A publicação de conteúdo em vídeo, sempre foi um dos meus desejos para os assuntos já abordados aqui no blog. Nesse primeiro video, abordamos a configuração de portas Access, Hybrid e Trunk para Switches HPN, 3Com e H3C..
Sugestões e Comentários serão bem vindos. Espero que a gravação possa ser útil!
Nesse video, explicamos a configuração de VLANs em Switches Aruba baseados no Aruba-OS-CX.
Nesse vídeo, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração de VLANs com as portas access e trunk, Link-Aggregation com LACP, assim como os detalhes de alguns parâmetros relacionados a essas funcionalidades.
Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.
A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.
Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.
No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber.
Nesse vídeo explicamos a configuração do PVID nas portas access e trunk de um switch.
O que é PVID?
O PVID, sigla para Port VLAN ID, é um identificador atribuído a cada porta de um switch. Ele define a VLAN padrão para a qual os quadros não marcados (sem tag) serão enviados quando ingressarem na porta. Imagine cada porta como um portal para uma VLAN específica.
Como funciona o PVID?
Ao receber um quadro não marcado, o switch verifica o PVID da porta de entrada. Se o quadro pertencer à VLAN padrão da porta (definida pelo PVID), o switch o encaminha para os dispositivos dentro dessa VLAN. Já se o quadro precisar ser direcionado para outra VLAN, o switch adiciona a tag da VLAN correspondente ao quadro antes de enviá-lo.
Para portas Trunk, o PVID padrão é a VLAN 1.
Aprenda a configurar switches 3Com 5500 de forma rápida e eficiente com esta segunda parte do guia rápido!
Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1
NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2
BANNER
header motd %
=================================================================
“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”
=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %
Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>
Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN
STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta
Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all
Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch
Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4
Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados!
DHCP-Relay
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1
Saúde e Sucesso a todos!!!!
Nesse vídeos mostramos uma configuração simples de um Switch ArubaOS para camada de acesso como VLANs, Link-Aggregation, NTP, Syslog, entre outros.
A utilização de VLANs (Virtual Local Area Network) permite que a rede seja dividida em várias redes lógicas dentro de um switch.Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em switches divide as portas em 2 grupos: portas de acesso e portas de uplink.
Para a comunicação entre os switches da rede (portas de uplink), configure as interfaces como trunk com as suas respectivas VLANs permitidas.
Para comunicação dos hosts conectados ao switch, configure as interfaces como access em sua respectiva VLAN.
Exemplo de configuração de VLANs nas portas de uplink:
Interface 1/1/x vlan trunk allowed [VLAN-LIST | all]
Exemplo de configuração de VLANs nas portas de acesso:
Interface 1/1/x vlan access [VLAN-ID]
No exemplo abaixo, demonstramos a configuração do switch utilizando 2 VLANs na rede para segmentação das máquinas:
#ArubaCX1
vlan 1,3-4
!
interface 1/1/2
vlan trunk native 1
vlan trunk allowed 3-4
interface 1/1/3
vlan access 3
interface 1/1/4
vlan access 4
!
#ArubaCX2
vlan 1,3-4
!
interface 1/1/2
vlan trunk native 1
vlan trunk allowed 3-4
interface 1/1/3
vlan access 3
interface 1/1/4
vlan access 4
!
Dicas
Caso a porta apresente mensagem de erro durante a configuração da VLAN, como ‘Operation not allowed on an interface with routing enabled’, altere o modo de funcionamento da porta de L3 para L2 com o comando no routing.
ArubaCX1(config-if)# interface 1/1/11 ArubaCX2(config-if)# vlan access 4 Operation not allowed on an interface with routing enabled. ArubaCX1(config-if)# no routing ArubaCX2(config-if)# vlan access 4
Para validar a configuração das interfaces e VLAN, utilize os comandos show vlan e show interface brief, entre outros.
A configuração de vlan native é habilitada por default em todas as interfaces configuradas como trunk e ela indica para qual VLAN um quadro não-marcado com o ID da VLAN (untagged) será direcionado. Por padrão de mercado todos os pacotes não tagueados são direcionados para a VLAN 1 em uma porta trunk (uplink).
