ACL para Gerenciamento Telnet, SSH, SNMP …

A aplicação de ACL para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir quais redes ou hosts de origem terão a permissão para gerenciar o equipamento via Telnet, SSH ou SNMP

Imaginando uma empresa com diversas sub redes,  permitiremos no cenário abaixo o acesso ao Switch apenas da sub rede 172.31.1.0/24 (lembrando que a mascara para listas de acesso [ACL] são no formato de mascara curinga [wildcard mask])

acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny
#
user-interface vty 0 4
acl 2000 inbound
! Vinculando a ACL 2000 ao VTY
#
snmp-agent community read 123abc acl 2000
snmp-agent community write aaa111 acl 2000
! Vinculando a ACL 2000 às comunidades SNMP "123abc" e "aaa111"

Caso a interface de gerenciamento esteja dentro de uma VRF, ou a origem do acesso inicie de uma vpn-instance (VRF), a ACL deverá fazer referência a isso:

[H3C-acl-basic-2000]rule 1 permit source 172.31.1.0 0.0.0.255 vpn-instance ?
STRING<1-31>  VPN-Instance name

Dúvidas? Deixe um comentário…
Até logo!

Switches HPN: Configurando espelhamento de VLANs (Traffic Mirroring)

O espelhamento de VLANs é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma VLAN para uma porta do Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de alguma rede como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da vlan 99 do Switch para o Servidor de Análise. A comunicação da VLAN 99 com qualquer host ou servidor da rede não será afetada pois o Switch direcionará apenas a cópia do tráfego!

VLAN Mirroring

Configuração

#
vlan 99
#
traffic classifier TRAFEGO operator and
if-match any
! Criando a política para dar match no tráfego, nesse caso, qualquer tráfego (any)
! ( é possível inclusive vincular uma ACL para filtrar o tráfego)
#
traffic behavior ESPELHAR
mirror-to interface Ethernet1/0/7
!  Criando o behavior para o espelhamento [para a interface Ethernet1/0/7]
#
qos policy ESPELHAMENTO
classifier TRAFEGO behavior ESPELHAR
! Vinculando o tráfego com o comportamento na policy
#
qos vlan-policy ESPELHAMENTO vlan 99 inbound
! Vinculando a policy para a vlan 99
#

No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego.

Obs: No post http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/ demonstramos a configuração para o espelhamento de porta.

OSPF – Roteador Designado (DR) e Roteador Designado de Backup (BDR)

Para o estabelecimento de uma adjacência no OSPF os Roteadores vizinhos devem se reconhecer para trocarem informações, encaminhando e recebendo mensagens Hello nas Interfaces participantes do OSPF; no endereço de Multicast 224.0.0.5.

Durante estabelecimento da Adjacência, serão trocadas informações dos Roteadores da Rede como a informação da área, prioridade dos Roteadores, etc. Após a sincronizarem as informações, os Roteadores da área terão a mesma visão da Topologia e rodarão o algoritmo SPF para escolha do melhor caminho para chegar ao Destino.

Os Roteadores (já) Adjacentes encaminharão mensagens Hellos ( verificação da disponibilidade), mensagens LSA com as atualizações da rede e mensagens a cada 30 minutos de refresh de cada LSA para certificar que os a tabela OSPF (LSDB) esteja sincronizada.

Durante a falha de um Link, a informação é inundada (flooded) para todos os Roteadores Adjacentes da Área. 

Em ambientes Multiacesso como redes Ethernet, os Roteadores OSPF elegem um Roteador Designado (DR) para formar Adjacência e encaminhar os LSA’s somente para ele. O Roteador DR reencaminha os updates recebidos por um vizinho para os outros Roteadores na mesma LAN.

Há também a eleição de um Roteador Desingnado de Backup (BDR) para assumir em caso de falha do DR.

O método de eleição do DR e BDR é bastante efetivo e confiável para estabelecimento de Adjacências e mensagens trocadas para manutenção do OSPF, economizando assim recursos conforme o crescimento da Topologia.

Atualização DR e BDR

 

Quando ocorre uma mudança na topologia o Roteador/Switch encaminha uma mensagem em Multicast para o endereço 224.0.0.6 que é destinada a todos Roteadores OSPF DR/BDR.

