As ACL (Access Control List) são utilizadas para classificar tráfego para os mais diversos fins, como por exemplo, políticas de filtro de pacotes, QoS e PBR.
Uma ACL pode classificar um tráfego baseando-se no fluxo de dados que entram ou saem de uma interface (porta física, interface VLAN, VLAN, etc).
Na maioria dos casos uma ACL é utilizada para determinar se um pacote será permitido ou descartado em uma interface com as ações PERMIT ou DENY.
As novas tecnologias de rede sem fio já exigem banda superior a velocidade das portas Gigabit Ethernet para os uplinks. O movimento dos serviços críticos também para o acesso wireless, como ferramentas e aplicações em nuvem, serviços multimídia e colaboração, demandam por velocidade intermediária entre as interfaces Ethernet de 1Gbs e 10Gb para o tráfego de rede quando se utiliza os padrões 802.11ac e 802.11ax (Wi-fi 5 e Wi-fi 6, respectivamente), somando a isso, inclui-se a necessidade de PoE para o tráfego acima de 1Gbs. Estes desafios possibilitaram o desenvolvimento do padrão 802.3bz (Multi-Gigabit Ethernet) e a sua rápida adoção pelo mercado.
A tecnologia Smart Rate Multi-Gigabit Ethernet possibilita que a infraestrutura de rede atenda às necessidades das novas tecnologias de alta velocidade para interfaces de rede com velocidade de 1GbE, 2.5GbE, 5GbE e 10GbE (incluindo PoE, PoE+ e 802.3bt), utilizando o cabeamento de par trançado já existente.
Por exemplo, o padrão 802.3bz permite que o cabeamento CAT5e alcance a velocidade de 2,5Gb/s e o CAT6 alcance os 5Gbs, sem a substituição do cabeamento em uso. O padrão também fornece energia para Access Points de alta velocidade, demandada pelos novos APs 802.11ac wave 2 e 802.11ax, economizando as despesas para substituição e a complexidade da nova infraestrutura de cabeamento.
O que é o Smart Rate?
A tecnologia Multi-Gigabit Ethernet da HPE/Aruba é nomeada como Smart Rate. Ela é uma interface de rede de par trançado, interoperável com o ecossistema NBASE-T de produtos 2,5/5Gbps, bem como com dispositivos padrão de mercado de 1GbE/10GbE. Ela permite que a maioria das instalações de cabos existentes encontradas em ambientes LAN do campus forneçam conectividade, distribuam energia PoE para dispositivos conectados e protejam a rede cabeada para investimentos de novos APs para rede sem fio.
Para os switches com suporte ao IEEE 802.3bt, as portas do switch com Smart Rate fornecem até 60W de Power over Ethernet, independentemente da velocidade da porta. O mecanismo usado na interface Multi-Gigabit Ethernet para fornecer e receber energia sobre cabeamento estruturado de par trançado é totalmente compatível com as especificações IEEE 802.3bt e IEEE 802.3at PoE.
As portas Smart Rate são auto-negociáveis, o que permite que o link Ethernet se estabeleça na velocidade mais alta em uma determinada configuração de cabo. No exemplo abaixo, alguns parâmetros de configuração da velocidade da porta no ArubaOS.
