segunda-feira, 6 de dezembro de 2010

Novo domínio: www.comutadores.com.br

Amigos, eu gostaria de compartilhar o registro do domínio http://www.comutadores.com.br/  para acesso ao blog.

O registro do ".com.br" nos trará liberdade para manter e atualizar o conteúdo da melhor maneira possível.

Atualizem os seus favoritos e comecem a acessar o site pelo novo domínio ( que por enquanto apenas fará o redirecionamento para o comutadores.blogspot.com).

Abraços a todos e boa semana!

terça-feira, 30 de novembro de 2010

Siga-nos no Twitter!!!


Pessoal, criamos um Twitter para indexação de Links para novas postagens no Blog,  Eventos, Cursos, Podcasts, Livros e etc..

O nosso endereço é twitter.com/blogcomutadores

Mas se você não possui um Twitter, crie uma página no site e entenda o gosto dos usuários pelo Microblog.

Em bate-papo informal, percebo que boa parte dos Administradores de Rede não se importam com as Redes Sociais como por exemplo o MySpace, Facebook e o Twitter. Sobra alguma atenção apenas para o LinkedIn por razões profissionais e o Orkut pelos parentes e amigos vinculados a página.

Para quem desejar entender melhor sobre o Twitter eu indico um Podcast muito bacana da Cisco do Projetos Quintas Quinze com o Título: Oficina de Twitter . O Video é bastante explicativo sobre o funcionamento do site e a importante interação dos usuários de forma social/profissional!!

Acessem a página : http://www.cisco.com/web/BR/eventos/index.html  e clique na opção Especiais. É necessário instalar o player para visualizar o vídeo localmente ( incluindo liberação da página do Youtube no proxy para uma chamada que o video Oficina de Twitter faz)

E você, qual a sua relação com as redes sociais?
Abraços a Todos

quinta-feira, 25 de novembro de 2010

Switches 3Com 7900 - Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

O post de hoje foi encaminhado pelo Douglas Jefferson com um "How to" para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

Aproveitem as dicas....

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório "Home Directory" do IIS, normalmente em "%windir%\inetpub\wwwroot".


Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

  1. Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
  2.  Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
  3. Verificar se o serviço está escutando a porta 80 padrão.
  4. Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.
Instalar Componente do Windows como CA (NNF)
  1. Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá "StandAlone Root CA" (NNF), com usuário Administrador local.
Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx
  1. Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/
Se esse link mostrar a interface Web da administração da CA, OK!

Se  NÃO verificar instalação, passos anteriores.

  1. O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).
 http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

  1. Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.
Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

  1. Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority Expandir em Certificate Authority  > CA > Issued Certificates, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
  2. Ainda dentro da seção "Certificate Authority", clique com o botão direto na "CA > Properties" Em seguida na aba "Policy Module > Properties", novamente, e selecione a opção "Follow de settings in the certificate template, if........." Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
  3. Agora vá em “Iniciar-->Painel de Controle-->Ferramentas Administrativas-->IIS” Expandir em “Server(Local)-->Web Sites-->Default Web Site”, verifique se os serviços "Certsrv","CertControl" e "CertEnroll" estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em "Default Web Site-->Home Directory-->LocalPath").
Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.
 pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.:
Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o "Ca Certificate ThumbPrint" e "Challenge Password"(port 60 minutos)


Faz a requisição do certificado e o armazena.

#
pki request-certificate domain CLIENTEX Challenge_Password

#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D


Lista o certificado importado.
#
display pki certificate local domain CLIENTEX


Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL

pki-domain CLIENTEX
client-verify enable
quit
#

Associa o dominio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL


Habilita o Servidor HTTPS
#
ip https enable


Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000


Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/


Clique em "Request a Certificate"

Clique em "Web Browser Certificate"
 
Preencha os campos em clique em "Submit"


Aparecerá uma mensagem "This Web site is requesting a new certificate.........", clique em "YES".

Em seguida clique no link "Install This Certificate".

Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).

