Guia Básico para Configuração de Switches – Segurança – volume 3

Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.

O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:

• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 29,99




Gratuitous ARP em Switches HP baseados no Comware

O Protocolo ARP é utilizado na comunicação entre dispositivos em uma Rede Ethernet da mesma Sub-rede que utilizam endereços IPv4. A principal função do ARP é a tradução de endereços IP em endereços MAC. O emissor encaminha em broadcast um pacote ARP contendo o endereço IP do outro host e espera uma resposta com um endereço MAC respectivo.

Em resumo, o ARP auxilia os computadores e Switches que utilizam endereços IPv4 (endereço lógico) ,  a encontrarem o endereço mac (endereço físico) das máquinas em redes Ethernet.

Todo endereço da camada de rede, precisa do mapeamento do endereço da camada de enlace.

Assim,  todos os equipamentos de rede montam uma tabela ARP dinâmica (em redes LAN), que é atualizada de tempos em tempos (o tempo pode variar dependendo do Sistema Operacional) caso alguma máquina troque de IP, ou aprenda um endereço “velho” via DHCP.

Segue abaixo a saída da tabela ARP de uma máquina rodando windows 7.

C:\Users\comutadores>arp -a
Interface: 192.168.99.104 --- 0x10
  Internet Address      Physical Address      Type
  192.168.99.1          14-d6-4d-7e-f7-d8     dynamic
  192.168.99.100        10-3b-59-c7-62-34     dynamic
  192.168.99.102        e8-8d-28-f2-60-7b     dynamic
  192.168.99.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  224.0.0.252           01-00-5e-00-00-fc     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Uma das  funções do protocolo ARP é o Gratuitous ARP, que permite o envio de requisição ou resposta (contendo o mapeamento endereço IP + endereço MAC) mesmo quando não é solicitado.

O gratuitous ARP é uma mensagem enviada geralmente para atualizar a tabela ARP.

Por exemplo, imagine que todas as máquinas de uma rede possuam como gateway um Switch de Distribuição que precisa ser substituído por um novo equipamento mais robusto e moderno. Agora, imagine que essa migração deva ocorrer de maneira quase que imperceptível por inúmeras restrições. O novo Switch é então conectado a todos os outros Switches da rede, incluindo o Switch legado, e cada vez que uma interface do Switch legado é colocada em shutdown (desligada), a mesma é configurada no Switch novo.

Pense que, uma vez que o gateway é movido para outro equipamento (com o mesmo IP) o endereço mac  deverá mudar…

A configuração do gratuitous ARP deverá auxiliar nessa questão, com o novo equipamento enviando a atualização do endereço IP + MAC para todos os dispositivos da rede.

interface Vlan-interface1
 ip address 192.168.99.1 255.255.255.0
 arp send-gratuitous-arp 

Após a certificação e sucesso da migração, o comando poderá ser removido da interface vlan.

[Switch-Vlan-interface1]undo arp send-gratuitous-arp

Espero ter ajudado 😉

Dúvidas, deixe um comentário!

Reset de Senha: Switches 3Com, HPN e H3C

Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.

O procedimento abaixo serve para permitir  o acesso à administração do Switch configurando o equipamento para que antes do processo de boot, pule o arquivo de configuração na inicialização….
 
Obs: Pode haver uma pequena variação no processo, o que pode não atender a todos os modelos, geralmente os modelos com o Ssistema Operacional Comware versão 3 ou 5 suportam o procedimento abaixo.
 

Procedimento

Consiga um acesso via Console ao Switch. Reinicie o equipamento e  digite “Crtl + B” quando o Switch exibir a mensagem na inicialização…

Digite a senha em branco ( se ninguém alterou [pressione Enter no teclado] ) e você cairá na tela abaixo:

BOOT MENU

1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from flash
5. Modify BootRom password
6. Enter BootRom upgrade menu
7. Skip current system configuration
8. Set BootRom password recovery
9. Set switch startup mode
0. Reboot

…escolha a opção 7, confirme e reinicie o Switch.

No próximo passo, o equipamento inicializará sem a configuração anterior. Digite no <user-view> more nomedoarquivo.cfg, verifique se a senha está cifrada. Se não estiver cifrada… pronto, tudo resolvido! Se estiver cifrada, basta copiar toda a configuração em um TXT e colar no Switch criando um novo usuário. Após salvar, o arquivo anterior será sobrescrito.
 
