Switches ArubaOS – Configurando OSPF com autenticação MD5

O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

SwitchA

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.133 255.255.255.252
   ip ospf 10.168.32.133 area backbone
   ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
   exit
vlan 10
   ip address 10.10.10.1 255.255.255.0
   ip ospf 10.10.10.1 area 10

SwitchB

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.134 255.255.255.252
   ip ospf 10.168.32.134 area backbone
   ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
   exit

Verificando o estabelecimento de vizinhança

SwitchA# sh ip ospf neighbor

 OSPF Neighbor Information

                                                         Rxmt         Helper
  Router ID       Pri IP Address      NbIfState State    QLen  Events Status
  --------------- --- --------------- --------- -------- ----- ------ ------
  10.168.32.133   1   10.168.32.134   DR        FULL     0     7      None

Até logo.

Switches ArubaOS – Comandos úteis para inventário

É recomendado que a equipe responsável pela administração dos switches ArubaOS mantenha um inventário atualizado dos ativos, os comandos abaixo podem auxiliar no levantamento para essas informações:

Hostname:

Switchl# show running-configuration  | hostname
hostname "Switch1"

Endereço IP:

Switch1# show ip

 Internet (IP) Service

  IP Routing : Enabled


  Default TTL     : 64
  Arp Age         : 20
  Domain Suffix   :
  DNS server      :

                       |                                            Proxy ARP
  VLAN                 | IP Config  IP Address      Subnet Mask     Std  Local
  -------------------- + ---------- --------------- --------------- ----------
  default              | DHCP/Bootp
  GERENCIAMENTO        | Disabled
  vlan31               | Disabled
  vlan32               | Manual     10.1.2.134   255.255.255.0    No    No
  VLAN34               | Disabled
  VLAN100              | Disabled
  VLAN101              | Disabled
  VLAN102              | Disabled
  VoiceVLAN            | Disabled



                               Loopback Interface

  Loopback     | IP Config    IP Address      Subnet Mask
  ------------ + ------------ --------------- ---------------
  lo7          | Manual       10.1.7.7         255.255.255.255

Versão do SO:

Switch1# show version
Image stamp:
 /ws/swbuildm/rel_portland_qaoff/code/build/btm(swbuildm_rel_portland_qaoff_rel_
portland)
                Aug 24 2015 12:38:43
                K.15.17.0008
                599
Boot Image:     Primary

Boot ROM Version:    K.15.30

Modelo de Hardware:

Switch1# show modules

 Status and Counters - Module Information

  Chassis: 5406zl J8697A!        Serial Number:   SG048SU123
                              Allow V1 Modules:   Yes

  Management Module: J8726A      Serial Number:  ID044AS0RT   Core Dump: YES

                                                                      Core  Mod
  Slot Module Description                     Serial Number  Status   Dump  Ver
  ---- -------------------------------------- -------------- -------- ----- ---
  A    HP J8702A 24p Gig-T zl Module          SG047ATAAA     Up       NO    1

Transceiver:

Switch1# show tech transceivers

Transceiver Technical Information:

 Port # | Type   | Prod # | Serial #   | Part #
--------+-----------+------------+------------------+----------
A21     | 1000SX | J4858C | 3CA404JCA | 1990-3662

Localização física (Site e Rack), configurados previamente na config SNMP:

Switch1# show  system
 Status and Counters - General System Information
  System Name        : HP-5406zl
  System Contact     : IT TEAM
  System Location    : IT OPS Network - Saquarema - RACK A1

Switches ArubaOS – BPDU Protection

O BPDU Protection é um recurso de segurança projetado para proteger a topologia do STP impedindo que pacotes BPDU não esperados/planejados entrem no domínio STP.

Em uma implementação típica, a proteção BPDU seria aplicada a portas conectadas a dispositivos de usuário final que não executam STP. Se os pacotes STP BPDU forem recebidos em uma porta protegida, o recurso desabilitará essa porta e alertará o gerenciador de rede por meio de um trap SNMP.

Configuração

  1. Habilitar o BPDU Guard na interface A4 do switch e configurar timeout do BPDU para 60s.
spanning-tree A4 bpdu-protection
spanning-tree bpdu-protection-timeout 60
spanning-tree trap errant-bpdu

Conectar um notebook na porta A4 e verificar que a porta fica em forwarding.

  HP-5406zl(config)# show spanning-tree | i A4
BPDU Protected Ports : A4    
A4     100/1000T  | 20000     128  Forwarding   | c09134-eeec00 2    Yes No 
  • Conectando um switch de acesso no lugar do notebook na porta A4 e validando o bloqueio da porta
  HP-5406zl(config)# show spanning-tree | i A4
  BPDU Protected Ports : A4                                    
   A4     100/1000T  | 20000     128  BpduError   | 2    Yes No 
  • Remover o switch e conectar o notebook na porta A4. A porta deve retornar a forwarding após o timeout do BPDU configurado.

