Monthly Archives: setembro 2013

Introdução ao PPPoE e Configuração Básica em Roteadores MSR (HPN/H3C)

O PPP over Ethernet (RFC 2516) é uma especificação que  permite a conexão de hosts à Rede do Provedor para acesso a Internet, providenciando conexões ponto-a-ponto, utilizando a Pilha do protocolo PPP sobre o protocolo Ethernet.

O protocolo PPP trabalha com a tecnologia Ethernet para ligar a placa de rede dos usuários ao modem.  Desta forma é possível agregarmos a autenticação para a conexão e aquisição de um endereço IP fixo ou dinâmico à máquina do usuário.

pppoe-topology

Modems DSL são essencialmente simples Bridges Ethernet para conexão com Multiplexadores de Acesso (DSLAMs) da Operadora, oferecendo um túnel PPP sobre Ethernet.

PPPoE em Roteadores MSR

Existem diversas maneiras para a configuração em Roteadores MSR como clientes PPPoE. No exemplo abaixo efetuaremos a configuração básica para simulação do Roteador R1 como cliente PPPoE e R2 como um servidor PPPoE para autenticação utilizando PAP e o fornecimento de endereços por DHCP.

PPPoE MSR
Configuração

R1:
#
interface Dialer1
! Criando a Interface Dialer0
 link-protocol ppp
! Habilitando o protocolo PPP
 ppp pap local-user diego password simple 12345
! Configurando a autenticação com pap
! usuario "diego" com a senha "12345"
 ip address ppp-negotiate
! Configurando a negociação IP dinâmica
 dialer user diego
 dialer-group 1
 dialer bundle 1
! Configurando o dialer-group 1 e o dialer bundle 1
#
interface Ethernet0/1/0
 port link-mode route
 pppoe-client dial-bundle-number 1
! Vinculando o dialer bundle na interface e0/1/0
#
 ip route-static 0.0.0.0 0.0.0.0 Dialer1
! Configurando a rota estática para o Dialer1
#

Comandos Display e Debug

<R1>display pppoe-client session  summary
PPPoE Client Session:
ID   Bundle  Dialer  Intf             RemMAC        LocMAC        State
1    1       1       Eth0/1/0         000fea031100  000feb030f00  PPPUP

<R1>display ip interface brief
*down: administratively down
(s): spoofing
Interface                     Physical Protocol IP Address      Description
Dialer1                       up       up       192.168.1.3     Dialer1 I...
Ethernet0/1/0                 up       up       unassigned      Ethernet0...

! O commando display  pppoe-client  session mostrará as conexões PPPoE ativas no Roteador incluindo o endereço MAC da outra ponta.

<R1> debugging  pppoe-client packet
*Sep 25 11:15:31:359 2013 SW1 PPPOEC/7/debugging: Ethernet0/1/0: PPPoE Client OUT Discovery packet (PADI), Len = 30
*Sep 25 11:15:31:374 2013 SW1 PPPOEC/7/debugging: Ethernet0/1/0: PPPoE Client IN Discovery packet (PADO), Len = 49
*Sep 25 11:15:31:390 2013 SW1 PPPOEC/7/debugging: Ethernet0/1/0: PPPoE Client OUT Discovery packet (PADR), Len = 49
%Sep 25 11:15:31:405 2013 SW1 IFNET/3/LINK_UPDOWN: Dialer1:0 link status is UP.
*Sep 25 11:15:31:405 2013 SW1 PPPOEC/7/debugging: Ethernet0/1/0: PPPoE Client IN
 Discovery packet (PADS), Len = 49, Session ID = 1%Sep 25 11:15:33:605 2013 SW1 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Dialer1:0 is UP.
%Sep 25 11:15:33:621 2013 SW1 IFNET/5/PROTOCOL_UPDOWN: Protocol PPP IPCP on theinterface Dialer1:0 is UP.
%Sep 25 11:15:33:636 2013 SW1 PPPOEC/6/PPPOEC_LOG_ON: PPPoE user diego logged on successfully.

O Debug acima é bastante interessante para entendermos as mensagens de negociação PPPoE .

pppoe-messages

Durante iniciação da negociação PPPoE o host encaminha uma mensagem PADI (PPPoE Active Discovery Initiation )em Broadcast, quando o Servidor PPPoE ou Concentrador de acesso recebe essa mensagem, ela é respondida com uma mensagem PADO (The PPPoE Active Discovery Offer) contendo informações do Servidor.

Muito similiar as solicitações DHCP, o host poderá receber mais de uma mensagem PADO ( de diversos concentradores). O host responde na seqüência com uma mensagem PADR (PPPoE Active Discovery Request  ) em unicast para o Servidor PPPoE  escolhido. Se a mensagem PADR for valida, é encaminhada para o host uma mensagem PADS (PPPoE Active Discovery Session-confirmation) para iniciar a sessão PPP.

Obs: Se  desejado  o fim da sessão PPP é gerado uma mensagem PADT (PPPoE Active Discovery Terminate).

