Aula 7 do Treinamento Comware para Switches HP. O acrônimo AAA é uma referência aos protocolos relacionados com os procedimentos de autenticação, autorização e contabilidade. Vários métodos, tecnologias e protocolos podem ser usados para implementar o controle de identidade e acesso, fornecendo informações sobre a validade das credenciais, direitos de acesso e auditoria. Como continuidade demonstramos a configuração do RADIUS e TACACS+ para gerenciamento dos Switches e Roteadores.
Comware 7
Treinamento Comware – Aula 6 – Empilhamento com IRF (Stacking)
Aula 6 do Treinamento Comware para Switches HP. Nesse vídeo demonstramos o funcionamento do empilhamento ou stacking com IRF. A funcionalidade é utilizada para configuração de diversos switches em um único switch lógico. Todos os equipamentos serão visualizados como uma única “caixa”, aumentando a disponibilidade da rede.
Vídeo: Comware – VRRP Com preempt
O VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.
Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.
Após a eleição do Switch Master para o grupo VRRP o equipamento continuará como MASTER até que um equipamento com maior prioridade (ou apresente falha) tome a função de MASTER, esse modo é chamado de preempção. Ao configurarmos o modo de preempção dentro do grupo VRRP, o Switch com melhor prioridade torna-se o MASTER.
Já no modo non-preemptive, mesmo que um equipamento BACKUP venha a ter maior prioridade na topologia VRRP, não acontecerá a troca do MASTER. O modo ajuda a evitar a troca entre equipamentos MASTER e BACKUP.
O modo de preempção é habilitado por padrão e é possível configurar o delay (opcional), parâmetro responsável pela preempção aguardar antes de assumir como MASTER VRRP.
Dicionário de Comandos BGP: Comware vs Cisco
Pessoal, segue abaixo a lista de alguns comandos para BGP quando há a necessidade de traduzir de Cisco IOS para HP Comware.
Comware Cisco IOS
------------ --------------
bgp xxxxx router bgp xxxxx
router-id x.x.x.x bgp router-id x.x.x.x
preference 200 200 200 (valor recomendado, não é default) distance 20 200 200 (default)
undo synchronization no synchronization (not default)
v5: recomendado (não é default)
v7: default
undo summary automatic (default) no auto-summary (not default)
log-peer-change bgp log-neighbor-changes
graceful-restart bgp graceful-restart
bgp graceful-restart restart-time 120 (default) bgp graceful-restart stalepath-time 360 (default)
balance n (default=1) maximum-path (dependente do contexto, default=1)
v5: global BGP config
v7: in ipv4 address family
maximum-path n (n=numero de rotas paralelas) maximum-path ibgp m
ebgp-interface-sensitive (default) bgp fast-external-fallover (default)
network x.x.x.x y.y.y.y network x.x.x.x mask y.y.y.y
aggregate x.x.x.x y.y.y.y aggregate-addresss x.x.x.x y.y.y.y
aggregate x.x.x.x y.y.y.y detail-suppressed aggregate-addresss x.x.x.x y.y.y.y summary-only
import-route static [route-policy name] redistribute static [route-map name]
import-route direct [route-policy name] redistribute connected [route-map name]
import-route ospf process_id [route-policy name] redistribute ospf process_id [route-map name]
default-information originate
reflector cluster-id x.x.x.x bgp cluster-id x.x.x.x
dampening bgp dampening
peer x.x.x.x as-number AS-number neighbor x.x.x.x remote-as AS-number
peer x.x.x.x description blabla neighbor x.x.x.x description blabla
peer x.x.x.x connect-interface LoopBack0 neighbor x.x.x.x update-source Loopback0
