Switches HPN 5800 – QoS: Configurando hierarchical CAR

A configuração de hierarchical CAR permite agregar inúmeras políticas de “limitação de banda” e compartilhar sobre uma única “grande” banda.

Dependendo do modo de configuração, a limitação de banda dos perfis (traffic classifier + traffic behavior) de “QoS” flutuará até atingir o limite do hierarchical CAR.

Imaginando que no cenário abaixo um Cliente quer limitar a banda de HTTP em 128Kbps e o “restante do tráfego” em 64Kbps. Como a banda contratada foi de 256Kbps, o trafego HTTP poderá usar 192Kbps caso o “restante do tráfego” esteja em 64kbps; ou o “restante do tráfego” poderá utilizar 128Kbps caso o HTTP não passe de 128Kbps.

QoS Hierarchical CAR
Configuração

vlan 3
#
qos car CLIENTE-A hierarchy cir 256
! Configurando o hierarchy CAR como 256kbps
#
acl number 3001 name MATCH_WWW
 rule 0 permit tcp destination-port eq www
! Selecionando o tráfego HTTP como destino
#
traffic classifier MATCH_HTTP operator and
 if-match acl name MATCH_WWW
! Classificação do tráfego da ACL  MATCH_WWW
!
traffic classifier MATCH_ANY operator and
if-match any
! Classificação para qualquer tipo de tráfego
#
traffic behavior 128kbps-BW
car cir 128 hierarchy-car CLIENTE-A mode or
! Comportamento para limitar a banda em 128Kbps vinculado ao hierarchy-car
traffic behavior 64kbps-BW
car cir 64 hierarchy-car CLIENTE-A mode or
! Comportamento para limitar a banda em 64Kbps vinculado ao hierarchy-car
#
qos policy BW-CLIENTE-A
classifier MATCH_WWW behavior 128kbps-BW
classifier MATCH_ANY behavior 64kbps-BW
! Criando Policy para vincular os classifier + behavior
#
interface GigabitEthernet1/0/15
port link-mode bridge
port access vlan 3
qos apply policy BW-CLIENTE-A inbound
qos apply policy BW-CLIENTE-A outbound
! Aplicando a Policy à interface no sentido de entrada e saída

Para a verificação da banda e scripts utilizados use os comandos display  qos car name [nome do hierchical car] ou display qos policy interface [nome da interface] [ inbound | outbound ]

Modos AND e OR

Por padrão, o hierarchical CAR funciona no modo OR no qual um fluxo pode passar o limite aplicado a ele desde que não ultrapasse o limite do hierarchical CAR. Como, por exemplo, o cenário dado nesse post.

Já o modo AND o fluxo não pode passar o limite aplicado e a soma dos 2 não pode passar o limite total do hierarchical CAR. Por exemplo, 2 fluxos configurados com 128Kbps e o hierarchical CAR configurado com 192kbps. Cada fluxo individualmente não poderá passar da banda total contratada (192Kbps) e caso haja banda disponível e o total de cada fluxo será de 128Kbps (se houver banda disponível).

Até logo! 😉

 

 

Resumo do Protocolo LLDP

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. Ele opera na camada de enlace do modelo OSI (camada 2)  permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinâmicamente por equipamentos diretamente conectados.

O mais bacana do Link Layer Discovery Protocol (LLDP)  é a integração entre equipamentos de diversos fabricantes; e para aqueles que já estudaram o material do CCNA da Cisco, a feature é identica ao Cisco Discover Protocol (CDP) – o protocolo proprietário da Cisco para descoberta de vizinhos.

A tirinha abaixo adaptada do site http://vincentbernat.github.com/lldpd/index.html  demonstra bem a utilização do LLDP (ou como ajudaria no caso abaixo.. rs )  O site possui instruções de instalação do protocolo para diversas plataformas.

LLDP tirinha

Conceitos Básicos

Para redes Ethernet, o LLDP é encaminhado dentro do quadro Ethernet da seguinte maneira:

LLDP Packet

A mensagem encaminhada também é chamada de LLDPDU (Link Layer Discover Protocol Data Unit)

Endereço MAC de destino (Destination MAC address)
O endereço MAC de destino de um LLDPDU pode ser anunciado nos endereços Multicast  0180-C200-000E , 0180-C200-0003 ou 0180-C200-0000.