Obs: Após todo o procedimento ser efetuado, vá novamente a tela do botrom (Crtl + B ) escolha a opção 7 e negue a opção ( para o Switch não pular o arquivo de configuração sempre que reiniciar).
 
Se o seu Switch possuir um procedimento diferente do listado aqui, se possível, escreva o “how to” nos comentários .. 🙂

Seja cauteloso e Boa Sorte!

QoS -Medição e Colorização (Coloring and Metering) – Modelo CIR/PIR

A utilização de Shapping e Policy em modelos de QoS permite o controle do tráfego utilizado em cima de uma banda disponível , mas finita. Ambos são mecanismos de medição e controle para diferentes classes, para atribuição de políticas ou acordos de níveis de serviço.

O modelo de traffic Shapping buferiza o tráfego que é excedente de acordo com as politicas estabelecidas/contratadas;  já o modelo de Policing descarta o tráfego que é excedente ou remarca o campo do pacote IP para cair em uma classe de serviço menos prioritária.

Para conseguir efetuar a medição do tráfego, um modelo bastante utilizado pelo mercado é o CIR/ PIR ( CIR – Committted Information Rate, e PIR – Peak Information Rate).

A função do CIR é garantir a banda (ou taxa de dados) contratada; e a função do PIR é a banda máxima (ou pico de dados) que possa ser utilizado no link. Geralmente este modelo é oferecido na venda de serviços para terceiros.

O modelo CIR/PIR  possui três modelos de interválos para tráfego de entrada onde cada um é associado  a uma cor. O tráfego dentro do CIR é colorido como verde , o tráfego entre o CIR e o PIR como amarelo e o tráfego acima do limite do PIR é colorido como vermelho, descritos na RFC 2698.

Coloring and Metering

Uma vez estabelecido os limites de serviço, por exemplo, um serviço de 1024Kbps contratado como CIR e o PIR como  2048Kbps , o trafego dentro do CIR terá a garantia de banda de 1Mb, já o tráfego dentro do PIR não terá a garantia de encaminhamento ou talvez cobrado o “Mega” adicional de pacotes e bytes transferidos na faixa entre o CIR e o PIR;  para o trafego acima de 2Mb,  será categorizado como vermelho, e provavelmente será configurado uma politica de descarte de pacotes.

Segue abaixo um exemplo de configuração utilizando o CIR/PIR com Policy em um Switch HPN 5800 para controle de banda:

Coloring and Metering topology

Configuração em um Switch HPN 5800

 

vlan 15
 name cliente-x
#
 traffic classifier cliente-x operator and
 if-match any
! Classifier dando match em todo o tráfego
#
traffic behavior cliente-x
 car cir 1024 pir 2048 green pass red discard yellow pass
! Configurando o CIR o PIR e permitindo o trafego green, yellow e descartando o red
 accounting byte
! Contabilizando o tráfego no formato bytes
#
 qos policy CLIENTE-X-BW-CONTROL
 classifier cliente-x behavior cliente-x
#
  qos vlan-policy CLIENTE-X-BW-CONTROL vlan 15 inbound
! Configurando a Policy à VLAN 15 para controle do tráfego do cliente
#

Comandos Display

<5800>display qos vlan-policy  vlan  15
  Vlan 15
  Direction: Inbound

   Classifier: cliente-x
     Matched : 0(Packets)
     Operator: AND
     Rule(s) : If-match any
     Behavior: cliente-x
      Committed Access Rate:
        CIR 1024 (kbps), CBS 64000 (byte), EBS 0 (byte), PIR 2048 (kbps)
        Green Action: pass
        Red Action: discard
        Yellow Action: pass
        Green : 34555(Packets) 89891278(Bytes)
        Yellow: 2(Packets) 2048(Bytes)
        Red   : 0(Packets) 0(Bytes)
      Accounting Enable:
        4967306 (Packets)

Conforme dito anteriormente, é possível remarcar os pacotes que estão como yellow e red para valores DSCP com prioridade menor…

[5800-behavior-cliente-x]remark ?
  atm-clp           Remark ATM CLP
  bfi               Remark BFI ID
  customer-vlan-id  Remark Customer VLAN ID
  dot1p             Remark IEEE 802.1p COS
  drop-precedence   Remark drop precedence
  dscp              Remark DSCP (DiffServ CodePoint)
  forwarding-class  Remark forwarding class
  fr-de             Remark fr-de
  green             Specify type of remark for green packets
  ip-precedence     Remark IP precedence
  local-precedence  Remark local precedence
  mpls-exp          Remark MPLS EXP
  qos-local-id      Specify QoS local ID feature
  red               Specify type of remark for red packets
  yellow            Specify type of remark for yellow packets