Após o recebimento do Update, o Roteador DR confirma o recebimento (LSAck) e reencaminha a mensagem para os demais roteadores da rede no endereço de Multicast 224.0.0.5; após o recebimento da atualização todos os roteadores deverão confirmar a mensagem ao Roteador Designado (LSAck), tornando o processo confiável.

Se algum Roteador estiver conectado à outras redes, o processo de flood é repetido!

Obs: O BDR não efetua nenhuma operação enquanto o DR estiver ativo!

Como é feita a eleição do DR e BDR? 

Durante o processo de estabelecimento de Adjacência é verificado o campo Priority na troca de mensagens Hello. O Roteador com maior valor é eleito o DR e o Roteador com segundo maior valor é eleito o BDR ( em cada segmento).

O valor default da prioridade de todos os Roteador é 1, no caso de empate, é escolhido o valor do ID do Roteador para desempate. Vence quem tiver o maior valor!

OSPF DR Priority

 

Obs: Se a prioridade for configurada como 0, o dispositivo nunca será um DR ou BDR. Nesse caso ele será classificado com DROther ( não DR e não BDR) 

Configurando
O valor da prioridade deverá ser configurado na Interface VLAN ou física (Ethernet, GigabitEthernet, etc) dos Switches/Roteadores com o processo de OSPF ativo:

interface Vlan-interface1
ip address 192.168.0.26 255.255.255.0
ospf dr-priority 3
!Configurando a Prioridade para eleição do DR/BDR com o valor 3

Porém….

A prioridade do DR e do BDR não é preemptiva, isto é, para manter a estabilidade da topologia se um dispositivo for eleito como DR e BDR, o mesmo não perderá esse direito até ocorrer algum problema no link ou no dispositivo eleito.

Conforme comando display abaixo, o Switch configurado com a prioridade 3 perde a eleição (de tornar-se o DR) para dispositivo com a prioridade 4 ( pelo fato de ser inserido na topologia posteriormente a eleição do DR/BR).

[7500]display ospf peer
OSPF Process 100 with Router ID 192.168.0.5
Neighbor Brief Information

Area: 0.0.0.0
Router ID Address Pri Dead-Time Interface State

192.168.0.13 192.168.0.13 0 38 Vlan1 Full/DROther
192.168.0.14 192.168.0.14 1 31 Vlan1 Full/DROther
192.168.0.20 192.168.0.20 1 34 Vlan1 Full/DROther
192.168.0.21 192.168.0.21 4 30 Vlan1 Full/DR
!Roteador DR com a prioridade 4
192.168.0.26 192.168.0.26 5 31 Vlan1 Full/DROther
! Roteador DROther com a prioridade 5 só será o DR na falha do DR e BDR
192.168.0.33 192.168.0.33 1 32 Vlan1 Full/BDR
! Roteador BDR com a prioridade 1
192.168.0.45 192.168.0.45 1 40 Vlan1 Full/DROther

O Switch com a Prioridade 5, irá tornar-se DR somente após falha no DR e no BDR.

Referencias:

Building Scalable Cisco Internetworks – Diane Teare/Catherine Paquet

Duvidas? Deixe um comentário!

Um grande abraço

Utilizando telefones Cisco em Switches HP (Comware Switches)

Esses dias pesquisando em alguns blogs na Internet tive o prazer de encontrar o blog http://kontrolissues.net e conseguir trocar alguns emails com o Chris  (administrador do site) . Após a aprovação do autor, fiz uma versão em português para o artigo “Cisco Phones on HP Comware Switches”.

O post original pode ser lido em http://kontrolissues.net/2012/10/31/cisco-phones-on-hp-comware-switches/

A tecnologia PoE (Power over Ethernet) permite a transmissão de energia eletrica em um cabo de rede UTP juntamente com os dados – para alimentar câmeras IP, Access Point, telefones IP, etc…

A Cisco foi um dos primeiros fabricantes a incluir o PoE em seus Switches chamando a feature de Inline Power para energização de telefones IP. A versão era um pouco diferente do padrão IEEE 802.3af largamente utilizada pelos Switches de mercado atualmente.

Alguns modelos de telefone do fabricante como o 7940/7960 possuem somente suporte ao padrão Inline Power.

