Comware 5

Vídeo: Comware – Configurando RADIUS

Diego DiasLeave a comment

Autenticação Segura para Switches e Roteadores 3Com/HP com Comware: Domine o Script e Proteja Sua Rede!

Gerenciar seus switches e roteadores 3Com/HP com Comware de forma segura e eficiente é crucial para garantir a integridade e a confidencialidade da sua rede. Neste vídeo, apresentamos um guia para autenticação de usuários via Telnet, SSH e outros protocolos, permitindo que você controle o acesso à sua infraestrutura de rede com total precisão.

Aprenda a:

  • Implementar autenticação centralizada: Crie um ambiente seguro para administração de seus dispositivos, restringindo o acesso apenas a usuários autorizados.
  • Gerenciar diferentes protocolos: O script oferece suporte a diversos protocolos de autenticação, como Telnet, SSH, VTY e console, adaptando-se às suas necessidades específicas.
  • Configurar níveis de acesso personalizados: Defina diferentes níveis de acesso para diferentes usuários, garantindo que cada um tenha apenas as permissões necessárias para realizar suas tarefas.
  • Auditar e monitorar acessos: Mantenha um registro completo das tentativas de autenticação, identificando atividades suspeitas e protegendo sua rede contra invasores.

Vídeo: Comware VRRP com Track de Interface

Diego DiasLeave a comment

O VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.

Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.

Há também cenários que o roteador Master do VRRP continua ativo, mas não consegue encaminhar os pacotes devido a interface saída (como para a Internet por exemplo) cair. Podemos então fazer o track para o processo VRRP monitorar algum objeto, que pode ser o estado da interface( UP ou down), pingar determinado site, teste de conexão telnet e etc; e dessa forma reduzir a prioridade VRRP baseando-se em uma condição.

Vídeo: Comware – VRRP Com preempt

Diego DiasLeave a comment

O VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.

Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.

Após a eleição do Switch Master para o grupo VRRP o equipamento continuará como MASTER até que um equipamento com maior prioridade (ou apresente falha) tome a função de MASTER, esse modo é chamado de preempção. Ao configurarmos o modo de preempção dentro do grupo VRRP, o Switch com melhor prioridade torna-se o MASTER.

Já no modo non-preemptive, mesmo que um equipamento BACKUP venha a ter maior prioridade na topologia VRRP, não acontecerá a troca do MASTER. O modo ajuda a evitar a troca entre equipamentos MASTER e BACKUP.

O modo de preempção é habilitado por padrão e é possível configurar o delay (opcional), parâmetro responsável pela preempção aguardar antes de assumir como MASTER VRRP.

Comware – Password-control

Diego DiasLeave a comment

A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.

Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc.

O comando display password-control permit visualizar quais configurações estão ativas:.

[Switch]display password-control
 Global password control configurations:
 Password control:                    Disabled
 Password aging:                      Enabled (90 days)
 Password length:                     Enabled (10 characters)
 Password composition:                Enabled (1 types, 1 characters per type)
 Password history:                    Enabled (max history records:4)
 Early notice on password expiration: 7 days
 Maximum login attempts:              3
 Action for exceeding login attempts: Lock user for 1 minutes
 Minimum interval between two updates:24 hours
 User account idle time:              90 days
 Logins with aged password:           3 times in 30 days
 Password complexity:                 Disabled (username checking)
                                      Disabled (repeated characters checking)
[Switch]

A configuração abaixo permite o controle de senha para switches configurados com autenticação local:

# Habilitando o password-control globalmente.
[Switch] password-control enable

# Proibe que o usuário faça login após duas falhas consecutivas.
[Switch] password-control login-attempt 2 exceed lock

# Defina o tempo de 30 dias para todas as senhas.
[Switch] password-control aging 30

# Defina o intervalo mínimo de atualização de senha para 36 horas.
[Switch] password-control password update interval 36

# Especifique que um usuário pode fazer o login cinco vezes no prazo de 60 dias após a expiração da senha.
[Switch] password-control expired-user-login delay 60 times 5

# Defina o tempo de inatividade máximo da conta para 30 dias.
[Switch] password-control login idle-time 30

# Recuse qualquer senha que contenha o nome de usuário ou o nome de usuário inverso.
[Switch] password-control complexity user-name check

Para verificar usuários bloqueados digite display password-control  blacklist:

[Switch]display password-control  blacklist
 Blacklist items matched: 1.
 Username: jose
    IP: 192.168.0.4    Login failures: 3    Lock flag: lock

Para resetar o usuário bloqueado digite:

<Switch>reset password-control blacklist user-name jose

Até mais!

Referências

Cowmare: Dicas para usar o “display current-configuration”

Diego DiasLeave a comment

Dicas para usar o “display current-configuration”

Navegando pela internet descobri em alguns blogs dicas interessantes para visualizar a configuração em equipamentos com o Comware (Switches e Roteadores 3Com, H3C e HPN). Como no site: http://configureterminal.com/hp-comware/

Fiz uma pequena adaptação em português para alguns comandos que podem ser bastante úteis.

 display this

O comando display this exibe a configuração baseado na “view” de acesso. Por exemplo, se estivermos aplicando a configuração em uma interface GigabitEthernet, o comando display this exibirá as configurações aplicadas na interface.

