Galera, segue abaixo a dica para liberar a configuração de algumas funcionalidades via CLI para os Switches HP 1950.
O comando “xtd-cli-mode” no modo user-view libera a configuração “avançada” do Switch via CLI.
Após digitar o comando aparecerá a imagem de warning abaixo. A senha é: foes-bent-pile-atom-ship Continue reading
Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.
O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.
Há novos itens adicionados em comparação as versões anterior como:
Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration
O documento está disponível para download gratuito no site da HPepress:
https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113
Se o link estiver quebrado, deixe um comentário.
Galera segue a lista dos artigos mais acesados de 2016:
Switches 3Com 5500 – Guia rápido de Configuração!!!
http://www.comutadores.com.br/switches-3com-5500-guia-rapido-de-configuracao/
Comandos Secretos para os Switches 3Com Baseline e HP v1910
http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/
Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
http://www.comutadores.com.br/perguntas-e-respostas-portas-access-trunk-hibrida-lacp-e-stp/
VLAN – Trunk utilizando 802.1q (dot1q)
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/
Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco
http://www.comutadores.com.br/dicionario-de-comandos-hp-networking-h3c3com-comparados-com-cisco-cli/
Fizemos também uma lista dos posts mais escondidos do blog (que também são bem legais).
Procedimento de Backout para os equipamentos HPN
http://www.comutadores.com.br/rocedimento_back-out-_para_equipos_hpn/
Comando screen length disable
http://www.comutadores.com.br/comando-screen-length-disable/
Até logo!
Fala Galera, tudo bom!?
Segue mais uma vídeo-aula sobre os principais comandos para administração e gerenciamento de Switches e Roteadores baseados no Comware (3Com/HP. H3C).
Abração
O comando dir, permite visualizarmos os arquivos dentro de um diretório. Caso estejamos na raiz (sem digitar em nenhum comando para mover-se no modo user-view), o comando irá exibir o conteúdo da memória flash:
<4800G>dir Directory of flash:/ 0 -rw- 483956 Jun 26 2000 10:45:17 a5500ei-btm-715-us.btm 1 -rw- 13940314 Jun 26 2000 10:49:24 a5500ei-cmw520-r2220p02.bin 2 drw- - Apr 26 2000 12:00:31 seclog 3 drw- - Apr 26 2000 13:14:20 oldcfg 31496 KB total (7164 KB free)
As vezes para atualizar o sistema operacional do Switch ou Roteador precisamos liberar espaço na memória flash. Utilize o comando delete para remover os arquivos:
<4800G>delete a5500ei-cmw520-r2220p02.bin
Delete flash:/a5500ei-cmw520-r2220p02.bin?[Y/N]:
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
.
%Delete file flash:/a5500ei-cmw520-r2220p02.bin...Done.
O comando dir /all exibe quais arquivos estão na lixeira exibindo o nome do arquivo entre colchetes( [ ] ).
<4800G>dir /all Directory of flash:/ 0 -rwh 4 Apr 26 2000 12:19:54 snmpboots 1 -rwh 4184 Apr 26 2000 13:23:14 private-data.txt 2 drw- - Apr 26 2000 12:00:31 seclog 3 drw- - Apr 26 2000 13:14:20 oldcfg 4 -rwh 8221 Apr 26 2000 13:23:19 qosindex 5 -rw- 7638 Apr 26 2000 13:20:14 [3comoscfg.cfg] 5 -rw- 10315278 Jun 26 2000 10:39:39 [s4800g-cmw520-r2102p02.bin] 5 -rw- 9811 Apr 26 2000 13:14:55 [teste-qos.cfg] 5 -rw- 23867 Apr 26 2000 13:15:18 [atual.cfg] 5 -rw- 23867 Apr 26 2000 13:15:39 [atual.cfg.bkp] 5 -rw- 12611 Apr 26 2000 13:15:59 [3comoscfg.cfg.old] 5 -rw- 483956 Apr 26 2000 14:13:07 [a5500ei-btm-715-us.btm] 5 -rw- 13940314 Apr 26 2000 14:13:20 [a5500ei-cmw520-r2220p02.bin]
Após a exclusão do arquivo, o mesmo ficará na lixeira até efetuarmos a limpeza com o comando reset recycle-bin.
Para deletar o arquivo de forma que o mesmo não vá para lixeira utilize o comando delete /unreserved [nome do arquivo].
Obs: Tome cuidado para não desligar o equipamento caso tenha removido os arquivos do Comware.
O comando boot-loader define qual imagem será escolhida como principal e a de backup na inicialização do Switch.
Por Exemplo, após atualização por TFTP da imagem atual do Switch de s4800g-cmw520-r2102p02.bin para s4800g-cmw520-r2202p15-s56.bin, precisaremos informar ao equipamento qual versão do Sistema Operacional iremos utilizar no próximo boot.
<4800G>boot-loader file S4800G-cmw520-r2202p15-s56.bin main
Faça a validação com o comando display boot-loader
Bootrom
No documento de liberação de releases para alguns modelos de Switches será solicitado o upgrade do bootrom .
<4800G>bootrom update file s4800g-btm_604.btm
Após efetuados os passos acima, reinicie o equipamento com o comando reboot.
Inté! 🙂
A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.
Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL ao acesso Telnet e SSH.
