A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.
Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc. Continue reading →
Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.
O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.
Há novos itens adicionados em comparação as versões anterior como:
O comando dir, permite visualizarmos os arquivos dentro de um diretório. Caso estejamos na raiz (sem digitar em nenhum comando para mover-se no modo user-view), o comando irá exibir o conteúdo da memória flash:
As vezes para atualizar o sistema operacional do Switch ou Roteador precisamos liberar espaço na memória flash. Utilize o comando delete para remover os arquivos:
<4800G>delete a5500ei-cmw520-r2220p02.bin
Delete flash:/a5500ei-cmw520-r2220p02.bin?[Y/N]:
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
.
%Delete file flash:/a5500ei-cmw520-r2220p02.bin...Done.
O comando dir /all exibe quais arquivos estão na lixeira exibindo o nome do arquivo entre colchetes( [ ] ).
Após a exclusão do arquivo, o mesmo ficará na lixeira até efetuarmos a limpeza com o comando reset recycle-bin.
Para deletar o arquivo de forma que o mesmo não vá para lixeira utilize o comando delete /unreserved [nome do arquivo].
Obs: Tome cuidado para não desligar o equipamento caso tenha removido os arquivos do Comware.
O comando boot-loader define qual imagem será escolhida como principal e a de backup na inicialização do Switch.
Por Exemplo, após atualização por TFTP da imagem atual do Switch de s4800g-cmw520-r2102p02.bin para s4800g-cmw520-r2202p15-s56.bin, precisaremos informar ao equipamento qual versão do Sistema Operacional iremos utilizar no próximo boot.
<4800G>boot-loader file S4800G-cmw520-r2202p15-s56.bin main
Faça a validação com o comando display boot-loader
Bootrom
No documento de liberação de releases para alguns modelos de Switches será solicitado o upgrade do bootrom .
<4800G>bootrom update file s4800g-btm_604.btm
Após efetuados os passos acima, reinicie o equipamento com o comando reboot.
A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.
Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL ao acesso Telnet e SSH.
#
acl basic 2000
rule 0 permit source 192.168.11.1 0
rule 5 permit source 192.168.11.12 0
rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
telnet server enable
telnet server acl 2000
! Habilitando o serviço Telnet e aplicando a ACL 2000
#
Para filtrar o acesso via SSH utilize a mesma lógica.
Para aqueles que estão acostumados a gerenciar Switches 3Com/H3C/HP baseados no Comware e precisam administrar switches em ambientes multivendor, com equipamentos HP Procurve, podem utilizar o comando comware-help-display para habilitar alguns comandos do Comware no Provision.
Habilite a feature com o comando
HP-5406zl(config)# comware-help-display
Exemplo de configuração
HP-5406zl(config)# interface vlan 32
HP-5406zl(vlan-32)# display this
vlan 1
name "default"
no untagged A1,A3-A4,A7-A8,A10,A14-A16,A20
untagged A2,A5-A6,A9,A13,A17-A19,A21-A22,Trk1-Trk2
ip address dhcp-bootp
ip igmp
dhcp-snooping
exit
vlan 10
name "RH"
untagged A1
no ip address
exit
vlan 31
!saída omitida
HP-5406zl(vlan-32)# display current-configuration
; J8697A Configuration Editor; Created on release #K.15.17.0008
hostname "HP-5406zl"
module 1 type j8702a
comware-help-display enable
console idle-timeout 7200
console idle-timeout serial-usb 7200
dhcp-snooping
no telnet-server
time timezone -200
no web-management
!saída omitida
A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.
No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.
Instalando Freeradius no Slackware
1 – Baixe os pacotes do slackbuilds.org e instale normalmente;
2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;
3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;
4 – Adicione na primeira linha: student1 Cleartext-Password := “labhp” ! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’
5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123 ! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius
6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:
Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20
7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.
8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.
10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:
Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7
Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.
Configurando o Comware7
#
interface GigabitEthernet1/0
ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
accounting-on enable
user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio
nas-ip 10.12.0.102
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
domain default enable bbb
#
user-vty 0 63
authentication-mode scheme
Esses dias pesquisando na web sobre protocolos de autoconfiguração para Roteadores HP achei dois artigos bem legais no site abouthpnetworking.com. O site é tão bacana que tenho as vezes vontade e traduzir todos os posts. 😛
A autoconfiguração (autodeploy) descrita nos 2 artigos do abouthpnetworking utilizará as configurações de fábrica do dispositivo que via DHCP irá procurar por um arquivo de configuração e tentar executa-lo.
Apesar dos textos estarem escritos em inglês vale a pena a consulta:
