologia o Roteador/Switch encaminha uma mensagem em Multicast para o endereço 224.0.0.6 que é destinada a todos Roteadores OSPF DR/BDR.

Após o recebimento do Update, o Roteador DR confirma o recebimento (LSAck) e reencaminha a mensagem para os demais roteadores da rede no endereço de Multicast 224.0.0.5; após o recebimento da atualização todos os roteadores deverão confirmar a mensagem ao Roteador Designado (LSAck), tornando o processo confiável.

Se algum Roteador estiver conectado à outras redes, o processo de flood é repetido!

Obs: O BDR não efetua nenhuma operação enquanto o DR estiver ativo!

Como é feita a eleição do DR e BDR?

Durante o processo de estabelecimento de Adjacência é verificado o campo Priority na troca de mensagens Hello. O Roteador com maior valor é eleito o DR e o Roteador com segundo maior valor é eleito o BDR ( em cada segmento).

O valor default da prioridade de todos os Roteador é 1, no caso de empate, é escolhido o valor do ID do Roteador para desempate. Vence quem tiver o maior valor!

Obs: Se a prioridade for configurada como 0, o dispositivo nunca será um DR ou BDR. Nesse caso ele será classificado com DROther ( não DR e não BDR)

Configurando
O valor da prioridade deverá ser configurado na Interface VLAN ou física (Ethernet, GigabitEthernet, etc) dos Switches/Roteadores com o processo de OSPF ativo:

interface Vlan-interface1
ip address 192.168.0.26 255.255.255.0
ospf dr-priority 3
!Configurando a Prioridade para eleição do DR/BDR com o valor 3

Porém….

A prioridade do DR e do BDR não é preemptiva, isto é, para manter a estabilidade da topologia se um dispositivo for eleito como DR e BDR, o mesmo não perderá esse direito até ocorrer algum problema no link ou no dispositivo eleito.

Conforme comando display abaixo em Switches Comware, o Switch configurado com a prioridade 3 perde a eleição (de tornar-se o DR) para dispositivo com a prioridade 4 ( pelo fato de ser inserido na topologia posteriormente a eleição do DR/BR).

[COMWARE]display ospf peer
OSPF Process 100 with Router ID 192.168.0.5
Neighbor Brief Information

Area: 0.0.0.0
Router ID Address Pri Dead-Time Interface State

192.168.0.13 192.168.0.13 0 38 Vlan1 Full/DROther
192.168.0.14 192.168.0.14 1 31 Vlan1 Full/DROther
192.168.0.20 192.168.0.20 1 34 Vlan1 Full/DROther
192.168.0.21 192.168.0.21 4 30 Vlan1 Full/DR
!Roteador DR com a prioridade 4
192.168.0.26 192.168.0.26 5 31 Vlan1 Full/DROther
! Roteador DROther com a prioridade 5 só será o DR na falha do DR e BDR
192.168.0.33 192.168.0.33 1 32 Vlan1 Full/BDR
! Roteador BDR com a prioridade 1
192.168.0.45 192.168.0.45 1 40 Vlan1 Full/DROther

O Switch com a Prioridade 5, irá tornar-se DR somente após falha no DR e no BDR.

Referencias:

Building Scalable Cisco Internetworks – Diane Teare/Catherine Paquet

Duvidas? Deixe um comentário!

Um grande abraço

Resumo do Protocolo LLDP

December 23, 2024December 21, 2024Diego DiasLeave a comment

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. Ele opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinâmicamente por equipamentos diretamente conectados.

O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes; e para aqueles que já estudaram o material do CCNA da Cisco, a feature é identica ao Cisco Discover Protocol (CDP) – o protocolo proprietário da Cisco para descoberta de vizinhos.

A tirinha abaixo adaptada do site http://vincentbernat.github.com/lldpd/index.html demonstra bem a utilização do LLDP (ou como ajudaria no caso abaixo.. rs ) O site possui instruções de instalação do protocolo para diversas plataformas.