Em Switches HPN como o modelo 5500 é possível a energização dos telefones IP com suporte a feature legada com os seguintes comandos:

[HP_E5500EI]poe legacy enable pse 4
! Configurando globalmente o PoE para a versão legada do protocolo

[HP_E5500EI]Interface giga 1/0/1
[HP_E5500EI-GigabitEthernet1/0/1]poe enable 
! Habilitando o PoE na Interface Giga1/0/1

Configuração da Vlan de Voz

Uma das grandes facilidades de atribuição dinâmica de VLAN para telefones Cisco dava-se pela comunicação entre o Telefone IP Cisco e o Switch Cisco via protocolo CDP atribuindo configurações para a VLAN de voz conforme desejo do administrador da rede. Enquanto outros fabricantes trabalhavam com os options do DHCP e posteriormente com o LLDP e o LLDP-MED devido ao fato do CDP ser exclusivo do fabricante Cisco.

Para a configuração dinâmica dos telefones para a VLAN de voz (voice vlan) em Switches HP com o sistema operacional Comware, há a possibilidade de usarmos o LLDP para atribuição dinâmica de VLAN para os pacotes de Voz ou via o OUI (Object Unique Identifier) do endereço MAC que basicamente identifica a primeira metade do endereço reservado para os fabricantes.

No exemplo abaixo mostraremos a atribuição dinâmica em Telefones Cisco em Switches HP.

“Para aqueles que realmente desejam fazer o “caminho correto”, será necessário executar os comandos “undo” nos endereços MAC cadastrados por padrão nos Switches HPN para a VLAN de Voz e incluir a configuração com as 128 linhas incluídas no final deste post. (Alguém sabe por que a Cisco queimou tantos? Sério? Isso é um monte de OUIs! Tenho certeza de que poderia ter lidado com isso com muito menos!).”

Cenário

Telefone Cisco em Switches HP

Em nosso exemplo o Cisco Call Manager (CCM) está na VLAN 10 conectada no Switch HP 5500. O telefone IP está conectado na Interface GigabitEthernet 1/0/5 e o PC está conectado ao telefone.

O tráfego de voz será tagueado na VLAN 20 e o tráfego do PC será encaminhado sem tag e deverá ser direcionado na VLAN 30 pelo Switch.

!Removendo os endereços mac-oui mapeados por padrão nos Switches.
undo voice vlan mac-address 0001-e300-0000
undo voice vlan mac-address 0003-6b00-0000
undo voice vlan mac-address 0004-0d00-0000
undo voice vlan mac-address 0060-b900-0000
undo voice vlan mac-address 00d0-1e00-0000
undo voice vlan mac-address 00e0-7500-0000
undo voice vlan mac-address 00e0-bb00-0000

! Configurando os endereço mac-oui para resolver os telefones com suporte a LLDP-MED ou CDP  
voice vlan mac-address 0000-0000-0000 mask ff00-0000-0000
voice vlan mac-address 8000-0000-0000 mask ff00-0000-0000
undo voice vlan security enable

! Ative o LLDP globalmente
lldp enable
! Habilitando o LLDP no modo compatível com CDP
lldp compliance cdp

Como você pode ver acima, em vez de ter centenas de endereços MAC cadastrados para VLAN
de Voz ... com toda a OUI Cisco (role até o fim para obter uma lista completa dos diferentes
endereços específicos da Cisco, que eu e meus colegas coletamos ao longo dos anos ), você
pode colocar tudo em uma única instrução que irá permitir que você envie a VLAN de Voz quando 
qualquer telefone Cisco conecta à rede.

! Configuração para a interface

interface GigabitEthernet1/0/5
port link-mode bridge    
port link-type trunk    
port trunk pvid vlan 30
! Configurando a porta para receber o tráfego não tagueado na VLAN 30
undo port trunk permit vlan 
! Removendo a VLAN 1 do Trunk. Não necessário para essa atividade.
port trunk permit vlan 20 30    
! Permite a porta carregar o tráfego de dados e Voz separado em cada VLAN
undo voice vlan mode auto
! Desabilita o modo automatico de VLAN de Voz 
voice vlan 20 enable       
! Anuncia a VLAN 20 como VLAN de Voz via LLDP-MED e CDP nessa porta
broadcast-suppression pps 3000
undo jumboframe enable
apply poe-profile index 1  
lldp compliance admin-status cdp txrx 
! Permite pacotes CDPv2 nessa Interface

O jeito correto vs a realidade

Como a maioria de vocês já sabem, o mundo real é bem diferente da teoria. O método que eu mostrei acima realmente funciona, e remove o fardo de ter de acompanhar os endereços MAC OUIs  exclusivos da Cisco. É o método mais seguro do mundo? Provavelmente não, mas a segurança é sempre uma troca entre o quanto é difícil de implementar e operar e como é importante para proteger o ativo de informação em questão.