[5800-behavior-cliente-x]remark red ?
  atm-clp           Remark ATM CLP
  dot1p             Remark IEEE 802.1p COS
  dscp              Remark DSCP (DiffServ CodePoint)
  fr-de             Remark fr-de
  ip-precedence     Remark IP precedence
  local-precedence  Remark local precedence
  mpls-exp          Remark MPLS EXP

Com a coleta SNMP habilitada no Switch é possível contabilizar os bytes tráfegados em um servidor de coleta para venda de serviços on-demand, como internet por exemplo.

Obs: Para aqueles que estão acostumados com equipamentos Cisco, os dispositivos poderão trabalhar o modelo CIR/PIR da seguinte forma:
 – Menor ou igual ao CIR é chamado de “conform”
 – Acima do CIR e Menor ou igual ao PIR é chamado de “exceed”
 – Acima do PIR “violate”

Até a proxima! 😉

Referências:
QoS-Enabled Networks: Tools and Foudations – Miguel Barreiros e Peter Lundqvist – John Wiley & Sons

Cisco ONT – Offical Certification Guide –Amir Ranjbar – CiscoPress

Switches HPN – QoS: Marcação, Filas “Local Precedence” e Tabela “Mapping Table”

Os Switches HPN possuem 8 filas (0 a 7) para encaminhamento de pacotes em uma interface, para assim,  serem trabalhadas em diferentes modelos de QoS, permitindo configurar uma preferência a determinadas filas de saída em caso de congestionamento na interface.

O encaminhamento de pacotes para as filas de saída é baseado na marcação de pacotes,quadros e labels, sendo efetuado na entrada dos dados (no Switch) ou já marcados por qualquer Aplicação ou Telefone IP.

Para confiar na macação já efetuada em outro dispositivo ou aplicação digite na interface qos trust [ auto | dot1p | dscp | exp ]

[SW1-Ethernet1/0/1]qos trust ?
  auto   Trust auto
  dot1p  Trust 802.1p Precedence
  dscp   Trust DSCP
  exp    Trust EXP

Caso pretenda marcar os pacotes de entrada de uma interface baseado por protocolo/aplicação (HTTP, FTP, SAP, etc) siga os seguintes passos:

  1. selecione o tráfego com uma ACL (match),
  2. vincule  a ACL no Classifier
  3.  crie o Behavior com a marcação
  4.  vincule o Classifier com o Behavior dentro de uma policy
  5.  Atribua a policy a uma ou mais interfaces de entrada do tráfego ou VLANs.

No exemplo abaixo, mostramos a marcação do trafego HTTP com o valor DSCP 24 e o trafego de Voz com o DSCP 46. Depois, aplicamos a policy na interface de entrada do trafego no Switch.

 

# Criando as ACL para match no tráfego
!
acl number 3001 name MATCH_WWW
 rule permit tcp destination-port eq www
rule deny ip
! Selecionando o tráfego HTTP porta 80 como destino
!
acl number 3002 name MATCH_VOZ
rule permit ip source 10.248.0.0 0.0.255.255
rule deny ip
! Selecionando  a rede de Telefonia IP
!
# Classificando o tráfego baseado nas ACL’s
!
traffic classifier MATCH_HTTP 
 if-match acl  3001
! Classificação do tráfego da ACL  MATCH_WWW
!
traffic classifier MATCH_VOIP 
if-match acl  3002
! Classificação do tráfego da ACL MATCH_VOZ
!
#  Criando os Behavior’s para futura marcação
!
traffic behavior HTTP_MARK_CS3
remark  dscp  24
! Criando o behavior para a marcação com o dscp 24 (CS3)
!
traffic behavior VOIP_MARK_EF
remark  dscp  46
! Criando o behavior para a marcação com o dscp 46 (EF)
!
# Criando a policy para o vinculo da classificação (classifier)
! com o comportamento (behavior)
!
qos policy QOS_MARK_ONLY
classifier MATCH_HTTP  behavior HTTP_MARK_CS3
classifier MATCH_VOIP  behavior VOIP_MARK_EF
!
# Vinculando a policy para a Interface  de entrada do tráfego
interface Ethernet1/0/1
 port link-mode bridge
 qos apply policy QOS_MARK_ONLY inbound
!

