Comandos secretos para os Switches HP 1950

Galera, segue abaixo a dica para liberar a configuração de algumas funcionalidades via CLI para os Switches HP 1950.

O comando “xtd-cli-mode” no modo user-view libera a configuração “avançada” do Switch via CLI.

Após digitar o comando aparecerá a imagem de warning abaixo. A senha é: foes-bent-pile-atom-ship Continue reading

Novo ebook para 2018 – foco em Segurança para Switches baseados no Comware

Galera, estamos finalizando um novo eBook Guia Básico para Configuração de Switches com foco em Segurança e será lançado aqui no Blog no mês de março. Estamos na fase final da formatação, teste de comandos e correção do texto final.

O eBook comentará alguns assuntos já citados aqui no Blog, com um foco mais didático para ataques direcionados a tabela de endereços MAC, ARP, DHCP, STP, configuração de ACL, autenticação de usuários, 802.1x e a sugestão de melhores práticas.

Espero que o material, assim como os outros já oferecidos pelo blog, seja uma alternativa para aqueles que necessitam de um material objetivo e em português!

Um grande abraço

Bate-papo sobre o ClearPass Policy Manager

O ClearPass é um gestor de politicas que atua na autenticação de usuários e dispositivos e aplica regras baseadas no contexto da conexão, criando políticas que protegem o acesso à rede em redes wireless e cabeada de vários fornecedores.

No vídeo abaixo, compartilho um bate papo do time Aruba.

Outro vídeo do fabricante em português sobre a ferramenta https://youtu.be/Islls9Eypow

Abração

Guia para comparação de comandos (ArubaOS-Switch/Comware/Cisco) v3.3

Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.

O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.

Há novos itens adicionados em comparação as versões anterior como:

Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration

O documento está disponível para download gratuito no site da HPepress:

https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

comparativo aruba comware ios

Se o link estiver quebrado, deixe um comentário.

RADIUS Change of Authorization (CoA)

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviada para o NAS . Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Coa - NAD-ASExemplo

RADIUS Coa - Comutadores

No cenário acima, o cliente (suplicante) inicia a autenticação;  após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação  pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services

IRF em Switches HP 5500 (JG543A) utilizando módulo traseiro

Essa semana troquei alguns emails com o Samuel Alencar de Fortaleza/CE, sobre a configuração de um IRF em Switches HP 5500 (JG543A) utilizando o módulo traseiro com interfaces CX4 (JD360B).

Ele foi bastante gentil em compartilhar com o Blog o script final da configuração. Aproveitem!

IRF 5500

CONFIGURAÇÃO DO SWICTH A

PASSO 0

<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.


PASSO 3

[HP] irf member 1 priority 32
[HP] int tengigabitethernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] shutdown

[HP] irf-port 1/1
[HP – irf-port] port group interface tem 1/1/1
[HP] int TenGigabitEthernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] undo shutdown
[HP] irf-port-configuration active
[HP] save

 

CONFIGURAÇÃO DO SWICTH B

PASSO 1

! Desconecte os cabos do IRF
<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.

 

PASSO 2

[HP] irf member  1 renumber 2
[HP] quit
<HP> reboot


PASSO 4

[HP] irf member 2 priority 31
[HP] int tengigabitethernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] shutdown

[HP] irf-port 2/2
[HP – irf-port] port group interface tem 2/2/2
[HP] int TenGigabitEthernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] undo shutdown
[HP –Ten-GigabitEthernet2/2/2] quit
[HP] irf-port-configuration active
[HP] save
! Reconecte os cabos e se o switch não reiniciar automaticamente, digite
! o comando 'irf-port-configuration active'.

[HP]quit
<HP>reboot

Para outros artigos sobre IRF clique aqui http://www.comutadores.com.br/?s=irf

Abração

Comware – Configurando o 802.1x

O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o  RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes, etc.

O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e  entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.

Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.

Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:

Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.

Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.

Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.

802.1x

  1. O suplicante envia uma mensagem start para o autenticador.
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.
  3. O suplicante responde com o login com as credenciais do usuário ou do equipamento.
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.

Exemplo de Configuração em Switches HP baseados no Comware

Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.

Passo 1: Configure o servidor RADIUS 
 radius scheme <nome do radius scheme>
  primary authentication <ip do servidor> key <chave> 
  ! Configure o IP do servidor RADIUS e a chave 
  user-name-format without-domain
  ! o formato do nome de usuário sem o envio do @dominio 
  nas-ip <endereço IP do Switch> 
  ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS
 quit

Passo 2: Configure o Domínio
domain <nome do domain>
  authentication lan-access radius-scheme <nome do radius scheme>
  authorization lan-access radius-scheme  <nome do radius scheme>
  ! Configurando a autenticação e a autorização do acesso a LAN 
 quit 

Passo 3: Configure o 802.1x globalmente no Switch
dot1x 
dot1x authentication-method eap

