Switches ArubaOS: Configurando DHCP Server no Switch

O post de hoje foi escrito em colaboração com o Rafael Eduardo, para a criação de servidor DHCP em Switches ArubaOS. A funcionalidade é bastante útil em localidades de pequeno e médio porte, que assim, utilizando o Switch como Servidor DHCP, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede etc.

Configuração

 vlan 4
   tagged 1-3,8
   ip address 192.168.4.1 255.255.255.0
   dhcp-server
! Habilitando o dhcp-server na VLAN   
   exit

Script para criar o pool de dhcp para aquela Vlan

dhcp-server pool "VLAN4"
   default-router "192.168.4.1"
! Endereço IP do Gateway  
   dns-server "8.8.8.8,8.8.4.4"
! Endereços IP do servidor DNS  
   network 192.168.4.0 255.255.255.0
! Endereço da Rede  
   range 192.168.4.2 192.168.4.254
! Endereços que serão fornecidos para as requisições DHCP na rede. 
   exit
dhcp-server enable ! Habilitando o servidor DHCP globalmente no Switch

Trocando informações no escopo DHCP

Caso haja a necessidade de trocar alguma informação no escopo DCHP de uma VLAN, siga os passos abaixo:

1º Desabilite o dhcp server

dhcp-server disable 

2º Escolha o pool a ser editado

dhcp-server pool "VLAN4"

3º Remova o item a ser editado no caso abaixo o range

no range 192.168.4.2 192.168.4.254

4º Configure o novo escopo a ser entregue pelo Switch via DHCP

range 192.168.4.5 192.168.4.250

5º Habilite o serviço DHCP novamente

dhcp-server enable

Dicas de comandos show

Para verificar o Pool de IPs e quantos estão livres para atribuição, digite:

show dhcp-server pool

Para verificar os IPs atribuídos

show dhcp-server binding

Vídeo: AS 8 FUNCIONALIDADES DE SEGURANÇA PARA SWITCHES QUE TODO ADMINISTRADOR DE REDES DEVERIA SABER

Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.

A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.

Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.

No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber..

Vídeo: Switches ArubaOS – Como configurar o DHCP Snooping sem erro

A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples (mas certa atenção). O comando dhcp-snooping configurado globalmente e atribuindo às VLANs desejadas, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trust (confiável), incluíndo as portas de uplink.

Nesse vídeo, descrevemos a configuração do DHCP-Snooping em Switches Aruba-OS.

Vídeo: DHCP Relay Agent

A funcionalidade DHCP Relay permite ao Switch L3/Roteador encaminhar as mensagens DHCP em broadcast para determinado servidor além do dominio de broadcast do host, possibilitando assim utilização de um único servidor DHCP para toda a LAN.

Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrem em broadcast, o roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast.

O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem ( inserida na mensagem DHCP). Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.

Vídeo: DHCP Snooping

A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples. O comando dhcp-snooping configurado globalmente, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trusted (confiável), incluíndo as portas de uplink.

Até a próxima!

Autoconfiguração (Autodeploy) com DHCP no Comware

Esses dias pesquisando na web sobre protocolos de autoconfiguração para Roteadores HP achei dois artigos bem legais no site abouthpnetworking.com. O site é tão bacana que tenho as vezes vontade e traduzir todos os posts. 😛

A autoconfiguração (autodeploy) descrita nos 2 artigos do abouthpnetworking utilizará as configurações de fábrica do dispositivo que via DHCP irá procurar por um arquivo de configuração e tentar executa-lo.

Apesar dos textos estarem escritos em inglês vale a pena a consulta:

1 – utilizando as opções do DHCP para autoconfiguração com um servidor TFTP:
http://abouthpnetworking.com/2013/12/31/comware-config-autodeploy/

2- Autoconfiguração com scripts em Python para equipamentos baseados no comware 7
http://abouthpnetworking.com/2015/08/12/comware-7-autodeploy-supports-python-scripts/

Até logo

Switches HP 5800 – Resumo – DHCP Relay Agent

A feature DHCP Relay permite ao Switch L3 ou Roteador encaminhar as mensagens DHCP em broadcast em unicast para determinado servidor, possibilitando assim utilização de um único servidor DHCP para toda a LAN.

Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrerem em broadcast, o Switch L3/Roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast ( que está em uma VLAN diferente do host) .

O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem (alterada e inserida no cabeçalho DHCP).

Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.

DHCP Relay - comware config a

DHCP Relay - comware config b
Configurando o DHCP Relay

<SwitchA>system-view
[SwitchA] dhcp enable
! Ativando o DHCP
[SwitchA] dhcp relay server-group 1 ip 10.1.1.1
! Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.254 255.255.255.0
[SwitchA-Vlan-interface2] quit
[SwitchA] interface vlan-interface 40
[SwitchA-Vlan-interface40] ip address 10.2.2.254 255.255.255.0
[SwitchA-Vlan-interface40] dhcp select relay
!Ativando o DHCP relay agent na VLAN-interface 40
[SwitchA-Vlan-interface40] dhcp relay server-select 1
! Correlacionando a VLAN-interface 40 para o grupo DHCP 1

Obs: as configurações de DHCP Relay podem variar dependendo do modelo do Switch. A configuração acima foi executada em um Switch HP modelo 4800.

 

Até logo

Switches 3Com 5500G – Configurando o Switch como Servidor DHCP

Uma dica muito interessante encaminhada pelo Danilo Rodrigues é a utilização do Switch 3Com 5500G como Servidor DHCP. O serviço DHCP no Switch é útil para as empresas que possuem diversas filiais de pequeno e médio porte, que assim, utilizando o Switch como Servidor, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede e etc.

Configuração

#
dhcp server ip-pool clientex
!Criando o escopo DHCP com o nome clientex
network 192.168.1.0 mask 255.255.255.0
! Escopo para distribuição dinamica do range 192.168.1.0/24
gateway-list 192.168.1.254
! Gateway do escopo
dns-list 192.168.2.17 192.168.2.27
! DNS do escopo
domain-name clientex.com.br
! Nome do domínio
expired day 30
! Tempo de alocação do endereço IP
#
vlan 9
#
interface Vlan-interface9
description REDE_LOCAL
ip address 192.168.1.254 255.255.255.0
! É obrigatório a utilização de Interface VLAN
! no mesmo range de endereço do escopo DHCP
#
dhcp server forbidden-ip 192.168.1.1 192.168.1.40
dhcp server forbidden-ip 192.168.1.240 192.168.1.252
! Endereços reservados não distribuídos via DHCP

display

[5500G]display dhcp server ip-in-use all

Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
192.168.1.202 001b-b96d-158f Jan 1 2006 05:41:32 AM Auto:COMMITTED
192.168.1.166 001b-b969-4007 Jan 2 2006 22:10:17 PM Auto:COMMITTED
192.168.1.41 001b-b969-3f69 Jan 3 2006 02:43:15 AM Auto:COMMITTED
192.168.1.59 001b-b96d-188e Jan 1 2006 00:01:26 AM Auto:COMMITTED

Obs: para os Switches que estão configurados com o protocolo XRN é necessário a utilização do comando “udp-helper enable”