Validando uma interface Smart Rate de um 335 AP:
AP-01# show interface eth0 is up, line protocol is up
Hardware is 5 Gigabit Ethernet, address is a8:bd:27:12:34:56
Speed 5000Mb/s, duplex full
Received packets 2541229
Received bytes 270781542
Receive dropped 0
Receive errors 0
Receive missed errors 0
Receive overrun errors 0
Receive frame errors 0
Receive CRC errors 0
Receive length errors 0
Transmitted packets 176421
Transmitted bytes 19895301
Transmitted dropped 0
Transmission errors 0
Lost carrier 0
Validando a interface smart rate de um Switch 5412r:
HP-Switch-5412Rzl2# show interfaces J24 smartrate
Status and Counters - Smart Rate information for Port J24
Model : 0x03a1
Chip : 0xb4b3
Firmware : 2.b.9
Provisioning : 0x0003
Current SNR Margin (dB) | Chan1 Chan2 Chan3 Chan4
9.4 10.7 6.9 8.2
Minimum SNR Margin (dB) | Chan1 Chan2 Chan3 Chan4
8.5 10.2 6.5 7.4
Ethernet FCS errors : 0
Uncorrected LDPC errors : 0
Corrected LDPC erros
LDPC iteration 1 : 2810815821
LDPC iteration 2 : 1589277
LDPC iteration 3 : 0
LDPC iteration 4 : 0
LDPC iteration 5 : 0
LDPC iteration 6 : 0
LDPC iteration 7 : 0
LDPC iteration 8 : 0
0 | Number of RFI Cancellation Events.
0 | Number of Link Recovery Events.
0 | Accumulated time (ms) spent in Fast Retrain.
Established link speed : 5G NBASE-T
Number of attempts to establish link : 1
Uptime since link was established : 2021 seconds
Local Port advertised capabilities
1000BASE-T | 2.5G NBASE-T | 5G NBASE-T | 2.5GBASE-T | 5GBASE-T | 10GBASE-T
Yes | Yes | Yes | Yes | Yes | Yes
Link Partner advertised capabilities
1000BASE-T | 2.5G NBASE-T | 5G NBASE-T | 2.5GBASE-T | 5GBASE-T | 10GBASE-T
Yes | Yes | Yes | No | No | No
Até o próximo post!
Referências
https://en.wikipedia.org/wiki/2.5GBASE-T_and_5GBASE-T
https://www.versatek.com/blog/ieee-802-3bz-breaking-1-gbps-barrier-without-recabling/
https://blogs.arubanetworks.com/solutions/go-faster-with-new-aruba-2930m-smart-rate-switches/
https://community.arubanetworks.com/t5/Wireless-Access/AP-335-smart-rates-port-info/td-p/286547
Whitepaper: Turbo Charging Cabling Infrastructures – HPE SMART RATE MULTI-GIGABIT ETHERNET TECHNOLOGY
A funcionalidade IP Source Guard (IPSG) configurada em Switches impede ataques spoofing na LAN utilizando uma tabela com registros de endereços da rede para comparar os pacotes legítimos. A feature descarta pacotes que não correspondem à tabela de endereços legítimos.
As consultas efetuadas com os endereços legítimos podem conter:
• IP-interface.
• MAC-interface.
• IP-MAC-interface.
• IP-VLAN-interface.
• MAC-VLAN-interface.
• IP-MAC-VLAN-interface.
Os registros consultados pelo IP Source Guard podem ser estáticos ou dinâmicos. Por exemplo, se um host falsifica o endereço IP ou MAC de um host para ataques MITM ou DoS, a feature identificará o frame falsificado e o descartará.
As entradas (bindings) de IPSG estáticas são adequados para cenários onde existem poucos hosts em uma LAN e seus endereços IP são configurados manualmente. Por exemplo, você pode configurar em uma interface que se conecta a um servidor. Esse registro permite que a interface receba pacotes apenas do servidor.
Os registros IPSG estático em uma interface implementam as seguintes funções:
• Filtrar pacotes IPv4 ou IPv6 de entrada na interface.
• Cooperar com a detecção de ataques ARP no IPv4 para verificação de validade do usuário.
Ligações IPSG estáticas são específicas da interface. Uma ligação IPSG estática vincula o endereço IP, MAC, VLAN ou qualquer combinação dos itens na visualização da interface.