Mais…

Segue abaixo a configuração do Roteador R2, responsável por aceitar e autenticar a conexão de R1.

#
local-user diego
 password simple 12345
 service-type ppp
! Configurando o usuario e senha para autenticação
#
interface Ethernet0/0/0
 port link-mode route
 pppoe-server bind Virtual-Template 1
! Vinculando a interface virtual-template 1 
#
interface Virtual-Template1
 ppp authentication-mode pap
 remote address 192.168.1.3
 ip address 192.168.1.1 255.255.255.0
! Habilitando o serviço de autenticação PAP na interface Virtual-Template 1
! incluindo o IP remoto (nesse caso, poderia ser configurado um servidor DHCP)

Referencias:

http://tools.ietf.org/html/rfc2516
http://babarata.blogspot.com/2010/03/inicio.html
http://fengnet.com/book/VPNs%20Illustrated%20Tunnels%20%20VPNsand%20IPsec/ch04lev1sec3.html
http://blog.ine.com/2010/03/18/bba-group-and-dialer-profiles-with-pppoe/
http://www.rotadefault.com.br/2013/06/26/introducao-ao-pppoe-e-configuracao-basica-em-roteadores-cisco/

Agradecimento !

Galera,

essa semana atingimos a marca de 200 eBooks “Guia Básico para Configuração de Switches” vendidos ( e com a soma do segundo volume, estamos quase chegando ao total de 300 livros)!!!

Me sinto muito grato por todos que colaboram com os sites investindo nos ebooks  e feliz também com os leitores que compartilham o conteúdo dos blogs em redes sociais, emails, boca-a-boca, etc;  O que de certa foram nos dá liberdade de manter e investir em nossos sites sem a necessidade de recorrer a outras mídias de captação de recursos.

Mais uma vez, peço também desculpas caso eu tenha deixado algum email ou comentário sem resposta! ( a correria do dia-a-dia limita [e muito] a dedicação)

Agradecemos a credibilidade. :)

Deus abençoe a todos!

Switches 3Com 7900 – Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

Publicado originalmente em 25 de novembro de 2010
O post de hoje foi encaminhado pelo Douglas Jefferson com um “How to” para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

HTTPS com CA

Aproveitem as dicas….

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório “Home Directory” do IIS, normalmente em “%windir%\inetpub\wwwroot”.

Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

  1. Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
  2.  Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
  3. Verificar se o serviço está escutando a porta 80 padrão.
  4. Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.

Instalar Componente do Windows como CA (NNF)

  1. Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá “StandAlone Root CA” (NNF), com usuário Administrador local.

Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx

  1. Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/

Se esse link mostrar a interface Web da administração da CA, OK!

CA teste

Se  NÃO verificar instalação, passos anteriores.

  1. O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).

http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

  1. Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.

Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

  1. Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority Expandir em Certificate Authority  > CA > Issued Certificates, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
  2. Ainda dentro da seção “Certificate Authority“, clique com o botão direto na “CA > Properties” Em seguida na aba “Policy Module > Properties“, novamente, e selecione a opção “Follow de settings in the certificate template, if………” Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
  3. Agora vá em “Iniciar–>Painel de Controle–>Ferramentas Administrativas–>IIS” Expandir em “Server(Local)–>Web Sites–>Default Web Site”, verifique se os serviços “Certsrv“,”CertControl” e “CertEnroll” estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em “Default Web Site–>Home Directory–>LocalPath“).

Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.

 

pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.: Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o “Ca Certificate ThumbPrint” e “Challenge Password“(port 60 minutos)
CA teste 2

!Faz a requisição do certificado e o armazena.
#
pki request-certificate domain CLIENTEX Challenge_Password
#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D

!Lista o certificado importado.
#
display pki certificate local domain CLIENTEX

!Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL
pki-domain CLIENTEX
client-verify enable
quit
#
!Vincula o domínio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL

!Habilita o Servidor HTTPS
#
ip https enable

!Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000

Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/

CA teste 3

Clique em “Request a Certificate”

Clique em “Web Browser Certificate”

CA teste 4

Preencha os campos em clique em “Submit”

Aparecerá uma mensagem “This Web site is requesting a new certificate……...”, clique em “YES“.

Em seguida clique no link “Install This Certificate“.

Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).

Agora basta acessar o IP do Switch em seu Browser de preferência….

Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug

a. Debug ssl
b. Debug pki

Espero que tenham gostado! :)

Download de software para Switches e Roteadores HP

Pessoal, segue a dica com a URL para fazer o download de software (Sistema Operacional) dos equipamentos HPN.

https://h10145.www1.hp.com/downloads/ProductsList.aspx?lang=&cc=&prodSeriesId=

Para encontrar a versão correspondente do Comware para o seu equipamento, basta digitar o Part Number ou o modelo.

1 Download de software

Antes de baixar alguma versão, vale a pena ler as features disponíveis e erros corrigidos no release notes! ;)

Download de software

Abração

Receita de Bolo: Configurando usuário, senha, autenticação via SSH, Telnet e Console em Switches HP

Acesso Telnet SSH e Console