peer x.x.x.x next-hop-local neighbor x.x.x.x next-hop-self
peer x.x.x.x advertise-community neighbor x.x.x.x send-community
peer x.x.x.x password simple|cipher string neighbor x.x.x.x password 7 string
(default) neighbor x.x.x.x version 4 (no negotiation)
peer x.x.x.x ebgp-max-hop neighbor x.x.x.x ebgp-multihop hop_count
peer x.x.x.x preferred-value default_prefval neighbor x.x.x.x weight default_weight
peer x.x.x.x default-route-advertise route-policy name neighbor x.x.x.x default-originate route-map name
peer x.x.x.x timer keepalive keepalive hold holdtime neighbor x.x.x.x timers keepalive holdtime minholdtime
peer x.x.x.x route-policy name import | export neighbor x.x.x.x route-map name in | out
peer x.x.x.x public-as-only neighbor x.x.x.x remove-private-as
peer x.x.x.x fake-as AS-number neighbor x.x.x.x local-as no-prepend AS-number replace-as
peer x.x.x.x substitute-as
peer x.x.x.x allow-as-loop AS_occurances neighbor x.x.x.x allowas-in AS_occurances
peer x.x.x.x route-limit prefix_number % reconnect restart_interval
neighbor x.x.x.x maximum-prefix prefix_number % restart restart_interval
peer x.x.x.x reflect-client neighbor x.x.x.x route-reflector-client
peer x.x.x.x ignore neighbor x.x.x.x shutdown
group group_name internal | external neighbor group_name peer-group
peer x.x.x.x group group_name neighbor x.x.x.x peer-group group_name
compare-different-as-med bgp always-compare-med
bestroute compare-med bgp deterministic-med
bestroute as-path-neglect bgp bestpath as-path ignore
undo default ipv4-unicast no bgp default ipv4-unicast
(Default) bgp suppress-inactive
peer x.x.x.x capability-advertise orf ip-prefix both neighbor x.x.x.x capability orf prefix-list both
peer x.x.x.x capability-advertise route-refresh (default) neighbor x.x.x.x soft-reconfiguration inbound
peer x.x.x.x bfd neighbor x.x.x.x fall-over bfd
peer x.x.x.x route-update-interval timer neighbor x.x.x.x advertisement-interval seconds
(iBGP default=5s, eBGP default=30s) iBGP default=0s, eBGP (na VRF) default=0s, eBGP default=0s)
peer x.x.x.x next-hop-local neighbor x.x.x.x next-hop-self
peer x.x.x.x capability-advertise orf ip-prefix both neighbor x.x.x.x capability orf prefix-list both
Deve ser usado no vpnv4 address-family. Deve ser usado no vpnv4 address-family.
peer x.x.x.x advertise-ext-community neighbor x.x.x.x send-community extended | both
undo peer x.x.x.x enable no neighbor x.x.x.x activate
Verificando a troca de prefixos
display bgp routing-table peer x.x.x.x received-routes show ip bgp neighbors x.x.x.x received-routes
display bgp routing-table peer x.x.x.x advertised-routes show ip bgp neighbors x.x.x.x advertised-routes
MPBGP
display bgp vpnv4 vpn-instance vpn-instance-name routing-table peer x.x.x.x received-routes
show ip bgp vpnv4 vrf vrf-instance-name neighbors x.x.x.x received-routes
display bgp vpnv4 all routing-table peer x.x.x.x received-routes
v5
show ip bgp vpnv4 all neighbors x.x.x.x received-routes
display bgp vpnv4 vpn-instance vpn-instance-name routing-table peer x.x.x.x advertised-routes
show ip bgp neighbors x.x.x.x advertised-routes
display bgp vpnv4 all routing-table peer x.x.x.x advertised-routes
show ip bgp
Treinamento Comware – Aula 5 – Tabela de Roteamento, Rota Estática, Roteamento entre VLANs, Router on a Stick…
Aula 5 do Treinamento Comware para Switches HP. Nesse vídeo demonstramos o funcionamento da tabela de Roteamento, Gateway, Rota estática IPv4, IPv6, Roteamento entre VLANs e Roteamento com sub-interfaces.
