Switches ArubaOS – Economizando energia com Energy Efficient Ethernet

Para atender às necessidades de eficiência energética de uma rede campus, a Aruba, tem projetado switches com recursos de economia de energia tanto no hardware quanto no software para redução no consumo de energia de switch/módulos, portas e LEDs.

O Energy Efficient Ethernet (EEE) é um padrão de camada física (IEEE 802.3az) que reduz o consumo de energia da rede em períodos ociosos. Com o padrão, a economia de energia é alcançada tanto no switch transmissor quanto no equipamento receptor. Para isso as extremidades do link precisam suportar o 802.3az com a utilização do pacote LLDP-TLV, contendo o status EEE e as mudanças negociadas em ambos lados do link. Assim, a economia de energia acontece em tempo real e pode ser realizada em todos os equipamentos da rede.

Configurando o Energy Efficient Ethernet:

Switch(config)# interface <PORT-LIST> energy-efficient-ethernet

Removendo a configuração de Energy Efficient Ethernet:

Switch(config)# no interface <PORT-LIST> energy-efficient-ethernet

Comando show energy-efficient-ethernet

Switch(config)# show energy-efficient-ethernet

  Port  | EEE Config Current Status txWake(us)
  —– + ———- ————– ———-
  1     | Enabled    Active         17
  2     | Enabled    Inactive       –
  3     | Enabled    Inactive       –

Switches 3810M e 5400R

Os switches 3810M e 5400R possuem funcionalidades para economia de energia para seus módulos. Uma informação interessante é que se o slot do módulo não estiver preenchido, a energia ainda será fornecida ao slot mesmo quando não estiver em uso.

Desativar a energia do módulo permite economizar uma quantidade considerável de energia. Uma vez que a energia do slot é desativada, o slot não estará mais funcional até que a energia esteja de volta.

Desabilitando a energia no flexible-module do Switch 3810M

3810M(config)# savepower flexible-module <SLOT-ID> member <STACK-MEMBER>

Habilitando a energia no Flexible-module do Switch 3810M:

3810M(config)# no savepower flexible-module <SLOT-ID> member <STACK-MEMBER>

Desabilitando a energia no modulo do Switch 5400R:

5400R(config)# savepower module
SLOT-LIST Slot id, range, or ‘all’.

Habilitando a energia no modulo do Switch 5400R:

5400R(config)# no savepower module
SLOT-LIST Slot id, range, or ‘all’

Desligar os leds do switch

Os LEDs no switch fornecem informações visuais do status da atividade de link e outras informações. Desligar os LEDs do switch quando não for necessário, ajuda a economizar energia, especialmente em grandes implantações onde alguns watts por switch podem somar um valor considerável. Ativar esse recurso desliga todos os LEDs do switch, exceto o LED de energia principal. Isso inclui todos os LEDs de link e modo de porta, bem como todos os LEDs de status.

Desligar os LEDs:

3810M(config)# savepower led

Ligar os LEDs:

3810M(config)# no savepower led

Comando show savepower led

Switch(config)# show savepower led
LED Save Power Information
Configuration Status : Enabled

Desligue as portas não utilizada

Este recurso de economia de energia coloca as portas não utilizadas em um modo de baixa potência quando as portas não estão conectadas à algum equipamento. Em um cenário comum a porta provisiona energia, mesmo quando não há conexão. Os comandos CLI permitem habilitar/desativar esse recurso colocando a porta automaticamente em modo de baixa potência, quando as portas não estão conectadas.

Configurando enconomia de energia nas portas:

Switch(config)# savepower port-low-pwr

Verificando a configuração port-low-pwr:

Switch(config)# show savepower port-low-pwr
 Port Save Power Information
 Configuration Status : Enabled

Referência

Technical Whitepaper: Aruba Switch Green Feature

Switches ArubaOS: Segurança nos botões frontais

Os switches Aruba usam botões Reset e Clear no painel frontal para permitir que os usuários reiniciem (reset) a configuração do switch para o padrão de fábrica ou para redefinir a senha do console (clear). Esses recursos criam um risco de segurança e para ambientes não controlados ao switch. Recomenda-se que os administradores desabilitem esses recursos.

