Comware7: Template para IPv6 Prefix-list

Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como  endereços de origem de ataques DDoS.

A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs. Continue reading

Comware 7 – Autenticação de TACACS com Tac_plus

Galera, durante a criação de um laboratório para testes de autenticação com TACACS de Roteadores MSR com Comware7, utilizamos o Debian com o tac_plus como Servidor.

Segue abaixo os scripts utilizados:

#
# tacacs configuration file
# Pierre-Yves Maunier – 20060713
# /etc/tac_plus.conf
# set the key
key = labcomutadores
accounting file = /var/log/tac_plus.acct
# users accounts
user = student1 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-admin"
       }
}
user = student2 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-operator"	
        }
}

Configuração do Roteador MSR HP

wtacacs scheme tac
primary authentication 192.168.1.10
primary authorization 192.168.1.10
primary accounting 192.168.1.10
! endereço do servidor TACACS
key authentication simple labcomutadores
key authorization simple labcomutadores
key accounting simple labcomutadores
user-name-format without-domain
#
domain tac.com.br
authentication login hwtacacs-scheme tac local
authorization login hwtacacs-scheme tac local
accounting login hwtacacs-scheme tac local
#
domain default enable tac.com.br
#
user-interface vty 0 4
authentication-mode scheme

Até logo

Comware: Configurando o atributo Preferred_value (weight) em anúncios de prefixos BGP via route-policy

O atributo BGP Preferred_value permite ao roteador examinar internamente as atualizações BGP decidir a rota preferêncial.

O atributo não é encaminhado nas mensagens BGP e possui apenas função local em um roteador. Para aqueles que estão acostumados a configuração do protocolo BGP em roteadores Cisco com IOS, a funcionalidade é idêntica a configuração BGP weight, que é proprietária.

O Preferred_value é eficiente quando há a necessidade de manipular um destino na saída de um AS, em meio múltiplas rotas.

Vence a rota com maior valor do Preferred_value e é possível configurar valores entre 0 e 65535.

Por padrão os prefixos aprendidos via eBGP possuem o valor como 0 e o Preferred_Value é o parâmetro preferencial para escolha da melhor rota.

Seleção de rotas BGP

Segue abaixo a lista com a ordem para escolha da melhor rota na tabela BGP:

    1. Seleciona a rota com maior preferred_value (similar ao weight da Cisco).
    2. Seleciona a rota com maior Local_Pref.
    3. Seleciona a rota originada pelo roteador local.
    4. Seleciona a rota com menor AS-Path.
    5. ….

Exemplo de Configuração

No exemplo abaixo iremos manipular o roteamento do AS 64507 para o prefixo 2001:db8:3::/64 anunciado pelo AS 64500, para o roteador RA escolher o caminho via RC (next-hop 2001:db8:13::3). O exemplo de configuração é o mesmo para os prefixos IPv4.

Comware BGP Preferred_value
Script de configuração de um roteador MSR com o Comware 7

ipv6 prefix-list abc index 10 permit 2001:DB8:3:: 64
! Configurando a prefix-list da rede 2001:db8::3/64
#
route-policy SET_PV permit node 10
 if-match ipv6 address prefix-list abc
 apply preferred-value 200
! Criando a route-map para aplicar o Preferred_value 200 a prefix-list abc
#
bgp 64507
 peer 2001:DB8:12::2 as-number 64500
 peer 2001:DB8:13::3 as-number 64500
 #
 address-family ipv6 unicast
  network 2001:DB8:1:: 64
  peer 2001:DB8:12::2 enable
  peer 2001:DB8:13::3 enable
  peer 2001:DB8:13::3 route-policy SET_PV import
! Aplicando a route-policy SET_PV para os prefixos aprendidos pelo peer
#

Verificando a tabela de roteamento

[RA]display bgp routing-table ipv6
 Total number of routes: 3

 BGP local router ID is 192.168.11.1
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e – external
               Origin: i - IGP, e - EGP, ? - incomplete
* >e Network : 2001:DB8:2::                            PrefixLen : 64
     NextHop : 2001:DB8:12::2                          LocPrf    :
     PrefVal : 0                                       OutLabel  : NULL
     MED     : 0
     Path/Ogn: 64500i
* >e Network : 2001:DB8:3::                             PrefixLen : 64
     NextHop : 2001:DB8:13::3                           LocPrf    :
     PrefVal : 200                                      OutLabel  : NULL
     MED     : 0                                     
     Path/Ogn: 64500i
*  e Network : 2001:DB8:3::                             PrefixLen : 64
     NextHop : 2001:DB8:12::2                           LocPrf    :
     PrefVal : 0                                        OutLabel  : NULL
     MED     :
     Path/Ogn: 64500i

Veja que a rota “best” para o prefixo 2001:db8:3::/64 está com o Preferred_value como 200.

