AOS - Comutadores

Vídeo: Switches ArubaOS – Protegendo o Spanning-Tree

20 de julho de 202220 de julho de 2022Diego DiasLeave a comment

O protocolo Spanning-Tree é bastante vulnerável a ataques pela simplicidade de sua arquitetura e falta de mecanismos de autenticação. O protocolo STP não impede em sua arquitetura que um novo switch adicionado à rede seja configurado erradamente com a prioridade 0 (zero) e que dessa forma possa tomar o lugar do switch root, ocasionando uma nova convergência da LAN para a topologia a partir do novo Switch Root.

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Guard, BPDU Protection (BPDU guard) com STP admin-edged-port (portfast) e loop guard.

Switches ArubaOS – Configurando OSPF com autenticação MD5

19 de julho de 202219 de julho de 2022Diego DiasLeave a comment

O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.

Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.

Configurando

Segue abaixo a configuração dos Switches.

SwitchA

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.133 255.255.255.252
   ip ospf 10.168.32.133 area backbone
   ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
   exit
vlan 10
   ip address 10.10.10.1 255.255.255.0
   ip ospf 10.10.10.1 area 10

SwitchB

ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
   area backbone
   redistribute connected
   redistribute static
   enable
   exit
vlan 32
   ip address 10.168.32.134 255.255.255.252
   ip ospf 10.168.32.134 area backbone
   ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
   exit

Verificando o estabelecimento de vizinhança

SwitchA# sh ip ospf neighbor

 OSPF Neighbor Information

                                                         Rxmt         Helper
  Router ID       Pri IP Address      NbIfState State    QLen  Events Status
  --------------- --- --------------- --------- -------- ----- ------ ------
  10.168.32.133   1   10.168.32.134   DR        FULL     0     7      None

Até logo.

Wireless Aruba – EIRP (Equivalent Isotropically Radiated Power)

5 de julho de 20225 de julho de 2022Diego DiasLeave a comment

O EIRP (Equivalent Isotropically Radiated Power) é a força de sinal de RF mais alta transmitida por uma antena específica e é calculado adicionando a potência do transmissor (em dBm) ao ganho da antena (expresso em antena isotrópica ou decibel referenciado a antena isotrópica [dBi]) e subtraindo quaisquer perdas do cabo (em decibéis):

EIRP = potência Tx (dBm) + ganho da antena (dBi) − perda do cabo e acessórios (dB)

Exemplo: Qual o EIRP de um sistema com rádio de 14 dBm, antena de 8dBi e perda nos cabos e conectores de 1 dB?

Resposta: 14 + 8 – 1 = 21 dBm

A FCC é o órgão americano competente que define as regras e normas técnicas relativas aos vários tipos de equipamentos eletrônicos, incluindo dispositivos de frequência de rádio, equipamento terminal de telecomunicações e equipamentos industriais, científica e médica (ISM).

Tanto as comunicações licenciadas quanto as não licenciadas são reguladas nas seguintes áreas:

Frequência;
Banda;
Potência máxima do Radiador Intencional (IR – Intentional radiator);
Valor máximo do EIRP;
Uso indoor ou outdoor;
Regras para compartilhamento de espectro (spectrum);

A Anatel regulamenta a potência máxima de um sistema no Brasil. Não importa qual a potência do seu rádio, mas sim qual a potência efetiva sai da antena (rádio + amplificador + ganho da antena – perdas).

Para validar o valor do EIRP de cada AP Aruba em sua rede, digite o comando ‘show ap allowed-max-EIRP’ via CLI no AP ou controller:

Para validar os canais permitidos, digite o comando ‘show ap allowed-channels’ via CLI no AP ou controller:

Um agradecimento especial ao Alexandre Biehl, pela ajuda na coleta de informações.

Até logo.

Referências

HENRY, Jerome; BARTON, Robert; HUCABY, David CCNP Enterprise Wireless Design and Implementation – Cisco Press, 2021.