Endereço MAC de  origem (Source MAC address)
O endereço MAC de origem é o da porta que encaminha o LLDPDU, se a interface não tiver endereço MAC, será encaminhado o endereço reservado do Switch/Roteador

Type
O Ethernet type usado para o LLDP é o 0x88CC for LLDP.

Data
LLDP data unit (LLDPDU)

FCS
Frame check sequence é um valor de CRC de 32-bit CRC usado para determinar a validade do recebimento do quadro  Ethernet.

Os LLDPDUs

O LLDP usa os LLPDU’s para troca de informações. Dentro do LLDPDU há uma sequencia de campos TLV ( type [tipo], length [comprimento] e value [valor])

LLDPDU encapsulation format

Um LLPDU pode carregar até 28 tipos de TLVs. Os itens obrigatóriso devem carregar:

  • TLV de identificação do Chassis
  • TLV de identificação da Porta
  • TTL TLV
  • TLV do fim do LLPDU
  • Outros campos são opcionais

A demonstração feita nos dá uma boa visão das informações carregadas pelo protocolo:

LLDPDU encapsulation format 2

A saída do comando display lldp  neighbor-information brief  em um Switch HPN demonstra o estudo:

<Switch>display lldp  neighbor-information brief
LLDP neighbor-information of port 469[GigabitEthernet1/9/0/1]:
Neighbor 1:
ChassisID/subtype: 3822-d6b6-4c01/MAC address
PortID/subtype   : GigabitEthernet1/0/48/Interface name
Capabilities     : Bridge,Router

Para os campos Opcionais é possível obter informações como Hostname, descrição do tipo de equipamento, endereço de gerenciamento, informação sobre VLANs, etc.

LLDP-MED

A extensão do LLDP chamada de Media Endpoint Discovery extension (MED) é muito utilizada para Telefonia IP e provê as seguintes informações:

  • Provisionamento de informações de politicas para a rede local agir de forma plug-and-play (como VLAN, Prioridades na marcação de pacotes e quadros para fins de QoS)
  • Identificação do local do dispositivo
  • Funções para PoE
  • etc

Configuração básica do LLDP

[Switch]lldp enable
! Ativando o LLDP globalmente

[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]lldp enable
! Ativando o LLDP na interface

Para ajuste de envio, recebimento ou desativar o LLDP em uma interface, existem as seguintes opções:

[Switch-Ethernet1/0/1]lldp  admin-status ?
disable  The port can neither transmit nor receive LLDP frames
rx       The port can only receive LLDP frames
tx       The port can only transmit LLDP frames
txrx     The port can both transmit and receive LLDP frames

Para  mais informações sobre a compatibilidade entre o LLDP e o CDP, acesse o seguinte post:
http://www.comutadores.com.br/switches-hp-a7500-tabela-de-vizinhos-via-protocolo-cdp/

Obs: Fique sempre atento as informações encaminhadas pelo LLDP em uma rede local, pois o protocolo habilita inumeras informações que tornam a rede “vulnerável”. Certifique-se que o ambiente é controlado e desabilite o LLDP (se possível) após a coleta de informações! 

Para mais informações sobre configuração do LLDP em Switches Cisco, acesse  o seguinte post:
http://www.comutadores.com.br/switches-hpn-12500-utilizando-lldp-ao-inves-do-cdp/

 

Referências

http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/…

http://en.wikipedia.org/wiki/Link_Layer_Discovery_Protocol

http://vincentbernat.github.com/lldpd/index.html

Telefonia IP – Convergência entre o Avaya Aura e Switches HPN.

A Avaya publicou um documento muito bacana para convergência entre o Avaya Aura rodando em uma rede com Switches HPN  modelo A7500 e A5500 (em inglês).

Os testes de compatibilidade que incluem comandos para features como Voice VLAN com QoS, LLDP-MED, PoE, etc.

Segue o link para consulta HP7500_AA62

Caso o link esteja quebrado, avise-nos por favor!

Até mais!