Até logo

Instalando o HP VSR1000 no VMWare Workstation

Galera segue um passo-a-passo para a instalação do roteador HP VSR1000 no VMWare Workstation versão 9. Para mais informações sobre o HP VSR 1000 acesse: http://www.comutadores.com.br/hp-vsr1000-virtual-service-router/

O download do VSR100 pode ser feito no site https://h10145.www1.hp.com/Downloads/SoftwareReleases.aspx?ProductNumber=JG813AAE&lang=en&cc=us&prodSeriesId=5443163

  1. No VMWare Workstation clique em “File” e “New virtual Machine…“. Depois escolha a opção “Custom (Advanced)”, clique em next e next.
  2. Escolha o diretório que para instalar a imagem ‘.iso’ e avance.

HP VSR instalar 1

  1. Em ‘Select a Guest Operating Sytem” Escolha a opção “Other”, “FreeBSD” e avance.

HP VSR instalar 2

  1. Escolha o nome da sua máquina virtual, depois escolha o diretório para salvar e avance.
  2. Escolha a quantidade de processadores.

HP VSR instalar 4

Obs: O software do HP VSR1000 pode ser baixado gratuitamente com liberdade para uso de todas as features com a performance limitada a 5Kpps. O período trial dura 60 dias (para utilização de 1 CPU).

  1. Para a quantidade de memória escolhi 1024 para fazer o lab. Defina e clique em “Next”.
  2. Em “Network type”, utilizei “bridged networking
  3. Em “Select I/O Controller Types”, selecione “LSI Logic

HP VSR instalar 7

  1. Em “Select a Disk type” escolha “SCSI”.
  2. Em “Select a Disk”, escolha “Create a New Virtual Disk”.
  3. Em “Specify Disk Capaciy”, escolhi 8Gb de memória e “Split virtual disk into multiple files”.

HP VSR instalar 10

  1. …clique em Next..

HP VSR instalar 11

  1. Antes de finalizar, vá para “Customize Hardware” para adicionar as interfaces GigabitEthernet.

HP VSR instalar 12

HP VSR instalar 13

HP VSR instalar 14

Repita o processo para quantas interfaces você desejar.

obs:Tenho utilizado 4 interfaces para Lab.

  1. Clique em Finish..

HP VSR instalar 17

  1. Após iniciar a VM.. escolha Fresh Install, yes e yes. 🙂

HP VSR instalar 18

Após finalizar o processo inicial de instalação já é possível utilizar o HP VSR 1000

Comunicação com a LAN

Se estiver com problemas de comunicação com a rede local abra o “Virtual Network Editor” e escolha a interface para saída. No meu caso para o Lab eu escolhi a minha interface Wireless.

Espero ter ajudado.

Abração

Multitenant Device Context (MDC)

O Multitenant Device Context (MDC) é uma tecnologia que permite o particionamento de um dispositivo  em diversos equipamentos lógicos (Switches ou Roteadores HP baseado no Comware).

Cada MDC utilizará uma porção do hardware e os seus recursos, rodando os processos de forma independente dos outros MDCs. Uma simples ação de criar, iniciar, reiniciar ou deletar um MDC não afeta outros MDCs.

Da perspectiva do cliente, o MDC é um equipamento individual.

MDC 1

IRF e o MDC

A tecnologia IRF permite agregarmos 2 ou mais equipamentos em um único dispositivo lógico facilitando assim a administração dos equipamentos.

Já o MDC permite que diferentes clientes utilizem os recursos do equipamento de forma independente. Features como VLAN IDs, roteamento e protocolos  de gerenciamento atuam de forma isolada dentro do “contexto”. Gerando assim economia na venda de serviços, espaço em rack, energia eletrica, etc.

Para permitir a comunicação entre MDCs é necessário conectar um cabo entre os MDCs.

O gerenciamento dos MDCs que estão no mesmo equipamento é efetuado pelo MDC default (admin MDC). É possível logar  individualmente e diretamente nos MDCs com protocolos como SSH ou telnet.

Diferente de VRFs (vpn-instances) que apenas virtualizam a tabela de roteamento sobre uma única administração, o MDC permite a separação do gerenciamento e processos.

