Os desafios do Loop Guard em Switches HP, Officeconnect, ArubaOS, CX, Instant On

A interoperabilidade entre switches de diferentes fabricante é um desafio para os administradores de rede. As incorporações da indústria e as novas demandas tecnológicas trazem um desafio extra para aprender a gerenciar diferentes switches do mesmo fabricante. A funcionalidade Loop Guard do spanning-tree possui diferentes nomes entre diferentes sistemas operacionais e exigem uma leitura minuciosa dos guias de configuração dos fabricantes para cada modelo de Switch e seus novos releases.

Nesse vídeo fazemos a comparação do Loop Guard e as pequenas variações de nome para a mesma funcionalidades em Switches do fabricante HP/Aruba:

HP 1910 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02965327
HP 1920 – Loop Protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=c04463799
HP 1920S- Loop Guard https://oss.arubase.club/wp-content/uploads/2019/09/HPE-OfficeConnect-1920S-Configuration-Guide.pdf
ArubaOS – Loop-guard https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998-8156_wb_2926_atmg/content/ch05s08.html
ArubaCX – Loop-guard https://www.arubanetworks.com/techdocs/AOS-CX/10.08/HTML/l2_bridging_4100i-6000-6100-6200/Content/Chp_stp/mstp_cmds/spa-tre-loo-gua.htm
Comware – loop-protection https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00041113en_us

Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.

Switches ArubaOS – Configurando OSPF com autenticação MD5

O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

SwitchA

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.133 255.255.255.252
   ip ospf 10.168.32.133 area backbone
   ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
   exit
vlan 10
   ip address 10.10.10.1 255.255.255.0
   ip ospf 10.10.10.1 area 10

SwitchB

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.134 255.255.255.252
   ip ospf 10.168.32.134 area backbone
   ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
   exit

Verificando o estabelecimento de vizinhança

SwitchA# sh ip ospf neighbor

 OSPF Neighbor Information

                                                         Rxmt         Helper
  Router ID       Pri IP Address      NbIfState State    QLen  Events Status
  --------------- --- --------------- --------- -------- ----- ------ ------
  10.168.32.133   1   10.168.32.134   DR        FULL     0     7      None

Até logo.

Switches ArubaOS – Comandos úteis para inventário

É recomendado que a equipe responsável pela administração dos switches ArubaOS mantenha um inventário atualizado dos ativos, os comandos abaixo podem auxiliar no levantamento para essas informações:

Hostname:

Switchl# show running-configuration  | hostname
hostname "Switch1"

Endereço IP:

Switch1# show ip

 Internet (IP) Service

  IP Routing : Enabled


  Default TTL     : 64
  Arp Age         : 20
  Domain Suffix   :
  DNS server      :

                       |                                            Proxy ARP
  VLAN                 | IP Config  IP Address      Subnet Mask     Std  Local
  -------------------- + ---------- --------------- --------------- ----------
  default              | DHCP/Bootp
  GERENCIAMENTO        | Disabled
  vlan31               | Disabled
  vlan32               | Manual     10.1.2.134   255.255.255.0    No    No
  VLAN34               | Disabled
  VLAN100              | Disabled
  VLAN101              | Disabled
  VLAN102              | Disabled
  VoiceVLAN            | Disabled



                               Loopback Interface

  Loopback     | IP Config    IP Address      Subnet Mask
  ------------ + ------------ --------------- ---------------
  lo7          | Manual       10.1.7.7         255.255.255.255

Versão do SO:

Switch1# show version
Image stamp:
 /ws/swbuildm/rel_portland_qaoff/code/build/btm(swbuildm_rel_portland_qaoff_rel_
portland)
                Aug 24 2015 12:38:43
                K.15.17.0008
                599
Boot Image:     Primary

Boot ROM Version:    K.15.30

Modelo de Hardware:

Switch1# show modules

 Status and Counters - Module Information

  Chassis: 5406zl J8697A!        Serial Number:   SG048SU123
                              Allow V1 Modules:   Yes

  Management Module: J8726A      Serial Number:  ID044AS0RT   Core Dump: YES

                                                                      Core  Mod
  Slot Module Description                     Serial Number  Status   Dump  Ver
  ---- -------------------------------------- -------------- -------- ----- ---
  A    HP J8702A 24p Gig-T zl Module          SG047ATAAA     Up       NO    1

Transceiver:

Switch1# show tech transceivers

Transceiver Technical Information:

 Port # | Type   | Prod # | Serial #   | Part #
--------+-----------+------------+------------------+----------
A21     | 1000SX | J4858C | 3CA404JCA | 1990-3662

Localização física (Site e Rack), configurados previamente na config SNMP:

Switch1# show  system
 Status and Counters - General System Information
  System Name        : HP-5406zl
  System Contact     : IT TEAM
  System Location    : IT OPS Network - Saquarema - RACK A1

Switches ArubaOS – BPDU Protection

O BPDU Protection é um recurso de segurança projetado para proteger a topologia do STP impedindo que pacotes BPDU não esperados/planejados entrem no domínio STP.

Em uma implementação típica, a proteção BPDU seria aplicada a portas conectadas a dispositivos de usuário final que não executam STP. Se os pacotes STP BPDU forem recebidos em uma porta protegida, o recurso desabilitará essa porta e alertará o gerenciador de rede por meio de um trap SNMP.