ACL para Gerenciamento Telnet, SSH, SNMP …

A aplicação de ACL para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir quais redes ou hosts de origem terão a permissão para gerenciar o equipamento via Telnet, SSH ou SNMP

Imaginando uma empresa com diversas sub redes,  permitiremos no cenário abaixo o acesso ao Switch apenas da sub rede 172.31.1.0/24 (lembrando que a mascara para listas de acesso [ACL] são no formato de mascara curinga [wildcard mask])

acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny
#
user-interface vty 0 4
acl 2000 inbound
! Vinculando a ACL 2000 ao VTY
#
snmp-agent community read 123abc acl 2000
snmp-agent community write aaa111 acl 2000
! Vinculando a ACL 2000 às comunidades SNMP "123abc" e "aaa111"

Caso a interface de gerenciamento esteja dentro de uma VRF, ou a origem do acesso inicie de uma vpn-instance (VRF), a ACL deverá fazer referência a isso:

[H3C-acl-basic-2000]rule 1 permit source 172.31.1.0 0.0.0.255 vpn-instance ?
STRING<1-31>  VPN-Instance name

Dúvidas? Deixe um comentário…
Até logo!

Switches HPN: Configurando espelhamento de VLANs (Traffic Mirroring)

O espelhamento de VLANs é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma VLAN para uma porta do Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento de alguma rede como por exemplo, para identificação de vírus, acessos “estranhos”, etc.

No cenário abaixo efetuaremos a cópia do tráfego da vlan 99 do Switch para o Servidor de Análise. A comunicação da VLAN 99 com qualquer host ou servidor da rede não será afetada pois o Switch direcionará apenas a cópia do tráfego!

VLAN Mirroring

Configuração

#
vlan 99
#
traffic classifier TRAFEGO operator and
if-match any
! Criando a política para dar match no tráfego, nesse caso, qualquer tráfego (any)
! ( é possível inclusive vincular uma ACL para filtrar o tráfego)
#
traffic behavior ESPELHAR
mirror-to interface Ethernet1/0/7
!  Criando o behavior para o espelhamento [para a interface Ethernet1/0/7]
#
qos policy ESPELHAMENTO
classifier TRAFEGO behavior ESPELHAR
! Vinculando o tráfego com o comportamento na policy
#
qos vlan-policy ESPELHAMENTO vlan 99 inbound
! Vinculando a policy para a vlan 99
#

No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego.

Obs: No post http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/ demonstramos a configuração para o espelhamento de porta.

OSPF – Roteador Designado (DR) e Roteador Designado de Backup (BDR)

Para o estabelecimento de uma adjacência no OSPF os Roteadores vizinhos devem se reconhecer para trocarem informações, encaminhando e recebendo mensagens Hello nas Interfaces participantes do OSPF; no endereço de Multicast 224.0.0.5.

Durante estabelecimento da Adjacência, serão trocadas informações dos Roteadores da Rede como a informação da área, prioridade dos Roteadores, etc. Após a sincronizarem as informações, os Roteadores da área terão a mesma visão da Topologia e rodarão o algoritmo SPF para escolha do melhor caminho para chegar ao Destino.

Os Roteadores (já) Adjacentes encaminharão mensagens Hellos ( verificação da disponibilidade), mensagens LSA com as atualizações da rede e mensagens a cada 30 minutos de refresh de cada LSA para certificar que os a tabela OSPF (LSDB) esteja sincronizada.

Durante a falha de um Link, a informação é inundada (flooded) para todos os Roteadores Adjacentes da Área. 

Em ambientes Multiacesso como redes Ethernet, os Roteadores OSPF elegem um Roteador Designado (DR) para formar Adjacência e encaminhar os LSA’s somente para ele. O Roteador DR reencaminha os updates recebidos por um vizinho para os outros Roteadores na mesma LAN.

Há também a eleição de um Roteador Desingnado de Backup (BDR) para assumir em caso de falha do DR.

O método de eleição do DR e BDR é bastante efetivo e confiável para estabelecimento de Adjacências e mensagens trocadas para manutenção do OSPF, economizando assim recursos conforme o crescimento da Topologia.

