Os desafios do Loop Guard em Switches HP, Officeconnect, ArubaOS, CX, Instant On

A interoperabilidade entre switches de diferentes fabricante é um desafio para os administradores de rede. As incorporações da indústria e as novas demandas tecnológicas trazem um desafio extra para aprender a gerenciar diferentes switches do mesmo fabricante. A funcionalidade Loop Guard do spanning-tree possui diferentes nomes entre diferentes sistemas operacionais e exigem uma leitura minuciosa dos guias de configuração dos fabricantes para cada modelo de Switch e seus novos releases.

Nesse vídeo fazemos a comparação do Loop Guard e as pequenas variações de nome para a mesma funcionalidades em Switches do fabricante HP/Aruba:

HP 1910 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02965327
HP 1920 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=c04463799
HP 1920S- Loop Guard https://oss.arubase.club/wp-content/uploads/2019/09/HPE-OfficeConnect-1920S-Configuration-Guide.pdf
ArubaOS – Loop-guard https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998-8156_wb_2926_atmg/content/ch05s08.html
ArubaCX – Loop-guard https://www.arubanetworks.com/techdocs/AOS-CX/10.08/HTML/l2_bridging_4100i-6000-6100-6200/Content/Chp_stp/mstp_cmds/spa-tre-loo-gua.htm
Comware – loop-protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00041113en_us

Switches ArubaOS-CX: Criando seu ambiente de LAB no GNS3, EVE-NG e Virtual Box

Galera, a Aruba criou alguns guias para provisionamento de laboratórios para estudo e
testes do Switch ArubaOX-CX para uso no GNS3, Virtual Box e EVE-NG

Para implementação no GNS3-VM

https://community.arubanetworks.com/HigherLogic/System/DownloadDocumentFile.ashx?DocumentFileKey=31b1a2f7-0fda-4e21-9b44-a7336f28880e

Para implementação no GNS3 com Virtual Box

https://community.arubanetworks.com/HigherLogic/System/DownloadDocumentFile.ashx?DocumentFileKey=511cdab8-1a97-44ba-b707-e6f79fc80312

Para implementação no EVE-NG

https://community.arubanetworks.com/HigherLogic/System/DownloadDocumentFile.ashx?DocumentFileKey=99d1b233-5b7e-434f-b59c-e1e59594977f

Caso queira utilizar os documentos de laboratórios guiados produzidos pela Aruba
(com quase todas as funcionalidades), acesse:

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MessageKey=ee47602d-861e-407a-a269-1cd1f00725e0&CommunityKey=aa40c287-728e-4827-b062-5eff4ed6410b&tab=digestviewer#bmee47602d-861e-407a-a269-1cd1f00725e0

Para baixar os ícones e utilizar no seu ambiente de lab, baixe em:

https://community.arubanetworks.com/community-home/digestviewer/viewthread?GroupId=565&MessageKey=05cecc8f-ebe5-4666-8a8b-b651b6bd84c1&CommunityKey=aa40c287-728e-4827-b062-5eff4ed6410b&tab=digestviewer&ReturnUrl=%2fcommunity-home%2fdigestviewer%3fcommunitykey%3daa40c287-728e-4827-b062-5eff4ed6410b%26tab%3ddigestviewer%26SuccessMsg%3dThank%2byou%2bfor%2bsubmitting%2byour%2bmessage.%2bIt%2bshould%2bbe%2breviewed%2band%2bposted%2bshortly.

Vídeo: Livros de TI que estou lendo em 2022

Compartilho os livros que estou lendo em 2002 referente a Segurança em IoT, Python, Devnet e Hiperconvergencia.

Espero que eu possa ajudar! 😀

VICTOR HAYASHI – SEGURANÇA EM IOT – PODCAST #11

Nesse bate-papo com o Victor Hayashi, um dos escritores do livro Segurança em IoT, falamos sobre segurança em dispositivos de Internet das Coisas, aplicações residenciais, aplicações na indústria, livros, seu trabalho de mestrado, controle de acesso, cursos, arduino, hardwares e mais.

Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.