A maioria das chamadas de telefone não são tão importantes para ser honesto.

Mas … para aqueles que realmente insistem em fazer o “caminho correto”, eu já incluiu esta lista não exaustiva dos endereço MAC OUIs que a Cisco colocou em seus Telefones IP ao longo dos anos. Isso é algo que eu e meus colegas  temos coletado ao longo dos anos e espero que possa ajudar. Se você conhece novos endereços, por favor adicione nos comentários que atualizaremos a lista.

Se você notar que algo mudou e essa configuração não funcionar, por favor, sinta-se livre para escrever no blog e deixe-me saber.

Lista  de telephones IP  Cisco Mac-address OUIs

voice vlan mac-address 0002-B900-0000

voice vlan mac-address 0003-6B00-0000

voice vlan mac-address 0003-E300-0000

voice vlan mac-address 0005-3200-0000

voice vlan mac-address 0005-9A00-0000

voice vlan mac-address 0005-9B00-0000

voice vlan mac-address 0006-D700-0000

voice vlan mac-address 0007-0E00-0000

voice vlan mac-address 0007-5000-0000

voice vlan mac-address 0008-2100-0000

voice vlan mac-address 000B-5F00-0000

voice vlan mac-address 000B-BE00-0000

voice vlan mac-address 000B-BF00-0000

voice vlan mac-address 000c-ce00-0000

voice vlan mac-address 000D-2900-0000

voice vlan mac-address 000D-6500-0000

voice vlan mac-address 000D-BC00-0000

voice vlan mac-address 000D-ED00-0000

voice vlan mac-address 000E-3800-0000

voice vlan mac-address 000E-8400-0000

voice vlan mac-address 000E-D700-0000

voice vlan mac-address 000F-2300-0000

voice vlan mac-address 000F-3400-0000

voice vlan mac-address 000F-8F00-0000

voice vlan mac-address 0011-2000-0000

voice vlan mac-address 0011-2100-0000

voice vlan mac-address 0011-5C00-0000

voice vlan mac-address 0011-9300-0000

voice vlan mac-address 0011-BB00-0000

voice vlan mac-address 0012-0000-0000

voice vlan mac-address 0012-7F00-0000

voice vlan mac-address 0013-1900-0000

voice vlan mac-address 0013-1A00-0000

voice vlan mac-address 0013-7F00-0000

voice vlan mac-address 0013-8000-0000

voice vlan mac-address 0013-C300-0000

voice vlan mac-address 0013-C400-0000

voice vlan mac-address 0014-1C00-0000

voice vlan mac-address 0014-6900-0000

voice vlan mac-address 0014-6A00-0000

voice vlan mac-address 0014-A900-0000

voice vlan mac-address 0014-F200-0000

voice vlan mac-address 0015-6200-0000

voice vlan mac-address 0015-2B00-0000

voice vlan mac-address 0015-F900-0000

voice vlan mac-address 0015-FA00-0000

voice vlan mac-address 0016-4600-0000

voice vlan mac-address 0016-4700-0000

voice vlan mac-address 0016-C800-0000

voice vlan mac-address 0017-0E00-0000

voice vlan mac-address 0017-5900-0000

voice vlan mac-address 0017-5A00-0000

voice vlan mac-address 0017-9400-0000

voice vlan mac-address 0017-9500-0000

voice vlan mac-address 0017-E000-0000

voice vlan mac-address 0018-1800-0000

voice vlan mac-address 0018-1900-0000

voice vlan mac-address 0018-1D00-0000

voice vlan mac-address 0018-7300-0000

voice vlan mac-address 0018-B900-0000

voice vlan mac-address 0018-BA00-0000

voice vlan mac-address 0019-0600-0000

voice vlan mac-address 0019-2F00-0000

voice vlan mac-address 0019-3000-0000

voice vlan mac-address 0019-AA00-0000

voice vlan mac-address 0019-E700-0000

voice vlan mac-address 0019-E800-0000

voice vlan mac-address 001A-2F00-0000

voice vlan mac-address 001A-6D00-0000

voice vlan mac-address 001A-A100-0000

voice vlan mac-address 001A-A200-0000

voice vlan mac-address 001B-0C00-0000

voice vlan mac-address 001B-2A00-0000

voice vlan mac-address 001B-5300-0000

voice vlan mac-address 001B-5400-0000

voice vlan mac-address 001B-D400-0000

voice vlan mac-address 001B-D500-0000

voice vlan mac-address 001C-5800-0000

voice vlan mac-address 001D-4500-0000

voice vlan mac-address 001D-A200-0000

voice vlan mac-address 001E-1300-0000

voice vlan mac-address 001E-4A00-0000

voice vlan mac-address 001E-7A00-0000

voice vlan mac-address 001E-F700-0000