Atualização DR e BDR

 

Quando ocorre uma mudança na topologia o Roteador/Switch encaminha uma mensagem em Multicast para o endereço 224.0.0.6 que é destinada a todos Roteadores OSPF DR/BDR.

Após o recebimento do Update, o Roteador DR confirma o recebimento (LSAck) e reencaminha a mensagem para os demais roteadores da rede no endereço de Multicast 224.0.0.5; após o recebimento da atualização todos os roteadores deverão confirmar a mensagem ao Roteador Designado (LSAck), tornando o processo confiável.

Se algum Roteador estiver conectado à outras redes, o processo de flood é repetido!

Obs: O BDR não efetua nenhuma operação enquanto o DR estiver ativo!

Como é feita a eleição do DR e BDR? 

Durante o processo de estabelecimento de Adjacência é verificado o campo Priority na troca de mensagens Hello. O Roteador com maior valor é eleito o DR e o Roteador com segundo maior valor é eleito o BDR ( em cada segmento).

O valor default da prioridade de todos os Roteador é 1, no caso de empate, é escolhido o valor do ID do Roteador para desempate. Vence quem tiver o maior valor!

OSPF DR Priority

 

Obs: Se a prioridade for configurada como 0, o dispositivo nunca será um DR ou BDR. Nesse caso ele será classificado com DROther ( não DR e não BDR) 

Configurando
O valor da prioridade deverá ser configurado na Interface VLAN ou física (Ethernet, GigabitEthernet, etc) dos Switches/Roteadores com o processo de OSPF ativo:

interface Vlan-interface1
ip address 192.168.0.26 255.255.255.0
ospf dr-priority 3
!Configurando a Prioridade para eleição do DR/BDR com o valor 3

Porém….

A prioridade do DR e do BDR não é preemptiva, isto é, para manter a estabilidade da topologia se um dispositivo for eleito como DR e BDR, o mesmo não perderá esse direito até ocorrer algum problema no link ou no dispositivo eleito.

Conforme comando display abaixo, o Switch configurado com a prioridade 3 perde a eleição (de tornar-se o DR) para dispositivo com a prioridade 4 ( pelo fato de ser inserido na topologia posteriormente a eleição do DR/BR).

[7500]display ospf peer
OSPF Process 100 with Router ID 192.168.0.5
Neighbor Brief Information

Area: 0.0.0.0
Router ID Address Pri Dead-Time Interface State

192.168.0.13 192.168.0.13 0 38 Vlan1 Full/DROther
192.168.0.14 192.168.0.14 1 31 Vlan1 Full/DROther
192.168.0.20 192.168.0.20 1 34 Vlan1 Full/DROther
192.168.0.21 192.168.0.21 4 30 Vlan1 Full/DR
!Roteador DR com a prioridade 4
192.168.0.26 192.168.0.26 5 31 Vlan1 Full/DROther
! Roteador DROther com a prioridade 5 só será o DR na falha do DR e BDR
192.168.0.33 192.168.0.33 1 32 Vlan1 Full/BDR
! Roteador BDR com a prioridade 1
192.168.0.45 192.168.0.45 1 40 Vlan1 Full/DROther

O Switch com a Prioridade 5, irá tornar-se DR somente após falha no DR e no BDR.

Referencias:

Building Scalable Cisco Internetworks – Diane Teare/Catherine Paquet

Duvidas? Deixe um comentário!

Um grande abraço

Utilizando telefones Cisco em Switches HP (Comware Switches)

Esses dias pesquisando em alguns blogs na Internet tive o prazer de encontrar o blog http://kontrolissues.net e conseguir trocar alguns emails com o Chris  (administrador do site) . Após a aprovação do autor, fiz uma versão em português para o artigo “Cisco Phones on HP Comware Switches”.

O post original pode ser lido em http://kontrolissues.net/2012/10/31/cisco-phones-on-hp-comware-switches/

A tecnologia PoE (Power over Ethernet) permite a transmissão de energia eletrica em um cabo de rede UTP juntamente com os dados – para alimentar câmeras IP, Access Point, telefones IP, etc…

A Cisco foi um dos primeiros fabricantes a incluir o PoE em seus Switches chamando a feature de Inline Power para energização de telefones IP. A versão era um pouco diferente do padrão IEEE 802.3af largamente utilizada pelos Switches de mercado atualmente.