Configuração estática
[DeviceB] interface gigabitethernet 1/0/1 [DeviceB-GigabitEthernet1/0/1] ip verify source ip-address mac-address [DeviceB-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407 [DeviceB-GigabitEthernet1/0/1] quit # [DeviceB] interface gigabitethernet 1/0/2 [DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address [DeviceB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406 [DeviceB-GigabitEthernet1/0/2] quit #
Output
[DeviceB] display ip source binding static Total entries found: 2 IP Address MAC Address Interface VLAN Type 192.168.0.1 0001-0203-0406 GE1/0/2 N/A Static N/A 0001-0203-0407 GE1/0/1 N/A Static
IPSG com DHCP Snooping
A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados. O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack, encaminhadas pelo falso Servidor DHCP. A configuração atribui para todas as portas do Switch como untrusted (não confiável) – sendo necessário a configuração manual do servidor DHCP como trust (confiável).
Uma vez em funcionamento o DHCP Snooping popula uma tabela que contém o endereço IP liberado pelo servidor DHCP com o endereço MAC do host e essa tabela pode ser utilizada pelo IPSG para proteção de ataques spoofing.
As consultas IPSG que forem baseadas no serviço DHCP são adequadas para cenários em que os hosts da rede local obtêm o endereço IP através do DHCP. O IPSG com DHCP Snooping fará apenas a leitura dos endereços fornecidos via DHCP da tabela dhcp-snooping.
Configurando o IPSG com DHCP Snooping
[Device] dhcp snooping enable # [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] dhcp snooping trust [Device-GigabitEthernet1/0/2] quit # [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address # Enable recording of client information in DHCP snooping entries on GigabitEthernet 1/0/1. [Device-GigabitEthernet1/0/1] dhcp snooping binding record [Device-GigabitEthernet1/0/1] quit
Output
[Device] display ip source binding dhcp-snooping Total entries found: 1 IP Address MAC Address Interface VLAN Type 192.168.0.1 0001-0203-0406 GE1/0/1 1 DHCP snooping
Referência
HPE FlexNetwork MSR Router Series – Comware 7 Security Configuration Guide
Uma novidade bem legal da versão 7 do Comware (Sistema Operacional de Switches e Roteadores HP) é o suporte para scripts TCL e Python.
Um grupo de HPN criou um repositório dos scripts no GITHUB https://github.com/networkingdvi/HPN-Scripting#hpn-scripting
O repositório é totalmente free e para ter contato com a galera, acesse: http://abouthpnetworking.com/2014/06/22/hpn-scripting-on-github/
abração
Os switches Aruba usam botões Reset e Clear no painel frontal para permitir que os usuários reiniciem (reset) a configuração do switch para o padrão de fábrica ou para redefinir a senha do console (clear). Esses recursos criam um risco de segurança e para ambientes não controlados ao switch. Recomenda-se que os administradores desabilitem esses recursos.
É importante entender que desativar esses recursos restringe severamente as opções da equipe de TI para recuperar um switch em cenários que não se possui as credenciais de acesso.
Esses botões permitem que um simples clip de papel possa limpar as senhas (clear). O botão clear não apaga a configuração e não desliga o switch, apenas apaga as senhas.
switch(config)# no front-panel-security password-clear switch(config)# no front-panel-security factory-reset
Observações
– Pressionar o botão Clear por um segundo redefine a(s) senha(s) configurada(s) no switch.
– Pressionar o botão Reset sozinho por um segundo faz com que o switch seja reinicializado.
– Você também pode usar o botão Reset junto com o botão Clear (Reset + Clear) para restaurar o padrão de fábrica configuração do switch.
– Para validar utilize show front-panel-security
Referências
ArubaOS-Switch Hardening Guide for 16.06
Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch
A feature port isolate permite ao administrador isolar portas do Switch dentro de um grupo para impossibilitar a comunicação das máquinas pertencentes ao grupo, de uma maneira fácil e prática. A comunicação das interfaces do Switch configuradas com port isolation group ocorrerá somente com as portas que não possuem o comando aplicado.
