Guia para comparação de comandos (ArubaOS-Switch/Comware/Cisco) v3.3

Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.

O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.

Há novos itens adicionados em comparação as versões anterior como:

Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration

O documento está disponível para download gratuito no site da HPepress:

https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

comparativo aruba comware ios

Se o link estiver quebrado, deixe um comentário.

Comware – Configurando o 802.1x

O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o  RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes, etc.

O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e  entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.

Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.

Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:

Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.

Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.

Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.

802.1x

  1. O suplicante envia uma mensagem start para o autenticador.
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.
  3. O suplicante responde com o login com as credenciais do usuário ou do equipamento.
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.

Exemplo de Configuração em Switches HP baseados no Comware

Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.

Passo 1: Configure o servidor RADIUS 
 radius scheme <nome do radius scheme>
  primary authentication <ip do servidor> key <chave> 
  ! Configure o IP do servidor RADIUS e a chave 
  user-name-format without-domain
  ! o formato do nome de usuário sem o envio do @dominio 
  nas-ip <endereço IP do Switch> 
  ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS
 quit

Passo 2: Configure o Domínio
domain <nome do domain>
  authentication lan-access radius-scheme <nome do radius scheme>
  authorization lan-access radius-scheme  <nome do radius scheme>
  ! Configurando a autenticação e a autorização do acesso a LAN 
 quit 

Passo 3: Configure o 802.1x globalmente no Switch
dot1x 
dot1x authentication-method eap

Passo 4: Configure o dot1x nas portas do switch
interface GigabitEthernet 1/0/x
   dot1x
   ! A porta utiliza o modo auto do 802.1x e solicita autenticação

cenário comware 802.1x

Referências

CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
http://blog.ccna.com.br/2009/02/25/pr-o-que-e-8021x/
https://tools.ietf.org/html/rfc3748
http://certifiedgeek.weebly.com/blog/hp-comware-and-wired-8021x

Até logo! 🙂

Nossos artigos mais acessados em 2016

Galera segue a lista dos artigos mais acesados de 2016:

Switches 3Com 5500 – Guia rápido de Configuração!!!
http://www.comutadores.com.br/switches-3com-5500-guia-rapido-de-configuracao/

Comandos Secretos para os Switches 3Com Baseline e HP v1910
http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/

Perguntas e Respostas: Portas Access/Trunk/Híbrida, LACP e STP.
http://www.comutadores.com.br/perguntas-e-respostas-portas-access-trunk-hibrida-lacp-e-stp/

VLAN – Trunk utilizando 802.1q (dot1q)
http://www.comutadores.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Dicionário de comandos HP Networking (H3C/3Com) comparados com Cisco
http://www.comutadores.com.br/dicionario-de-comandos-hp-networking-h3c3com-comparados-com-cisco-cli/

Fizemos também uma lista dos posts mais escondidos do blog (que também são bem legais).

Procedimento de Backout para os equipamentos HPN
http://www.comutadores.com.br/rocedimento_back-out-_para_equipos_hpn/

Comando screen length disable
http://www.comutadores.com.br/comando-screen-length-disable/

Até logo!

Comware – Limpando a lixeira

O comando dir, permite visualizarmos os arquivos dentro de um diretório. Caso estejamos na raiz (sem digitar em nenhum comando para mover-se no modo user-view), o comando irá exibir o conteúdo da memória flash:

<4800G>dir
Directory of flash:/

   0     -rw-    483956  Jun 26 2000 10:45:17   a5500ei-btm-715-us.btm
   1     -rw-  13940314  Jun 26 2000 10:49:24   a5500ei-cmw520-r2220p02.bin
   2     drw-         -  Apr 26 2000 12:00:31   seclog
   3     drw-         -  Apr 26 2000 13:14:20   oldcfg

31496 KB total (7164 KB free)

As vezes para atualizar o sistema operacional do Switch ou Roteador precisamos liberar espaço na memória flash. Utilize o comando delete para remover os arquivos:

<4800G>delete a5500ei-cmw520-r2220p02.bin
Delete flash:/a5500ei-cmw520-r2220p02.bin?[Y/N]:
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
.
%Delete file flash:/a5500ei-cmw520-r2220p02.bin...Done.

O comando dir /all exibe quais arquivos estão na lixeira exibindo o nome do arquivo entre colchetes( [ ] ).

