Comware 7 – Page 10 – COMUTADORES

Comware7: Template para IPv6 Prefix-list

May 28, 2024May 20, 2024Diego DiasLeave a comment

Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como endereços de origem de ataques DDoS.

A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs.

Roteadores utilizam prefix-list para filtro de rotas em processos de roteamento, como por exemplo, o protocolo BGP. Uma vez que a prefix-list é criada, ela é utilizada no processo para filtrar as rotas aprendidas ou ensinada a um roteador par.

Voltando aos ‘bogons’, há a seguinte sugestão de prefixos que devem ser permitidos em uma tabela de roteamento IPv6 para o Comware7:

ipv6 prefix-list global-routes deny   2001:0DB8:: 32 less-equal 128
ipv6 prefix-list global-routes permit 2001:0200:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0400:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0600:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0800:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0A00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0C00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:0E00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1200:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1400:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1600:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1800:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1A00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:1C00:: 22 le 64
ipv6 prefix-list global-routes permit 2001:2000:: 20 le 64
ipv6 prefix-list global-routes permit 2001:3000:: 21 le 64
ipv6 prefix-list global-routes permit 2001:3800:: 22 le 64
ipv6 prefix-list global-routes permit 2001:4000:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4200:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4400:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4600:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4800:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4A00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:4C00:: 23 le 64
ipv6 prefix-list global-routes permit 2001:5000:: 20 le 64
ipv6 prefix-list global-routes permit 2001:8000:: 19 le 64
ipv6 prefix-list global-routes permit 2001:A000:: 20 le 64
ipv6 prefix-list global-routes permit 2001:B000:: 20 le 64
ipv6 prefix-list global-routes permit 2002:0000:: 16 le 64
ipv6 prefix-list global-routes permit 2003:0000:: 18 le 64
ipv6 prefix-list global-routes permit 2400:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2600:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2610:0000:: 23 le 64
ipv6 prefix-list global-routes permit 2620:0000:: 23 le 64
ipv6 prefix-list global-routes permit 2800:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2A00:0000:: 12 le 64
ipv6 prefix-list global-routes permit 2C00:0000:: 12 le 64

Referência

http://www.team-cymru.org/ipv6-router-reference.html
http://www.team-cymru.org/Reading-Room/Templates/IPv6Routers/xsp-recommendations.txt

Os desafios do Loop Guard em Switches HP, Officeconnect, ArubaOS, CX, Instant On

May 27, 2024October 13, 2024Diego DiasLeave a comment

A interoperabilidade entre switches de diferentes fabricante é um desafio para os administradores de rede. As incorporações da indústria e as novas demandas tecnológicas trazem um desafio extra para aprender a gerenciar diferentes switches do mesmo fabricante. A funcionalidade Loop Guard do spanning-tree possui diferentes nomes entre diferentes sistemas operacionais e exigem uma leitura minuciosa dos guias de configuração dos fabricantes para cada modelo de Switch e seus novos releases.

Nesse vídeo fazemos a comparação do Loop Guard e as pequenas variações de nome para a mesma funcionalidades em Switches do fabricante HP/Aruba:

HP 1910 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02965327
HP 1920 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=c04463799
HP 1920S- Loop Guard https://oss.arubase.club/wp-content/uploads/2019/09/HPE-OfficeConnect-1920S-Configuration-Guide.pdf
ArubaOS – Loop-guard https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998-8156_wb_2926_atmg/content/ch05s08.html
ArubaCX – Loop-guard https://www.arubanetworks.com/techdocs/AOS-CX/10.08/HTML/l2_bridging_4100i-6000-6100-6200/Content/Chp_stp/mstp_cmds/spa-tre-loo-gua.htm
Comware – loop-protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00041113en_us

Vídeo: Comware – Tabela de Roteamento

May 26, 2024May 6, 2024Diego DiasLeave a comment

A tabela de roteamento possui registro dos destinos para encaminhamento dos pacotes. As rotas podem ser aprendidas manualmente (rotas estáticas ou redes diretamente conectadas) e dinamicamente (aprendidos via protocolo de roteamento dinâmico como OSPF, BGP,etc).

Nesse vídeo faremos uma breve descrição do funcionamento, aprendizado e escolha das rotas por um Roteador.

