H3C

Reset de Senha: Switches 3Com, HPN e H3C

Diego DiasLeave a comment

Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.

O procedimento abaixo serve para permitir  o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….
 
Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.
 

Procedimento

Consiga um acesso via Console ao Switch. Reinicie o equipamento e  digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…

Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:

BOOT MENU

1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot

…escolha a opção 7, confirme e reinicie o Switch.

No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.
 
Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).
 
Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários ..

Seja cauteloso e Boa Sorte!

Comware 7: Configurando FCoE

Diego DiasLeave a comment

 protocolo FCoE permite o encapsulamento de Fibre Channel dentro de quadros Ethernet com o uso de um Ethertype dedicado 0×8906. O quadro Fibre Channel deverá manter-se intacto dentro do Ethernet.

O protocolo FCoE também é complementado por implementações no Ethernet, chamadas de Data Center Bridging (DCB). O DCB é uma coleção de padrões do IEEE 802.1 que permitem melhorias no protocolo Ethernet para Data Centers resolvendo questões como descarte de pacotes, priorização de tráfego em congestionamentos, etc.

A exigência de uma rede de armazenamento (SAN) é que o ambiente forneça a comutação “sem perdas na transmissão de quadros”. As melhorias adicionadas ao protocolo fazem o Ethernet “compatível” com uma rede de Storage.

Os Switches HPe/Aruba 5900CP e 5940 com módulos de portas convergentes possibilitam a configuração tanto de portas Ethernet, FC e FCoE.

Para a configuração FC e FCoE nos Switches convergentes baseados no Comware, será necessário converter o modo do switch, criar as interfaces VFC para FCoE ou converter uma porta Ethernet para FC no caso de uma interface Fibre Channel.

Topologia e Configuração

No cenário abaixo, mostraremos a configuração no Comware para as interfaces TenGigabitEthernet 1/0/1 para o servidor com CNA (conectividade FCoE), TenGigabitEthernet 1/0/2 ou FC1/0/2 para rede SAN e TenGigabitEthernet 1/0/3 para rede LAN.

1 – Configure o switch como “advanced working mode”, salve a configuração e reinicie o equipamento:

[SW1] system-working-mode advance
Do you want to change the system working mode? [Y/N]:y

The system working mode is changed, please save the configuration and reboot the system to make it effective.

[SW1] quit

<SW1> save safely force

<SW1> reboot force

2- Habilite  FCF mode:

[SW1] fcoe-mode fcf

3- Crie a VSAN e atribua a VLAN:

[SW1] vsan 100
[SW1-vsan100] quit

[SW1] vlan 100
[SW1-vlan100] fcoe enable vsan 100
[SW1-vlan100] quit

4- Crie uma interface Virtual Fibre Channel (VFC) e configure como uma F_port

[SW1] interface vfc1
[SW1-Vfc1]
[SW1-Vfc1] fc mode f

5-  Vincule a VFC para a interface física

[SW1-Vfc2] bind interface Ten-GigabitEthernet 1/0/50

6 – Atribua a interface VFC para a SAN correspondente

[SW1-Vfc2] port trunk vsan 100

7 – Configure a interface física para suportar o VSAN transport VLAN

[SW1] interface Ten-GigabitEthernet 1/0/1
[SW1-Ten-GigabitEthernet1/0/1] port link-type trunk
[SW1-Ten-GigabitEthernet1/0/1] port trunk permit vlan 100

… configuração para a interface FC conectada à rede de Storage…

8. Mude a interface de Ethernet para FC e atribua a VSAN

[SW1] int ten 1/0/2
[SW1 Ten-GigabitEthernet1/0/2]port-type fc
[SW1-Fc1/0/2] fc mode e
[SW1-Fc1/0/2] port access vsan 100

… para a interface Ethernet conectada à rede LAN…

9. Configure o uplink para o switch Ethernet

[SW1 interface ten-gigabitethernet 1/0/3
[SW1-Ten-GigabitEthernet1/0/3] port link-type trunk
[SW1-Ten-GigabitEthernet1/0/3] port trunk permit vlan 10
[SW1-Ten-GigabitEthernet1/0/3] quit

Comandos display

display interface brief
display interface vfc brief
display interface fc1/0/2
display fc login
display fc name-service database

Com os comandos acimas finalizamos a configuração inicial de FcoE

Espero ter ajudado. Até a o próximo artigo!

Vídeo: Comware – IGMP Snooping

Diego DiasLeave a comment

O Protocolo IGMP (Internet Group Management Protocol) é fundamental para gerenciar o tráfego multicast em sua rede. Ele permite que hosts se juntem a grupos multicast e recebam transmissões específicas para esses grupos, otimizando o uso da banda e evitando o envio desnecessário de dados para dispositivos que não os desejam.

Como funciona o IGMP?

  • Hosts se registram em grupos multicast: Os hosts enviam mensagens IGMP Report para informar ao roteador da LAN que desejam receber transmissões de um determinado grupo multicast.
  • Roteadores e switches de Camada 3 encaminham o tráfego multicast: Ao receberem mensagens IGMP Report, os roteadores e switches de Camada 3 identificam quais interfaces precisam receber o tráfego multicast e o encaminham para elas.