No log temos a indicação da porta desabilitando ao receber um BPDU. Em um segundo momento, após desconectar o switch de acesso e conectar o notebook) a porta voltou após o timeout configurado:

W 11/05/22 18:12:34 00840 stp: port A4 disabled - BPDU received on protected port.
I 11/05/22 18:12:34 00898 ports: BPDU protect(5) has disabled port A4 for 60  seconds
I 11/05/15 18:12:34 00077 ports: port A4 is now off-line
I 11/05/22 18:13:34 00900 ports: port A4 timer (5) has expired
I 11/05/22 18:13:38 00435 ports: port A4 is Blocked by STP
I 11/05/22 18:13:41 00076 ports: port A4 is now on-line

Switches ArubaOS – Protocolo LLDP

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. O LLDP opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinamicamente por equipamentos diretamente conectados.

Com o LLDP podemos fazer o mapeamento de quais equipamentos conectam entre si e em quais portas, como também o aprendizado dinâmico para configurações de voice vlan, etc.

O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes;

Para habilitar o LLDP em Switches ArubaOS digite:

Switch(config)# lldp run

Para desabilitar utilize o comando “no”:

Switch(config)# no lldp run

Para visualizar os dispositivos detectados digite show lldp info remote-service:

Switch# show lldp info remote-device

 LLDP Remote Devices Information

  LocalPort | ChassisId                 PortId PortDescr SysName
  --------- + ------------------------- ------ --------- ----------------------
   23       | SW_LAB_DIEGO.internal... Fas...
   23       | 0c 27 24 0b 82 aa         Fa0/47 FastEt... SW_LAB_DIEGO.inter...
   24       | SW_LAB_ DIEGO.internal... Fas...
   24       | 0c 27 24 0b 82 aa         Fa0/48 FastEt... SW_LAB_DIEGO.inter...

Para visualizar as informações locais:

Switch(config)# show lldp info local-device
 LLDP Local Device Information
  Chassis Type : mac-address
  Chassis Id   : a0 1d 48 37 a2 e7
  System Name  : Switch
  System Description : HP J9773A 2530-24G-PoEP Switch, revision YA.16.10.00...
  System Capabilities Supported: bridge
  System Capabilities Enabled: bridge
  Management Address  :
     Type: ipv4
     Address: 192.168.100.8

Até logo!

Switches ArubaOS – Informações dos transceivers

Para exibir informações detalhadas de diagnóstico do transceptor de interface, digite o comando show interfaces transceiver [número da porta]:

switch(config)# show interfaces transceiver 21
Transceiver Technical information:
Port Type Product Serial Part
Number Number Number
21 1000SX J4858C xxxxxx 1990-3657

Para mais informações utilize “detail”:

switch(config)# show interfaces transceiver 21 detail
Transceiver in 21
Interface index : 21
Type : 1000SX
Model : J4858C
Connector type : LC
Wavelength : 850nm
Transfer distance : 300m (50um), 150m (62.5um),
Diagnostic support : DOM
Serial number : -------
Status Temperature : 50.111C 
Voltage : 3.1234V 
TX Bias : 6mA TX 
Power : 0.2650mW, -5.768dBm 
RX Power : 0.3892mW, -4.098dBm 

Para visualizar todas as interfaces digite: show interfaces transceiver all ou show tech transceivers

Vídeo: Switches ArubaOS – VRRP

VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.

Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.

Switches ArubaOS: Configurando DHCP Server no Switch

O post de hoje foi escrito em colaboração com o Rafael Eduardo, para a criação de servidor DHCP em Switches ArubaOS. A funcionalidade é bastante útil em localidades de pequeno e médio porte, que assim, utilizando o Switch como Servidor DHCP, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede etc.

Configuração

 vlan 4
   tagged 1-3,8
   ip address 192.168.4.1 255.255.255.0
   dhcp-server
! Habilitando o dhcp-server na VLAN   
   exit

Script para criar o pool de dhcp para aquela Vlan

dhcp-server pool "VLAN4"
   default-router "192.168.4.1"
! Endereço IP do Gateway  
   dns-server "8.8.8.8,8.8.4.4"
! Endereços IP do servidor DNS  
   network 192.168.4.0 255.255.255.0
! Endereço da Rede  
   range 192.168.4.2 192.168.4.254
! Endereços que serão fornecidos para as requisições DHCP na rede. 
   exit
dhcp-server enable ! Habilitando o servidor DHCP globalmente no Switch

Trocando informações no escopo DHCP

Caso haja a necessidade de trocar alguma informação no escopo DCHP de uma VLAN, siga os passos abaixo:

1º Desabilite o dhcp server

dhcp-server disable 

2º Escolha o pool a ser editado

dhcp-server pool "VLAN4"

3º Remova o item a ser editado no caso abaixo o range

no range 192.168.4.2 192.168.4.254

4º Configure o novo escopo a ser entregue pelo Switch via DHCP

range 192.168.4.5 192.168.4.250

5º Habilite o serviço DHCP novamente

dhcp-server enable

Dicas de comandos show

Para verificar o Pool de IPs e quantos estão livres para atribuição, digite:

show dhcp-server pool

Para verificar os IPs atribuídos

show dhcp-server binding