É importante entender que desativar esses recursos restringe severamente as opções da equipe de TI para recuperar um switch em cenários que não se possui as credenciais de acesso.

Esses botões permitem que um simples clip de papel possa limpar as senhas (clear). O botão clear não apaga a configuração e não desliga o switch, apenas apaga as senhas.

switch(config)# no front-panel-security password-clear
switch(config)# no front-panel-security factory-reset

Observações

– Pressionar o botão Clear por um segundo redefine a(s) senha(s) configurada(s) no switch.

– Pressionar o botão Reset sozinho por um segundo faz com que o switch seja reinicializado.

– Você também pode usar o botão Reset junto com o botão Clear (Reset + Clear) para restaurar o padrão de fábrica configuração do switch.

– Para validar utilize show front-panel-security

Referências

ArubaOS-Switch Hardening Guide for 16.06

Aruba 2930F / 2930M Access Security Guide for ArubaOS-Switch

Switches ArubaOS: Spanning-Tree desabilitado

Os switches ArubaOS, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos protocolos e serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite.

Switch# show spanning-tree
 Multiple Spanning Tree (MST) Information
  STP Enabled   : No

Switch# configure
Switch(config)# spanning-tree
 Habilitando o STP

Switch(config)# show spanning-tree
 Multiple Spanning Tree (MST) Information
  STP Enabled   : Yes
  Force Version : MSTP-operation
  IST Mapped VLANs : 1-4094
  Switch MAC Address : a01d48-37aaaa
  Switch Priority    : 32768
  Max Age  : 20
  Max Hops : 20
  Forward Delay : 15

  

Switches ArubaOS : Armazenando as credenciais no arquivo de configuração (include-credentials)

Por padrão, nos Switches ArubaOS, as credenciais não são adicionadas ao arquivo de configurações, com o objetivo de proteger a sua visualização.

Caso haja o desejo de visualizá-las no arquivo de configuração, será necessário habilitar o comando include-credentials, permitindo assim visualizar no arquivo de configuração, como também apagá-las na startup-config.

Habilitando o include-credentials será possível visualizar o usuário em texto plano e a senha em hash, como por exemplo em SHA1 (sendo possível descobrir a senha utilizada utilizando ferramentas online).

Para proteger as credenciais após o include-credentials, digite encrypt-credentials para cifrar o password em aes-256-cbc, no arquivo de configuração.

Switches ArubaOs – Configurando um Range de Interfaces

Os switches ArubaOS permitem o agrupamento de portas  para determinadas configurações, como por exemplo, atribuir uma VLAN a diversas portas ao mesmo tempo.

Segue abaixo uma dica que pode agilizar a vida de muitos administradores:

switch# configure terminal switch(config)# interface 9-10 ! agrupando  as portas 9 e 10 para configuração switch(eth-9-10)# untagged 2 ! configurando as portas para participarem da VLAN 2 switch(eth-9-10)# dldp enable ! habilitando o dldp nas portas 9 e 10 switch(eth-9-10)# exit switch(config)#

switch(config)# interface 11-15,17 ! agrupando  as portas 11, 12, 13, 14,15 e 17 para configuração switch(eth-11-15,17)# untagged vlan 5 ! configurando as portas para participarem da VLAN 5

Validando a configuração com o comando show running-config structured :

switch(config)# show running-config structured | begin interface 9
interface 9
   dldp enable
   untagged vlan 2
   exit
interface 10
   dldp enable
   untagged vlan 2
   exit
interface 11
   untagged vlan 5
   exit
interface 12
   untagged vlan 5
   exit
interface 13
   untagged vlan 5
   exit
interface 14
   untagged vlan 5
   exit
interface 15
   untagged vlan 5
   exit
interface 16
   untagged vlan 1
   exit
interface 17
   untagged vlan 5
   exit

Até logo!