[HP]
[HP]interface  GigabitEthernet 1/0/1
[HP-Ethernet1/0/1]display this
#
interface GigabitEthernet1/0/1
 port link-mode route
 ip address 159.63.229.149 255.255.255.252
#

display current-configuration

O comandodisplay current-configuration exibe  a configuração aplicada corrente na “memória RAM” do equipamento.É possível extrair algumas “dicas” do comando visualizando as opções:

[HP]disp current-configuration ?
  by-linenum     Display configuration with line number
  configuration  The pre-positive and post-positive configuration information
  exclude        Display current configuration without specified module
  interface      The interface configuration information
  |              Matching output

by-linenum

O “sufixo” by-lineum permite exibir a configuração numerada, como por exemplo, facilitando o troubleshooting remoto para identificar a linha que deseja demonstrar ao outro técnico.

[HP]display current-configuration by-linenum
    1:  #
    2:   version 5.20, Release 9101
    3:  #
    4:   sysname SW1
    5:  #
    6:   undo voice vlan mac-address 00e0-bb00-0000
    7:  #
    8:   domain default enable system
    9:  #
   10:   ip unreachables enable
   11:  #
   12:   lldp enable
   13:  #
   14:   rpr mac-address timer aging 100
   15:  #
   16:  vlan 1
   17:  #
   18:  domain system
   19:   access-limit disable
  ---- More ----

configuration

O “sufixo” configuration permite exibir a configuração de determinado processo…

[HP]disp current-configuration configuration ?
  attack-defense-policy  Display Attack-defense-policy configuration
  bgp                    Display Bgp configuration
  by-linenum             Display configuration with line number
  isp                    Display Isp configuration
  post-system            Display Post-system configuration
  route-policy           Display Route-policy configuration
  system                 Display System configuration
  ugroup                 Display Ugroup configuration
  user-interface         Display User-interface configuration
  wlan-rrm               Display Wlan-rrm configuration
  |                      Matching output

[SW1]display  current-configuration configuration bgp
#
bgp 65012
 import-route direct
 undo synchronization
 peer 172.16.0.2 as-number 65000
 peer 172.16.0.2 advertise-community
 peer 172.16.0.2 substitute-as
#
return

Pipe |

A utilização do “|” permite selecionarmos apenas parte da configuração para ser exibida , incluindo a utilização de algumas expressões regulares. O “include” exibe apenas parte da configuração que contêm a palavra selecionada, o “begin” exibe a configuração a partir da primeira palavra encontrada e o “exclude” exibe a configuração sem a palavra selecionada.

[HP]display current-configuration | ?
  begin    Begin with the line that matches
  exclude  Match the character strings excluding the regular expression
  include  Match the character strings including with the regular expression

No exemplo abaixo, utilizaremos o include para visualizar a parte da configuração que inclua a palavra “face”

[HP]display current-configuration | include face
interface NULL0
interface GigabitEthernet1/0/1
interface GigabitEthernet1/0/2
interface GigabitEthernet1/0/3
interface GigabitEthernet1/0/4
interface GigabitEthernet1/0/5
interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/7
interface GigabitEthernet1/0/8
interface GigabitEthernet1/0/9
interface GigabitEthernet1/0/10
interface GigabitEthernet1/0/11
interface GigabitEthernet1/0/12
interface GigabitEthernet1/0/13
interface GigabitEthernet1/0/14
interface GigabitEthernet1/0/15
interface GigabitEthernet1/0/16
interface GigabitEthernet1/0/17
interface GigabitEthernet1/0/18
interface GigabitEthernet1/0/19
interface GigabitEthernet1/0/20
interface GigabitEthernet1/0/21
interface GigabitEthernet1/0/22
  ---- More ----

[HP]display  current-configuration | include ^v
vlan 1
vlan 2 to 4
vlan 10
vlan 20
vlan 30
vlan 40

Outros inumeros exemplos podem ser utilizados com expressões regulares para filtro de exibição da configuração.

A utilização do “begin” exibe a configuração a partir da primeira palavra encontrada (parte da palavra).

[HP]display current-configuration | begin Ten
interface Ten-GigabitEthernet1/0/25
 port link-type trunk
 port trunk permit vlan 1 20
#
interface Ten-GigabitEthernet1/0/26
#
interface Ten-GigabitEthernet1/0/27
#
interface Ten-GigabitEthernet1/0/28
#
user-interface aux 0
user-interface vty 0 15
#
return
[HP]

outros comandos interessantes para visualizar a configuração são os caracteres “/” or “+” or “-“:

/ o mesmo que “begin”
+ o mesmo que “include”
– o mesmo que “exclude”

O primeiro primeiro passo é digitar o ” display current”

[HP]display current-configuration
#
 version 5.20, Release 1110P05
#
 sysname HP
#
 irf mac-address persistent timer
 irf auto-update enable
 undo irf link-delay
#
 domain default enable system
#
 telnet server enable
#
vlan 1
#
radius scheme system
 server-type extended
 primary authentication 127.0.0.1 1645
 primary accounting 127.0.0.1 1646
 user-name-format without-domain
#
domain system
 access-limit disable
  ---- More ----