O Switch HP v1910 suporta apenas um único grupo de isolamento (até o momento) que é criado automaticamente pelo sistema como grupo 1. Não é possível remover o grupo e nem criar outros grupos de isolamento.
Não há nenhuma restrição no número de portas atribuídos a um port isolation group .
Por exemplo, se você possui 3 servidores de diferentes cliente em um mesmo Switch na porta Giga1/0/2, Giga1/0/3 e Giga1/0/4 e em uma mesma VLAN, mas não quer permitir a conexão entre eles,configure as portas 2 , 3 e 4 do Switch como port isolation group para limitar a comunicação entre os servidores.
Imaginando nesse mesmo exemplo que o roteador esteja na porta Giga1/0/1 do Switch (porta não configurada como port isolation group), a comunicação das máquinas com esse roteador /firewall ocorrerá normalmente.
Para configurar via web selecione Security > Port Isolate Group e clique em Modify…
A agregação de diversas interfaces Ethernet (portas físicas) para a utilização de uma única porta lógica com o intuito de prover redundância e aumento de banda é uma atividade muito comum em redes de médio e grande porte . No vídeo abaixo, fazemos uma breve descrição sobre a configuração para Link-Aggregation.
A feature DHCP Relay permite ao Switch L3 ou Roteador encaminhar as mensagens DHCP em broadcast em unicast para determinado servidor, possibilitando assim utilização de um único servidor DHCP para toda a LAN.
Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrerem em broadcast, o Switch L3/Roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast ( que está em uma VLAN diferente do host) .
O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem (alterada e inserida no cabeçalho DHCP).
Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.
Configurando o DHCP Relay
<SwitchA>system-view
[SwitchA] dhcp enable
! Ativando o DHCP
[SwitchA] dhcp relay server-group 1 ip 10.1.1.1
! Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.254 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] interface vlan-interface 40
[SwitchA-Vlan-interface40] ip address 10.2.2.254 255.255.255.0
[SwitchA-Vlan-interface40] dhcp select relay
!Ativando o DHCP relay agent na VLAN-interface 40
[SwitchA-Vlan-interface40] dhcp relay server-select 1
! Correlacionando a VLAN-interface 40 para o grupo DHCP 1
Obs: as configurações de DHCP Relay podem variar dependendo do modelo do Switch. A configuração acima foi executada em um Switch HP modelo 4800.
O protocolo Rapid Spanning-Tree é definido no padrão IEEE 802.1w para melhora no tempo de convergência do Spanning-Tree (802.1d) ,definindo regras para que os links alterem rapidamente ao estado de encaminhamento (forwarding), gerando mensagens BPDUs em vez de apenas retransmitir os BPDUs do Root, oferecendo uma significativa melhora no tempo de convergência da rede.
Uma das principais melhorias efetuadas no protocolo reduziu o tempo de convergência em caso de falha de 3 Hellos BPDU’s (por default 2 segundos cada Hello) ao invés de 10 Hellos BPDU’s na versão anterior do Protocolo.
O RSTP elege o Switch Root da mesma maneira que o 802.1d e o tempo de transição para o estado das portas foi reduzido com 3 operações básicas: Discarding, Learning e Forwarding
A rápida transição para o forwarding é permitida sem a necessidade de esperar o tempo da configuração, baseando-se na classificação dos equipamentos conectados nas portas do Switch.
Edge
As portas do Switch conectadas a computadores e servidores precisam de configuração manual para rápida transição do modo de discarding para o forwarding. Durante qualquer alteração da topologia do Spanning-tree a porta Edge não participará do Spanning-Tree, mas gerará BPDU’s por segurança.