Arquitetura e Features MDC

Um MDC pode ser considerado um equipamento individual baseando-se no conceito de container para virtualização do SO(sistema operacional) Comware 7. Um container é uma forma de virtualização no nível do SO, um ambiente totalmente isolado, simulando um sistema independente no mesmo host.

Cada MDC é um equipamento lógico definido em um equipamento fisico. O equipamento físico pode ser um único Switch ou um par de Switches em IRF.

Cada MDC tem também o data plane isolado, permitindo que o ID das VLAN sejam definidos e repetidos em cada MDC mas funcionando de maneira independente. As portas são reservadas ao nivel de cada ASICs por MDC, já a CPU é compartilhada e concorre por recursos. A documentação diz que se um MDC necessita de recursos enquanto um segundo MDC está ocioso, o primeiro MDC pode alocar mais recursos de CPU.

MDC 2

 

A configuração do MDC só é possível até o momento em Switches modulares com o suporte ao Comware7. A quantidade de MDCs pode variar dependendo da capacidade computacional do Main Process Unit (MPU) do Switch Chassis.

Os Switches com a feature MDC tem um admin MDC (MDC número 1) que pode gerenciar todos os recursos de hardware dos outros MDCs, permitindo a criação e a remoção do MDC. O mesmo não pode ser removido.

Mesmo com a utilização de diversos MDCs em um device, apenas um kernel é inicializado e por isso os MDCs precisam executar a mesma versão de firmware. A documentação diz que o equipamento que suporta os MDCs é chamado de Admin MDC e é o MDC 1 e por padrão quando o kernel é iniciado, o MDC 1 é  o utilizado para administrar os outros MDCs.

Na definição de um MDC é possível a alocação de peso para de uso de CPU por MDC afim de priorizar MDCs especificos, é possível também definir a alocação de disco, uso de memória, grupos de processos restritos, etc. Para o MDC admin não há limitação de recursos.

Para a alocação de interfaces, é necessario a reserva por grupo de ASICs. Em um Switch modular cada modulo/cartão (LPUs) tem um ou mais ASICs. Quando um frame chega ao Switch funções como analise de VLANs, endereços MAC são executados pelos ASICs e um ASIC pode ter diversas interfaces físicas.

No exemplo abaixo, durante a alocação de apenas uma porta para o MDC2, o switch apresenta  a mensagem que a interface FortyGigE 1/1/0/1 participa do mesmo port-group que as interfaces listadas.

[Switch-mdc-2-mdc2]allocate interface FortyGigE 1/1/0/1
Configuration of the interfaces will be lost. Continue? [Y/N]:y
Group error: all interfaces of one group must be allocated to the same mdc.
FortyGigE1/1/0/1
Port list of group 5:
FortyGigE1/1/0/1 FortyGigE1/1/0/2
FortyGigE1/1/0/3 FortyGigE1/1/0/4
FortyGigE1/1/0/5 FortyGigE1/1/0/6
FortyGigE1/1/0/7 FortyGigE1/1/0/8

A tabela abaixo apresenta o grupo de portas de alguns módulos nos Switches 12500.

MDC 3

Configurando um MDC

  1. Defina o MDC com o ID e nome
  2. Configure a autorização de alocação da line card (LPU)
  3. Aloque as interfaces por grupo baseado no ASIC
  4. Inicie o MDC
  5. Acesse o MDC utilizando o comando switchto

 

[Switch] mdc clientex id 2
! criando o MDC clientec com o id 2
[Switch-mdc-2-clientex] location slot 2
!  autorizando o uso da LPU no slot 2
[Switch-mdc-2-clientex] allocate interface giga 2/0/1 to 2/0/48
! alocando as interfaces na LPU no slot 2
!
[Switch-mdc-2-clientex] mdc start
! iniciando o mdc
[Switch-mdc-2-clientex] quit
!
[Switch] switchto mdc clientex
! conectando no mdc clientex

Validando as portas reservadas por MDC no admin MDC

[Switch]display  mdc interface
 MDC Admin's interface(s):
  M-Ethernet0/0/0

 MDC clientex's interface(s):
  GigabitEthernet2/0/1                 GigabitEthernet2/0/2                 
  GigabitEthernet2/0/3                 GigabitEthernet2/0/4
  GigabitEthernet2/0/5                 GigabitEthernet2/0/6
  GigabitEthernet2/0/7                 GigabitEthernet2/0/8

!output omitido

Até logo

Referência

Building HP FlexFabric Data Centers student guide – HP Expert one – Rev14.41

Dicionário de comandos HP Networking comparados com Cisco CLI – versão 3

A HP Network disponibilizou a terceira versão do guia de referência de comandos como um dicionário para comparação de features dos Switches HP, H3C/3Com (Comware), HP Provision e IOS Cisco. Dessa vez foram adicionados comandos para o Comware 7.