Comware: Reset de senha via SNMP

May 26, 2024May 20, 2024Diego DiasLeave a comment

O Paulo Roque nos enviou um procedimento muito bacana para acesso à console de um Switch HP baseado no Comware com o IRF configurado quando não se tem a senha do equipamento, mas a community SNMP ainda é conhecida (o procedimento também funciona em Switches não configurados com o IRF).

Para executar esse procedimento precisaremos de:

um servidor para coleta e configuração do Switch via SNMP
um servidor para transferência de arquivos que utilize o serviço FTP.
máquina para acesso via console.

Para facilitar o exemplo, o nosso cenário incluirá todos os serviços instalados em uma só máquina, conforme desenho abaixo.

A máquina 192.168.1.40 está com o serviço SNMP e FTP instalados , além do cabo console diretamente conectado do notebook ao Switch.

Teste a conectividade com o Switch via SNMP

# snmpwalk -v 2c -c pri123 192.168.1.1 .1.3.6.1.2.1.1

SNMPv2-MIB::sysDescr.0 = STRING: H3C Comware software. H3C S12508 Product Version 
S12500-CMW520-R1728P01. Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.25506.1.391
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (1672958598) 193 days, 15:06:25.98
SNMPv2-MIB::sysContact.0 = STRING: NOC-teste @ +55 11 aaaa bbbb
SNMPv2-MIB::sysName.0 = STRING: Switch-teste
SNMPv2-MIB::sysLocation.0 = STRING: Hangzhou, China
SNMPv2-MIB::sysServices.0 = INTEGER: 78

Faça o download da configuração do Switch para o servidor FTP

#snmpset -v 2vc -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 i 3 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 s aa.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 i 4

O Sistema irá returnar a seguinte informação:

iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.2 = INTEGER: 3
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.2 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.2 = STRING: "aa.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.2 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.2 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.2 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.2 = INTEGER: 4

Ao efetuar o download do arquivo, caso o Switch não esteja configurado com a autenticação por TACACS/RADIUS, abra o arquivo de configuração e veja se a senha foi configurada como não-cifrada. Nesse caso, se for possível detectar a senha, descarte todos os processos abaixo e faça a autenticação no Switch com a senha escrita no arquivo de configuração.

Se o procedimento acima não resolver para efetuar a autenticação ao Switch, continue com os passos abaixo para alterar a configuração corrente do Switch via SNMP e assim desabilitar o processo de autenticação da console do equipamento

Crie um arquivo chamado “passreset.cfg” e insira a seguinte configuração:

user-interface aux 0 1
 authentication-mode none

obs: o nome do arquivo é apenas sugestivo

Salve o arquivo no servidor FTP
Utilize o servidor FTP para transferência do arquivo para o Switch e via snmpset envie os atributos abaixo via SNMP para o Switch (o equipamento irá solicitar o download da configuração ao servidor ftp pela instruções utilizadas via SNMP).

# snmpset -v 2c -c pri123 192.168.1.1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 i 4 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 i 1 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 s passreset.cfg \
1.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 a 192.168.1.40 \
1.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 s ftpuser \
1.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 s 123senha \
1.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 i 4

O Sistema irá retornar as seguintes informações:

iso.3.6.1.4.1.25506.2.4.1.2.4.1.2.3 = INTEGER: 4
iso.3.6.1.4.1.25506.2.4.1.2.4.1.3.3 = INTEGER: 1
iso.3.6.1.4.1.25506.2.4.1.2.4.1.4.3 = STRING: "passreset.cfg"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.5.3 = IpAddress: 192.168.1.40
iso.3.6.1.4.1.25506.2.4.1.2.4.1.6.3 = STRING: "ftpuser"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.7.3 = STRING: "123senha"
iso.3.6.1.4.1.25506.2.4.1.2.4.1.9.3 = INTEGER: 4

O comando snmpset permitirá que o Switch faça o download do arquivo passreset.cfg do FTP e assim aplicar as configurações na configuração corrente (memória RAM [current-configuration]) sem alterar as outras configurações do equipamento.

Nesse caso, será removida a autenticação da console, permitindo o acesso como administrador ao Switch.

