No vídeo compartilhamos como encontrar os documentos oficiais dos fabricantes HP e Aruba para configurações de hardening para as soluções de Switches baseados no Comware, ArubaOS, ArubaOS-CX, solução de controladora (Mobility Controller e Mobility Conductor), IAPs, SD-Branch, ClearPass, etc.
Aruba CX
Vídeo: Switches ArubaOS-CX – Configurando Spanning-Tree no EVE-NG
Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das portas admin-edge.
Switches ArubaOS-CX: Criando seu ambiente de LAB no GNS3, EVE-NG e Virtual Box
Galera, a Aruba criou alguns guias para provisionamento de laboratórios para estudo e
testes do Switch ArubaOX-CX para uso no GNS3, Virtual Box e EVE-NG
Para implementação no GNS3-VM
Para implementação no GNS3 com Virtual Box
Para implementação no EVE-NG
Caso queira utilizar os documentos de laboratórios guiados produzidos pela Aruba
(com quase todas as funcionalidades), acesse:
Para baixar os ícones e utilizar no seu ambiente de lab, baixe em:
Aruba CX Simulator – Download e Lab Guides
Nesse video mostramos os materiais de apoio que a Aruba disponibiliza para download e uso do Aruba CX Simulator.
Switches ArubaOS-CX: Configurando VLANs
A utilização de VLANs (Virtual Local Area Network) permite que a rede seja dividida em várias redes lógicas dentro de um switch.Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em switches divide as portas em 2 grupos: portas de acesso e portas de uplink.
Para a comunicação entre os switches da rede (portas de uplink), configure as interfaces como trunk com as suas respectivas VLANs permitidas.
Para comunicação dos hosts conectados ao switch, configure as interfaces como access em sua respectiva VLAN.
Exemplo de configuração de VLANs nas portas de uplink:
Interface 1/1/x vlan trunk allowed [VLAN-LIST | all]
Exemplo de configuração de VLANs nas portas de acesso:
Interface 1/1/x vlan access [VLAN-ID]
No exemplo abaixo, demonstramos a configuração do switch utilizando 2 VLANs na rede para segmentação das máquinas:
#ArubaCX1
vlan 1,3-4
!
interface 1/1/2
vlan trunk native 1
vlan trunk allowed 3-4
interface 1/1/3
vlan access 3
interface 1/1/4
vlan access 4
!
#ArubaCX2
vlan 1,3-4
!
interface 1/1/2
vlan trunk native 1
vlan trunk allowed 3-4
interface 1/1/3
vlan access 3
interface 1/1/4
vlan access 4
!
Dicas
Caso a porta apresente mensagem de erro durante a configuração da VLAN, como ‘Operation not allowed on an interface with routing enabled’, altere o modo de funcionamento da porta de L3 para L2 com o comando no routing.
ArubaCX1(config-if)# interface 1/1/11 ArubaCX2(config-if)# vlan access 4 Operation not allowed on an interface with routing enabled. ArubaCX1(config-if)# no routing ArubaCX2(config-if)# vlan access 4
Para validar a configuração das interfaces e VLAN, utilize os comandos show vlan e show interface brief, entre outros.
A configuração de vlan native é habilitada por default em todas as interfaces configuradas como trunk e ela indica para qual VLAN um quadro não-marcado com o ID da VLAN (untagged) será direcionado. Por padrão de mercado todos os pacotes não tagueados são direcionados para a VLAN 1 em uma porta trunk (uplink).
Os desafios do Loop Guard em Switches HP, Officeconnect, ArubaOS, CX, Instant On
A interoperabilidade entre switches de diferentes fabricante é um desafio para os administradores de rede. As incorporações da indústria e as novas demandas tecnológicas trazem um desafio extra para aprender a gerenciar diferentes switches do mesmo fabricante. A funcionalidade Loop Guard do spanning-tree possui diferentes nomes entre diferentes sistemas operacionais e exigem uma leitura minuciosa dos guias de configuração dos fabricantes para cada modelo de Switch e seus novos releases.