COLEMAN, David D.; WESTCOTT, David A. CWNA Certified Wireless Network Administrator – 5ª ed. Sybex – 2018 Aruba Certified Design Professional_ Official Certification

https://www.fr.net.br/2016/04/wifi-o-que-e-eirp.html

https://shopdelta.eu/e-i-r-p-effective-isotropic-radiated-power-potencia-isotropica-radiada-equivalente_l7_aid837.html

Switches ArubaOS – Comandos úteis para inventário

28 de junho de 202228 de junho de 2022Diego Dias1 Comment

É recomendado que a equipe responsável pela administração dos switches ArubaOS mantenha um inventário atualizado dos ativos, os comandos abaixo podem auxiliar no levantamento para essas informações:

Hostname:

Switchl# show running-configuration  | hostname
hostname "Switch1"

Endereço IP:

Switch1# show ip

 Internet (IP) Service

  IP Routing : Enabled


  Default TTL     : 64
  Arp Age         : 20
  Domain Suffix   :
  DNS server      :

                       |                                            Proxy ARP
  VLAN                 | IP Config  IP Address      Subnet Mask     Std  Local
  -------------------- + ---------- --------------- --------------- ----------
  default              | DHCP/Bootp
  GERENCIAMENTO        | Disabled
  vlan31               | Disabled
  vlan32               | Manual     10.1.2.134   255.255.255.0    No    No
  VLAN34               | Disabled
  VLAN100              | Disabled
  VLAN101              | Disabled
  VLAN102              | Disabled
  VoiceVLAN            | Disabled



                               Loopback Interface

  Loopback     | IP Config    IP Address      Subnet Mask
  ------------ + ------------ --------------- ---------------
  lo7          | Manual       10.1.7.7         255.255.255.255

Versão do SO:

Switch1# show version
Image stamp:
 /ws/swbuildm/rel_portland_qaoff/code/build/btm(swbuildm_rel_portland_qaoff_rel_
portland)
                Aug 24 2015 12:38:43
                K.15.17.0008
                599
Boot Image:     Primary

Boot ROM Version:    K.15.30

Modelo de Hardware:

Switch1# show modules

 Status and Counters - Module Information

  Chassis: 5406zl J8697A!        Serial Number:   SG048SU123
                              Allow V1 Modules:   Yes

  Management Module: J8726A      Serial Number:  ID044AS0RT   Core Dump: YES

                                                                      Core  Mod
  Slot Module Description                     Serial Number  Status   Dump  Ver
  ---- -------------------------------------- -------------- -------- ----- ---
  A    HP J8702A 24p Gig-T zl Module          SG047ATAAA     Up       NO    1

Transceiver:

Switch1# show tech transceivers

Transceiver Technical Information:

 Port # | Type   | Prod # | Serial #   | Part #
--------+-----------+------------+------------------+----------
A21     | 1000SX | J4858C | 3CA404JCA | 1990-3662

Localização física (Site e Rack), configurados previamente na config SNMP:

Switch1# show  system
 Status and Counters - General System Information
  System Name        : HP-5406zl
  System Contact     : IT TEAM
  System Location    : IT OPS Network - Saquarema - RACK A1

Vídeo: Switches ArubaOS – Configurando o Terminal Monitor

26 de maio de 202226 de maio de 2022Diego DiasLeave a comment

Para configurar o terminal monitor nos Switches ArubaOS utilize os comandos abaixo na CLI:

debug destination session
debug event

Para desabilitar utilize o comando “no debug all”

Switches ArubaOS – Protocolo LLDP

10 de maio de 202210 de maio de 2022Diego DiasLeave a comment

O protocolo LLDP(802.1AB) permite que dispositivos de rede como Servidores, Switches e Roteadores, descubram uns aos outros. O LLDP opera na camada de enlace do modelo OSI (camada 2) permitindo que informações básicas como hostname, versão do Sistema Operacional , endereço da interface, entre outros, sejam aprendidas dinamicamente por equipamentos diretamente conectados.

Com o LLDP podemos fazer o mapeamento de quais equipamentos conectam entre si e em quais portas, como também o aprendizado dinâmico para configurações de voice vlan, etc.

O mais bacana do Link Layer Discovery Protocol (LLDP) é a integração entre equipamentos de diversos fabricantes;

Para habilitar o LLDP em Switches ArubaOS digite:

Switch(config)# lldp run

Para desabilitar utilize o comando “no”:

Switch(config)# no lldp run

Para visualizar os dispositivos detectados digite show lldp info remote-service:

Switch# show lldp info remote-device

 LLDP Remote Devices Information

  LocalPort | ChassisId                 PortId PortDescr SysName
  --------- + ------------------------- ------ --------- ----------------------
   23       | SW_LAB_DIEGO.internal... Fas...
   23       | 0c 27 24 0b 82 aa         Fa0/47 FastEt... SW_LAB_DIEGO.inter...
   24       | SW_LAB_ DIEGO.internal... Fas...
   24       | 0c 27 24 0b 82 aa         Fa0/48 FastEt... SW_LAB_DIEGO.inter...