<4800G>dir /all
Directory of flash:/
   0     -rwh         4  Apr 26 2000 12:19:54   snmpboots
   1     -rwh      4184  Apr 26 2000 13:23:14   private-data.txt
   2     drw-         -  Apr 26 2000 12:00:31   seclog
   3     drw-         -  Apr 26 2000 13:14:20   oldcfg
   4     -rwh      8221  Apr 26 2000 13:23:19   qosindex
   5     -rw-      7638  Apr 26 2000 13:20:14   [3comoscfg.cfg]
   5     -rw-  10315278  Jun 26 2000 10:39:39   [s4800g-cmw520-r2102p02.bin]
   5     -rw-      9811  Apr 26 2000 13:14:55   [teste-qos.cfg]
   5     -rw-     23867  Apr 26 2000 13:15:18   [atual.cfg]
   5     -rw-     23867  Apr 26 2000 13:15:39   [atual.cfg.bkp]
   5     -rw-     12611  Apr 26 2000 13:15:59   [3comoscfg.cfg.old]
   5     -rw-    483956  Apr 26 2000 14:13:07   [a5500ei-btm-715-us.btm]
   5     -rw-  13940314  Apr 26 2000 14:13:20   [a5500ei-cmw520-r2220p02.bin]

Após a exclusão do arquivo, o mesmo ficará na lixeira até efetuarmos a limpeza com o comando reset recycle-bin.

Para deletar o arquivo de forma que o mesmo não vá para lixeira utilize o comando delete /unreserved [nome do arquivo].

Obs: Tome cuidado para não desligar o equipamento caso tenha removido os arquivos do Comware.

O comando boot-loader define qual imagem será escolhida como principal e a de  backup na inicialização do Switch.

Por Exemplo, após atualização por TFTP da imagem atual do Switch de s4800g-cmw520-r2102p02.bin para s4800g-cmw520-r2202p15-s56.bin, precisaremos informar ao equipamento qual versão do Sistema Operacional iremos utilizar no próximo boot.

<4800G>boot-loader file S4800G-cmw520-r2202p15-s56.bin main

Faça a validação com o comando display boot-loader

Bootrom

No documento de liberação de releases para alguns modelos de Switches será solicitado o upgrade do bootrom .

<4800G>bootrom update file s4800g-btm_604.btm

Após efetuados os passos acima, reinicie o equipamento com o comando reboot.

Inté!  🙂

Novo Simulador do Comware: H3C Cloud Lab

Galera, o John Costa nos enviou uma dica muito bacana do novo Simulador de Comware feito pela H3C para simular Switches e Roteadores HP/H3C.  A diferença desse novo simulador é a similaridade com o GNS3 para a configuração das topologias de rede. Basta arrastar os objetos e criar os links. 🙂

pastedImage_13

Segue o email do John:

Olá Diego Dias

Estou passando para divulgar para você a nova ferramente de simulação de rede com base em switches comware 7.

O programa se chama HCL – H3C cloud lab.

O programa é muito bom, divulgue para os demais no seu site caso já não tenha feito isso, assim poderemos discutir caso apareça alguns bugs.

Abaixo segue os links para você baixar e um desenho de uma topologia que eu já montei.

https://community.gns3.com/groups/hp/blog/2015/01/01/h3c-cloud-lab-hp-simulator

https://archive.org/details/HCL7.1.59Setup

topologia HCL

Bons estudos!

Att,

John Costa

Trabalhando com syslog em Switches HP

Galera, o post abaixo foi gentilmente cedido pelo Leonardo Ortiz do blog http://killingyournetwork.blogspot.com.br/search/label/3Com .

Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog.

O syslog é uma ótima forma para monitorar e descobrir problemas na rede, com ele podemos receber alertas do switch em um servidor syslog e tomar as ações necessárias em caso de problemas.

A RFC do syslog é a RFC 3164. Há vários níveis do syslog que documentam desde problemas a um simples login no equipamento.

Vamos as configurações!

No modo system inserir os seguintes comandos:

info-center enable
info-center loghost [ip do servidor syslog]
info-center source default channel 2 log level error trap state off

Explicação dos comandos.

1 – info-center enable

Habilita o info-center, feature dos Switches 3com para logs do sistema, por padrão já vem habilitado nos switchs.

2- info-center loghost [ip do servidor syslog]

Configura o servidor para envio dos logs.

3- info-center source default channel 2 log level error trap state off

Com esse cara você define o nível do log.