Configuração

  1. Habilitar o BPDU Guard na interface A4 do switch e configurar timeout do BPDU para 60s.
spanning-tree A4 bpdu-protection
spanning-tree bpdu-protection-timeout 60
spanning-tree trap errant-bpdu

Conectar um notebook na porta A4 e verificar que a porta fica em forwarding.

  HP-5406zl(config)# show spanning-tree | i A4
BPDU Protected Ports : A4    
A4     100/1000T  | 20000     128  Forwarding   | c09134-eeec00 2    Yes No 
  • Conectando um switch de acesso no lugar do notebook na porta A4 e validando o bloqueio da porta
  HP-5406zl(config)# show spanning-tree | i A4
  BPDU Protected Ports : A4                                    
   A4     100/1000T  | 20000     128  BpduError   | 2    Yes No 
  • Remover o switch e conectar o notebook na porta A4. A porta deve retornar a forwarding após o timeout do BPDU configurado.

No log temos a indicação da porta desabilitando ao receber um BPDU. Em um segundo momento, após desconectar o switch de acesso e conectar o notebook) a porta voltou após o timeout configurado:

W 11/05/22 18:12:34 00840 stp: port A4 disabled - BPDU received on protected port.
I 11/05/22 18:12:34 00898 ports: BPDU protect(5) has disabled port A4 for 60  seconds
I 11/05/15 18:12:34 00077 ports: port A4 is now off-line
I 11/05/22 18:13:34 00900 ports: port A4 timer (5) has expired
I 11/05/22 18:13:38 00435 ports: port A4 is Blocked by STP
I 11/05/22 18:13:41 00076 ports: port A4 is now on-line

Switches ArubaOS – Protocolo LLDP

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. O LLDP opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinamicamente por equipamentos diretamente conectados.

Com o LLDP podemos fazer o mapeamento de quais equipamentos conectam entre si e em quais portas, como também o aprendizado dinâmico para configurações de voice vlan, etc.

O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes;

Para habilitar o LLDP em Switches ArubaOS digite:

Switch(config)# lldp run

Para desabilitar utilize o comando “no”:

Switch(config)# no lldp run

Para visualizar os dispositivos detectados digite show lldp info remote-service:

Switch# show lldp info remote-device

 LLDP Remote Devices Information

  LocalPort | ChassisId                 PortId PortDescr SysName
  --------- + ------------------------- ------ --------- ----------------------
   23       | SW_LAB_DIEGO.internal... Fas...
   23       | 0c 27 24 0b 82 aa         Fa0/47 FastEt... SW_LAB_DIEGO.inter...
   24       | SW_LAB_ DIEGO.internal... Fas...
   24       | 0c 27 24 0b 82 aa         Fa0/48 FastEt... SW_LAB_DIEGO.inter...

Para visualizar as informações locais:

Switch(config)# show lldp info local-device
 LLDP Local Device Information
  Chassis Type : mac-address
  Chassis Id   : a0 1d 48 37 a2 e7
  System Name  : Switch
  System Description : HP J9773A 2530-24G-PoEP Switch, revision YA.16.10.00...
  System Capabilities Supported: bridge
  System Capabilities Enabled: bridge
  Management Address  :
     Type: ipv4
     Address: 192.168.100.8

Até logo!

Switches ArubaOS – Espelhamento de porta / port-mirroring / SPAN

O espelhamento de porta (SPAN – Switch Port Analyzer) é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma porta para uma outra porta do Switch.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede como por exemplo, identificação da comunicação de uma aplicação, troubleshooting, direcionar o tráfego inúmeras atividades de segurança como IDS etc.

Configurando o espelhamento de porta

Crie um “mirror” e adicione a interface a ser usada como porta para captura de pacotes. Neste caso a porta 9 será usada para receber os pacotes duplicados.

mirror 1 port 9
! Criando o Grupo 1 para o Espelhamento, vinculando a porta 9 para recebimento do tráfego capturado

Selecione a interface  que terá o tráfego duplicado e vincule ao processo do mirror. O tráfego dessas portas será copiado para a porta mirror para captura. Neste exemplo, a interface ou porta Ethernet 1 duplicará seu tráfego para o “mirror 1”.


interface 2
monitor all both mirror 1
! Configurando a Porta de origem (2) que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both para o mirror 1

Conecte um notebook à interface 9 no switch e use o wireshark, TCPDUMP ou o cliente PCAP de sua escolha para analisar o tráfego.

Switches ArubaOS – Informações dos transceivers

Para exibir informações detalhadas de diagnóstico do transceptor de interface, digite o comando show interfaces transceiver [número da porta]:

switch(config)# show interfaces transceiver 21
Transceiver Technical information:
Port Type Product Serial Part
Number Number Number
21 1000SX J4858C xxxxxx 1990-3657

Para mais informações utilize “detail”:

switch(config)# show interfaces transceiver 21 detail
Transceiver in 21
Interface index : 21
Type : 1000SX
Model : J4858C
Connector type : LC
Wavelength : 850nm
Transfer distance : 300m (50um), 150m (62.5um),
Diagnostic support : DOM
Serial number : -------
Status Temperature : 50.111C 
Voltage : 3.1234V 
TX Bias : 6mA TX 
Power : 0.2650mW, -5.768dBm 
RX Power : 0.3892mW, -4.098dBm 

Para visualizar todas as interfaces digite: show interfaces transceiver all ou show tech transceivers