Para visualizar as informações locais:

Switch(config)# show lldp info local-device
 LLDP Local Device Information
  Chassis Type : mac-address
  Chassis Id   : a0 1d 48 37 a2 e7
  System Name  : Switch
  System Description : HP J9773A 2530-24G-PoEP Switch, revision YA.16.10.00...
  System Capabilities Supported: bridge
  System Capabilities Enabled: bridge
  Management Address  :
     Type: ipv4
     Address: 192.168.100.8

Até logo!

Vídeo: Switches ArubaOS – Port mirroring / Espelhamento de porta / SPAN

16 de março de 202216 de março de 2022Diego DiasLeave a comment

Nesse vídeo explicamos as demandas para a captura de pacotes, função dos softwares e configuração do port-mirroring em Switches ArubaOS e mais…

Switches ArubaOS – Informações dos transceivers

28 de fevereiro de 202228 de fevereiro de 2022Diego DiasLeave a comment

Para exibir informações detalhadas de diagnóstico do transceptor de interface, digite o comando show interfaces transceiver [número da porta]:

switch(config)# show interfaces transceiver 21
Transceiver Technical information:
Port Type Product Serial Part
Number Number Number
21 1000SX J4858C xxxxxx 1990-3657

Para mais informações utilize “detail”:

switch(config)# show interfaces transceiver 21 detail
Transceiver in 21
Interface index : 21
Type : 1000SX
Model : J4858C
Connector type : LC
Wavelength : 850nm
Transfer distance : 300m (50um), 150m (62.5um),
Diagnostic support : DOM
Serial number : -------
Status Temperature : 50.111C 
Voltage : 3.1234V 
TX Bias : 6mA TX 
Power : 0.2650mW, -5.768dBm 
RX Power : 0.3892mW, -4.098dBm

Para visualizar todas as interfaces digite: show interfaces transceiver all ou show tech transceivers

Vídeo: Switches ArubaOS – VRRP

20 de dezembro de 202120 de dezembro de 2021Diego DiasLeave a comment

VRRP (Virtual Router Redundancy Protocol) permite a utilização de um endereço IP virtual em diferentes Switches/Roteadores. O funcionamento do VRRP é bem simples, dois ou mais dispositivos são configurados com o protocolo para troca de mensagens e então, o processo elege um equipamento MASTER e um ou mais como BACKUP.

Em caso de falha do Roteador VRRP Master o Roteador VRRP Backup assumirá rapidamente a função e o processo ocorrerá transparente para os usuários da rede.

Switches ArubaOS: Configurando DHCP Server no Switch

28 de novembro de 20216 de dezembro de 2021Diego Dias1 Comment

O post de hoje foi escrito em colaboração com o Rafael Eduardo, para a criação de servidor DHCP em Switches ArubaOS. A funcionalidade é bastante útil em localidades de pequeno e médio porte, que assim, utilizando o Switch como Servidor DHCP, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede etc.

Configuração

 vlan 4
   tagged 1-3,8
   ip address 192.168.4.1 255.255.255.0
   dhcp-server
! Habilitando o dhcp-server na VLAN   
   exit

Script para criar o pool de dhcp para aquela Vlan

dhcp-server pool "VLAN4"
    default-router "192.168.4.1"
 ! Endereço IP do Gateway   
    dns-server "8.8.8.8,8.8.4.4"
 ! Endereços IP do servidor DNS   
    network 192.168.4.0 255.255.255.0
 ! Endereço da Rede   
    range 192.168.4.2 192.168.4.254
 ! Endereços que serão fornecidos para as requisições DHCP na rede.  
    exit

dhcp-server enable
! Habilitando o servidor DHCP globalmente no Switch

Trocando informações no escopo DHCP

Caso haja a necessidade de trocar alguma informação no escopo DCHP de uma VLAN, siga os passos abaixo:

1º Desabilite o dhcp server

dhcp-server disable

2º Escolha o pool a ser editado

dhcp-server pool "VLAN4"

3º Remova o item a ser editado no caso abaixo o range

no range 192.168.4.2 192.168.4.254

4º Configure o novo escopo a ser entregue pelo Switch via DHCP

range 192.168.4.5 192.168.4.250

5º Habilite o serviço DHCP novamente

dhcp-server enable

Dicas de comandos show

Para verificar o Pool de IPs e quantos estão livres para atribuição, digite:

show dhcp-server pool

Para verificar os IPs atribuídos

show dhcp-server binding