Alguns modelos de telefone do fabricante como o 7940/7960 possuem somente suporte ao padrão Inline Power.

Em Switches HPN como o modelo 5500 é possível a energização dos telefones IP com suporte a feature legada com os seguintes comandos:

[HP_E5500EI]poe legacy enable pse 4
! Configurando globalmente o PoE para a versão legada do protocolo

[HP_E5500EI]Interface giga 1/0/1
[HP_E5500EI-GigabitEthernet1/0/1]poe enable 
! Habilitando o PoE na Interface Giga1/0/1

Configuração da Vlan de Voz

Uma das grandes facilidades de atribuição dinâmica de VLAN para telefones Cisco dava-se pela comunicação entre o Telefone IP Cisco e o Switch Cisco via protocolo CDP atribuindo configurações para a VLAN de voz conforme desejo do administrador da rede. Enquanto outros fabricantes trabalhavam com os options do DHCP e posteriormente com o LLDP e o LLDP-MED devido ao fato do CDP ser exclusivo do fabricante Cisco.

Para a configuração dinâmica dos telefones para a VLAN de voz (voice vlan) em Switches HP com o sistema operacional Comware, há a possibilidade de usarmos o LLDP para atribuição dinâmica de VLAN para os pacotes de Voz ou via o OUI (Object Unique Identifier) do endereço MAC que basicamente identifica a primeira metade do endereço reservado para os fabricantes.

No exemplo abaixo mostraremos a atribuição dinâmica em Telefones Cisco em Switches HP.

“Para aqueles que realmente desejam fazer o “caminho correto”, será necessário executar os comandos “undo” nos endereços MAC cadastrados por padrão nos Switches HPN para a VLAN de Voz e incluir a configuração com as 128 linhas incluídas no final deste post. (Alguém sabe por que a Cisco queimou tantos? Sério? Isso é um monte de OUIs! Tenho certeza de que poderia ter lidado com isso com muito menos!).”

Cenário

Telefone Cisco em Switches HP

Em nosso exemplo o Cisco Call Manager (CCM) está na VLAN 10 conectada no Switch HP 5500. O telefone IP está conectado na Interface GigabitEthernet 1/0/5 e o PC está conectado ao telefone.

O tráfego de voz será tagueado na VLAN 20 e o tráfego do PC será encaminhado sem tag e deverá ser direcionado na VLAN 30 pelo Switch.

!Removendo os endereços mac-oui mapeados por padrão nos Switches.
undo voice vlan mac-address 0001-e300-0000
undo voice vlan mac-address 0003-6b00-0000
undo voice vlan mac-address 0004-0d00-0000
undo voice vlan mac-address 0060-b900-0000
undo voice vlan mac-address 00d0-1e00-0000
undo voice vlan mac-address 00e0-7500-0000
undo voice vlan mac-address 00e0-bb00-0000

! Configurando os endereço mac-oui para resolver os telefones com suporte a LLDP-MED ou CDP  
voice vlan mac-address 0000-0000-0000 mask ff00-0000-0000
voice vlan mac-address 8000-0000-0000 mask ff00-0000-0000
undo voice vlan security enable

! Ative o LLDP globalmente
lldp enable
! Habilitando o LLDP no modo compatível com CDP
lldp compliance cdp

Como você pode ver acima, em vez de ter centenas de endereços MAC cadastrados para VLAN
de Voz ... com toda a OUI Cisco (role até o fim para obter uma lista completa dos diferentes
endereços específicos da Cisco, que eu e meus colegas coletamos ao longo dos anos ), você
pode colocar tudo em uma única instrução que irá permitir que você envie a VLAN de Voz quando 
qualquer telefone Cisco conecta à rede.