Passo 4: Configure o dot1x nas portas do switch
interface GigabitEthernet 1/0/x
   dot1x
   ! A porta utiliza o modo auto do 802.1x e solicita autenticação

cenário comware 802.1x

Referências

CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
http://blog.ccna.com.br/2009/02/25/pr-o-que-e-8021x/
https://tools.ietf.org/html/rfc3748
http://certifiedgeek.weebly.com/blog/hp-comware-and-wired-8021x

Até logo! 🙂

Nossos artigos mais acessados em 2016

Galera segue a lista dos artigos mais acesados de 2016:

Switches 3Com 5500 – Guia rápido de Configuração!!!
http://www.comutadores.com.br/switches-3com-5500-guia-rapido-de-configuracao/

Comandos Secretos para os Switches 3Com Baseline e HP v1910
http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
http://www.comutadores.com.br/perguntas-e-respostas-portas-access-trunk-hibrida-lacp-e-stp/

VLAN – Trunk utilizando 802.1q (dot1q)
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco
http://www.comutadores.com.br/dicionario-de-comandos-hp-networking-h3c3com-comparados-com-cisco-cli/

Fizemos também uma lista dos posts mais escondidos do blog (que também são bem legais).

Procedimento de Backout para os equipamentos HPN
http://www.comutadores.com.br/rocedimento_back-out-_para_equipos_hpn/

Comando screen length disable
http://www.comutadores.com.br/comando-screen-length-disable/

Até logo!

Boas Festas!

Amigos, quero desejar a todos Boas Festas.

Como sempre, gostaria de agradecer todas as visitas, dicas, emails e comentários.

Para finalizar o ano, gostaria de compartilhar uma parte de um texto bem conhecido das bem-aventuranças citados por Jesus no sermão da montanha. O texto traz refrigério em momentos difíceis, assim como foi esse ano de 2016.

Bem-aventurados os que choram, porque eles serão consolados;
Bem-aventurados os mansos, porque eles herdarão a terra;
Bem-aventurados os que têm fome e sede de justiça, porque eles serão fartos;
Bem-aventurados os misericordiosos, porque eles alcançarão misericórdia;
Mateus 5:4-7

Um grande abraço a todos.

Resumo HP EVI

O EVI é uma tecnologia Overlay para transporte de tráfego L2, configurado em Switches e Roteadores HP. A tecnologia é baseada no protocolo IP para interconexão entre Data Centers. O EVI encapsula o tráfego Ethernet utilizando túneis GRE entre cada nó. O EVI utiliza MAC-over-GRE-over-IP para entrega de quadros Ethernet. Os pacotes GRE/IP são roteados sobre a conexão WAN entre os DCs.

encapsulamento-evi

Pelo fato do EVI utilizar o padrão GRE, o tráfego poderá ser encaminhado por qualquer infraestrutura IP para estender domínios de broadcast.

Quando um endereço MAC é aprendido, o nó EVI daquele Data Center anuncia o endereço via IS-IS para os sites remotos. Os sites remotos mapeiam o endereço MAC para o link no qual ele foi aprendido.

evi-logica

Terminologia EVI

Edge device – Switch ou Roteador em um Data Center que prove o serviço EVI, aprendizado local de endereço MAC, adjacência IS-IS com os dispositivos remotos e também o anuncio dos endereços MAC locais para seus os pares remotos.

EVI network ID –  identificador único dos edge devices. Cada edge device pode assinar múltiplos IDs para ambientes multi-tenants. O network ID certifica que o aprendizado de endereços MAC continua separado e privado.

Extended VLAN – são as VLANs que você decide estender com o EVI.

EVI Neighbor Discovery Protocol (ENDP) – prove o registro do serviço do endereço IP e é utilizado entre sites conectados via tuneis GRE. O ENDP pode definir a função de cliente e servidor para os nós EVI.

EVI Process

O processo de uma rede EVI pode ser descrito em três fases: descoberta de vizinhos, anuncio de endereços MAC e encaminhamento de dados.

A descoberta de vizinhos ENDP ocorre nos edge devices que registram seus endereços IP com o servidor ENDP. Cada ENDP consulta o servidor para aprendizado e tuneis GRE são formados automaticamente entre os edge devices.

Uma vez que a rede é totalmente estabelecida, o encaminhamento de dados pode ocorrer. O tráfego local é recebido e os endereços de destino remotos são encontrados na tabela MAC do EVI.

Configurando o EVI Neighbor Discovery (ENDP)

O servidor ENDP pode ser habilitado em qualquer EVI edge device e para fins de redundância. Dois ENDP servers podem ser configurados em cada network ID.

