Switches ArubaOS: Configurando DHCP Server no Switch

O post de hoje foi escrito em colaboração com o Rafael Eduardo, para a criação de servidor DHCP em Switches ArubaOS. A funcionalidade é bastante útil em localidades de pequeno e médio porte, que assim, utilizando o Switch como Servidor DHCP, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede etc.

Configuração

 vlan 4
   tagged 1-3,8
   ip address 192.168.4.1 255.255.255.0
   dhcp-server
! Habilitando o dhcp-server na VLAN   
   exit

Script para criar o pool de dhcp para aquela Vlan

dhcp-server pool "VLAN4"
   default-router "192.168.4.1"
! Endereço IP do Gateway  
   dns-server "8.8.8.8,8.8.4.4"
! Endereços IP do servidor DNS  
   network 192.168.4.0 255.255.255.0
! Endereço da Rede  
   range 192.168.4.2 192.168.4.254
! Endereços que serão fornecidos para as requisições DHCP na rede. 
   exit
dhcp-server enable ! Habilitando o servidor DHCP globalmente no Switch

Trocando informações no escopo DHCP

Caso haja a necessidade de trocar alguma informação no escopo DCHP de uma VLAN, siga os passos abaixo:

1º Desabilite o dhcp server

dhcp-server disable 

2º Escolha o pool a ser editado

dhcp-server pool "VLAN4"

3º Remova o item a ser editado no caso abaixo o range

no range 192.168.4.2 192.168.4.254

4º Configure o novo escopo a ser entregue pelo Switch via DHCP

range 192.168.4.5 192.168.4.250

5º Habilite o serviço DHCP novamente

dhcp-server enable

Dicas de comandos show

Para verificar o Pool de IPs e quantos estão livres para atribuição, digite:

show dhcp-server pool

Para verificar os IPs atribuídos

show dhcp-server binding

Vídeo: HARDENING GUIDE – EQUIPAMENTOS HP E ARUBA (Oficial)

No vídeo compartilhamos como encontrar os documentos oficiais dos fabricantes HP e Aruba para configurações de hardening para as soluções de Switches baseados no Comware, ArubaOS, ArubaOS-CX, solução de controladora (Mobility Controller e Mobility Conductor), IAPs, SD-Branch, ClearPass, etc.

Vídeo: AS 8 FUNCIONALIDADES DE SEGURANÇA PARA SWITCHES QUE TODO ADMINISTRADOR DE REDES DEVERIA SABER

Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.

A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.

Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.

No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber..

Vídeo: Switches ArubaOS-CX – Configurando VLAN e Link-Aggregation no EVE-NG

Nesse vídeo, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração de VLANs com as portas access e trunk, Link-Aggregation com LACP, assim como os detalhes de alguns parâmetros relacionados a essas funcionalidades.

Switches ArubaOS – diagnostico de cabo com o Time-Domain Reflectometer (TDR)

O Time-Domain Reflectometer (TDR) é uma técnica de medição usada para caracterizar e localizar falhas em cabos metálicos, como par trançado. Se houver alguma falha no cabo, parte do sinal do incidente é enviado de volta para a origem. O TDR também:

  • Localiza a posição das falhas em metros;
  • Detecta e relata circuitos abertos, curtos-circuitos e incompatibilidades de impedância em um cabo;
  • Detecta troca de par (direto / cruzado) em cada par de cabo em cabo de par trançado;
  • Detecta a polaridade do par (positivo / negativo) em cada par de canais em um cabo;

O TDR é integrado à maioria dos switches Aruba como as linhas 2930, 3810 e 5400.

Primeiro execute o comando test cable-diagnostics no modo de configuração para as interfaces que deseja efetuar os testes ( que não estejam em produção no momento) e após isso valide com o comando show cable-diagnostics.

Switch(config)# test cable-diagnostics 4
This command will cause a loss of link on all tested ports and will take several seconds per port to complete.  Use the 'show cable-diagnostics'
command to view the results.
Continue (y/n)?  y

Switch(config)# show cable-diagnostics
 Cable Diagnostic Status - Copper Ports
       MDI    Cable       Cable Length or
  Port Pair   Status      Distance to Fault
  ---- ------ ----------- ---------------------
    4  1-2    OK          5m
       3-6    OK          4m
       4-5    OK          5m
       7-8    OK          4m

Referências

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=26625

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=19188

https://community.arubanetworks.com/blogs/vikramsaruba1/2015/04/03/time-domain-reflectometer-in-aruba-switch

ArubaOS-CX: Validando o tipo de transceiver e cabo DAC conectado ao Switch

Os switches ArubaOS-CX permitem a verificação dos transceivers e cabos DAC conectados ao equipamento, incluindo também as informações do Part Number, Serial Number, suporte a DOM, transceivers não suportados etc., através do comando show interface transceiver e show interface transceiver detail

Switch(config)# show interface transceiver
------------------------------------------------------------------
Port      Type           Product      Serial          Part
                         Number       Number          Number
------------------------------------------------------------------
1/1/25    SFP56DAC0.65   R0M46A       CN91KKAAAB      8121-1715
1/1/26    SFP56DAC0.65   R0M46A       CN91KKAAAC      8121-1715
1/1/27    SFP+DAC1       J9281B       CN2275AAAD      8121-1151
1/1/28    SFP+DAC1       J9281B       CN2295AAAE      8121-1151

switch(config)# show interface transceiver detail
Transceiver in 1/1/8
 Interface Name      : 1/1/8 
 Type                : SFP+SR                                        
 Connector Type      : LC                                            
 Wavelength          : 850nm                                         
 Transfer Distance   : 0.00km (SMF), 20m (OM1), 80m (OM2), 300m (OM3)
 Diagnostic Support  : DOM                                           
 Product Number      : J9150D                                        
 Serial Number       : CN92KJAAA2                                    
 Part Number         : 1990-4634                                     
                                                                     
 Status                                                              
  Temperature : 30.38C                                               
  Voltage     : 3.26V                                                
  Tx Bias     : 5.54mA                                               
  Rx Power    : 0.56mW, -2.52dBm                                     
  Tx Power    : 0.62mW, -2.08dBm                                     
                                                                     
 Recent Alarms:                                                      
                                                                     
 Recent Errors:                        

 

Obs: geralmente as informações dos números seriais são utilizadas para registrar os equipamentos com o fabricante, solicitar garantia de suporte, inventário etc.

Vídeo: Switches ArubaOS – Como configurar o DHCP Snooping sem erro

A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples (mas certa atenção). O comando dhcp-snooping configurado globalmente e atribuindo às VLANs desejadas, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trust (confiável), incluíndo as portas de uplink.

Nesse vídeo, descrevemos a configuração do DHCP-Snooping em Switches Aruba-OS.