Dicionario HPN v3

Para visualização ou download baixe do site da HP Press https://h30590.www3.hp.com/product/HP+Networking+and+Cisco+CLI+Reference+Guide+-+Version+3-PDF-15901

Se o link estiver quebrado, deixe um comentário…

Abração

Comware 7: interface range

O PRoque nos enviou uma dica bastante útil: os novos Switches HP que suportam a versão 7 do Comware, permitem a configuração de grupos de interfaces de maneira muito similar a utilizada em Switches Cisco IOS.

Basta utilizar o comando interface range seguido das interfaces como no exemplo abaixo e assim as configurações serão replicadas para as interfaces selecionadas.

interface range GigabitEthernet 1/0/2 to GigabitEthernet 1/0/5
  port link-type trunk
  port trunk permit vlan all
  undo shut
  quit

Até logo 😉

Comware 7 : Configurando PBR (Policy-Based Routing)

A maneira como efetuamos o roteamento de pacotes baseado endereço de destino do cabeçalho IP  possui algumas restrições que não permitem o balanceamento de tráfego de maneira granular de acordo com perfis das aplicações, dessa forma todos os pacotes são roteados para o mesmo lugar sem levarmos em conta a rede de origem, protocolo, etc.

A utilização de PBR, policy-based routing, permite ao engenheiro de rede a habilidade de alterar o comportamento padrão de roteamento baseando-se em diferentes critérios ao invés de somente a rede de destino, incluindo o endereço de rede de origem, endereços TCP/UDP de origem e/ou destino, tamanho do pacote, pacotes classificados com fins de QoS, etc.

Mas por qual razão utilizaremos PBR ?

O PBR pode ser utilizado em diversos cenários, para os mais diversos fins. No exemplo abaixo a rede 192.168.1.0/24 acessa a rede 172.16.0.1 com uma rota default configurada para o Link A, imaginando que uma segunda demanda surge para que a rede de homologação 192.168.2.0/24 acesse assim a Internet pelo Link A mas já o acesso para rede 172.16.0.1, deva ocorrer preferivelmente pelo link B. Nesse caso o PBR entraria para corrigir essa questão (lembrando que na tabela de roteamento o acesso para rede 172.16.0.1 é apontado para o Link A, criaríamos uma exceção somente para a nova rede).

PBR

Segue exemplo da configuração:

#
acl number 2000
 rule 0 permit source 192.168.2.0 0.0.0.255
! ACL para match na rede 192.168.2.0
#
policy-based-route XYZ permit node 10
 if-match acl 2000
 apply next-hop 192.168.223.3
! PBR dando match na ACL 2000 e encaminhar o 
! tráfego para o next-hop do link B
#
#
interface GigabitEthernet0/0/3
 port link-mode route
 ip address 192.168.12.2 255.255.255.0
 ip policy-based-route XYZ
! Aplicando o PBR na interface Giga0/0/3
#

A implementação da PBR é bastante simples, ele é definido para ser configurado usando o processo policy-based routing que é muito similar a configuração de uma route-policy (route-map) . O tráfego a ser tratado pelo PBR será comparado (match) utilizando uma ACL e em seguida tem o novo destino ou parâmetros alterados usando um comando apply + atributo.

Se o pacote não corresponder à política de PBR ou se o encaminhamento baseado em PBR falhar, o dispositivo utilizará a tabela de roteamento para encaminhar os pacotes.

Outros parametros dentro do PBR

PBR options Comware

Entre os outros parametros do PBR está o output-interface, default-next-hop e o default-output-interface.

Output-interface: Esse comando permite atribuir a interface de saída do trafego ao invés do IP do next-hop.

Default-next-hop / default-output-interface:Se o processo de roteamento baseado na tabela de rotas falhar, o equipamento utilizará o default next hop ou default output interface definido no PBR para encaminhar os pacotes.

Ao utilizar qualquer combinação destes comandos dentro de um PBR os comandos são avaliados na seguinte ordem:

apply next-hop
apply output-interface
apply default-next-hop
apply default-output-interface

O PBR é uma ferramenta muito poderosa que pode ser usada para controlar os caminhos específicos de tráfego de rede, porém certifique-se de usar apenas PBR quando for necessário. Como muitas outras features oferecidas em qualquer tipo de roteador, elas são projetadas para um conjunto específico de circunstâncias, o mesmo e deve ser utilizado para esses fins para assim manter a eficiência.

