Monthly Archives: outubro 2012

Novo eBook “quase” saindo do forno…

 Galera, nosso  segundo eBook  Guia Básico para Configuração de Switches com foco em Alta Disponibilidade será lançado aqui no Blog na segunda quinzena de Novembro. Estamos na fase final da formatação, teste de comandos e correção do texto final.

eBook comentará de alguns assuntos já citados aqui no Blog,  com um foco mais didático para administração de Switches com o Sistema Operacional Comware (3Com, H3C e HP Serie-A) para Spanning-Tree, RSTP, MSTP, LACP, VRRP, etc.. Os capítulos terão o seguinte tema:

  • Spanning-Tree
  • Link-Aggregation
  • VRRP
  • XRN & IRF

Espero que o material seja uma alternativa para aqueles que necessitam de um material objetivo e em português!

Continuaremos utilizando a  ferramenta PagSeguro e  o valor será o mesmo do primeiro volume.

Um grande abraço :D

 

Switches HPN – Configurando Sflow

Sflow(RFC 3176) é um protocolo que permite a coleta de estatísticas de tráfego de rede baseado em  amostras (formatadas) enviadas para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem “bruta” para o servidor. O protocolo exibe informações referente aos protocolos de rede. A feature é similar ao Netflow e não é proprietária.

A configuração do Sflow envolve 2 componentes:

  • Sflow Agent:  função atribuída a Switches , Roteadores, Access-Point que coletam as informações dos pacotes transmitidos e encaminham as amostras.
  • Sflow Collector: função atribuída de analizar as informações de cada Sflow Agent criando um modelo estatístico para exibição das informações.

Com base em uma taxa de amostragem definidos, tanto para o Agente ou para completar uma única interface, 1 de N pacotes são capturados e enviados para um Servidor de coleta. Este tipo de amostragem não fornece um resultado 100% de precisão na análise, mas que faz prever um resultado com precisão quantificáveis.

Os dados da amostra é enviado em UDP para o coletor sFlow. A porta padrão é 6343. A falta de confiabilidade no transporte UDP não afeta significativamente a precisão das medidas obtidas a partir de um agente sFlow. Se as amostras de contador são perdidas , a  perda de amostras de fluxo de pacotes é uma ligeira redução na taxa de amostragem efetiva.

A carga contém o datagrama UDP sFlow. Cada datagrama fornece informações sobre a versão sFlow, endereço de seu agente, IP de origem, número sequencial, quantas amostras ele contém e, geralmente, até 10 amostras de fluxo ou contra-amostras.

A técnia de amostragem pode ser utilizada com o seguinte critério

  • Flow sampling: Baseado na amostra de pacotes, usado para obter informações do conteúdo do pacote como protocolos e etc.
  • Counter sampling: Baseado na amostra de tempo,usado para obter estatisticas de interfaces.

Configurando Sflow em Switches com Comware

Para especificar o endereço de origem para envio de pacotes Sflow.
[Switch] sflow agent [ip <ip_address> | ipv6 <ip_address>]


Endereço e grupo do Servidor de coleta (podemos encaminhar para mais de um Servidor)

[Switch] sflow collector <collector_id> ip <ip_address>
[Switch] sflow collector <collector_id> ipv6 <ip_address>


Interface para coleta de informações e amostragem

[Switch] interface <interface_type/interface_number>
[Switch-<interface>] sflow sampling-rate <rate>
[Switch-<interface>] sflow flow collector <collector_id>
[Switch-<interface>] sflow counter interval <interval_time>
[Switch-<interface>] sflow counter collector <collector_id>

Exibição de coleta em um Servidor Sflow

Segue o exemplo da Configuração encamimhada pelo Marcos Schimidt de um Switch 4800G como Agente e um Servidor Solarwinds como Coletor ( a sintaxe pode variar dependendo da familia do Switch):

 

Configuração do switch
 sflow agent ip 172.16.0.254
 sflow collector ip 172.16.1.4
 sflow interval 60

Configuração da Interface
interface GigabitEthernet2/0/7
 sflow enable inbound
 sflow enable outbound
 sflow sampling-rate 100000

Referência

http://pt.wikipedia.org/wiki/SFlow

http://www.sflow.org/

Minha rede está lenta, e agora?

Publicado originalmente em 2 DE SETEMBRO DE 2010

Minha Rede está lenta, e agora? Nos últimos dias recebi algumas mensagens referentes a problemas de lentidão na rede e como solucioná-los.

Existem diversos fatores que podem influenciar a lentidão na rede e é necessário efetuar as seguintes perguntas: O que está lento? A LAN, a WAN, algum serviço especifico?

Após a identificação de alguns itens importantes para resolução do problema, baseado na resposta, verificamos alguns pontos abaixo:

Verificando o Speed e Duplex

Geralmente para problemas na Rede Local, sugiro sempre verificarmos o Speed e Duplex negociados na conexão entre Switches-Switches, Roteadores ou Servidores.