Conceitos Básicos

Para redes Ethernet, o LLDP é encaminhado dentro do quadro Ethernet da seguinte maneira:

A mensagem encaminhada também é chamada de LLDPDU (Link Layer Discover Protocol Data Unit)

Endereço MAC de destino (Destination MAC address)
O endereço MAC de destino de um LLDPDU pode ser anunciado nos endereços Multicast 0180-C200-000E , 0180-C200-0003 ou 0180-C200-0000.

Endereço MAC de origem (Source MAC address)
O endereço MAC de origem é o da porta que encaminha o LLDPDU, se a interface não tiver endereço MAC, será encaminhado o endereço reservado do Switch/Roteador

Type
O Ethernet type usado para o LLDP é o 0x88CC for LLDP.

Data
LLDP data unit (LLDPDU)

FCS
Frame check sequence é um valor de CRC de 32-bit CRC usado para determinar a validade do recebimento do quadro Ethernet.

Os LLDPDUs

O LLDP usa os LLPDU’s para troca de informações. Dentro do LLDPDU há uma sequencia de campos TLV ( type [tipo], length [comprimento] e value [valor])

Um LLPDU pode carregar até 28 tipos de TLVs. Os itens obrigatóriso devem carregar:

TLV de identificação do Chassis
TLV de identificação da Porta
TTL TLV
TLV do fim do LLPDU
Outros campos são opcionais

A demonstração feita nos dá uma boa visão das informações carregadas pelo protocolo:

saída do comando display lldp neighbor-information brief em um Switch HPN demonstra o estudo:

<Switch>display lldp  neighbor-information brief
LLDP neighbor-information of port 469[GigabitEthernet1/9/0/1]:
Neighbor 1:
ChassisID/subtype: 3822-d6b6-4c01/MAC address
PortID/subtype   : GigabitEthernet1/0/48/Interface name
Capabilities     : Bridge,Router

Para os campos Opcionais é possível obter informações como Hostname, descrição do tipo de equipamento, endereço de gerenciamento, informação sobre VLANs, etc.

LLDP-MED

A extensão do LLDP chamada de Media Endpoint Discovery extension (MED) é muito utilizada para Telefonia IP e provê as seguintes informações:

Provisionamento de informações de politicas para a rede local agir de forma plug-and-play (como VLAN, Prioridades na marcação de pacotes e quadros para fins de QoS)
Identificação do local do dispositivo
Funções para PoE
etc

Configuração básica do LLDP em Switches Comware

[Switch]lldp enable
! Ativando o LLDP globalmente

[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]lldp enable
! Ativando o LLDP na interface

Para ajuste de envio, recebimento ou desativar o LLDP em uma interface, existem as seguintes opções:

[Switch-Ethernet1/0/1]lldp  admin-status ?
disable  The port can neither transmit nor receive LLDP frames
rx       The port can only receive LLDP frames
tx       The port can only transmit LLDP frames
txrx     The port can both transmit and receive LLDP frames

Obs: Fique sempre atento as informações encaminhadas pelo LLDP em uma rede local, pois o protocolo habilita inumeras informações que tornam a rede “vulnerável”. Certifique-se que o ambiente é controlado e desabilite o LLDP (se possível) após a coleta de informações!

Comware: Elegendo o Switch Root do Spanning-Tree

December 22, 2024December 21, 2024Diego DiasLeave a comment

O Protocolo Spanning-Tree ( STP) foi desenvolvido para evitar que loops físicos interfiram no desempenho da rede. O protocolo consegue detectar onde estão os loops na rede bloqueando os caminhos redundantes.

“Quando um Switch recebe um broadcast, ele o repete em cada porta (exceto naquela em que foi recebido). Em um ambiente com loop, os broadcasts podem ser repetidos infinitamente” Gary A. Donahue , Network Warrior, O’Reilly, 2007, p59)

Em caso de caminhos redundantes sem a utilização do Spanning-Tree, o processo de encaminhamento de broadcast só será interrompido quando o loop for desfeito, com a remoção de cabos ou o desligando o equipamento. Em diversas situações, uma tempestade de broadcast “derruba” a comunicação da rede.