Switches ArubaOS – Configurando OSPF com autenticação MD5

O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

SwitchA

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.133 255.255.255.252
   ip ospf 10.168.32.133 area backbone
   ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
   exit
vlan 10
   ip address 10.10.10.1 255.255.255.0
   ip ospf 10.10.10.1 area 10

SwitchB

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.134 255.255.255.252
   ip ospf 10.168.32.134 area backbone
   ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
   exit

Verificando o estabelecimento de vizinhança

SwitchA# sh ip ospf neighbor

 OSPF Neighbor Information

                                                         Rxmt         Helper
  Router ID       Pri IP Address      NbIfState State    QLen  Events Status
  --------------- --- --------------- --------- -------- ----- ------ ------
  10.168.32.133   1   10.168.32.134   DR        FULL     0     7      None

Até logo.

Vídeo: Switches ArubaOS-CX – Configurando STP Root-Guard e Loop-Guard no EVE-NG

Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das funcionalidades Root-Guard e Loop-Guard.

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada a prevenção do recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente.

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Em um cenátio atípico, quando uma porta alternativa parar de receber BPDU (mas ainda UP) ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento criando assim um Loop lógico em toda a LAN. Nesse caso a funcionalidade deixará a porta alternativa sem comunicação (como blocking em loop-inconsistent) até voltar a receber BPDU’s do Switch Root

Wireless Aruba – EIRP (Equivalent Isotropically Radiated Power)

O EIRP (Equivalent Isotropically Radiated Power) é a força de sinal de RF mais alta transmitida por uma antena específica e é calculado adicionando a potência do transmissor (em dBm) ao ganho da antena (expresso em antena isotrópica ou decibel referenciado a antena isotrópica [dBi]) e subtraindo quaisquer perdas do cabo (em decibéis):

EIRP = potência Tx (dBm) + ganho da antena (dBi) − perda do cabo e acessórios (dB)

Exemplo: Qual o EIRP de um sistema com rádio de 14 dBm, antena de 8dBi e perda nos cabos e conectores de 1 dB?

Resposta: 14 + 8 – 1 = 21 dBm

A FCC é o órgão americano competente que define as regras e normas técnicas relativas aos vários tipos de equipamentos eletrônicos, incluindo dispositivos de frequência de rádio, equipamento terminal de telecomunicações e equipamentos industriais, científica e médica (ISM).

Tanto as comunicações licenciadas quanto as não licenciadas são reguladas nas seguintes áreas:

  • Frequência;
  • Banda;
  • Potência máxima do Radiador Intencional (IR – Intentional radiator);
  • Valor máximo do EIRP;
  • Uso indoor ou outdoor;
  • Regras para compartilhamento de espectro (spectrum);

 A Anatel regulamenta a potência máxima de um sistema no Brasil. Não importa qual a potência do seu rádio, mas sim qual a potência efetiva sai da antena (rádio + amplificador + ganho da antena – perdas).

Para validar o valor do EIRP de cada AP Aruba em sua rede, digite o comando ‘show ap allowed-max-EIRP’ via CLI no AP ou controller:

Para validar os canais permitidos, digite o comando ‘show ap allowed-channels’ via CLI no AP ou controller:

Um agradecimento especial ao Alexandre Biehl, pela ajuda na coleta de informações.

Até logo.

Referências

HENRY, Jerome; BARTON, Robert; HUCABY, David CCNP Enterprise Wireless Design and Implementation – Cisco Press, 2021.

COLEMAN, David D.; WESTCOTT, David A. CWNA Certified Wireless Network Administrator – 5ª ed. Sybex – 2018 Aruba Certified Design Professional_ Official Certification

https://www.fr.net.br/2016/04/wifi-o-que-e-eirp.html

https://shopdelta.eu/e-i-r-p-effective-isotropic-radiated-power-potencia-isotropica-radiada-equivalente_l7_aid837.html

BRUNO WANDERLEY – TI COM AÇAI / REDES / WIRELESS / TELECOM / SATELITES / CONCURSO PUBLICO – PODCAST #10

Nesse bate-papo com o Bruno Wanderley do TI com Açai, conversamos sobre carreira, redes wireless, redes satélites, estudo para concurso, livros, cursos e mais. A conversa foi sensacional. Vale a pena assistir.