Problemas de Duplex são muito comuns e podem causar problemas em segmentos com portas que negociam em Half-Duplex enquanto o outro lado está em Full-Duplex.

http://www.comutadores.com.br/como-funciona-a-auto-negociacao/

SNMP

O gerenciamento da rede por SNMP é fundamental para detectamos o comportamento dos dispositivos. Cada equipamento Gerenciável possui uma base de dados chamada MIB onde é registrado diversas informações do equipamento como consumo de CPU, memória , estatística de banda das interfaces e etc.

A posição dentro da MIB para coleta de algumas dessas informações é chamado de OID.

A utilização do SNMP é bem difundida e existem diversos programas grátis como o Cacti para coleta de informações e construção de estatísticas da rede.

Para coletarmos informações utilizando o protocolo SNMP nos dispositivos, será necessário cadastrarmos uma Comunidade no equipamento ( funciona como uma senha) e configurar o endereço IP e Comunidade no Servidor para coleta.

O comando nos Switches 3Com é:

snmp-agent community read diego
! Cadastrando a community nome diego com permissão de leitura

Syslog

O Syslog também é um padrão de mercado muito utilizado para verificação de mensagens de Log registrada pelos equipamentos.

A utilização é importante para verificação de problemas baseada em determinado horário. Por exemplo, digamos que determinado problema iniciou-se as 21h há 2 dias atrás e você não estava na empresa para verificar se algo aconteceu no Switch.

O comando display logbuffer poderia ser bastante útil para exibir as informações do período informado desde que a informação não tenha sido sobrescrevida por outros eventos na memória do Switch.

Com a utilização de um Servidor para coleta de Syslog, a informação ficaria salva e nesse caso, poderíamos checar se o Switch “logou” algo estranho no período, como uma mensagem de Up/Down em uma porta de servidor,  comandos efetuado por determinado usuário no Switch ou convergência inesperada do Spanning-Tree.

O comando nos Switches 3Com para utilizar o Syslog é:

info-center loghost 172.31.7.2
! configurando o Switch para encaminhar os Logs para o Servidor de Syslog 

Mirroring ( Espelhamento de Porta)

O Espelhamento de porta é uma técnica útil para descobrirmos tráfegos indesejados na rede . A técnica permite que o Switch faça uma cópia do tráfego de uma interface para outra interface permitindo a analise de tráfego.

Na porta que recebermos a cópia do tráfego poderíamos subir um servidor com Wireshark , TCPDump ou NTOP para analise do que está ocorrendo na rede, como por exemplo, protocolos indesejáveis, máquinas utilizando o recurso da empresa com serviços desnecessários, maquinas zumbis, vírus, serviços ativos por engano, etc.

Há um tópico bacana no blog instruindo sobre a configuração do espelhamento de porta nos Switches 3Com:

http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/

IDS

Uma solução mais sofisticada para analise e comportamento de tráfego da rede pode ser obtida através de um IDS ( como o Snort por exemplo) . O IDS é um conceito de software/dispositivo de rede que permite a identificação de tráfego maliciosos ou que viole as políticas de uma rede local com a apresentação de relatórios sobre determinados eventos.

Netflow e Sflow
O Netflow (equipamentos Cisco) e o Sflow(RFC 3176) são protocolos que permitem que as estatísticas de tráfego de rede sejam encaminhadas em amostras (formatadas) para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem bruta para o servidor. O protocolo é exibe informações referente a protocolos de rede.

Segue abaixo a configuração do Sflow nos Switches 4800G:

sflow agent ip 192.168.1.1
! IP do Switch para encaminhar a origem da mensagem Sflow
sflow collector ip 192.168.1.100
! IP do Switch para encaminhar para o destino a mensagem Sflow
sflow interval 30
! Período de intervalo de coleta em segundos
interface GigabitEthernet 1/0/1
sflow enable inbound 
sflow enable outbound 
sflow sampling-rate 100000
! Habilitando a coleta de Sflow na interface Giga1/0/1 no sentido ! de entrada, saída e número de amostras de pacotes

Topologia

A verificação da Topologia é necessária para analisarmos se há pontos de gargalos na rede gerados por erros na topologia, Hubs, equipamentos com baixa capacidade de throughput ou um numero excessivo de hosts em uma VLAN ( as melhores práticas sugerem uma sub-rede por VLAN)

PING e Tracert

Os comandos Tracert são bastante conhecidos e muito úteis para verificação do tempo de resposta.

Para os casos que a conexão entre Matriz e Filial apresentam problemas , sugiro a utilização do MTR ou WinMTR. O Software gera inúmeros traceroutes que ajudam a identificar pontos na nuvem da operadora que causam maior delay.