Quando o “—More—” aparecer para a paginação da configuração, digite a tecla “/” mais a palavra para filtro da configuração. Em nosso exemplo usaremos “/Ten”:

/Ten
filtering...
interface Ten-GigabitEthernet1/0/25
 port link-type trunk
 port trunk permit vlan 1 10
#
interface Ten-GigabitEthernet1/0/26
#
interface Ten-GigabitEthernet1/0/27
#
interface Ten-GigabitEthernet1/0/28
#
ospf 1
 area 0.0.0.0
  network 10.1.1.1 0.0.0.0
  network 10.1.2.1 0.0.0.0
#
 load xml-configuration
#
user-interface aux 0
user-interface vty 0 15
#
return
[HP]

Utilize o “-” para não exibir parte da da configuração. Em nosso exemplo, “net”:

-net

filtering...
#
interface NULL0
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
#
 port link-mode bridge
  ---- More ----

Até logo!

Interface Null 0

Diego DiasLeave a comment

A Interface Null é uma interface lógica disponível em Switches e Roteadores para manipulação  em processos de Roteamento.

Configurando uma Rota Estática com o Gateway para NULL fará que os pacotes direcionados para aquela Rede sejam descartados.

ip route-static 192.168.1.0 255.255.255.0 Null 0
! Configurando a rota 192.168.1.0/24  para encaminhar à Interface Null 0

Em processos de Roteamento Dinâmico a Interface Null 0 poderá ser utilizada para manipulação de Rotas como: sumarização, filtro, injeção de prefixos, etc.

Abraços a todos!

Comware: Comando “default interface”

Diego DiasLeave a comment

Os switches baseados no Comware a partir da versão 5 possuem o comando “default” para ser aplicado dentro de uma porta para zerar a configuração da mesma.

Segue abaixo a configuração ( o comando foi testado em Switches 7500 com o Release 6626P02)

[HP-GigabitEthernet1/0/1] disp this
! verificando a configuração antiga da porta
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
return

[HP-GigabitEthernet1/0/1]default
This command will restore the default settings. Continue? [Y/N]:y
! Aplicando o comando default na interface
!
[HP-GigabitEthernet1/0/1]disp this
#
interface GigabitEthernet1/0/1
port link-mode bridge
#

Até logo

ARP (Address Resolution Protocol)

Diego DiasLeave a comment

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede com endereço IPv4. A principal função do ARP é a tradução de endereço IP em endereço MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Após a resposta da resquição ARP, o mapeamento IP + MAC é armazenado em cache por alguns minutos. Se houver uma nova comunicação com o endereço IP mapeado na tabela ARP, o dispositivo deverá consultar o mapeamento em cache; e não encaminhará uma mensagem em Broadcast solicitando o endereço MAC. Após o  timeout do endereço, uma nova consulta é encaminhada à rede.

Formato da mensagem ARP:

  • Hardware type: Representa o Tipo de endereço de Hardware utilizado ( como por exemplo o endereço MAC). O valor 1 representa Ethernet.
  • Protocol type: Especifica o tipo de Protocolo a ser mapeado. O valor hexadecimal 0x0800 representa o IP.
  • Hardware address length e protocol address length:Representam o tamanho do endereço de Hardware e do Protocolo em bytes.
  • OP, Operation code: Especifica o tipo da mensagem ARP. O valor 1 representa uma requisição ARP e o valor 2 representa uma resposta ARP.
  • Sender hardware address: Representa o endereço de Hardware (MAC) do dispositivo que está encaminhando a mensagem.
  • Sender protocol address: Representa o endereço de Protocolo (IP) do dispositivo que está encaminhando a mensagem.
  • Target hardware address: Representa o endereço de Hardware (MAC) do dispositivo para qual a mensagem deverá ser entregue. Se o valor estiver preenchido com todos os bits em 0 (zero) significa que a mensagem é uma requisição e o valor deverá ser preenchido na resposta ARP ( se o endereço IP solicitado existir na LAN).
  • Target protocol address: Representa o endereço de Protocolo (IP) do dispositivo para qual a mensagem deverá ser entregue.

A principal vantagem do protocolo é a facilidade do mapeamento dinâmico de endereços de hardware (enlace) para endereços de rede (IP).

Para visualizar a tabela ARP dos Switches baseados no Comware digite: display arp

Type: S-Static D-Dynamic
IP Address     MAC Address   VLAN ID Port Name / AL ID Aging Type

192.168.39.52  001b-b96d-2858  4     GigabitEthernet1/0/2 13 D
192.168.38.49  001f-d0fb-7e59  4     GigabitEthernet1/0/3 14 D
192.168.39.251 001b-b96d-1671  4     GigabitEthernet1/0/2 15 D

Obs: Lembrando que os dispositivos só exibirão a tabela ARP das sub-redes que pertencem!

No próximo post citarei algumas técnicas de proteção contra Ataques ao ARP.

Até a próxima!