Local Precedence e Mapping Table

Com os dados já marcados (pelo Switch, ou não) é possível tratar o encaminhamento de pacotes com diversas técnicas de enfileiramento como Priority Queue, Weight Round –Robin, Weight Fair Queue, etc. Há também a possíbilidade de configurar o descarte de pacotes por amostra ou prioridade para descarte (drop) para evitar o congestionamento de uma interface.

A tabela “Mapping Table” nos Switches 3Com/H3C/HPN com o Sistema Operacional Comware 5 permite a visualização de qual fila (do total de 8 filas do Switch) o Switch encaminhará o pacote marcado. A tabela também demonstra qual será o mapeamento  em caso de troca de marcação de um valor para outro, por exemplo, Cos para DSCP.

Já a fila local do Switch para onde serão encaminhados os pacotes marcados é chamada de “Local Precedence”.

Para visualizar o mapeamento digite display qos map-table

<4800G>display qos map-table
! Comando digitado em um Switch 3Com 4800G
MAP-TABLE NAME: dot1p-lp   TYPE: pre-define
IMPORT  :  EXPORT
0    :    2
1    :    0
2    :    1
3    :    3
4    :    4
5    :    5
6    :    6
7    :    7
< saída omitida>

Caso seja necessário a troca da fila de saída para um determinado tráfego marcado é possível trocar via comando qos map table. No exemplo abaixo é vizualizamos que a marcação DSCP 24 está na fila  local-precedence 3 do Switch, então faremos na seguida o mapeamento local no Switch para que a marcação citada faça parte da fila 2.

[Switch]display qos map-table | begin dscp-lp

MAP-TABLE NAME: dscp-lp   TYPE: pre-define
IMPORT  :  EXPORT
0    :    0
1    :    0
2    :    0
3    :    0
4    :    0
5    :    0
6    :    0
7    :    0
8    :    1
9    :    1
10    :    1
11    :    1
12    :    1
13    :    1
14    :    1
15    :    1
16    :    2
17    :    2
18    :    2
19    :    2
20    :    2
21    :    2
22    :    2
23    :    2
24    :    3
<saida omitida>

# Configurando a mudança de fila para o valor DSCP 24
#
qos map-table dscp-lp
import 24 export 2
#

Agora você pode me perguntar: “-  Ah, mas após  a marcação e também a alteração da fila local do Switch, como podemos usar isso na prática?”

Simples, podemos usar qualquer algoritimo de enfileiramento  para determinar as prioridades ou garantia de banda. No exemplo abaixo, faremos a garantia de banda de 10Mb para a fila 2 em caso de congestionamento na interface usando o algoritmo WFQ  😉

interface Ethernet1/0/1
 description INTERFACE_OUTBOUND_INTERNET
 qos wfq 
 qos bandwidth queue 2 min 10240
 qos bandwidth queue 5 min 4096
#

O tráfego marcado com EF (DSCP 46) já está mapeado por padrão pelo Switch na fila 5 e terá a garantia de 4Mb de banda. O tráfego não marcado ( geralmente mapeado para a fila zero) utilizará o restante da banda, mas não terá a garantia de reserva.

Apesar de ser apenas um exemplo ilustrativo, outros modelos de enfileiramento poderão ser usados como SP (LLQ) para tráfego de Voz, etc.

Obs: em diversos cenários a marcação poderá ser feito no Switch e o enfileiramento no Roteador, tudo dependerá dos seus equipamentos e a maneira como você deseja aplicar a qualidade de serviço na sua rede.

Até logo!

Switches HPN 5800 – QoS: Configurando hierarchical CAR

A configuração de hierarchical CAR permite agregar inúmeras políticas de “limitação de banda” e compartilhar sobre uma única “grande” banda.

Dependendo do modo de configuração, a limitação de banda dos perfis (traffic classifier + traffic behavior) de “QoS” flutuará até atingir o limite do hierarchical CAR.

Imaginando que no cenário abaixo um Cliente quer limitar a banda de HTTP em 128Kbps e o “restante do tráfego” em 64Kbps. Como a banda contratada foi de 256Kbps, o trafego HTTP poderá usar 192Kbps caso o “restante do tráfego” esteja em 64kbps; ou o “restante do tráfego” poderá utilizar 128Kbps caso o HTTP não passe de 128Kbps.