voice vlan mac-address 001F-6C00-0000

voice vlan mac-address 001F-9E00-0000

voice vlan mac-address 0021-1B00-0000

voice vlan mac-address 0021-5500-0000

voice vlan mac-address 0021-A000-0000

voice vlan mac-address 0022-5500-0000

voice vlan mac-address 0022-9000-0000

voice vlan mac-address 0023-0400-0000

voice vlan mac-address 0023-5E00-0000

voice vlan mac-address 0023-EB00-0000

voice vlan mac-address 0024-9700-0000

voice vlan mac-address 0025-8400-0000

voice vlan mac-address 0026-0B00-0000

voice vlan mac-address 0026-9900-0000

voice vlan mac-address 0026-CB00-0000

voice vlan mac-address 0030-9400-0000

voice vlan mac-address 04C5-A400-0000

voice vlan mac-address 04FE-7F00-0000

voice vlan mac-address 0817-3500-0000

voice vlan mac-address 081F-F300-0000

voice vlan mac-address 108C-CF00-0000

voice vlan mac-address 18EF-6300-0000

voice vlan mac-address 1C17-D300-0000

voice vlan mac-address 2893-FE00-0000

voice vlan mac-address 3037-A600-0000

voice vlan mac-address 5475-D000-0000

voice vlan mac-address 58BC-2700-0000

voice vlan mac-address 6416-8D00-0000

voice vlan mac-address 68BD-AB00-0000

voice vlan mac-address 68EF-BD00-0000

voice vlan mac-address 6C50-4D00-0000

voice vlan mac-address 9CAF-CA00-0000

voice vlan mac-address A40C-C300-0000

voice vlan mac-address A8B1-D400-0000

voice vlan mac-address B414-8900-0000

voice vlan mac-address B4A4-E300-0000

voice vlan mac-address B8BE-BF00-0000

voice vlan mac-address D057-4C00-0000

voice vlan mac-address DC7B-9400-0000

voice vlan mac-address E804-6200-0000

voice vlan mac-address EC44-7600-0000

voice vlan mac-address ECC8-8200-0000

voice vlan mac-address F025-7200-0000

voice vlan mac-address FCFB-FB00-0000

tradução original  http://www.rotadefault.com.br/2012/11/07/utilizando-telefones-cisco-em-switches-hp/

Switches 3Com 4800G – SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).

 

Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.

Configurando o Switch

Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave

%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub
! Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]
public-key local create rsa
! Gerando as chaves  no Switch
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub
! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão 

#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#

! Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH

Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Script enviado por Douglas Jefferson.

Sites de referência:

http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/

http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/

Dúvidas? Deixem comentários…

Minha rede está lenta, e agora?

Publicado originalmente em 2 DE SETEMBRO DE 2010

Minha Rede está lenta, e agora? Nos últimos dias recebi algumas mensagens referentes a problemas de lentidão na rede e como solucioná-los.

Existem diversos fatores que podem influenciar a lentidão na rede e é necessário efetuar as seguintes perguntas: O que está lento? A LAN, a WAN, algum serviço especifico?

Após a identificação de alguns itens importantes para resolução do problema, baseado na resposta, verificamos alguns pontos abaixo:

Verificando o Speed e Duplex

Geralmente para problemas na Rede Local, sugiro sempre verificarmos o Speed e Duplex negociados na conexão entre Switches-Switches, Roteadores ou Servidores.

Problemas de Duplex são muito comuns e podem causar problemas em segmentos com portas que negociam em Half-Duplex enquanto o outro lado está em Full-Duplex.

http://www.comutadores.com.br/como-funciona-a-auto-negociacao/

SNMP

O gerenciamento da rede por SNMP é fundamental para detectamos o comportamento dos dispositivos. Cada equipamento Gerenciável possui uma base de dados chamada MIB onde é registrado diversas informações do equipamento como consumo de CPU, memória , estatística de banda das interfaces e etc.