Agora basta acessar o IP do Switch em seu Browser de preferência....

Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug


a. Debug ssl
b. Debug pki

Espero que tenham gostado, abraços a todos!!!

quarta-feira, 10 de novembro de 2010

sexta-feira, 5 de novembro de 2010

terça-feira, 26 de outubro de 2010

domingo, 24 de outubro de 2010

sexta-feira, 15 de outubro de 2010

domingo, 3 de outubro de 2010

domingo, 26 de setembro de 2010

quinta-feira, 9 de setembro de 2010

Introdução ao QoS – parte 1

Desculpe-nos o conteúdo foi migrado para o domínio Comutadores.com.br, para acessar o conteúdo, clique no link abaixo:

http://www.comutadores.com.br/introducao-ao-qos-parte-1/


Um grande abraço

quinta-feira, 2 de setembro de 2010

domingo, 29 de agosto de 2010

BGP – Mandatory Well-Known (Path Attributes)

O Protocolo BGP utiliza diversos parâmetros para escolha de melhor rota quando há diversos caminhos para o mesmo destino, esses parâmetros são chamados de Path Atributes.

Cada atualização do BGP consiste em uma ou mais sub-redes (prefixos) vinculadas aos seus atributos.

Os Path Atributes são classificados em Well-Known ( bem conhecido ) ou Optional (opcional). Alguns desses atributos são obrigatórios e outros opcionais com validade local na tabela de roteamento, local no AS, etc.

Os atributos Well-Known são classificados em Mandatory (obrigatório ) e Discretionary ( arbitrário).

No tópico de hoje citaremos os atributos Mandatory, Well-Known(bem conhecidos e obrigatórios).

Mandatory Well-Known
São 3 os atributos Mandatory Well-Known: Origin, AS-Path e Next-hop:

Origin: Relaciona a maneira que a rota foi aprendida pelo BGP. Se a rota foi declarada com o comando network ou via agregação de rotas ela será exibida com a letra “i”, para as rotas aprendidas via redistribuição é utilizado o caracter “?”. Há ainda a possibilidade da rota ser aprendida via o protocolo EGP,"e" mas atualmente o mesmo está em desuso.

AS-Path: Quando um prefixo é injetado no BGP e compartilhado entre os AS, incialmente o AS-Path é atribuído como vazio, cada vez que a rota atravessa um AS(Sistema Autônomo) é adicionado pelos roteadores de Borda o numero do AS que ele pertence. É possível rastrear a seqüência de Sistemas Autônomos utilizando o atributo AS-Path.

Next-hop: Indica o endereço do próximo salto do Roteador que recebeu o prefixo. Geralmente o roteador que anuncia determinado prefixo repassa com o next-hop o seu próprio IP, exceto em sessões iBGP.

Comando Display

O commando abaixo exibirá a tabela de Roteamento do BGP:

[Matriz] display bgp routing-table

Total Number of Routes: 2
BGP Local router ID is 192.168.0.45
Status codes: * - valid, > - best, d - damped, h - history, i - internal, s - suppressed, S – Stale, Origin : i - IGP, e - EGP, ? - incomplete

Network ------------ NextHop--- MED--- LocPrf--- PrefVal--- Path/Ogn
*> 172.31.1.0/24---- 0.0.0.0 0 --------------------------0------------- i
*> 180.0.0.0/24----- 192.0.2.42-------------- 0-------- 0------- 64515-- i
! A rede 172.31.1.0/24 está diretamente conectada no Switch/Roteador e inserida no BGP pelo comando Network. A rede 180.0.0.0/24 foi aprendida via BGP pelo AS 64515 com o netxhop 192.0.2.42 e origem via iBGP ou inserida no processo pelo comando network

[Matriz]disp bgp peer
BGP local router ID : 192.168.0.41
Local AS number : 64512
Total number of peers : 2 / Peers in established state : 2
Peer---------- AS ---------MsgRcvd MsgSent OutQ PrefRcv Up/Down State
192.0.2.42 ---64515 --------9 10 0 1 00:07:02 Established
! O comando display bgp peer exibe o "peering" BGP com o endereço da conexão eBGP , número do AS e o estado da conexão.