QoS Hierarchical CAR
Configuração

vlan 3
#
qos car CLIENTE-A hierarchy cir 256
! Configurando o hierarchy CAR como 256kbps
#
acl number 3001 name MATCH_WWW
 rule 0 permit tcp destination-port eq www
! Selecionando o tráfego HTTP como destino
#
traffic classifier MATCH_HTTP operator and
 if-match acl name MATCH_WWW
! Classificação do tráfego da ACL  MATCH_WWW
!
traffic classifier MATCH_ANY operator and
if-match any
! Classificação para qualquer tipo de tráfego
#
traffic behavior 128kbps-BW
car cir 128 hierarchy-car CLIENTE-A mode or
! Comportamento para limitar a banda em 128Kbps vinculado ao hierarchy-car
traffic behavior 64kbps-BW
car cir 64 hierarchy-car CLIENTE-A mode or
! Comportamento para limitar a banda em 64Kbps vinculado ao hierarchy-car
#
qos policy BW-CLIENTE-A
classifier MATCH_WWW behavior 128kbps-BW
classifier MATCH_ANY behavior 64kbps-BW
! Criando Policy para vincular os classifier + behavior
#
interface GigabitEthernet1/0/15
port link-mode bridge
port access vlan 3
qos apply policy BW-CLIENTE-A inbound
qos apply policy BW-CLIENTE-A outbound
! Aplicando a Policy à interface no sentido de entrada e saída

Para a verificação da banda e scripts utilizados use os comandos display  qos car name [nome do hierchical car] ou display qos policy interface [nome da interface] [ inbound | outbound ]

Modos AND e OR

Por padrão, o hierarchical CAR funciona no modo OR no qual um fluxo pode passar o limite aplicado a ele desde que não ultrapasse o limite do hierarchical CAR. Como, por exemplo, o cenário dado nesse post.

Já o modo AND o fluxo não pode passar o limite aplicado e a soma dos 2 não pode passar o limite total do hierarchical CAR. Por exemplo, 2 fluxos configurados com 128Kbps e o hierarchical CAR configurado com 192kbps. Cada fluxo individualmente não poderá passar da banda total contratada (192Kbps) e caso haja banda disponível e o total de cada fluxo será de 128Kbps (se houver banda disponível).

Até logo! 😉

 

 

Resumo do Protocolo LLDP

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. Ele opera na camada de enlace do modelo OSI (camada 2)  permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinâmicamente por equipamentos diretamente conectados.

O mais bacana do Link Layer Discovery Protocol (LLDP)  é a integração entre equipamentos de diversos fabricantes; e para aqueles que já estudaram o material do CCNA da Cisco, a feature é identica ao Cisco Discover Protocol (CDP) – o protocolo proprietário da Cisco para descoberta de vizinhos.

A tirinha abaixo adaptada do site http://vincentbernat.github.com/lldpd/index.html  demonstra bem a utilização do LLDP (ou como ajudaria no caso abaixo.. rs )  O site possui instruções de instalação do protocolo para diversas plataformas.

LLDP tirinha

Conceitos Básicos

Para redes Ethernet, o LLDP é encaminhado dentro do quadro Ethernet da seguinte maneira:

LLDP Packet

A mensagem encaminhada também é chamada de LLDPDU (Link Layer Discover Protocol Data Unit)

Endereço MAC de destino (Destination MAC address)
O endereço MAC de destino de um LLDPDU pode ser anunciado nos endereços Multicast  0180-C200-000E , 0180-C200-0003 ou 0180-C200-0000.

Endereço MAC de  origem (Source MAC address)
O endereço MAC de origem é o da porta que encaminha o LLDPDU, se a interface não tiver endereço MAC, será encaminhado o endereço reservado do Switch/Roteador

Type
O Ethernet type usado para o LLDP é o 0x88CC for LLDP.

Data
LLDP data unit (LLDPDU)

FCS
Frame check sequence é um valor de CRC de 32-bit CRC usado para determinar a validade do recebimento do quadro  Ethernet.