A posição dentro da MIB para coleta de algumas dessas informações é chamado de OID.

A utilização do SNMP é bem difundida e existem diversos programas grátis como o Cacti para coleta de informações e construção de estatísticas da rede.

Para coletarmos informações utilizando o protocolo SNMP nos dispositivos, será necessário cadastrarmos uma Comunidade no equipamento ( funciona como uma senha) e configurar o endereço IP e Comunidade no Servidor para coleta.

O comando nos Switches 3Com é:

snmp-agent community read diego
! Cadastrando a community nome diego com permissão de leitura

Syslog

O Syslog também é um padrão de mercado muito utilizado para verificação de mensagens de Log registrada pelos equipamentos.

A utilização é importante para verificação de problemas baseada em determinado horário. Por exemplo, digamos que determinado problema iniciou-se as 21h há 2 dias atrás e você não estava na empresa para verificar se algo aconteceu no Switch.

O comando display logbuffer poderia ser bastante útil para exibir as informações do período informado desde que a informação não tenha sido sobrescrevida por outros eventos na memória do Switch.

Com a utilização de um Servidor para coleta de Syslog, a informação ficaria salva e nesse caso, poderíamos checar se o Switch “logou” algo estranho no período, como uma mensagem de Up/Down em uma porta de servidor,  comandos efetuado por determinado usuário no Switch ou convergência inesperada do Spanning-Tree.

O comando nos Switches 3Com para utilizar o Syslog é:

info-center loghost 172.31.7.2
! configurando o Switch para encaminhar os Logs para o Servidor de Syslog 

Mirroring ( Espelhamento de Porta)

O Espelhamento de porta é uma técnica útil para descobrirmos tráfegos indesejados na rede . A técnica permite que o Switch faça uma cópia do tráfego de uma interface para outra interface permitindo a analise de tráfego.

Na porta que recebermos a cópia do tráfego poderíamos subir um servidor com Wireshark , TCPDump ou NTOP para analise do que está ocorrendo na rede, como por exemplo, protocolos indesejáveis, máquinas utilizando o recurso da empresa com serviços desnecessários, maquinas zumbis, vírus, serviços ativos por engano, etc.

Há um tópico bacana no blog instruindo sobre a configuração do espelhamento de porta nos Switches 3Com:

http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/

IDS

Uma solução mais sofisticada para analise e comportamento de tráfego da rede pode ser obtida através de um IDS ( como o Snort por exemplo) . O IDS é um conceito de software/dispositivo de rede que permite a identificação de tráfego maliciosos ou que viole as políticas de uma rede local com a apresentação de relatórios sobre determinados eventos.

Netflow e Sflow
O Netflow (equipamentos Cisco) e o Sflow(RFC 3176) são protocolos que permitem que as estatísticas de tráfego de rede sejam encaminhadas em amostras (formatadas) para um servidor que possa ler as informações. Esse tipo de formato possui uma vantagem ao espelhamento de porta por não encaminhar toda a mensagem bruta para o servidor. O protocolo é exibe informações referente a protocolos de rede.

Segue abaixo a configuração do Sflow nos Switches 4800G:

sflow agent ip 192.168.1.1
! IP do Switch para encaminhar a origem da mensagem Sflow
sflow collector ip 192.168.1.100
! IP do Switch para encaminhar para o destino a mensagem Sflow
sflow interval 30
! Período de intervalo de coleta em segundos
interface GigabitEthernet 1/0/1
sflow enable inbound 
sflow enable outbound 
sflow sampling-rate 100000
! Habilitando a coleta de Sflow na interface Giga1/0/1 no sentido ! de entrada, saída e número de amostras de pacotes

Topologia

A verificação da Topologia é necessária para analisarmos se há pontos de gargalos na rede gerados por erros na topologia, Hubs, equipamentos com baixa capacidade de throughput ou um numero excessivo de hosts em uma VLAN ( as melhores práticas sugerem uma sub-rede por VLAN)

PING e Tracert

Os comandos Tracert são bastante conhecidos e muito úteis para verificação do tempo de resposta.

Para os casos que a conexão entre Matriz e Filial apresentam problemas , sugiro a utilização do MTR ou WinMTR. O Software gera inúmeros traceroutes que ajudam a identificar pontos na nuvem da operadora que causam maior delay.