Comware 7: Apagar uma VRF/VPN
Segue abaixo mais um post cedido pelo Paulo Roque. A dica é bastante útil para cenários com utilização de VRFs [(vpn-instance) que permitem a segmentação da tabela de roteamento de um Switch/Roteador] e que após a finalização dos testes ou remoção da configuração de um cliente, precisa ser removida da configuração do dispositivo…
Srs,
É possível apagar toda a config (IPs, rotas, address-family e VRRP) referente a uma vpn-instance no Comware com apenas um comando. Basta apagar a própria VRF. Pode ser útil na hora de elaborar o back-out (plano de volta) para remover as configurações. Veja o exemplo.
#=====================================================
#DISPLAY CURRENT-CONFIG (only the important items).
#=====================================================
[rt01]display cur
#
version 5.20, Release 2105, Standard
#
ip vpn-instance TESTE-VRF
route-distinguisher 100:1
vpn-target 100:1 export-extcommunity
vpn-target 100:1 import-extcommunity
#
interface Ethernet0/0
port link-mode route
ip binding vpn-instance TESTE-VRF
ip address 192.168.1.1 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.1.3
vrrp vrid 100 priority 110
undo vrrp vrid 100 preempt-mode
#
#
bgp 65000
undo synchronization
peer 192.168.1.2 as-number 65001
#
ipv4-family vpn-instance TESTE-VRF
import-route direct
import-route static
#
ip route-static vpn-instance TESTE-VRF 192.168.2.0 255.255.255.0 192.168.1.2
ip route-static vpn-instance TESTE-VRF 192.168.3.0 255.255.255.0 192.168.1.2
ip route-static vpn-instance TESTE-VRF 192.168.4.0 255.255.255.0 192.168.1.2
ip route-static vpn-instance TESTE-VRF 192.168.5.0 255.255.255.0 192.168.1.2
#
#===========================================================
# DELETE THE VPN CONFIG AND DISPLAY THE CURRENT CONFIG AGAIN
#===========================================================
#
[rt-01]undo ip vpn-instance TESTE-VRF
[rt-01]
[rt-01]dis cur | i TESTE-VRF
[rt-01]
#=====================================================
# NOTE THAT VRRP CONFIG WAS ALSO DELETED
#=====================================================
[rt-01]dis cur int e0/0
#
interface Ethernet0/0
port link-mode route
#Proque
Comware – T38 – Fax over IP (FoIP) em Roteadores HP MSR
O Fax (abreviação de fac-símile) é a transmissão telefônica de material impresso digitalizado (texto e imagens), normalmente para um número de telefone conectado a uma impressora ou outro dispositivo de saída.
O protocolo T.38 permite transmitir mensagens de fax através de uma rede IP em tempo real (na velocidade da transmissão). Os aparelhos de FAX não necessariamente precisam obter informações sobre a rede e podem continuar a enviar as suas mensanges no padrão T.30.
O padrão T.38 Fax Relay foi concebido em 1998 como uma maneira de permitir que a mensagem via fax a seja transportadas através de redes IP entre terminais de fax existentes no padrão do Grupo 3.
Existem outros protocolos de envio de FAX sobre IP mas o padrão do ITU é o T.38.
Como T.38 Fax Relay funciona?
Os dados modulados pelo fax analógico são digitalizados pelo DSP (Digital Signal Processor) no gateway e as informações são geradas em binário.
A informações em binário são encapsuladas no pacote T.38 e então transportada pela rede IP.
O DSP no gateway de destino extrai a informação transportada pelo pacote T.38 e modula dentro do sinal de fax analógico tradicional.
Configuração
No exemplo abaixo utilizaremos o mesmo exemplo do Configuration Guide do MSR 3012 para Voz, utilizando SIP entre duas localidades.