! Configuração para a interface

interface GigabitEthernet1/0/5
port link-mode bridge    
port link-type trunk    
port trunk pvid vlan 30
! Configurando a porta para receber o tráfego não tagueado na VLAN 30
undo port trunk permit vlan 
! Removendo a VLAN 1 do Trunk. Não necessário para essa atividade.
port trunk permit vlan 20 30    
! Permite a porta carregar o tráfego de dados e Voz separado em cada VLAN
undo voice vlan mode auto
! Desabilita o modo automatico de VLAN de Voz 
voice vlan 20 enable       
! Anuncia a VLAN 20 como VLAN de Voz via LLDP-MED e CDP nessa porta
broadcast-suppression pps 3000
undo jumboframe enable
apply poe-profile index 1  
lldp compliance admin-status cdp txrx 
! Permite pacotes CDPv2 nessa Interface

O jeito correto vs a realidade

Como a maioria de vocês já sabem, o mundo real é bem diferente da teoria. O método que eu mostrei acima realmente funciona, e remove o fardo de ter de acompanhar os endereços MAC OUIs  exclusivos da Cisco. É o método mais seguro do mundo? Provavelmente não, mas a segurança é sempre uma troca entre o quanto é difícil de implementar e operar e como é importante para proteger o ativo de informação em questão.

A maioria das chamadas de telefone não são tão importantes para ser honesto.

Mas … para aqueles que realmente insistem em fazer o “caminho correto”, eu já incluiu esta lista não exaustiva dos endereço MAC OUIs que a Cisco colocou em seus Telefones IP ao longo dos anos. Isso é algo que eu e meus colegas  temos coletado ao longo dos anos e espero que possa ajudar. Se você conhece novos endereços, por favor adicione nos comentários que atualizaremos a lista.

Se você notar que algo mudou e essa configuração não funcionar, por favor, sinta-se livre para escrever no blog e deixe-me saber.