[Sw] interface gigabitethernet 1/0/1
[Sw-GigabitEthernet1/0/1] stp edged-port enable
Obs: Se uma porta configurada como edge receber um BPDU, automaticamente voltará ao estado uma porta normal do STP
Point-to-Point
Por default as portas RSTP conectadas e negociadas como Full Duplex entre Switches consideram-se point-to-point. A rápida transição é possível após a porta encaminhar um BPDU como Proposal e receber a confirmação do BPDU com um Agreement , esse processo é chamado de handshake ( na tradução literal, aperto de mãos).
e houverem Links redundantes na topologia a porta com caminho alternativo para o Switch Root ficará no estado de discarding e será considerada como uma Alternate Port.
Outra melhora na versão do protocolo ocorre durante mudanças na topologia, como por exemplo, quebra do caminho principal. Os Switches não terão que esperar o aviso do Switch Root para efetuarem a convergência da topologia (basta receber um TCN do Switch vizinho) e assim a porta com caminho alternativo poderá mudar imediatamente para o estado de encaminhamento.
Em testes práticos a convergência na quebra de um link chega a perder um PING.
Para habilitar o RSTP nos Switches H3C/3Com utilize o comando stp mode rstp
Rapidinhas
• Todo Switch vem de fabrica com o valor da Bridge priority como 32768, a eleição do Switch Root pode ser manipulada alterando o valor do bridge priority menor que o Valor padrão. Em caso de empate é utilizado o endereço MAC do equipamento.
• O estado de “bloqueio” das portas utilizado no Spanning-Tree (802.1d) é renomeado para estado de “descarte”(discarding). A função de uma porta de descarte é a de uma porta alternativa. A porta de descarte pode tornar-se uma porta designada se a porta do segmento falhar.
• As regras de Portas Root e Designadas são idênticas em ambas versões do STP
• Uma porta Root possui o melhor caminho para o Switch Root que é geralmente o caminho de menor custo. ( O Switch Root não possui porta Root)
• Uma porta Designada é porta que encaminha os BPDUs dentro de um segmento. ( Existente em Switches Root e não-Root)
• Alternate Port – porta bloqueada por ser um caminho alternativo para o Switch Root. A porta alternativa irá tornar-se root se a porta root falhar.
• Backup Port – porta bloqueada que recebe um BPDU de uma porta designada do mesmo segmento. (como por exemplo um cabo conectado do próprio Switch ou 2 conexões para o mesmo HUB)
• Utilize sempre os comandos display stp e display stp briefpara visualização dos estados das portas do STP.
• O protocolo 802.1w possui compatibilidade com o 802.1d
Abraços a todos!
Durante as configurações do processo OSPF para Switches, Servidores ou Roteadores, algumas redes precisam ser declaradas no OSPF, mas isso não significa que elas (precisarão) formar adjacência com outros Roteadores – ao inserirmos uma rede com o comando network o equipamento começará a trocar mensagens OSPF por aquela interface.
O fato da interface gerar mensagens pelo protocolo OSPF a deixa vunerável ao aprendizado de mensagens de outros equipamentos que podem por consequência inserir redes por engano ou de forma maliciosa (perdendo assim o controle sobre o Roteamento da rede).
Nesse caso poderemos deixar as interfaces Físicas e VLANs em modo silencioso, sem gerar mensagens do protocolo para a LAN.
O comando silent-interface (em Switches e Roteadores 3Com/H3C/HP ) seguido do numero da interface VLAN ou Interface física, permitirá ao Switch/Roteador não gerar mensagens LSA.
ospf 100 silent-interface Vlan-interface1 ! Configurando a interface VLAN 1 em modo silent area 0.0.0.0 network 192.168.1.2 0.0.0.0 network 172.31.0.1 0.0.0.0 ! As melhores práticas sugerem configurarmos todas as interfaces ! como silent ( passive) e habilitarmos somente as VLANs/Interfaces ! de adjacência com o comando undo silent-interface + Interface silent-interface all ! Configurando todas as Interfaces VLAN como silent undo silent-interface Vlan-interface 2 ! Removendo a interterface VLAN 2 do silent
Dúvidas? Deixe um comentário!
Abraços a todos!
COMUTADORES 