Referências

http://blog.pluralsight.com/pbr-policy-based-routing

HP 5920 & 5900 Switch Series- Layer 3 – IP Routing – Configuration Guide

Comware 7: Utilizando o “RBAC – Role Based Access Control”

A feature RBAC – Role Based Access Control permite administrarmos a forma como os outros usuários locais poderão interagir com a configuração do Switch/Roteador (com o Comware 7) para os seguintes parametros:

  • VLANs
  • Interfaces (físicas e lógicas)
  • features : read/write/execute
  • comandos CLI
  • Processo da VRF (VPN instances)

Por exemplo, vamos imaginar que você queira permitir para um usuário apenas o acesso para leitura das configurações.

role name usuarioX
 rule 1 permit read feature
! A regra permitirá apenas a leitura do arquivo de configuração
quit
#
 local-user usuarioX 
 password simple 123
 service-type ssh telnet terminal
 authorization-attribute user-role usuarioX
! Vinculando a regra usuarioX 
undo authorization-attribute user-role network-operator
! removendo a regra padrão de novos usuários
 quit  
#

Caso não tenha configurado a interface VTY aplique os comandos abaixo

#
 line vty 0 63
 authentication-mode scheme
 quit
#

Durante o teste é possível acessar o modo system-view e visualizar os comandos “display”. Mas para alterar as configurações o usuário terá a permissão negada.

<pre> system
[Sw1] inter?
permission denied.
[Sw1]

O site http://abouthpnetworking.com/2014/04/03/rbac-protecting-the-bfd-mad-vlan/ nos dá um exemplo bem bacana para a criação de regras para proteger a VLAN e as interfaces do MAD BFD para o IRF.

role name sysadmin
 rule 1 permit read write execute feature
! permitindo todas as features RWX 
 vlan policy deny
  permit vlan 1 to 4000
  permit vlan 4002 to 4094
! Controlando a configuração de VLANs, permitindo todas exceto a vlan 4001
 interface policy deny
  permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/23
  permit interface GigabitEthernet2/0/1 to GigabitEthernet2/0/23
! Controlando a config. de interfaces, permitindo todas exceto as do MAD BFD.
! que são as interfaces Giga 1/0/24 e 2/0/24. 

quit
quit
#
local-user sysadmin 
 password simple hp
 service-type ssh telnet terminal
 authorization-attribute user-role sysadmin
 undo authorization-attribute user-role network-operator
#

Testes

[HP]
# Acesso restrito para as interfaces BFD MAD 
[HP]int g1/0/24
Permission denied.
# Acesso permitido para outras interfaces
interface GigabitEthernet1/0/1
 port link-mode bridge
 shutdown
# Qualquer configuração pode ser aplicada as outras interfaces
[HP-GigabitEthernet1/0/1]undo shut
[HP-GigabitEthernet1/0/1]port link-type trunk

# ...mas o 'permit vlan all' falhará (tentativa para adicionar a vlan 4001)
[HP-GigabitEthernet1/0/1]port trunk permit vlan all
Permission denied.

# A permissão para todas as outras VLANs funcionará normalmente:
[HP-GigabitEthernet1/0/1]port trunk permit vlan 1 to 4000
[HP-GigabitEthernet1/0/1]port trunk permit vlan 4002 to 4094

Até logo.

Laboratório para configuração de VRRP no HP Network Simulator

Galera, montei um laboratório de VRRP no Simulador HP para o Comware 7 com o objetivo de validar a sintaxe dos comandos, além de testar o protocolo conforme cenário abaixo..

Para aqueles que não conhecem o VRRP, o protocolo funciona para redundância de Gateway em uma rede, com o objetivo de 2 ou mais roteadores compartilharem o mesmo IP virtual no modo ativo/backup ou ativo/ativo. O padrão do protocolo é o ativo(Master)/backup

VRRP Simware

Segue a configuração do VRRP nos Roteadores R1 e R2 além da configuração do Switch.

# Switch
vlan 2
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 2
#
Roteador - R1
interface GigabitEthernet 0/0/2
port link-mode route
ip add 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1
vrrp vrid 1 priority 110

Roteador - R2
interface GigabitEthernet 0/0/2
port link-mode route
ip add 192.168.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1

Os comandos display vrrp e display vrrp verbose executados nos roteadores exibem valiosas informações sobre o status do VRRP.

vrrp-device2

A configuração da topologia para HP Network Simulator 7.1.50 pode ser baixada aqui.
Os comandos são identicos para a versão 5 do Comware.

Até logo.