<RouterA> system-view [RouterA] voice-setup [RouterA-voice] dial-program [RouterA-voice-dial] entity 2000 voip [RouterA-voice-dial-entity2000] match-template 2000 [RouterA-voice-dial-entity2000] address sip ip 10.2.2.2 [RouterA-voice-dial-entity2000] fax protocol standard-t38 ls-redundancy 4 [RouterA-voice-dial-entity2000] quit [RouterA-voice-dial] entity 1000 pots [RouterA-voice-dial-entity1000] match-template 1000 [RouterA-voice-dial-entity1000] line 2/1/1 [RouterA-voice-dial-entity1000] fax protocol standard-t38 ls-redundancy 4 #### <RouterB> system-view [RouterB] voice-setup [RouterB-voice] dial-program [RouterB-voice-dial] entity 1000 voip [RouterB-voice-dial-entity1000] match-template 1000 [RouterB-voice-dial-entity1000] address sip ip 10.1.1.1 [RouterB-voice-dial-entity1000] fax protocol standard-t38 ls-redundancy 4 [RouterB-voice-dial-entity1000] quit [RouterB-voice-dial] entity 2000 pots [RouterB-voice-dial-entity2000] match-template 2000 [RouterB-voice-dial-entity2000] line 2/1/1 [RouterB-voice-dial-entity2000] fax protocol standard-t38 ls-redundancy 4
Para visualizar as estatísticas utilize os comandos:
display voice fax statistics
reset voice fax statistics
Até logo
Referências
HPE FlexNetwork MSR Router Series – Voice – Configuration Guide Document version: 6PW104-20151118
Treinamento Comware – Aula 4 – VRRP, DHCP-Server e DHCP-Relay
Aula 4 do Treinamento Comware para Switches HP. Nesse vídeo explicamos o funcionamento do VRRP, do DHCP e a configuração dos Switches e Roteadores baseados no Comware como Servidores DHCP como também os cenários para uso da funcionalidade DHCP-Relay.
Comware – Password-control
A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.
Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc.
O comando display password-control permit visualizar quais configurações estão ativas:.
[Switch]display password-control
Global password control configurations:
Password control: Disabled
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history records:4)
Early notice on password expiration: 7 days
Maximum login attempts: 3
Action for exceeding login attempts: Lock user for 1 minutes
Minimum interval between two updates:24 hours
User account idle time: 90 days
Logins with aged password: 3 times in 30 days
Password complexity: Disabled (username checking)
Disabled (repeated characters checking)
[Switch]
A configuração abaixo permite o controle de senha para switches configurados com autenticação local:
# Habilitando o password-control globalmente.
[Switch] password-control enable
# Proibe que o usuário faça login após duas falhas consecutivas.
[Switch] password-control login-attempt 2 exceed lock
# Defina o tempo de 30 dias para todas as senhas.
[Switch] password-control aging 30
# Defina o intervalo mínimo de atualização de senha para 36 horas.
[Switch] password-control password update interval 36
# Especifique que um usuário pode fazer o login cinco vezes no prazo de 60 dias após a expiração da senha.
[Switch] password-control expired-user-login delay 60 times 5
# Defina o tempo de inatividade máximo da conta para 30 dias.
[Switch] password-control login idle-time 30
# Recuse qualquer senha que contenha o nome de usuário ou o nome de usuário inverso.
[Switch] password-control complexity user-name check
Para verificar usuários bloqueados digite display password-control blacklist:
[Switch]display password-control blacklist
Blacklist items matched: 1.
Username: jose
IP: 192.168.0.4 Login failures: 3 Lock flag: lock
Para resetar o usuário bloqueado digite:
<Switch>reset password-control blacklist user-name jose
Até mais!
Referências
Comware: STP desabilitado!!!!
Os Switches baseados no Comware, dependendo da versão, podem vir de fábrica com o protocolo STP desabilitado, assim como a maioria dos Protocolos e Serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite.
[Switch] display stp Protocol Status :disabled Protocol Std. :IEEE 802.1s Version :3 Bridge-Prio. :32768 MAC address :000f-e203-0200 Max age(s) :20 Forward delay(s) :15 Hello time(s) :2 Max hops :20 ! Identificando que o STP está desabilitado no Switch [Switch]stp enable %Jun 18 16:21:10:253 2012 Switch MSTP/6/MSTP_ENABLE: STP is now enabled on the device. ! Habilitando o Spanning-Tree
Um grande abraço
COMUTADORES 