#
acl basic 2000
rule 0 permit source 192.168.11.1 0
rule 5 permit source 192.168.11.12 0
rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
telnet server enable
telnet server acl 2000
! Habilitando o serviço Telnet e aplicando a ACL 2000
#
Para filtrar o acesso via SSH utilize a mesma lógica.
ssh server enable
ssh server acl 2000
Caso o seu switch/roteador não suportar os comandos citados, veja o script citado por esse mesmo blog no post: http://www.comutadores.com.br/acl-para-gerenciamento-telnet-ssh-snmp/
Até logo
Para aqueles que estão acostumados a gerenciar Switches 3Com/H3C/HP baseados no Comware e precisam administrar switches em ambientes multivendor, com equipamentos HP Procurve, podem utilizar o comando comware-help-display para habilitar alguns comandos do Comware no Provision.
Habilite a feature com o comando
HP-5406zl(config)# comware-help-display
Exemplo de configuração
HP-5406zl(config)# interface vlan 32 HP-5406zl(vlan-32)# display this vlan 1 name "default" no untagged A1,A3-A4,A7-A8,A10,A14-A16,A20 untagged A2,A5-A6,A9,A13,A17-A19,A21-A22,Trk1-Trk2 ip address dhcp-bootp ip igmp dhcp-snooping exit vlan 10 name "RH" untagged A1 no ip address exit vlan 31 !saída omitida HP-5406zl(vlan-32)# display current-configuration ; J8697A Configuration Editor; Created on release #K.15.17.0008 hostname "HP-5406zl" module 1 type j8702a comware-help-display enable console idle-timeout 7200 console idle-timeout serial-usb 7200 dhcp-snooping no telnet-server time timezone -200 no web-management !saída omitida
Abraços
A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.
No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.
Instalando Freeradius no Slackware
1 – Baixe os pacotes do slackbuilds.org e instale normalmente;
2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;
3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;
4 – Adicione na primeira linha: student1 Cleartext-Password := “labhp”
! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’
5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123
! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius
6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:
Sending Access-Request of id 118 to 127.0.0.1 port 1812 User-Name = "student1" User-Password = "labhp" NAS-IP-Address = 10.12.0.102 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20
7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.
8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.
10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:
Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7
Arquivo Clients.conf
client ip_do_device/máscara {
secret = testing123
}
ou
client vr1000 {
ipaddr = ip_do_roteador
secret = testing123
}
Arquivo users
nome_usuario Cleartext-Password := "senha"
Service-Type = NAS-Prompt-User,
Cisco-AVPair = "shell:roles=\"network-admin\"",
nome_usuario Cleartext-Password := "senha"
Service-Type = NAS-Prompt-User,
Cisco-AVPair = "shell:roles=\"network-operator\""
Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.
Configurando o Comware7
# interface GigabitEthernet1/0 ip address 10.12.0.102 255.255.255.0 # radius scheme rad primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0= primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M= accounting-on enable user-name-format without-domain ! É possível enviar o usuário com ou sem o formato @dominio nas-ip 10.12.0.102 # domain bbb authentication login radius-scheme rad authorization login radius-scheme rad accounting login radius-scheme rad # domain default enable bbb # user-vty 0 63 authentication-mode scheme
Referências e observações
Após quebrar bastante a cabeça com diversos parâmetros e alguns dias de teste, usamos o documento http://h30499.www3.hp.com/hpeb/attachments/hpeb/switching-a-series-forum/5993/1/Freeradius%20AAA%20Comware%207.pdf como referência que cita a conexão do simulador HCL com FreeRADIUS no Ubuntu. 😉
Esses dias pesquisando na web sobre protocolos de autoconfiguração para Roteadores HP achei dois artigos bem legais no site abouthpnetworking.com. O site é tão bacana que tenho as vezes vontade e traduzir todos os posts. 😛
A autoconfiguração (autodeploy) descrita nos 2 artigos do abouthpnetworking utilizará as configurações de fábrica do dispositivo que via DHCP irá procurar por um arquivo de configuração e tentar executa-lo.
Apesar dos textos estarem escritos em inglês vale a pena a consulta:
1 – utilizando as opções do DHCP para autoconfiguração com um servidor TFTP:
http://abouthpnetworking.com/2013/12/31/comware-config-autodeploy/
2- Autoconfiguração com scripts em Python para equipamentos baseados no comware 7
http://abouthpnetworking.com/2015/08/12/comware-7-autodeploy-supports-python-scripts/
Até logo
O protocolo NDP pode ser utilizado em alguns Switches 3Com (geralmente com o Comware na versão 3) para descoberta de vizinhos, assim como o CDP e o LLDP em outros equipamentos.
O Neighbor Discover Protocol ( NDP ) detecta informações sobre o dispositivo diretamente conectado, incluindo o tipo, versão do software / hardware, porta conectada , ID , endereço de porta , e etc.
No exemplo abaixo habilitamos o processo globalmente entre dois Switch 3Com modelo 4500.
[4500_Core]ndp enable ! habilitando o processo Globalmente [4500_Core] [4500_Core]display ndp Neighbor Discovery Protocol is enabled. Neighbor Discovery Protocol Ver: 1, Hello Timer: 60(s), Aging Timer: 180(s) Interface: Ethernet1/0/1 Status: Enabled, Pkts Snd: 92638, Pkts Rvd: 92807, Pkts Err: 0 Neighbor 1: Aging Time: 144(s) MAC Address : 0022-57a5-9999 Host Name : 4500_Administrativo Port Name : Ethernet1/0/23 Software Ver: 3Com OS V3.03.00s56 Device Name : Switch 4500 26-Port Port Duplex : AUTO Product Ver : 4500-1601P05 BootROM Ver : 3.00
Os testes também funcionaram entre Switches HP 1910 e um 3Com 4500. Para a detecção de vizinhos de Switches 3Com/HP/H3C com o Comware versão 5 para cima, sugiro a utilização do protocolo LLDP que é o padrão de mercado.
Abração