Os LLDPDUs

O LLDP usa os LLPDU’s para troca de informações. Dentro do LLDPDU há uma sequencia de campos TLV ( type [tipo], length [comprimento] e value [valor])

LLDPDU encapsulation format

Um LLPDU pode carregar até 28 tipos de TLVs. Os itens obrigatóriso devem carregar:

  • TLV de identificação do Chassis
  • TLV de identificação da Porta
  • TTL TLV
  • TLV do fim do LLPDU
  • Outros campos são opcionais

A demonstração feita nos dá uma boa visão das informações carregadas pelo protocolo:

LLDPDU encapsulation format 2

A saída do comando display lldp  neighbor-information brief  em um Switch HPN demonstra o estudo:

<Switch>display lldp  neighbor-information brief
LLDP neighbor-information of port 469[GigabitEthernet1/9/0/1]:
Neighbor 1:
ChassisID/subtype: 3822-d6b6-4c01/MAC address
PortID/subtype   : GigabitEthernet1/0/48/Interface name
Capabilities     : Bridge,Router

Para os campos Opcionais é possível obter informações como Hostname, descrição do tipo de equipamento, endereço de gerenciamento, informação sobre VLANs, etc.

LLDP-MED

A extensão do LLDP chamada de Media Endpoint Discovery extension (MED) é muito utilizada para Telefonia IP e provê as seguintes informações:

  • Provisionamento de informações de politicas para a rede local agir de forma plug-and-play (como VLAN, Prioridades na marcação de pacotes e quadros para fins de QoS)
  • Identificação do local do dispositivo
  • Funções para PoE
  • etc

Configuração básica do LLDP

[Switch]lldp enable
! Ativando o LLDP globalmente

[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]lldp enable
! Ativando o LLDP na interface

Para ajuste de envio, recebimento ou desativar o LLDP em uma interface, existem as seguintes opções:

[Switch-Ethernet1/0/1]lldp  admin-status ?
disable  The port can neither transmit nor receive LLDP frames
rx       The port can only receive LLDP frames
tx       The port can only transmit LLDP frames
txrx     The port can both transmit and receive LLDP frames

Para  mais informações sobre a compatibilidade entre o LLDP e o CDP, acesse o seguinte post:
http://www.comutadores.com.br/switches-hp-a7500-tabela-de-vizinhos-via-protocolo-cdp/

Obs: Fique sempre atento as informações encaminhadas pelo LLDP em uma rede local, pois o protocolo habilita inumeras informações que tornam a rede “vulnerável”. Certifique-se que o ambiente é controlado e desabilite o LLDP (se possível) após a coleta de informações! 

Para mais informações sobre configuração do LLDP em Switches Cisco, acesse  o seguinte post:
http://www.comutadores.com.br/switches-hpn-12500-utilizando-lldp-ao-inves-do-cdp/

 

Referências

http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/…

http://en.wikipedia.org/wiki/Link_Layer_Discovery_Protocol

http://vincentbernat.github.com/lldpd/index.html

Telefonia IP – Convergência entre o Avaya Aura e Switches HPN.

A Avaya publicou um documento muito bacana para convergência entre o Avaya Aura rodando em uma rede com Switches HPN  modelo A7500 e A5500 (em inglês).

Os testes de compatibilidade que incluem comandos para features como Voice VLAN com QoS, LLDP-MED, PoE, etc.

Segue o link para consulta HP7500_AA62

Caso o link esteja quebrado, avise-nos por favor!

Até mais!

Switches HPN: Configurando espelhamento de VLANs (Traffic Mirroring)

O espelhamento de VLANs é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma VLAN para uma porta do Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de alguma rede como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da vlan 99 do Switch para o Servidor de Análise. A comunicação da VLAN 99 com qualquer host ou servidor da rede não será afetada pois o Switch direcionará apenas a cópia do tráfego!

VLAN Mirroring

Configuração

#
vlan 99
#
traffic classifier TRAFEGO operator and
if-match any
! Criando a política para dar match no tráfego, nesse caso, qualquer tráfego (any)
! ( é possível inclusive vincular uma ACL para filtrar o tráfego)
#
traffic behavior ESPELHAR
mirror-to interface Ethernet1/0/7
!  Criando o behavior para o espelhamento [para a interface Ethernet1/0/7]
#
qos policy ESPELHAMENTO
classifier TRAFEGO behavior ESPELHAR
! Vinculando o tráfego com o comportamento na policy
#
qos vlan-policy ESPELHAMENTO vlan 99 inbound
! Vinculando a policy para a vlan 99
#

No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego.

Obs: No post http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/ demonstramos a configuração para o espelhamento de porta.