segunda-feira, 16 de agosto de 2010

sábado, 7 de agosto de 2010

IPv6 - Introdução ao Endereçamento e Cabeçalho

Olá Pessoal, hoje inicio mais um artigo referente ao IPv6. Tenho certeza que grande maioria dos técnicos de informática já ouviram  bastante coisa sobre o tema e mesmo assim, há uma incerteza de como isso funcionará e/ou afetará a maneira como lidamos com os endereços de rede e serviços.

Nos últimos meses tenho lido bastante coisa sobre o tema e após alguns laboratórios com os endereçamentos IP versão 6, venho percebendo que o assunto não é um bicho de sete cabeças!

Como informação nunca é de mais, postarei um resumo do meu trabalho entregue na Universidade e a dica do site http://ipv6.br/ que possui um curso bacana (grátis) em português sobre o assunto...

O IP versão 6, atende todas as necessidade propostas para melhora da versão anterior. Genericamente, o IPv6 não é compatível com o IPv4, mas é compatível com os outros protocolos auxiliares da Internet, como TCP, UDP, ICMP, IGMP, DNS, etc.

A principal modificação está relacionada ao endereçamento de 128 bits, comparado aos 32 bits do IPv4. O aumento na quantidade de endereços oferecem um número ilimitado de endereços na Internet, melhora na confiabilidade de endereços, flexibilidade e facilidade de multihoming para diversos Provedores (ISP), auto-configuração de endereços de rede IPv6 e comunicação fim-a-fim sem a necessidade de NAT.


Devido ao tamanho dos endereços IPv6, tornou-se impraticável a representação da mesma maneira que os endereços IPv4, como resultado, 8 grupos de 16 bits separados por dois-pontos (“:”) são representados em formato hexadecimal:
  • 1234:5678:9ABC:DEF0:1234:5678:9ABC:DEF0
Tendo em vista a utilização de vários endereços contendo números zero, essa porção do endereço poderá ser omitida e representada por dois dois-pontos(“::”). De modo que 0987 poderá ser escrito como 987. Um ou mais grupos de 16bits zero podem ser substituídos por um par de dois-pontos . Os pares de dois-pontos utilizados na abreviação podem ser utilizados somente uma vez, para eliminar ambigüidade.

Como exemplo a abreviação do endereço 2001:0002:0000:0000:00A1:0CC0:0234:9876 poderá ser da seguinte forma:
  • 2001:2:0:0A1:CC0:234:9876
  • 2001:0002::00A1:0CC0:0234:9876
  • 2001:2::A1:CC0:234:9876
Para o uso de mais de um IP em um mesmo dispositivo, foram criados os seguintes esquemas:

Unicast: similar aos endereços unicast IPv4, um endereço unicast IPv6 é endereçado para uma única interface. Uma interface poderá ter vários endereços unicast. Os endereços em unicast podem ser global, link-local, unique local(ULA) e IPv4 compatible.

Multicast: neste esquema, um único dispositivo consegue identificar várias interfaces na rede, permitindo o envio individual de pacotes; Um pacote enviado para um endereço multicast é entregue para todas as interfaces identificadas com o endereço multicast.

Anycast: o endereço IPv6 pode estar atribuído a mais de uma interface/dispositivo, ao invés de uma individual. Todos os nós com o mesmo endereço unicast proverão serviços de maneira uniforme. Um exemplo de serviço anycast é o balanceamento de entrega de serviços de conteúdo.

No endereçamento IPv4, o broadcast resulta em inúmeros problemas, incluindo problemas na rede conhecidos como tempestade de broadcast que podem parar a LAN completamente. O Broadcast não existem nas redes IPv6, os broadcasts foram substituídos por endereços multicast e anycast.