Nesse vídeo fazemos a comparação do Loop Guard e as pequenas variações de nome para a mesma funcionalidades em Switches do fabricante HP/Aruba:
HP 1910 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02965327
HP 1920 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=c04463799
HP 1920S- Loop Guard https://oss.arubase.club/wp-content/uploads/2019/09/HPE-OfficeConnect-1920S-Configuration-Guide.pdf
ArubaOS – Loop-guard https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998-8156_wb_2926_atmg/content/ch05s08.html
ArubaCX – Loop-guard https://www.arubanetworks.com/techdocs/AOS-CX/10.08/HTML/l2_bridging_4100i-6000-6100-6200/Content/Chp_stp/mstp_cmds/spa-tre-loo-gua.htm
Comware – loop-protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00041113en_us
Guia para comparação de comandos Aruba CX, ArubaOS e Cisco IOS
Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches Aruba CX/ArubaOS/Cisco.
Vídeo: Switches ArubaOS-CX – Configurando STP Root-Guard e Loop-Guard no EVE-NG
Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das funcionalidades Root-Guard e Loop-Guard.
Root Guard: A configuração da porta como Root Guard permite à uma porta Designada a prevenção do recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente.
Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Em um cenátio atípico, quando uma porta alternativa parar de receber BPDU (mas ainda UP) ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento criando assim um Loop lógico em toda a LAN. Nesse caso a funcionalidade deixará a porta alternativa sem comunicação (como blocking em loop-inconsistent) até voltar a receber BPDU’s do Switch Root.
Switches ArubaOS-CX: Portas em admin-edge / portfast
O protocolo Spanning-Tree utiliza um algoritmo para detecção de caminhos alternativos colocando as interfaces redundantes em modo temporário de bloqueio, eliminando o loop lógico.
Um switch da rede local com o Spanning-Tree habilitado e conectado a outros switches que utilizam o protocolo, trocam informações STP por mensagens chamadas de BPDUs (Bridge Protocol Data Units). Os BPDU’s são os responsáveis pelo correto funcionamento do algoritmo do Spanning-Tree e são encaminhados a cada 2 segundos para todas as portas.
O objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do switch root (raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino, com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.
O algoritmo do Spanning-Tree (chamado STA) deve encontrar um ponto de referência na rede (root) e determinar os caminhos disponíveis, além de detectar os enlaces redundantes e bloqueá-los.
Com o objetivo de detectar loop na rede, o spanning-tree necessita que o processo de detecção de BPDUs ocorra em todas as portas do Switch, inclusive em portas destinadas aos computadores, servidores, impressoras etc.
Em razão disso as portas do Switch conectadas aos dispositivos finais precisam de uma configuração manual para rápida transição do modo de discarding para o forwarding e assim iniciar imediatamente, visto que não há previsão para conectividade entre Switches naquela porta e espera todo o processo do spanning-tree que poderá deixar a porta em espera por alguns segundos.
Portas Edges enviam BPDU, mas não devem receber (não devem ser conectadas à switches). Se uma porta Edge receber BPDU, o Portfast é “desabilitado” e a porta faz o processo normal do STP.
Durante qualquer alteração da topologia do Spanning-tree a porta Edge não participará do Spanning-Tree, mas gerará BPDU’s por segurança.
A recomendação, uma vez utilizando o spanning-tree em Switches Aruba CX é habilitar o admin-edge em todas as portas de hosts.
Configurando uma interface como admin-edge:
interface 1/1/n spanning-tree port-type admin-edge spanning-tree tcn-guard exit
O comando tcn-guard desabilita a propagação de notificações de alteração de topologia (TCNs) para outras portas STP. Use isso quando você não quiser que as alterações de topologia sejam percebidas pelos dispositivos STP vizinhos.
Referências:
http://www.comutadores.com.br/rapid-spanning-tree-802-1w/
https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=32043
Switches ArubaOS-CX – Guia Rápido de Configuração
Para aqueles que estão começando a gerenciar equipamentos ArubaOS-CX criamos uma lista de comandos para instalação e configuração; os scripts são simples e bastante úteis!