Comware 7 – BGP Community

May 24, 2024May 16, 2024Diego DiasLeave a comment

O atributo do BGP community é utilizado como para marcação para um determinado grupo de rotas. Provedores de Serviço utilizam essas marcações para aplicar políticas de roteamento específicas em suas redes, como por exemplo, alterando o Local Preference, MED, etc. O atributo simplifica a configuração das políticas de roteamento, gerenciamento e manutenção.

Os ISP’s podem também estabelecem um mapeamento de community com o cliente ou com outro provedor para que sejam aplicadas regras de roteamento.

O recebimento e envio de communities BGP em Roteadores HP necessitam da configuração explicita do comando advertise-community. No exemplo abaixo, segue a configuração de um peer BGP em um roteador com o Comware 7:

bgp 65500
 group AS65500 internal
 peer AS65500 connect-interface LoopBack1
 peer 192.168.2.2 group AS65500
 #
 address-family ipv4 unicast
  peer AS65500 enable
  peer AS65500 advertise-community
#

O atributo community é opcional e transitivo (optional transitive) de tamanho variável. O atributo consiste em um conjunto de 4 octetos ou um número de 32 bits que específica uma community. A representação de uma community BGP é geralmente feita no formato AA:NN onde o AA é o Autonomous System (AS) e o NN é o número da community.

Algumas communities tem significados pré-definidos como:

NO_EXPORT (0xFFFFFF01)
NO_ADVERTISE (0xFFFFFF02)
NO_EXPORT_SUBCONFED (0xFFFFFF03)

-A community NO_EXPORT diz ao roteador que ele deve propagar os prefixos somente dentro de peers iBGP e que não deve propagar esses prefixos para roteadores pares eBGP.

-A community NO_EXPORT_SUBCONFED possui as mesmas funcionalidades do NO_EXPORT dentro de cenários com confederation.

-A community NO_ADVERTISE diz ao roteador que ele não deve anunciar o prefixo para nenhum peer BGP.

Abaixo, deixamos um exemplo de configuração utilizando a community NO_EXPORT e o output:

R1	
#
 ip prefix-list COMM_iBGP index 10 permit 192.168.11.0 24
#
route-policy SET_COMM permit node 5
 if-match ip address prefix-list COMM_iBGP
 apply community no-export
#
route-policy SET_COMM permit node 65535
#
#
bgp 65500
 group AS65500 internal
 peer AS65500 connect-interface LoopBack1
 peer 192.168.2.2 group AS65500
 #
 address-family ipv4 unicast
  network 192.168.11.0 255.255.255.0
  network 192.168.111.0 255.255.255.0
  peer AS65500 enable
  peer AS65500 route-policy SET_COMM export
  peer AS65500 advertise-community
#

Verificando no Roteador R2 a marcação enviada por R1 para o prefixo 192.168.11.0/24 :

[R2]display bgp routing-table ipv4 192.168.11.0
 BGP local router ID: 192.168.22.2
 Local AS number: 65500
 Paths:   1 available, 1 best
 BGP routing table information of 192.168.11.0/24:
 From            : 192.168.1.1 (192.168.11.1)
 Rely nexthop    : 192.168.12.1
 Original nexthop: 192.168.1.1
 OutLabel        : NULL
 Community       : No-Export
 AS-path         : (null)
 Origin          : igp
 Attribute value : MED 0, localpref 100, pref-val 0
 State           : valid, internal, best
 IP precedence   : N/A
 QoS local ID    : N/A
 Traffic index   : N/A

Configurando os valores manualmente…

Um prefixo pode também participar de mais de uma community e com isso um roteador pode tomar uma ação em relação ao prefixo baseado em uma (algumas) ou todas as communities associadas ao prefixo. O roteador tem a opção de manter, adicionar ou modificar o atributo antes de passar para os outros roteadores.

