Vídeo: DHCP Relay Agent

A funcionalidade DHCP Relay permite ao Switch L3/Roteador encaminhar as mensagens DHCP em broadcast para determinado servidor além do dominio de broadcast do host, possibilitando assim utilização de um único servidor DHCP para toda a LAN.

Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrem em broadcast, o roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast.

O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem ( inserida na mensagem DHCP). Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.

Vídeo: DHCP Snooping

A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples. O comando dhcp-snooping configurado globalmente, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trusted (confiável), incluíndo as portas de uplink.

Até a próxima!

Autoconfiguração (Autodeploy) com DHCP no Comware

Esses dias pesquisando na web sobre protocolos de autoconfiguração para Roteadores HP achei dois artigos bem legais no site abouthpnetworking.com. O site é tão bacana que tenho as vezes vontade e traduzir todos os posts. 😛

A autoconfiguração (autodeploy) descrita nos 2 artigos do abouthpnetworking utilizará as configurações de fábrica do dispositivo que via DHCP irá procurar por um arquivo de configuração e tentar executa-lo.

Apesar dos textos estarem escritos em inglês vale a pena a consulta:

1 – utilizando as opções do DHCP para autoconfiguração com um servidor TFTP:
http://abouthpnetworking.com/2013/12/31/comware-config-autodeploy/

2- Autoconfiguração com scripts em Python para equipamentos baseados no comware 7
http://abouthpnetworking.com/2015/08/12/comware-7-autodeploy-supports-python-scripts/

Até logo

Switches HP 5800 – Resumo – DHCP Relay Agent

A feature DHCP Relay permite ao Switch L3 ou Roteador encaminhar as mensagens DHCP em broadcast em unicast para determinado servidor, possibilitando assim utilização de um único servidor DHCP para toda a LAN.

Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrerem em broadcast, o Switch L3/Roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast ( que está em uma VLAN diferente do host) .

O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem (alterada e inserida no cabeçalho DHCP).

Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.

DHCP Relay - comware config a

DHCP Relay - comware config b
Configurando o DHCP Relay

<SwitchA>system-view
[SwitchA] dhcp enable
! Ativando o DHCP
[SwitchA] dhcp relay server-group 1 ip 10.1.1.1
! Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.254 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] interface vlan-interface 40
[SwitchA-Vlan-interface40] ip address 10.2.2.254 255.255.255.0
[SwitchA-Vlan-interface40] dhcp select relay
!Ativando o DHCP relay agent na VLAN-interface 40
[SwitchA-Vlan-interface40] dhcp relay server-select 1
! Correlacionando a VLAN-interface 40 para o grupo DHCP 1

Obs: as configurações de DHCP Relay podem variar dependendo do modelo do Switch. A configuração acima foi executada em um Switch HP modelo 4800.

 

Até logo

Switches 3Com 5500G – Configurando o Switch como Servidor DHCP

Uma dica muito interessante encaminhada pelo Danilo Rodrigues é a utilização do Switch 3Com 5500G como Servidor DHCP. O serviço DHCP no Switch é útil para as empresas que possuem diversas filiais de pequeno e médio porte, que assim, utilizando o Switch como Servidor, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede e etc.

Configuração

#
dhcp server ip-pool clientex
!Criando o escopo DHCP com o nome clientex
network 192.168.1.0 mask 255.255.255.0
! Escopo para distribuição dinamica do range 192.168.1.0/24
gateway-list 192.168.1.254
! Gateway do escopo
dns-list 192.168.2.17 192.168.2.27
! DNS do escopo
domain-name clientex.com.br
! Nome do domínio
expired day 30
! Tempo de alocação do endereço IP
#
vlan 9
#
interface Vlan-interface9
description REDE_LOCAL
ip address 192.168.1.254 255.255.255.0
! É obrigatório a utilização de Interface VLAN
! no mesmo range de endereço do escopo DHCP
#
dhcp server forbidden-ip 192.168.1.1 192.168.1.40
dhcp server forbidden-ip 192.168.1.240 192.168.1.252
! Endereços reservados não distribuídos via DHCP

display

[5500G]display dhcp server ip-in-use all

Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
192.168.1.202 001b-b96d-158f Jan 1 2006 05:41:32 AM Auto:COMMITTED
192.168.1.166 001b-b969-4007 Jan 2 2006 22:10:17 PM Auto:COMMITTED
192.168.1.41 001b-b969-3f69 Jan 3 2006 02:43:15 AM Auto:COMMITTED
192.168.1.59 001b-b96d-188e Jan 1 2006 00:01:26 AM Auto:COMMITTED

Obs: para os Switches que estão configurados com o protocolo XRN é necessário a utilização do comando “udp-helper enable”

Switches 3Com 4800G – DHCP Snooping – Como proteger a rede de falsos servidores DHCP?

A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.

Uma negociação simples de solicitação DHCP ocorre com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack.


O comando dhcp-snooping configurado globalmente, faz o Switch filtrar as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do Servidor DHCP válido deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.

No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/0/8 conectada ao servidor DHCP válido como trust.

Configuração

[4800G]dhcp-snooping
DHCP Snooping is enabled.

[4800G]int g1/0/8
[4800G-GigabitEthernet1/0/8]dhcp-snooping trust

Comandos Display

Para visualização das portas em trust digite display dhcp-snooping trust

[4800G]disp dhcp-snooping trust
DHCP Snooping is enabled.
DHCP Snooping trust becomes active.
Interface Trusted
=========================
GigabitEthernet1/0/8 Trusted

O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.

[4800G]display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Não esqueça de habilitar as portas de Uplink como trust caso a rede possua diversos Switches. 😉

Até o proximo post!

 

 

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Publicado originalmente em 30 DE DEZEMBRO DE 2010

Olá amigos, para comemorar um ótimo ano profissional e para fechar 2010 com “chave de ouro”, hoje eu escrevo a continuação do Post mais popular desse ano. “Switches 3Com 5500 – Guia rápido de Configuração!!!”

Desejo a todos um Feliz 2011!!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!