Monthly Archives: novembro 2012

Guia Básico para Configuração de Switches – Alta Disponibilidade (segundo volume)

Amigos, disponibilizamos para a compra o nosso segundo eBook (no formado PDF) que chamamos de “Guia Básico para Configuração de Switches – Alta Disponibilidade“. O material em português serve como apoio para compreender features como STP, Link- Aggregation, VRRP, etc para Switches Ethernet dos fabricantes 3Com, H3C e HP.

Além disso, assim como no primeiro volume, esperamos que o eBook seja uma ferramenta de apoio para continuarmos com os Serviços oferecidos nos Blogs (comutadores.com.br e rotadefault.com.br) e que de forma direta e/ou indireta nos impulsione novos Projetos.

eBook aborda assuntos já citados aqui no Blog, mas possui um foco mais didático para a disposição de Switches com o Sistema Operacional Comware (3Com, H3C e HP Serie-A) para prover Alta Disponibilidade nos Serviços da Rede Local …. incluindo pequenos laboratórios com soluções para elucidar os exemplos. Os tópicos abordados são:

  • Introdução à Alta Disponibilidade de Switches Ethernet
  • Spanning-Tree
  • Link-Aggregation
  • VRRP
  • XRN & IRF

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. ;)

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o email cadastrado no site.

 

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 19,99


 

Switches 3Com 4800G – SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).

 

Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.

Configurando o Switch

Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave

%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub
! Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]
public-key local create rsa
! Gerando as chaves  no Switch
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub
! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão 

#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#

! Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH

Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Script enviado por Douglas Jefferson.

Sites de referência:

http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/

http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/

Dúvidas? Deixem comentários…

Configuração básica do VRRP entre equipamentos Cisco e HPN

Esses dias durante a finalização do Capítulo sobre VRRP para o segundo eBook “Guia Básico para Configuração de Switches”  com o foco em Alta Disponibilidade” para equipamentos HPN/3Com/H3C, fiz alguns laboratórios com o protocolo VRRP, incluindo a utilização entre diferentes fabricantes. Segue abaixo um mini resumo sobre o protocolo, scripts das configurações e as “saídas” dos dispositivos.

O VRRP permite que 2 ou mais roteadores atuem como um único Roteador Virtual – na visão das máquinas de uma rede local – atuando de forma redundante em caso de falha no Roteador que é o default gateway das estações.
O protocolo é bem simples. Os Roteadores elegem um equipamento para ser o MASTER que é o responsável por encaminhar o tráfego e atuar como gateway para as máquinas da LAN, enquanto os outros Roteadores monitoram as mensagens geradas pelo MASTER e atuam como um Roteador Backup para em caso de falha do equipamento principal.

Atuação principal do Roteador Master é responder as requisições ARP das máquinas da rede local sobre o endereço MAC do Gateway e consequentemente processar o trafego encaminhado.
Em caso de falha do equipamento Master, um dos Roteadores Backup será eleito como novo Master para o grupo VRRP.

O protocolo é descrito pelo IETF na RFC 3768 e permite a configuração entre equipamentos de diferente fabricantes.

Na topologia abaixo, mostraremos um Script com a configuração de um grupo VRRP entre um Roteador Cisco e um Switch e/ou Roteador HPN /H3C.

 

Roteador Cisco

!
interface FastEthernet0/0
 ip address 172.16.0.2 255.255.255.0
 duplex auto
 speed auto
 vrrp 1 ip 172.16.0.1
! Configurando o grupo vrrp 1 com o endereço IP virtual 172.16.0.1
 vrrp 1 priority 120
! Configurando a prioridade do Roteador para 120
 vrrp 1 authentication rdefault
! Configurando a autenticação do grupo VRRP 1 com a “senha” rdefault
end
!

Roteador HPN

#
interface Ethernet0/0
 port link-mode route
 ip address 172.16.0.3 255.255.255.0
vrrp vrid 1 virtual-ip 172.16.0.1
! Configurando o grupo vrrp 1 com o endereço IP virtual 172.16.0.1
 vrrp vrid 1 authentication-mode simple rdefault
! Configurando a autenticação do grupo VRRP 1 com a “senha” rdefault
#

Comandos show e display

Roteador Cisco

Router#show vrrp
FastEthernet0/0 - Group 1
  State is Master
  Virtual IP address is 172.16.0.1
  Virtual MAC address is 0000.5e00.0101
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 120
  Authentication text, string "rdefault"
  Master Router is 172.16.0.2 (local), priority is 120
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.531 sec

Roteador HPN

[H3C]display vrrp  verbose
 IPv4 Standby Information:
     Run Mode       : Standard
     Run Method     : Virtual MAC
 Total number of virtual routers : 1
   Interface Ethernet0/0
     VRID           : 1                    Adver Timer  : 1
     Admin Status   : Up                   State        : Backup
     Config Pri     : 100                  Running Pri  : 100
     Preempt Mode   : Yes                  Delay Time   : 0
     Auth Type      : Simple               Key          : rdefault
     Virtual IP     : 172.16.0.1
     Master IP      : 172.16.0.2

Não esqueça

  • Caso não seja configurada a prioridade do grupo VRRP em um Roteador, o mesmo atribuirá o valor padrão (100) para o equipamento.
  • Se o endereço IP do Roteador for o mesmo do IP virtual, o equipamento será o MASTER.
  • Se o Roteador principal falhar, o novo Master será o Roteador com maior prioridade.

Agora uma pergunta: – É possível decrementar a prioridade de um Roteador/ Switch  VRRP  para em caso de falha no Link para Internet no Roteador principal  o outro equipamento Backup assumir como Master ? Se sim… deixem comentários! ;)

Outras referências e links:

Viva o linux http://www.vivaolinux.com.br/artigo/Firewalls-redundantes-utilizando-VRRP
Diferença entre VRRP, HSRP e GLBP http://blog.ccna.com.br/2008/12/16/pr-vrrp-x-hsrp-x-glbp/
RFC em inglês para suporte também a IPv6 http://tools.ietf.org/html/rfc5798
VRRP Load-Balance em Switches HPN http://www.comutadores.com.br/switches-hp-a7500-vrrp-load-balance/

Publicado originalmente em http://www.rotadefault.com.br/2012/09/26/configuracao-basica-do-vrrp-entre-equipamentos-cisco-e-hpn/

 

 

Comando “default interface” em Switches HPN

O Adilson Florentino publicou em seu blog  Netfinders Brasil sobre a utilização do comando “default interface” dentro de uma porta Ethernet  para zerar a configuração da interface em Roteadores e Switches Cisco http://netfindersbrasil.blogspot.com/2012/10/como-remover-as-configuracoes-de-uma.html

O comando é bastante útil em ambientes de Data Center ou onde se é necessário a troca de toda configuração de uma porta sem ter que descobrir qual o comando “no” ou “undo” de cada feature.

As últimas atualizações para o Comware 5 dos Switches HPN atribuiu o comando “default” para ser aplicado dentro de uma porta para zerar a configuração da mesma.

Segue abaixo a configuração ( o comando foi testado em Switches 7500 com o Release 6626P02)

 

[HP-GigabitEthernet1/0/1] disp this
! verificando a configuração antiga da porta
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
return

[HP-GigabitEthernet1/0/1]default
This command will restore the default settings. Continue? [Y/N]:y
! Aplicando o comando default na interface
!
[HP-GigabitEthernet1/0/1]disp this
#
interface GigabitEthernet1/0/1
port link-mode bridge
#

Até logo ;)