#
 ip prefix-list COMM_eBGP index 10 permit 192.168.111.0 24
 ip prefix-list COMM_iBGP index 10 permit 192.168.11.0 24
#
route-policy SET_COMM permit node 5
 if-match ip address prefix-list COMM_iBGP
 apply community no-export
#
route-policy SET_COMM permit node 10
 if-match ip address prefix-list COMM_eBGP
 apply community 65500:90
#
route-policy SET_COMM permit node 65535
#
bgp 65500
 group AS65500 internal
 peer AS65500 connect-interface LoopBack1
 peer 192.168.2.2 group AS65500
 #
 address-family ipv4 unicast
  network 192.168.11.0 255.255.255.0
  network 192.168.111.0 255.255.255.0
  peer AS65500 enable
  peer AS65500 route-policy SET_COMM export
  peer AS65500 advertise-community
#

Verificando a marcação enviada por R1 do prefixo 192.168.111.0/24:

[R4] display bgp routing-table ipv4 192.168.111.0
 BGP local router ID: 192.168.44.4
 Local AS number: 65507
 Paths:   1 available, 1 best
 BGP routing table information of 192.168.111.0/24:
 From            : 192.168.24.2 (192.168.22.2)
 Rely nexthop    : 192.168.24.2
 Original nexthop: 192.168.24.2
 OutLabel        : NULL
 Community       : <65500:90>
 AS-path         : 65500
 Origin          : igp
 Attribute value : pref-val 0
 State           : valid, external, best
 IP precedence   : N/A
 QoS local ID    : N/A
 Traffic index   : N/A

Em resumo, as operadoras utilizam communities BGP para manipulação de grande quantidade de prefixos para fins de políticas de roteamento, blackhole, etc. Grandes corporações também as utilizam para identificação de rotas de empresas filiais, rotas aprendidas em fusões com outras empresas, políticas de roteamento, redes de serviço e mais.

Referências

http://babarata.blogspot.com.br/2010/05/bgp-atributo-community.html

http://www.noction.com/blog/understanding_bgp_communities

Vídeo: Comware – Configurando IRF

May 23, 2024May 20, 2024Diego DiasLeave a comment

O empilhamento de switches, também conhecido como stacking permite configurar diversos switches como se fossem um único switch lógico, simplificando drasticamente a administração da sua rede e aumentando significativamente a disponibilidade e o desempenho.

Neste vídeo completo, você aprenderá a configurar o IRF (Intelligent Routing and Forwarding) em switches 3Com, H3C e HP baseados no Comware:

Introdução ao empilhamento de switches: Descubra os principais benefícios dessa tecnologia e como ela pode otimizar sua rede.
Funcionamento do IRF: Compreenda os conceitos básicos do IRF e como ele transforma switches físicos em um único switch lógico.
Configuração passo a passo: Siga as instruções detalhadas para configurar o IRF em seus switches 3Com ou HP com Comware.
Gerenciamento simplificado: Aprenda a gerenciar o switch empilhado como um único dispositivo, reduzindo o tempo e o esforço necessários para a administração da rede.
Maior disponibilidade: Elimine pontos únicos de falha e garanta a alta disponibilidade da sua rede, mesmo em caso de falha de um switch individual.
Melhor desempenho: Distribua o tráfego de forma inteligente entre os switches empilhados, otimizando o desempenho geral da rede.

Treinamento Comware – Aula 8 – ACL

May 22, 2024May 13, 2024Diego DiasLeave a comment

Aula 8 do Treinamento Comware para Switches HP. As ACLs, também chamadas de listas de acesso, são utilizadas para determinar se um pacote será permitido ou descartado pelo switch/roteador com as ações PERMIT ou DENY.

Vídeo: Comware – Configurando OSPF

May 21, 2024May 4, 2024Diego DiasLeave a comment

Nesse video, utilizando o Simulador HCL, demonstramos a configuração do OSPF nos equipamentos baseados no Comware.

Comware 7: Autenticação com FreeRADIUS

May 21, 2024May 20, 2024Diego DiasLeave a comment

A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.

No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.

Instalando Freeradius no Slackware

1 – Baixe os pacotes do slackbuilds.org e instale normalmente;

2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;

3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;

4 – Adicione na primeira linha: student1 Cleartext-Password := “labhp”
! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’

5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123
! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius

6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:

Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20

7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.

8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.

10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:

Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7

Arquivo Clients.conf

client ip_do_device/máscara {
        secret          = testing123
}

client vr1000 {
       ipaddr = ip_do_roteador
       secret          = testing123
}

Arquivo users

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-admin\"",

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-operator\""

Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.

