Comware 5

Comware 5: Atualizando o Switch via TFTP com IPv6

Diego DiasLeave a comment

Segue abaixo um script para atualização do Comware em um Switch HP 5120 utilizando o protocolo IPv6 como transporte. A atividade é bem simples (como em IPv4) e nos ajuda a desmistificar e nos encorajar a utilizar cada vez mais o “novo” serviço. O procedimento é o mesmo para a maioria dos Switches com o Sistema Operacional Comware (HP/H3C).

<Switch>system

[Switch] ipv6
[Switch] interface vlan 1
[Switch-Vlan-Interface-1]ipv6 address 2001:db8::2/64
[Switch-Vlan-Interface-1]quit
[Switch] quit

<Switch>
<Switch>tftp ipv6 2001:db8:1 put flash:/a5120ei-cmw520-r2208p01-s168.bin
! Fazendo backup da imagem antiga para o Servidor TFTP

<Switch>delete /unreserved a5120ei-cmw520-r2208p01-s168.bin
The contents cannot be restored!!! Delete flash:/a5120ei-cmw520-r2208p01-s168.bin?[Y/N]:y
! Devido a falta de espaçoo para manter a imagem nova e a velha nesse modelo de Switch, 
! iremos deletar a imagem mais antiga.
! O comando /unreserved deleta a imagem sem jogar na lixeira da memória flash

<Switch> tftp ipv6 2001:db8::1 get A5120EI-CMW520-R2220P02.bin
! Copiando a nova imagem para o Switch

<Switch>boot-loader file flash:/a5120ei-cmw520-r2220p02.bin slot all main
This command will set the boot file of the specified board. Continue? [Y/N]:y
! Configurando a nova imagem para "bootar" após o Switch reiniciar

<Switch>disp boot-loader
Slot 1
The current boot app is:  flash:/a5120ei-cmw520-r2208p01-s168.bin
The main boot app is:     flash:/a5120ei-cmw520-r2220p02.bin
The backup boot app is:   flash:/

<Switch>reboot
Start to check configuration with next startup configuration file, please wait.........DONE!
This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:y
This command will reboot the device. Continue? [Y/N]:y
Reboot device by command.
! Reiniciando o Switch

<HP>display version
HP Comware Platform Software
Comware Software, Version 5.20.99, Release 2220P02
Copyright (c) 2010-2013 Hewlett-Packard Development Company, L.P.
HP A5120-48G EI Switch uptime is 0 week, 0 day, 0 hour, 2 minutes
! Validando o Upgrade

<HP>display boot-loader
Slot 1
The current boot app is:  flash:/a5120ei-cmw520-r2220p02.bin
The main boot app is:     flash:/a5120ei-cmw520-r2220p02.bin
The backup boot app is:

Pronto, imagem atualizada!

O Software utilizado para copia da imagem foi o TFTPd64 by Ph. Jounin para Windows

Comware: VLANs – Configuração de Porta Access, Hybrid e Trunk

Diego DiasLeave a comment

A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..

Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil!

Comware 5:  Configurando o Espelhamento de Porta ( Port Mirroring)

Diego DiasLeave a comment

O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!

Configuração
#
mirroring-group 1 local 
! Criando o Grupo 1 de portas para o Espelhamento
#
interface Ethernet1/0/3
stp disable
! desabilitando o Spanning-Tree da porta para não interferir na coleta
mirroring-group 1 monitor-port
!Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1)
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both
#

Pronto! Configurações efetuadas… 
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatísticas da coleta!

Simples, agora  é só atuar no tráfego e/ou comportamento identificados na rede….
Até logo!

Comware 6: QoS – Aplicando Line Rate na Interface Física (Policy)

Diego DiasLeave a comment

Alguns modelos de Switches HPN Serie-A com o Comware 5 possibilitam a configuração de limite de banda em interfaces físicas de uma maneira bem simples. A feature chama QoS Line Rate.

[Switch-GigabitEthernet1/0/1]qos lr ?
  inbound   Limit the rate on inbound
  outbound  Limit the rate on outbound

[Switch-GigabitEthernet1/0/1]qos lr inbound cir ?
  INTEGER  Committed Information Rate(kbps)

Para a configuração de limite de banda para a interface em 256kbps para pacotes de entrada e saída basta digitar.

[Switch-GigabitEthernet1/0/1]qos lr inbound cir 256
[Switch-GigabitEthernet1/0/1]qos lr outbound cir 256

Até logo 

Vídeo: Comware – IGMP Snooping

Diego DiasLeave a comment

O Protocolo IGMP (Internet Group Management Protocol) é fundamental para gerenciar o tráfego multicast em sua rede. Ele permite que hosts se juntem a grupos multicast e recebam transmissões específicas para esses grupos, otimizando o uso da banda e evitando o envio desnecessário de dados para dispositivos que não os desejam.

Como funciona o IGMP?

  • Hosts se registram em grupos multicast: Os hosts enviam mensagens IGMP Report para informar ao roteador da LAN que desejam receber transmissões de um determinado grupo multicast.
  • Roteadores e switches de Camada 3 encaminham o tráfego multicast: Ao receberem mensagens IGMP Report, os roteadores e switches de Camada 3 identificam quais interfaces precisam receber o tráfego multicast e o encaminham para elas.

O que é IGMP Snooping?

O IGMP Snooping é uma função inteligente implementada em switches de rede que otimiza ainda mais o gerenciamento do tráfego multicast. Através da escuta das mensagens IGMP Report, Query e Leave, o IGMP Snooping cria um mapa dinâmico das interfaces que desejam receber cada fluxo multicast. Dessa forma, o switch envia o tráfego multicast apenas para as interfaces que realmente o solicitam, evitando desperdício de banda e otimizando o desempenho da rede.