ENDP Server

evi neighbor-discovery server enable
*evi neighbor-discovery client enable x.x.x.x

* caso haja redundância de NDPServer

ENDP client

evi neighbor-discovery client enable x.x.x.x

Configurando o EVI Site-ID

Cada site deve conter um unico Site ID. dispositivos no mesmo site devem ser configurados com o mesmo site ID

[Site1-Switch] evi site-id 1 

[Site2-Switch] evi site-id 2

Configurando  a interface EVI (transporte para a rede IP)

vlan 4001
#
interface vlan 4001
ip add 10.1.0.1 24
#
interface giga 3/0/1
port access vlan 4001
evi enable

A interface de transito deve ser configurado no edge device, na porta diretamente conectada à rede IP de transporte.

Configurando a interface Tunnel

[Site1-Switch] interface tunnel 1 mode evi
[Site1-Switch-Tunnel1] source 10.1.0.1

Cada rede EVI requer uma interface Tunnel única.

O ID da interface Tunnel também fará referência ao processo EVI IS-IS Process ID. Uma vez que a interface tunnel1 é criada um processo EVI IS-IS 1 será criado.

Configurando o EVI network ID

[Site1-Switch-Tunnel1] evi network-id 101

O tunnel EVI deve ser mapeado com um EVI Network ID. O range valido é um número entre 1 e 16777215

Configurando as VLANs estendidas

[Site1-Switch-Tunnel1]  evi extended-vlan 100 to 199

O mapeamento de extensão de VLANs deve ser feito dentro da interface Tunnel e não na interface de transporte.

Exemplo de Configuração

No exemplo abaixo faremos a extensão das VLANs 2 até 10 entre os Datacenters DC 1 e DC4 utilizando o EVI para transporte L2 dos quadros Ethernet sobre uma infraestrutura IP. O OSPF será o protocolo para anuncio das rotas diretamente conectadas incluindo loopbacks.

O Roteador R1 será o ENDP Server enquanto R4 será o ENDP client.

evi-fisica

 R1

#
interface LoopBack1
ip address 192.168.1.1 255.255.255.255
ospf 1 area 0.0.0.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 192.168.14.1 255.255.255.248
ospf 1 area 0.0.0.0
evi enable
#
interface GigabitEthernet3/0
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 10
#
interface Tunnel1 mode evi
ip address 10.1.14.1 255.255.255.248
evi extend-vlan 2 to 10
source 192.168.1.1
keepalive 20 2
evi network-id 1
evi neighbor-discovery server enable
#
evi site-id 1
#

R4

#
interface LoopBack1
ip address 192.168.4.4 255.255.255.255
ospf 1 area 0.0.0.0
#
interface GigabitEthernet1/0
port link-mode route
ip address 192.168.14.4 255.255.255.248
ospf 1 area 0.0.0.0
evi enable
#
interface GigabitEthernet3/0
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 10
#
interface Tunnel1 mode evi
ip address 10.1.14.4 255.255.255.248
evi extend-vlan 2 to 10
source 192.168.4.4
keepalive 20 2
evi network-id 1
evi neighbor-discovery client enable 192.168.1.1
#
evi site-id 4

Comandos display

<R1> display  evi isis lsdb
                Link state database information for EVI IS-IS(1)
LSP ID                 Seq num     Checksum  Holdtime  Length    Overload
---------------------------------------------------------------------------
cc3e.5f81.9f7b.00-00   0x00000021  0x84e2    1137      100       0
cc3e.5f81.a1f9.00-00*  0x00000022  0xddc3    964       100       0
cc3e.5f81.a1f9.02-00*  0x0000000b  0xec7f    734       54        0
Flags: *-Self LSP, +-Self LSP(Extended)
<R1> display  evi isis peer
Process ID: 1
System ID: cc3e.5f81.9f7b
Link interface: EVI-Link0
Circuit ID: cc3e.5f81.a1f9.02
State: Up
Site ID: 4
Hold time: 20s
Neighbour DED priority: 64
Uptime: 02:23:05

<R1> display  evi neighbor-discovery server member
Interface: Tunnel1    Network ID: 1    Vpn-instance: [No Vrf]
IP Address: 192.168.1.1
Client Address  System ID         Expire    Created Time
192.168.1.1     cc3e-5f81-a1f9    73        2016/10/21 10:48:08
192.168.4.4     cc3e-5f81-9f7b    69        2016/10/21 10:48:10

[R1]display mac-address
MAC Address      VLAN ID    State            Port/NickName            Aging
cc3e-5f81-3333   2          Learned          GE1/0                    Y
cc3e-5f81-eeee   9          Learned          GE1/0                    Y

[R1]display  evi mac-address interface Tunnel 1
MAC Address          VLAN ID   Port
cc3e-5f81-ffff       9         EVI-Link0
cc3e-5f81-2222       2         EVI-Link0

Referências

https://www.hpe.com/h20195/v2/GetPDF.aspx/4AA5-6737ENW.pdf

https://cjaiwenwenblog.wordpress.com/2016/02/04/how-to-configure-hp-evi-ethernet-virtual-interconnect/

Building HP FlexFabric Data Centers-Rev. 14.41