Algumas funcionalidades podem ser configuradas de diferentes maneiras, mas tentaremos ser o mais abrangente possível nos scripts abaixo:
Acessando o modo de Configuração Global
ArubaOS-CX# configure terminal ArubaOS-CX(config)#
Auto confirmação
ArubaOS-CX# auto-confirm ! Desabilita a confirmação de usuário e executa a operação sem exibir “confirmação” de yes ou no no prompt”
Configurando o nome do Switch
ArubaOS-CX(config)# hostname Switch Switch(config)#
Configuração de VLANs
Switch(config)# vlan 2 Switch(config-vlan-2)# name estudantes
Mostrando quais as VLANs que existem no switch
show vlan
Definindo o IP para a VLAN 1
Switch(config)# interface vlan 1 Switch (config-if-vlan)# ip address 10.0.11.254/24 Switch (config-if-vlan)# no shutdown Switch (config-if-vlan)# exit
Definindo IP para uma porta
Switch(config)# Interface 1/1/10 Switch(config)# no shutdown Switch(config)# routing Switch(config)# ip address 192.168.20.1/24
Configurando o default gateway
Switch(config)# ip route 0.0.0.0/0 192.168.0.254
Configurações de portas como acesso
Switch1(config)# interface 1/1/1 Switch1(config-if)# no shut Switch1(config-if)# no routing
Colocando uma descrição na porta
Switch1(config)# interface 1/1/1 Switch1(config-if)# description Uplink_Aggregation Switch1(config-if)#exit
VLAN
Adicionando uma VLAN em uma porta de acesso
Switch(config)# interface 1/1/2 Switch(config-if)# vlan access 2
Adicionando VLANs em uma porta de uplink (as VLANs necessitam estar previamente configuradas)
Switch(config-if)# vlan trunk allowed all
ou
Switch (config-if)# vlan trunk allowed 1-2
!Utilizando uma lista de VLANs
Configurando usuário e senha
Switch(config)# username admin password
Interface de gerenciamento
Switch(config)# interface mgmt Switch(config)# ip static 192.168.1.254/24 Switch(config)# no shutdown Switch(config)# default-gateway 192.168.1.1 Switch(config)# exit
Switch# show interface mgmt
Switch# ping 192.168.50.1 vrf mgmt
Configurando o acesso HTTP / HTTPS / SSH ao switch Aruba CX
Switch(config)# http vrf mgmt Switch(config)# https vrf mgmt Switch(config)# ssh vrf mgmt
Habilitando o spanning tree protocol
Switch(config)# spanning-tree
Configurando prioridade no STP
Configurando o switch como root bridge do STP.
Switch (config)# spanning-tree priority 0
Criando um LINK AGGREGATION
interface lag 20 no shutdown no routing vlan trunk allowed all lacp mode active
interface 1/1/23 no shutdown lag 20
interface 1/1/24 no shutdown lag 20
Syslog
Switch (config)# logging 10.1.1.1
NTP Client
Switch(config)# ntp server 192.168.50.100 vrf mgmt Switch(config)# ntp enable
Salvando as configurações do Switch
Switch # write memory
Apagando todas as configurações do Switch
erase startup-config
Comandos show
show interface brief show ip interface brief ! Mostrando um resumo de TODAS as interfaces
show interface transceivers ! Exibe o tipo de transceiver conectado, part number e número serial
show running-config ! Mostrando a configuração do Switch atual
show spanning-tree
! Mostrando informações do STP, quais portas estão BLOQUEADAS e FORWARDING
show mac-address-table show arp ! Mostrando a tabela MAC e tabela ARP
show logging ! Visualizando os logs no Switch
sh ntp associations show clock ! Visualizando NTP/hora
E vocês, possuem mais alguma sugestão de comando para os Switches ArubaOS-CX?
Sintam-se à vontade…
COMUTADORES 