Vantagens do IGMP Snooping:

  • Redução do tráfego multicast desnecessário: Melhora o desempenho geral da rede e libera banda para outras aplicações.
  • Maior eficiência de roteamento: O switch direciona o tráfego multicast apenas para as interfaces que o solicitam, reduzindo o processamento desnecessário.
  • Escalabilidade aprimorada: Permite a expansão da rede multicast sem comprometer o desempenho.

Comware: Falando um pouco mais sobre custo STP

Diego DiasLeave a comment

Uma vez que o Switch root da rede é definido, os Switches não-Root definirão a partir do Switch Root o melhor caminho para ele e bloquearão os caminhos redundantes, afim de evitar loop na rede.

O custo atribuído à velocidade da porta é um fator determinante na escolha do melhor caminho.

No exemplo acima, o Switch SW2 bloqueou o caminho com maior custo para o Switch Root.

Nos casos em que é necessário saber qual o custo de cada porta (em Switches baseados no Comware) verifique com o comando display stp interface [nome-da-interface número-da-interface] :

[Switch]display stp interface GigabitEthernet 1/0/1
 ----[CIST][Port2(GigabitEthernet1/0/1)][FORWARDING]----
 Port protocol       : Enabled
 Port role           : Designated Port (Boundary)
 Port ID             : 128.2
 Port cost(Legacy)   : Config=auto, Active=20
 Desg.bridge/port    : 32768.0837-6c44-0100, 128.2
<saída omitida>

Para manipulação manual dos custos das portas STP  acesse o post: http://www.comutadores.com.br/spanning-tree-manipulando-o-custo-do-caminho-para-o-root-path-cost/

Um comando bem interessante para validar qual o custo utilizado de um Switch não-Root para o Switch root é o display stp root:

[SW2]display stp root
 MST ID   Root Bridge ID        ExtPathCost IntPathCost Root Port
 0        0.0837-6c44-0100      23          0           GE1/0/2


[SW3]display stp root
 MST ID   Root Bridge ID        ExtPathCost IntPathCost Root Port
 0        0.0837-6c44-0100      43          0           GE1/0/1

Dúvidas? deixe um comentário.
Até breve.

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Diego DiasLeave a comment

Aprenda a configurar switches 3Com 5500 de forma rápida e eficiente com esta segunda parte do guia rápido!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!

Comware – Configurando o 802.1x

Diego DiasLeave a comment

O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vínculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes etc.

O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.

Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.

Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:

Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.

Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.

Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.

  1. O suplicante envia uma mensagem start para o autenticador.
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.
  3. O suplicante responde com o login com as credenciais do usuário ou do equipamento.
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.

Exemplo de Configuração em Switches HP baseados no Comware

Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.

Passo 1: Configure o servidor RADIUS 
 radius scheme <nome do radius scheme>
  primary authentication <ip do servidor> key <chave> 
  ! Configure o IP do servidor RADIUS e a chave 
  user-name-format without-domain
  ! o formato do nome de usuário sem o envio do @dominio 
  nas-ip <endereço IP do Switch> 
  ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS
 quit

Passo 2: Configure o Domínio
domain <nome do domain>
  authentication lan-access radius-scheme <nome do radius scheme>
  authorization lan-access radius-scheme  <nome do radius scheme>
  ! Configurando a autenticação e a autorização do acesso a LAN 
 quit 

Passo 3: Configure o 802.1x globalmente no Switch
dot1x 
dot1x authentication-method eap

Passo 4: Configure o dot1x nas portas do switch
interface GigabitEthernet 1/0/x
   dot1x
   ! A porta utiliza o modo auto do 802.1x e solicita autenticação

Referências

CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
http://blog.ccna.com.br/2009/02/25/pr-o-que-e-8021x/
https://tools.ietf.org/html/rfc3748
http://certifiedgeek.weebly.com/blog/hp-comware-and-wired-8021x

Até logo!

Os desafios do Loop Guard em Switches HP, Officeconnect, ArubaOS, CX, Instant On

Diego DiasLeave a comment

A interoperabilidade entre switches de diferentes fabricante é um desafio para os administradores de rede. As incorporações da indústria e as novas demandas tecnológicas trazem um desafio extra para aprender a gerenciar diferentes switches do mesmo fabricante. A funcionalidade Loop Guard do spanning-tree possui diferentes nomes entre diferentes sistemas operacionais e exigem uma leitura minuciosa dos guias de configuração dos fabricantes para cada modelo de Switch e seus novos releases.

Nesse vídeo fazemos a comparação do Loop Guard e as pequenas variações de nome para a mesma funcionalidades em Switches do fabricante HP/Aruba:

HP 1910 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02965327
HP 1920 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=c04463799
HP 1920S- Loop Guard https://oss.arubase.club/wp-content/uploads/2019/09/HPE-OfficeConnect-1920S-Configuration-Guide.pdf
ArubaOS – Loop-guard https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998-8156_wb_2926_atmg/content/ch05s08.html
ArubaCX – Loop-guard https://www.arubanetworks.com/techdocs/AOS-CX/10.08/HTML/l2_bridging_4100i-6000-6100-6200/Content/Chp_stp/mstp_cmds/spa-tre-loo-gua.htm
Comware – loop-protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00041113en_us

Vídeo: Comware – Tabela de Roteamento

Diego DiasLeave a comment

A tabela de roteamento possui registro dos destinos para encaminhamento dos pacotes. As rotas  podem ser aprendidas manualmente (rotas estáticas ou redes diretamente conectadas) e dinamicamente (aprendidos via protocolo de roteamento dinâmico como OSPF, BGP,etc).

Nesse vídeo faremos uma breve descrição do funcionamento, aprendizado e escolha das rotas por um Roteador.