Nesse vídeo listamos alguns pontos para um melhor planejamento na segmentação de redes com a utilização de VLANs.
Para aqueles que estão começando a gerenciar equipamentos ArubaOS-CX criamos uma lista de comandos para instalação e configuração; os scripts são simples e bastante úteis!
Algumas funcionalidades podem ser configuradas de diferentes maneiras, mas tentaremos ser o mais abrangente possível nos scripts abaixo:
Acessando o modo de Configuração Global
ArubaOS-CX# configure terminal ArubaOS-CX(config)#
Auto confirmação
ArubaOS-CX# auto-confirm ! Desabilita a confirmação de usuário e executa a operação sem exibir “confirmação” de yes ou no no prompt”
Configurando o nome do Switch
ArubaOS-CX(config)# hostname Switch Switch(config)#
Configuração de VLANs
Switch(config)# vlan 2 Switch(config-vlan-2)# name estudantes
Mostrando quais as VLANs que existem no switch
show vlan
Definindo o IP para a VLAN 1
Switch(config)# interface vlan 1 Switch (config-if-vlan)# ip address 10.0.11.254/24 Switch (config-if-vlan)# no shutdown Switch (config-if-vlan)# exit
Definindo IP para uma porta
Switch(config)# Interface 1/1/10 Switch(config)# no shutdown Switch(config)# routing Switch(config)# ip address 192.168.20.1/24
Configurando o default gateway
Switch(config)# ip route 0.0.0.0/0 192.168.0.254
Configurações de portas como acesso
Switch1(config)# interface 1/1/1 Switch1(config-if)# no shut Switch1(config-if)# no routing
Colocando uma descrição na porta
Switch1(config)# interface 1/1/1 Switch1(config-if)# description Uplink_Aggregation Switch1(config-if)#exit
VLAN
Adicionando uma VLAN em uma porta de acesso
Switch(config)# interface 1/1/2 Switch(config-if)# vlan access 2
Adicionando VLANs em uma porta de uplink (as VLANs necessitam estar previamente configuradas)
Switch(config-if)# vlan trunk allowed all
ou
Switch (config-if)# vlan trunk allowed 1-2
!Utilizando uma lista de VLANs
Configurando usuário e senha
Switch(config)# username admin password
Interface de gerenciamento
Switch(config)# interface mgmt Switch(config)# ip static 192.168.1.254/24 Switch(config)# no shutdown Switch(config)# default-gateway 192.168.1.1 Switch(config)# exit
Switch# show interface mgmt
Switch# ping 192.168.50.1 vrf mgmt
Configurando o acesso HTTP / HTTPS / SSH ao switch Aruba CX
Switch(config)# http vrf mgmt Switch(config)# https vrf mgmt Switch(config)# ssh vrf mgmt
Habilitando o spanning tree protocol
Switch(config)# spanning-tree
Configurando prioridade no STP
Configurando o switch como root bridge do STP.
Switch (config)# spanning-tree priority 0
Criando um LINK AGGREGATION
interface lag 20 no shutdown no routing vlan trunk allowed all lacp mode active
interface 1/1/23 no shutdown lag 20
interface 1/1/24 no shutdown lag 20
Syslog
Switch (config)# logging 10.1.1.1
NTP Client
Switch(config)# ntp server 192.168.50.100 vrf mgmt Switch(config)# ntp enable
Salvando as configurações do Switch
Switch # write memory
Apagando todas as configurações do Switch
erase startup-config
Comandos show
show interface brief show ip interface brief ! Mostrando um resumo de TODAS as interfaces
show interface transceivers ! Exibe o tipo de transceiver conectado, part number e número serial
show running-config ! Mostrando a configuração do Switch atual
show spanning-tree
! Mostrando informações do STP, quais portas estão BLOQUEADAS e FORWARDING
show mac-address-table show arp ! Mostrando a tabela MAC e tabela ARP
show logging ! Visualizando os logs no Switch
sh ntp associations show clock ! Visualizando NTP/hora
E vocês, possuem mais alguma sugestão de comando para os Switches ArubaOS-CX?
Sintam-se à vontade…
COMUTADORES 