O que é IGMP Snooping?

O IGMP Snooping é uma função inteligente implementada em switches de rede que otimiza ainda mais o gerenciamento do tráfego multicast. Através da escuta das mensagens IGMP Report, Query e Leave, o IGMP Snooping cria um mapa dinâmico das interfaces que desejam receber cada fluxo multicast. Dessa forma, o switch envia o tráfego multicast apenas para as interfaces que realmente o solicitam, evitando desperdício de banda e otimizando o desempenho da rede.

Vantagens do IGMP Snooping:

  • Redução do tráfego multicast desnecessário: Melhora o desempenho geral da rede e libera banda para outras aplicações.
  • Maior eficiência de roteamento: O switch direciona o tráfego multicast apenas para as interfaces que o solicitam, reduzindo o processamento desnecessário.
  • Escalabilidade aprimorada: Permite a expansão da rede multicast sem comprometer o desempenho.

Vídeo: Comware – Configurando RADIUS

Diego DiasLeave a comment

Autenticação Segura para Switches e Roteadores 3Com/HP com Comware: Domine o Script e Proteja Sua Rede!

Gerenciar seus switches e roteadores 3Com/HP com Comware de forma segura e eficiente é crucial para garantir a integridade e a confidencialidade da sua rede. Neste vídeo, apresentamos um guia para autenticação de usuários via Telnet, SSH e outros protocolos, permitindo que você controle o acesso à sua infraestrutura de rede com total precisão.

Aprenda a:

  • Implementar autenticação centralizada: Crie um ambiente seguro para administração de seus dispositivos, restringindo o acesso apenas a usuários autorizados.
  • Gerenciar diferentes protocolos: O script oferece suporte a diversos protocolos de autenticação, como Telnet, SSH, VTY e console, adaptando-se às suas necessidades específicas.
  • Configurar níveis de acesso personalizados: Defina diferentes níveis de acesso para diferentes usuários, garantindo que cada um tenha apenas as permissões necessárias para realizar suas tarefas.
  • Auditar e monitorar acessos: Mantenha um registro completo das tentativas de autenticação, identificando atividades suspeitas e protegendo sua rede contra invasores.

Vídeo: Comware – Configurando IRF

Diego DiasLeave a comment

O empilhamento de switches, também conhecido como stacking permite configurar diversos switches como se fossem um único switch lógico, simplificando drasticamente a administração da sua rede e aumentando significativamente a disponibilidade e o desempenho.

Neste vídeo completo, você aprenderá a configurar o IRF (Intelligent Routing and Forwarding) em switches 3Com, H3C e HP baseados no Comware:

  • Introdução ao empilhamento de switches: Descubra os principais benefícios dessa tecnologia e como ela pode otimizar sua rede.
  • Funcionamento do IRF: Compreenda os conceitos básicos do IRF e como ele transforma switches físicos em um único switch lógico.
  • Configuração passo a passo: Siga as instruções detalhadas para configurar o IRF em seus switches 3Com ou HP com Comware.
  • Gerenciamento simplificado: Aprenda a gerenciar o switch empilhado como um único dispositivo, reduzindo o tempo e o esforço necessários para a administração da rede.
  • Maior disponibilidade: Elimine pontos únicos de falha e garanta a alta disponibilidade da sua rede, mesmo em caso de falha de um switch individual.
  • Melhor desempenho: Distribua o tráfego de forma inteligente entre os switches empilhados, otimizando o desempenho geral da rede.

Comware 7: Autenticação com FreeRADIUS

Diego DiasLeave a comment

A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.

No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.

Instalando Freeradius no Slackware

1 – Baixe os pacotes do slackbuilds.org e instale normalmente;

2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;

3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;

4 – Adicione na primeira linha: student1   Cleartext-Password := “labhp”
! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’

5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123
! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius

6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:

Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20

7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.

8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.

10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:

Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7

Arquivo Clients.conf

client ip_do_device/máscara {
        secret          = testing123
}

ou

client vr1000 {
       ipaddr = ip_do_roteador
       secret          = testing123
}

Arquivo users

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-admin\"",

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-operator\""

Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.

Configurando o Comware7

#
interface GigabitEthernet1/0
 ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
 primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
 primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
 accounting-on enable
 user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio 
nas-ip 10.12.0.102
#
domain bbb
 authentication login radius-scheme rad
 authorization login radius-scheme rad
 accounting login radius-scheme rad
#
 domain default enable bbb
#
user-vty 0 63
authentication-mode scheme

Referências e observações

Após quebrar bastante a cabeça com diversos parâmetros e alguns dias de teste, usamos o documento http://h30499.www3.hp.com/hpeb/attachments/hpeb/switching-a-series-forum/5993/1/Freeradius%20AAA%20Comware%207.pdf como referência que cita a conexão do simulador HCL com FreeRADIUS no Ubuntu.