As dicas informadas são de ferramentas simples e que auxiliam no diagnostico dos problemas de rede.

Se o problema persistir, tente atuar em diversas frentes de forma racional e solicite uma segunda opnião. Se o caso agravar, escalone o caso ou solicite ajuda de um especialista.

Obs: A utilização da foto do Rubinho foi colocada apenas para descontrair o tópico. Possuímos grande admiração por sua  persistência, perseverança e motivação….! :)  

Se você possuir alguma outra dica ou sugestão, compartilhe, deixe um comentário!

Sucesso a todos!

Switches 3Com 7900 – Aplicando ACLs em VLANs

Para configurarmos as listas de acesso (ACL) e aplicarmos a uma interface física ou VLAN no Switch 7900 é necessário o vínculo a uma politica de QoS, aplicando a ACL indiretamente à Interface ou VLAN.

No script abaixo iremos negar a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24.

Configuração

vlan 192
vlan 172
#
interface Vlan-interface192

ip address 192.168.1.1 255.255.255.0
#
interface Vlan-interface172
ip address 172.31.1.1 255.255.255.0
#
acl number 3001
!criando a ACL avançada 3001
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 172.31.1.0 0.0.0.255
! regra 0 irá negar a origem 192.168.1.0/24 (é obrigatório a utilização de máscara curinga) de comunicar com a rede 172.31.1.0/24. Nesse caso poderíamos ter mais de uma regra!!
quit
traffic classifier rede_192 operator and
! Criando a classificação de tráfego com o nome rede_192
if-match acl 3001
! Efetuando match na ACL 3001
quit
#
traffic behavior rede_172
! Criando o comportamento com o nome rede_172

filter deny
! Criando o filtro negar (deny)
quit
#
qos policy proibe_rede_192_172

!Criando a policy com nome proibe_rede_192_172

classifier rede_192 behavior rede_172
! vinculo do classifier rede_192(ACL) com o behavior rede_172 (deny)
quit
qos vlan-policy proibe_192_172 vlan 192 inbound
! aplicando a politica de QoS na VLAN 192, proibindo a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24 no sentido de entrada do Switch

Para aplicarmos a sintaxe a uma porta física (GigabitEthernet) a sintaxe seria:

interface GigabitEthernet 2/0/9
qos apply policy proibe_192_172 inbound

A utilização do script acima para filtro de pacotes negará todas as regras que forem explicitamente escritas, nesse caso permitirá a comunicação da rede 192.168.1.0/24 com qualquer outra rede que não tenha referência nas linhas da ACL 3001 (não importando o permit ou deny da ACL).

Até logo :)

 

 

Práticas comuns de “Hardening” para equipamentos com Comware

Dias atrás pesquisando na Internet sobre dicas de Hardening para Switches e Roteadores que utilizam o Comware (3Com/ HP/ H3C ) encontrei um documento oficial do fabricante chamado de “Common practices for hardening HP Comware based devices” no endereço Clique aqui

O documento é interessante e vale a pena dar uma lida!  ;)

 

 

Switches 3Com 5500 – SSH, gerando as chaves pelo Switch

Publicado originalmente em 8 DE SETEMBRO DE 2010

O serviço de SSH permite realizar o acesso remoto ao Switch de forma criptografada.. O Script abaixo demonstra como gerarmos as chaves pública e privada no Switch e autenticarmos o usuário!

public-key local create rsa
! Gerando as chaves  no Switch
#
local-user diego
! Criando o usuário diego
password cipher senha123
! Configurando a senha para o usuário diego [ o comando cipher deixará a senha cifrada no arquivo de configuração]
service-type ssh
! Configurando somente o acesso SSH para o usuário diego
level 3
! Configurando o usuário com permissão de administrador [ o nível 3 é o maior]
#
ssh authentication-type default password

! Configurando o SSH para autenticar utilizando a base de usuários local
#
user-interface vty 0 4
authentication-mode scheme
!Permitindo a consulta do usuário da base de dados local na falta de configuração de um Servidor RADIUS para autenticação

Após estabelecida a configuração, utilize algum software para efetuar acesso ao Switch, como por exemplo o Putty.

Durante o acesso SSH, aceite a chave publica encaminhada pelo Switch.

Digite o usuário e senha cadastrados no Switch e efetua as configurações de sua preferência….

Dúvidas? Deixe um comentário…..

Dica de Blog sobre Virtual Connect: Hongjunma

O blog http://hongjunma.wordpress.com (escrito em inglês) possui dicas bem interessantes sobre a adminstração de Enclosures com Virtual Connect. Um destaque para o pdf criado com um Overview sobre a tecnologia, módulos, cabeamento e etc no link  https://dl.dropbox.com/u/8069972/HP-Virtual-Connect-Technical-Overview.pdf

Obs: se algum dos links estiver quebrado, deixe um comentário!