O Switch Root

A utilização do STP é geralmente imperceptível na grande maioria das redes devido ao fato da convergência ocorrer sem a necessidade de configurações adicionais. Todo Switch da LAN , recebe informações sobre os outros Switches da rede através da troca de mensagens chamadas de BPDUs (Bridge Protocol Data Units).

Ao tirarmos um Switch da caixa ( preferencialmente gerenciável) e colocarmos em nossa rede, haverá a comunicação com todos os Switches da rede para convergência com o novo dispositivo.

A partir das mensagens trocadas pelos Switches, é efetuada uma eleição para escolha de um Switch Raiz (Root) que será o responsável por alimentar a topologia da Rede pela geração de BPDUs e todos os Switches não-Raiz bloquearão as portas com caminhos redundantes para o Raiz.

Os BPDUs são encaminhados pelo Root a cada 2 segundos em todas as portas para garantir a estabilidade da rede; e então os BPDUs re-encaminhados pelos outros Switches.

As mensagens BPDU contêm informações suficientes para que os Switches elejam quais portas encaminharão os dados, baseando-se em custo do caminho, informações do Switch e informações da porta.

Obs: a porta em estado de Bloqueio continuará a ouvir os BPDUs pois em caso de perda de comunicação do enlace principal, a porta bloqueada estará pronta para encaminhar os quadros!

Elegendo o Switch Root

O primeiro processo para uma topologia livre de Loops utilizando o protocolo Spanning-Tree é a eleição do Switch Root. Vence a eleição o Switch quem possuir o menor Bridge ID.

O Bridge ID é composto dos campos Prioridade (Bridge Priority) e o endereço MAC do Switch. Por padrão a prioridade dos Switches é 32768 (o Switch com menor prioridade vence) e em caso de empate vence a eleição o Switch que possui o menor endereço MAC.

Após a eleição, se houver algum caminho redundante, o mesmo será bloqueado!

Escolhendo quem será o Root da rede

As melhores práticas sugerem configurarmos o Switch Core da rede como Root com o comando stp root primary pela posição privilegiada na rede, melhor arquitetura,processamento, etc. O comando nos Switches 3Com alterará a prioridade para o valor0 (zero) forçando o dispositivo a ser o Root.

Uma segunda maneira de alterar a prioridade Switch é utilizando o comando stp priority 4096 ( sempre escolha valores múltiplos de 4096)

Obs:Se houver mais de um Switch com a prioridade 0, vence a eleição quem possuir o menor endereço MAC.

Display STP

O comando display stp em Switches basedos no Comware, exibe informações como o valor do Bridge ID (Bridge priority e endereço MAC) do Switch e do Root, timers,etc. O comando display stp brief exibe o estado das portas na Topologia.

display stp
-------[CIST Global Info][Mode STP]-------
CIST Bridge :32768.000f-cbb8-6329
! Lista a Prioridade do Switch como 32768 e o endereço MAC 000f-cbb8-6329
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0.000f-cbb8-8f55/ 20000
! A linha exibe a prioridade do Switch Root da Topologia como 0
! (zero nesse caso) e o endereço MAC 000f-cbb8-8f55
CIST RegRoot/IRPC :32768.000f-cbb8-63c0 / 0
CIST RootPortId :128.28
BPDU-Protection :disabled
Bridge Config
Digest Snooping :disabled
TC or TCN received :7
Time since last TC :0 days 24h:20m:51s
! Contador exibindo a última vez que houve uma mudança na topologia STP

Wireless Aruba – Rogue Containment (WIPS)