Configurando o Comware7

#
interface GigabitEthernet1/0
 ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
 primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
 primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
 accounting-on enable
 user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio 
nas-ip 10.12.0.102
#
domain bbb
 authentication login radius-scheme rad
 authorization login radius-scheme rad
 accounting login radius-scheme rad
#
 domain default enable bbb
#
user-vty 0 63
authentication-mode scheme

Referências e observações

Após quebrar bastante a cabeça com diversos parâmetros e alguns dias de teste, usamos o documento http://h30499.www3.hp.com/hpeb/attachments/hpeb/switching-a-series-forum/5993/1/Freeradius%20AAA%20Comware%207.pdf como referência que cita a conexão do simulador HCL com FreeRADIUS no Ubuntu.

Comware 7 – Traffic Classifier – Match por aplicação

May 20, 2024May 16, 2024Diego DiasLeave a comment

As versões novas do Comware 7 já possuem suporte para configuração de “match” nos perfis de tráfego para fins de QoS e etc; baseado no reconhecimento das aplicações, conforme output abaixo:

[MSR1002-4]traffic classifier APLICACAO operator or
[MSR1002-4-classifier-APLICACAO]if-match  application ?
  STRING<1-63>     Application name. 'A-Z', 'a-z', '0-9', '_', and '-' are
                   permitted, but 'invalid' and 'other' are prohibited
  afs3-kaserver    AFS/Kerberos authentication service
  aol              America Online
  appleqtc         Apple Quick Time
  bgp              Border Gateway Protocol
  bittorrent       BitTorrent File Transfer Traffic
  bootpc           Bootstrap Protocol Client
  bootps           Bootstrap Protocol Server
  chargen          Character Generator
  citrixadmin      Citrix ADMIN
  citrixima        Citrix IMA
  citriximaclient  Citrix MA Client
  clearcase        Clearcase
  cma              CORBA Management Agent
  corba-iiop       Corba Internet Inter-Orb Protocol
  corba-iiop-ssl   Corba Internet Inter-Orb Protocol SSL
  corbaloc         CORBA LOC
  cuseeme          Desktop Video Conferencing
  daytime          Daytime Protocol
  dbase            dBASE Unix
  dhcpv6-client    DHCPv6 Client
  dhcpv6-server    DHCPv6 Server
  dicom            Digital Imaging and Communications in Medicine, DICOM
  dicom-iscl       DICOM ISCL
  dicom-tls        DICOM TLS
  dns              Domain Name Server
  dns-llq          DNS Long-Lived Queries
  doom             Doom Id Software
  echo             Echo
  edm-adm-notify   EDM ADM Notify
  edm-manager      EDM Manger
  edm-mgr-cntrl    EDM MGR Cntrl
  edm-mgr-sync     EDM MGR Sync
  edm-stager       EDM Stager
  edm-std-notify   EDM STD Notify
  finger           Finger
  fix              Financial Information Exchange
  ftp              File Transfer [Control]
  ftp-data         File Transfer [Default Data]
  ftps             ftp protocol, control, over TLS/SSL
  ftps-data        ftp protocol, data, over TLS/SSL
  g-talk           Google Talk
  gnutella-rtr     gnutella-rtr
  gnutella-svc     gnutella-svc
  gopher           Gopher
  gprs-data        GPRS Data
  gprs-sig         GPRS SIG
  gtp-control      GTP-Control Plane (3GPP)
  gtp-user         GTP-User Plane (3GPP)
  h225             H.323 Call Setup
  h245             Control Protocol for Multimedia Communication
  h263-video       H.263 Video Streaming
  h323callsigalt   H.323 Call Signal Alternate
  h323gatedisc     H.323 Gatekeeper Discovery
  h323hostcallsc   H.323 Host Call Secure
  hl7              Health Level Seven
  http             Hyper Text Transfer Protocol
  https            http protocol over TLS/SSL
  ibm-db2          IBM-DB2
  ica              Citrix ICA
  icabrowser       Citrix ICA
  ils              Windows Internet Locator service
  imap             Internet Message Access Protocol
  imap3            Interactive Mail Access Protocol v3
  imaps            imap4 protocol over TLS/SSL
  ipx              Internet Packet Exchange
  irc              Internet Relay Chat Protocol
  irc-serv         IRC-SERV