Existem 8 niveis de erros conforme imagem abaixo:

Fonte: http://www.ietf.org/rfc/rfc3164.txt
Fonte: http://www.ietf.org/rfc/rfc3164.txt

Nesse caso ativei o nivel “erros”.
O parâmetro “trap state” define se será enviado ou não traps para o syslog server, essas são as traps SNMP, que enviam alertas como UP/DOWN de interfaces e problemas em geral. Outro parâmetro que poderia ser configurado é o “debug state” que envia informações de debug, por padrão já vem desabilitado.

A forma que os logs serão recebidos será dessa forma:

<priority>timestamp sysname module/level/digest:content

Exemplo:

<185>Aug 10 07:36:40 2013 Switch STP/2/SPEED:- 1 -Ethernet1/0/17’s speed changed!

1 – Prioridade(priority): Prioridade do log, existe uma formula para o seu calculo:

facility*8+severity-1

facility, o valor padrão é 23 – O facility define o que gerou o log no sistema, em sistemas unix o valor vai de 0 a 15, do 16 ao 23 é reservado.

Severity é o nivel do log conforme a imagem acima, no nosso caso, o nível configurado foi o 3 porém essa é uma mensagem de nível critico, que seria o valor 2.

No exemplo acima, a formula ficaria assim:

23*8+2-1=185.

2 – Timestamp: O horário no qual o sistema gerou o log, esse horário é o horário que está no Switch.

3 – Sysname:  Nome do switch

4 – Modulo do syslog/Nivel/alerta(resumido).

5 – O alerta em si, mostrando a mensagem do alerta.

Esse procedimento se aplica para os Comware, já para os switches Procurve mudam alguns comandos conforme abaixo:

1- logging severity warning

Define nivel dos logs

2-  logging [ip do servidor syslog]

Configura o servidor para envio dos logs.

E é isso.

Obrigado pela leitura e boa configuração a todos!

Fonte: Foram verificados os manuais dos equipamentos 3com 4210 e 5500.

Dicionário de comandos HP Networking comparados com Cisco CLI – versão 3

A HP Network disponibilizou a terceira versão do guia de referência de comandos como um dicionário para comparação de features dos Switches HP, H3C/3Com (Comware), HP Provision e IOS Cisco. Dessa vez foram adicionados comandos para o Comware 7.

Dicionario HPN v3

Para visualização ou download baixe do site da HP Press https://h30590.www3.hp.com/product/HP+Networking+and+Cisco+CLI+Reference+Guide+-+Version+3-PDF-15901

Se o link estiver quebrado, deixe um comentário…

Abração

Dica: Comware – Desconectando um usuário travado (free user-interface)

O TBrecci nos enviou uma dica para desconectar um usuário travado em uma conexão SSH durante o ajuste do AAA. O procedimento pode ser utilizado em qualquer outra situação.

A histório era que estava tentando aplicar o TACACS no equipamento. Para isso, criei um outro domain, me conectei por ele, para somente assim alterar a autenthicação do domain system. Porém o bichinho reclamava quando tem alguém conectado no outro domain, e não deixava fazer a modificação.

Neste caso, era a minha propria conexão de outro Putty que estava impedindo.

No exemplo abaixo o usuário netwsuporte estava travado na VTY 0

[Switch]display users

The user application information of the user interface(s):
  Idx UI      Delay    Type Userlevel
  20  VTY 0   00:22:16 SSH  3
+ 21  VTY 1   00:00:00 SSH  3
Following are more details.
VTY 0   :
        User name: netwsuporte
        Location: 192.168.219.62
VTY 1   :
        User name: tbrecci@empresa
        Location: 192.168.219.62
+    : Current operation user.
F    : Current operation user work in async mode.
[Switch]

Abaixo a desconexão do usuário conectado na VTY 0
 

<Switch> free user-interface vty 0
Are you sure to free user-interface vty0? [Y/N]:y
[OK]

<Switch> display users

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel
+ 21  VTY 1   00:00:00 SSH  3

Following are more details.
VTY 1   :
        User name: tbrecci@empresa
        Location: 192.168.219.62+    
     
     : Current operation user.

F    : Current operation user work in async mode.

<Switch>

Abração

Download e treinamento HP para o simulador do Comware

O JCosta nos enviou um link para download do simulador para Switches e Roteadores HP baseados no Comware 7 – HP Network Simulator – e um treinamento (em inglês) do fabricante ensinando como montar as topologias.

http://h17007.www1.hp.com/us/en/networking/products/simulator/index.aspx

Particularmente, o simulador é uma das minhas ferramentas de trabalho para simulação de protocolos, soluções, documentos de configuração e backout.

Para aqueles que administram equipamentos baseados no Comware 5, há pouco diferença na sintaxe dos comandos.

Capture-simware training