As dicas informadas são de ferramentas simples e que auxiliam no diagnostico dos problemas de rede.

Se o problema persistir, tente atuar em diversas frentes de forma racional e solicite uma segunda opnião. Se o caso agravar, escalone o caso ou solicite ajuda de um especialista.

Obs: A utilização da foto do Rubinho foi colocada apenas para descontrair o tópico. Possuímos grande admiração por sua  persistência, perseverança e motivação….! 🙂  

Se você possuir alguma outra dica ou sugestão, compartilhe, deixe um comentário!

Sucesso a todos!

Switches 3Com 7900 – Aplicando ACLs em VLANs

Para configurarmos as listas de acesso (ACL) e aplicarmos a uma interface física ou VLAN no Switch 7900 é necessário o vínculo a uma politica de QoS, aplicando a ACL indiretamente à Interface ou VLAN.

No script abaixo iremos negar a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24.

Configuração

vlan 192
vlan 172
#
interface Vlan-interface192

ip address 192.168.1.1 255.255.255.0
#
interface Vlan-interface172
ip address 172.31.1.1 255.255.255.0
#
acl number 3001
!criando a ACL avançada 3001
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 172.31.1.0 0.0.0.255
! regra 0 irá negar a origem 192.168.1.0/24 (é obrigatório a utilização de máscara curinga) de comunicar com a rede 172.31.1.0/24. Nesse caso poderíamos ter mais de uma regra!!
quit
traffic classifier rede_192 operator and
! Criando a classificação de tráfego com o nome rede_192
if-match acl 3001
! Efetuando match na ACL 3001
quit
#
traffic behavior rede_172
! Criando o comportamento com o nome rede_172

filter deny
! Criando o filtro negar (deny)
quit
#
qos policy proibe_rede_192_172

!Criando a policy com nome proibe_rede_192_172

classifier rede_192 behavior rede_172
! vinculo do classifier rede_192(ACL) com o behavior rede_172 (deny)
quit
qos vlan-policy proibe_192_172 vlan 192 inbound
! aplicando a politica de QoS na VLAN 192, proibindo a rede 192.168.1.0/24 de comunicar-se com a rede 172.31.1.0/24 no sentido de entrada do Switch

Para aplicarmos a sintaxe a uma porta física (GigabitEthernet) a sintaxe seria:

interface GigabitEthernet 2/0/9
qos apply policy proibe_192_172 inbound

A utilização do script acima para filtro de pacotes negará todas as regras que forem explicitamente escritas, nesse caso permitirá a comunicação da rede 192.168.1.0/24 com qualquer outra rede que não tenha referência nas linhas da ACL 3001 (não importando o permit ou deny da ACL).

Até logo 🙂

 

 

Práticas comuns de “Hardening” para equipamentos com Comware

Dias atrás pesquisando na Internet sobre dicas de Hardening para Switches e Roteadores que utilizam o Comware (3Com/ HP/ H3C ) encontrei um documento oficial do fabricante chamado de “Common practices for hardening HP Comware based devices” no endereço Clique aqui

O documento é interessante e vale a pena dar uma lida!  😉

 

 

Switches 3Com 5500 – SSH, gerando as chaves pelo Switch

Publicado originalmente em 8 DE SETEMBRO DE 2010

O serviço de SSH permite realizar o acesso remoto ao Switch de forma criptografada.. O Script abaixo demonstra como gerarmos as chaves pública e privada no Switch e autenticarmos o usuário!

public-key local create rsa
! Gerando as chaves  no Switch
#
local-user diego
! Criando o usuário diego
password cipher senha123
! Configurando a senha para o usuário diego [ o comando cipher deixará a senha cifrada no arquivo de configuração]
service-type ssh
! Configurando somente o acesso SSH para o usuário diego
level 3
! Configurando o usuário com permissão de administrador [ o nível 3 é o maior]
#
ssh authentication-type default password

! Configurando o SSH para autenticar utilizando a base de usuários local
#
user-interface vty 0 4
authentication-mode scheme
!Permitindo a consulta do usuário da base de dados local na falta de configuração de um Servidor RADIUS para autenticação

Após estabelecida a configuração, utilize algum software para efetuar acesso ao Switch, como por exemplo o Putty.

Durante o acesso SSH, aceite a chave publica encaminhada pelo Switch.

Digite o usuário e senha cadastrados no Switch e efetua as configurações de sua preferência….

Dúvidas? Deixe um comentário…..