  ircs             Secure IRC
  irdmi            iRDMI
  isakmp           Internet Security Association and Key Management Protocol
  isi-gl           Interoperable Self Installation Graphics Language
  kazaa            KaZaA
  kerberos         Kerberos
  kerberos-adm     kerberos administration
  kerberos-iv      kerberos version iv
  kftp             Kerberos V5 FTP Control
  kftp-data        Kerberos V5 FTP Data
  klogin           Klogin
  kshell           Kshell
  ktelnet          Kerberos V5 Telnet
  l2tp             Level 2 Tunnel Protocol
  ldap             Lightweight Directory Access Protocol
  ldaps            ldap protocol over TLS/SSL
  login            Login
  mdns             Multicast DNS
  mdnsresponder    Multicast DNS Responder IPC
  mgcp-callagent   Media Gateway Control Protocol Call Agent
  mgcp-gateway     Media Gateway Control Protocol Gateway
  microsoft-ds     Microsoft Directory Services
  mmcc             multimedia conference control tool
  ms-sql-m         Microsoft-SQL-Monitor
  ms-sql-s         Microsoft-SQL-Server
  msn-messenger    MSN Messenger
  msrpc            Microsoft RPC
  netbios-dgm      NETBIOS Datagram Service
  netbios-ns       NETBIOS Name Service
  netbios-ssn      NETBIOS Session Service
  news             news
  nfs              Network File System
  nicname          Nicname
  nmap             Network Mapper
  nntp             Network News Transfer Protocol
  nntps            nntp protocol over TLS/SSL
  notes            IBM Lotus Notes
  npp              Network Printing Protocol
  ntp              Network Time Protocol
  orasrv           Oracle
  ott              One Way Trip Time
  pcanywheredata   Symantic PCAnywhere Data
  pcanywherestat   Symantic PCAnywhere Stat
  pop3             Post Office Protocol Version 3
  pop3s            pop3 protocol over TLS/SSL
  pptp             Point-to-Point Tunneling Protocol
  presence         XMPP Link-Local Messaging
  printer          Printer
  radius           Remote Authentication Dial In User Service (RADIUS)
  radius-acct      RADIUS Accounting
  radius-dynauth   RADIUS Dynamic Authorization
  ras              H.323 Gatekeeper Registration Admission Status
  rcp              Radio Control Protocol
  rfb              Remote Framebuffer
  rip              Routing Information Protocol
  rsh              Remote Shell Commands
  rsvp-encap-1     Resource Reservation Protocol Encapsulation-1
  rsvp-encap-2     Resource Reservation Protocol Encapsulation-2
  rsvp-tunnel      RSVP Tunnel
  rsync            rsync
  rtcp             Real-Time Control Protocol
  rtelnet          Remote Telnet Service
  rtp              Real-Time Transport Protocol
  rtsp             Real Time Streaming Protocol
  sccp             Skinny Client Control Protocol
  sdp              Session Description Protocol
  sip              Session Initiation Protocol
  smtp             Simple Mail Transfer
  snmp             Simple Network Management Protocol
  snmptrap         Simple Network Management Protocol Trap
  socks            Firewall ecurity Protocol
  sqlexec          IBM Informix SQL Interface
  sqlexec-ssl      IBM Informix SQL Interface Encrypted
  sqlnet           SQL*NET for Oracle
  ssh              The Secure Shell (SSH) Protocol
  stun             Session Traversal Utilities for NAT (STUN) port
  stuns            STUN over TLS
  sunrpc           SUN Remote Procedure Call
  svn              Subversion
  syslog           System Logging
  systat           System Statistics
  tacacs           Terminal Access Controller Access Control System
  tacacs-ds        TACACS-Database Service
  telnet           Telnet
  telnets          telnet protocol over TLS/SSL
  tftp             Trivial File Transfer
  time             Time
  timed            Time Server
  tunnel           TUNNEL
  who              Who
  whoispp          whois++
  x11              X Window System
  xdmcp            X Display Manager Control Protocol

Os testes foram executados em um Roteador MSR1002-4 com Version 7.1.059, Release 0305P04.