December 21, 2024Diego DiasLeave a comment

A configuração do WIPS com o recurso de contenção de rogue APs capacita os pontos de acesso (APs) a atuarem ativamente contra serviços Wi-Fi não autorizados dentro do perímetro da empresa, como redes Wi-Fi paralelas ou não gerenciadas. O objetivo principal dessa funcionalidade é neutralizar a operação de APs classificados como rogue, ou seja, aqueles que representam uma ameaça à segurança da rede. No entanto, é crucial compreender que os mecanismos de contenção, ao interferirem na comunicação sem fio para interromper o serviço do AP rogue, podem potencialmente afetar redes Wi-Fi vizinhas. Embora essa ação proteja a rede interna, existe o risco de impactar inadvertidamente SSIDs legítimos de redes adjacentes. Portanto, o entendimento completo dos métodos de mitigação disponíveis e das responsabilidades do administrador de rede é essencial para a implementação e operação eficaz e responsável do WIPS com contenção de rogue APs, minimizando o risco de efeitos colaterais indesejados.

Um Rogue Access Point (AP) é um ponto de acesso sem fio instalado em uma rede sem a devida autorização do administrador responsável. Essa instalação pode ocorrer de duas maneiras: inadvertidamente, por um usuário legítimo que desconhece os riscos envolvidos, ou intencionalmente, por um invasor malicioso com o objetivo de comprometer a segurança da rede. Independentemente da motivação, um Rogue AP representa uma grave ameaça à segurança da rede, expondo-a a diversas vulnerabilidades.

Wireless Intrusion Protection (WIP)

As técnicas de contenção dos dispositivos wireless da Aruba podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada) e wireless (sem fio).

O wired containment é executado através de ARP Poisoning, envenenando o default gateway do Rogue AP na rede cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a contenção, mas eles necessitam estar na mesma VLAN que o rogue para sucesso no containment.

A contenção via Wireless pode ser executada de duas maneiras: deauth e tarpitting.

Deauth.

O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.

Tarpit

O AP Aruba irá enviar frames deauthentication para o rogue AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba enviará uma respostacom dados falsos induzindo o cliente (STA) a conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para navegação.

Tarpitting é o processo no qual um AP Aruba personifica um AP não autorizado, incentivando o cliente não autorizado se conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o direcionando a um canal não utilizado. O STA indicará que está conectado à rede sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.

O tarpit pode ser configurado como Tarpit-non-valid-sta, para os clientes não válidos, ou tarpit-all-sta para todos clientes.

Radio

Os Radios nos Access Point Aruba, podem ser configurados em diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para análise de espectro.

Os APs no modo AM são sempre recomendados quando o contaiment é habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de canal para contenção do rogue, mas o encaminhamento do tráfego dos cliente sempre será priorizado (a funcionalidade “Rogue AP Aware” deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para contenção de rogues. Existem muitas opções automáticas de contenção que vão além de ‘conter se o dispositivo for classificado como rogue’.

As opções mais seguras e comuns são “Protect Valid Stations” e “Protect SSID“. Qualquer estação (STA) que tenha sido autenticada na infraestrutura Aruba com criptografia será automaticamente classificada como válida. Quando isso acontecer, a rede Aruba não permitirá a estação conectar-se a qualquer outra rede se “Protect Valid Stations” estiver ativado.

O Protect SSID conterá automaticamente quaisquer APs não válidos que estão transmitindo os SSIDs da Controller.

Colocando em produção

Antes de colocar as funcionalidades de contenção em produção, execute os testes em ambiente de laboratório. Inicialmente catalogando, classificando e identificando os SSIDs identificados pelo WIDS.

Uma vez identificada e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e SSIDs listados durante todo esse processo de homologação.

Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.

Clicando em qualquer um dos eventos é possível analisar os logs.

Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.

Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c

Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A

Filtros no Wireshark para visualizar um endereço MAC especifico
eth.addr == ff:ff:ff:ff:ff:ff

Referências

Click to access TG_WIP.pdf

https://en.wikipedia.org/wiki/Rogue_access_point

Kolokithas, Andreas. Hacking Wireless Networks – The ultimate hands-on guide,2015