Lista  de telephones IP  Cisco Mac-address OUIs

voice vlan mac-address 0002-B900-0000

voice vlan mac-address 0003-6B00-0000

voice vlan mac-address 0003-E300-0000

voice vlan mac-address 0005-3200-0000

voice vlan mac-address 0005-9A00-0000

voice vlan mac-address 0005-9B00-0000

voice vlan mac-address 0006-D700-0000

voice vlan mac-address 0007-0E00-0000

voice vlan mac-address 0007-5000-0000

voice vlan mac-address 0008-2100-0000

voice vlan mac-address 000B-5F00-0000

voice vlan mac-address 000B-BE00-0000

voice vlan mac-address 000B-BF00-0000

voice vlan mac-address 000c-ce00-0000

voice vlan mac-address 000D-2900-0000

voice vlan mac-address 000D-6500-0000

voice vlan mac-address 000D-BC00-0000

voice vlan mac-address 000D-ED00-0000

voice vlan mac-address 000E-3800-0000

voice vlan mac-address 000E-8400-0000

voice vlan mac-address 000E-D700-0000

voice vlan mac-address 000F-2300-0000

voice vlan mac-address 000F-3400-0000

voice vlan mac-address 000F-8F00-0000

voice vlan mac-address 0011-2000-0000

voice vlan mac-address 0011-2100-0000

voice vlan mac-address 0011-5C00-0000

voice vlan mac-address 0011-9300-0000

voice vlan mac-address 0011-BB00-0000

voice vlan mac-address 0012-0000-0000

voice vlan mac-address 0012-7F00-0000

voice vlan mac-address 0013-1900-0000

voice vlan mac-address 0013-1A00-0000

voice vlan mac-address 0013-7F00-0000

voice vlan mac-address 0013-8000-0000

voice vlan mac-address 0013-C300-0000

voice vlan mac-address 0013-C400-0000

voice vlan mac-address 0014-1C00-0000

voice vlan mac-address 0014-6900-0000

voice vlan mac-address 0014-6A00-0000

voice vlan mac-address 0014-A900-0000

voice vlan mac-address 0014-F200-0000

voice vlan mac-address 0015-6200-0000

voice vlan mac-address 0015-2B00-0000

voice vlan mac-address 0015-F900-0000

voice vlan mac-address 0015-FA00-0000

voice vlan mac-address 0016-4600-0000

voice vlan mac-address 0016-4700-0000

voice vlan mac-address 0016-C800-0000

voice vlan mac-address 0017-0E00-0000

voice vlan mac-address 0017-5900-0000

voice vlan mac-address 0017-5A00-0000

voice vlan mac-address 0017-9400-0000

voice vlan mac-address 0017-9500-0000

voice vlan mac-address 0017-E000-0000

voice vlan mac-address 0018-1800-0000

voice vlan mac-address 0018-1900-0000

voice vlan mac-address 0018-1D00-0000

voice vlan mac-address 0018-7300-0000

voice vlan mac-address 0018-B900-0000

voice vlan mac-address 0018-BA00-0000

voice vlan mac-address 0019-0600-0000

voice vlan mac-address 0019-2F00-0000

voice vlan mac-address 0019-3000-0000

voice vlan mac-address 0019-AA00-0000

voice vlan mac-address 0019-E700-0000

voice vlan mac-address 0019-E800-0000

voice vlan mac-address 001A-2F00-0000

voice vlan mac-address 001A-6D00-0000

voice vlan mac-address 001A-A100-0000

voice vlan mac-address 001A-A200-0000

voice vlan mac-address 001B-0C00-0000

voice vlan mac-address 001B-2A00-0000

voice vlan mac-address 001B-5300-0000

voice vlan mac-address 001B-5400-0000

voice vlan mac-address 001B-D400-0000

voice vlan mac-address 001B-D500-0000

voice vlan mac-address 001C-5800-0000

voice vlan mac-address 001D-4500-0000

voice vlan mac-address 001D-A200-0000

voice vlan mac-address 001E-1300-0000

voice vlan mac-address 001E-4A00-0000

voice vlan mac-address 001E-7A00-0000

voice vlan mac-address 001E-F700-0000

voice vlan mac-address 001F-6C00-0000

voice vlan mac-address 001F-9E00-0000

voice vlan mac-address 0021-1B00-0000

voice vlan mac-address 0021-5500-0000

voice vlan mac-address 0021-A000-0000

voice vlan mac-address 0022-5500-0000

voice vlan mac-address 0022-9000-0000

voice vlan mac-address 0023-0400-0000

voice vlan mac-address 0023-5E00-0000

voice vlan mac-address 0023-EB00-0000

voice vlan mac-address 0024-9700-0000

voice vlan mac-address 0025-8400-0000

voice vlan mac-address 0026-0B00-0000

voice vlan mac-address 0026-9900-0000

voice vlan mac-address 0026-CB00-0000

voice vlan mac-address 0030-9400-0000

voice vlan mac-address 04C5-A400-0000

voice vlan mac-address 04FE-7F00-0000

voice vlan mac-address 0817-3500-0000

voice vlan mac-address 081F-F300-0000

voice vlan mac-address 108C-CF00-0000

voice vlan mac-address 18EF-6300-0000

voice vlan mac-address 1C17-D300-0000

voice vlan mac-address 2893-FE00-0000

voice vlan mac-address 3037-A600-0000

voice vlan mac-address 5475-D000-0000

voice vlan mac-address 58BC-2700-0000

voice vlan mac-address 6416-8D00-0000

voice vlan mac-address 68BD-AB00-0000

voice vlan mac-address 68EF-BD00-0000

voice vlan mac-address 6C50-4D00-0000

voice vlan mac-address 9CAF-CA00-0000

voice vlan mac-address A40C-C300-0000

voice vlan mac-address A8B1-D400-0000

voice vlan mac-address B414-8900-0000

voice vlan mac-address B4A4-E300-0000

voice vlan mac-address B8BE-BF00-0000

voice vlan mac-address D057-4C00-0000

voice vlan mac-address DC7B-9400-0000

voice vlan mac-address E804-6200-0000

voice vlan mac-address EC44-7600-0000

voice vlan mac-address ECC8-8200-0000

voice vlan mac-address F025-7200-0000

voice vlan mac-address FCFB-FB00-0000

tradução original  http://www.rotadefault.com.br/2012/11/07/utilizando-telefones-cisco-em-switches-hp/

Switches 3Com 4800G – SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).

 

Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.

Configurando o Switch

Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave

%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub
! Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]
public-key local create rsa
! Gerando as chaves  no Switch
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub
! Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão 

#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#

! Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH

Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Script enviado por Douglas Jefferson.

Sites de referência:

http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/

http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/

Dúvidas? Deixem comentários…