O segundo aperfeiçoamento importante no IPv6 é a simplificação do cabeçalho. O cabeçalho IPv4 contem 12 campos básicos contra 7 do IPv6. Esta mudança permite aos roteadores encaminharem os pacotes com maior agilidade, melhorando o throughput e o retardo.

O cabeçalho IPv6 contem os seguintes campos:


Version: possui 4 bits, o mesmo que no IPv4. No IPv6 o campo contem o numero 6.

Traffic class: possui 8 bits e função similar ao campo IPv4 type of service (ToS). Este campo marca o pacote para diferenciação de Qualidade de Serviço dos pacotes IP (QoS).

Flow Label: este novo campo possui 20 bits e poderá ser utilizado para a marcação na origem para especificação do pacote como parte de um determinado fluxo. O fluxo pode ser configurado com antecedência e ter um identificador atribuído a ele e forçando aos Switches Multicamadas e Roteadores verificar nas tabelas internas que tipo de tratamento especial ele exigem, para melhor encaminhamento e desempenho.

Payload lenght: determina o numero de bytes que seguem o cabeçalho de 40bytes.

Next header: o valor de 8 bits determina o tipo de informação que segue o cabeçalho IPv6 básico.O cabeçalho pode ser simplificado porque existe a possibilidade de haver outros cabeçalhos de extensão(opcionais).

Hop limit: campo de 8 bits com função similar ao campo TTL da versão 4

Source address: Campo de 128 bits que identifica a origem do pacote.

Destination address: Campo de 128 bits que identifica o destino do pacote.

Extension headers: Esses cabeçalhos podem ser criados com a finalidade de oferecer informações extras para tornar o encaminhamento mais rápido e eficiente. Estes cabeçalhos extras permitem uma maior eficiência, devido ao tamanho do cabeçalho, que pode ser ajustado às necessidades. Os cabeçalhos devem ser utilizados de forma encadeada permitindo uma maior flexibilidade, porque podem ser sempre adicionados novos cabeçalhos para satisfazer novas especificações. As especificações actuais recomendam a seguinte ordem:

1. IPv6

2. Hop-By-Hop Options Header

3. Destination Option Header

4. Routing Header

5. Fragment Header

6. Authentication Security Payload Header

7. Destination Options Header

8. Upper-Layer Header

O cabeçalho de autenticação, pertencente ao extension headers, oferecendo um mecanismo pelo qual o receptor de um pacote pode ter certeza de quem enviou. A carga útil de segurança criptografada torna possível criptografar o conteúdo do pacote. Esses cabeçalhos utilizam técnicas criptográficas para alcançar os objetivos a que se propõem. O IPsec torna-se nativo ao IPv6 com o authentication header (AH), com o next-header com o valor igual 51 e o cabeçalho Encapsulating Security Payload (ESP), com o next-header com o valor igual 50 que poderão ser utilizados dentro do IPsec para providenciar autenticação, integridade e confidencialidade do pacote.

Muitas das alterações incorporadas ao IP versão 6 referem-se a melhora no desempenho no encaminhamento dos pacotes como a remoção do campo checksum ( presentes na camada de enlace e transporte, tornando-a redundante no cabeçalho IP) e melhora no processo de fragmentação.

Na prática, o espaço de endereços não será utilizado com eficiência, mas haverá na versão 6 uma inesgotável quantidade de endereços para PDAs, pen-tablets, celulares, carros, eletrodomésticos, edifícios inteligentes, monitoramentos médicos e etc. Devido a isso os dispositivos poderão ter mais de um endereço IP tornando possivel que certos serviços sejam executados simultaneamente numa mesma máquina e para cada um haverá uma conexão exclusiva.


Cadê a Máscara do IPv6?

Os endereços IPv6 trabalham diretamente com os prefixos, similar a representação atual que fazemos nas redes IPv4 ( 192.168.1.0/24) que representam a os bits de rede e os bits de host.

Para as redes locais é sugerido a utilização de prefixos /64, então se quiséssemos configurar o primeiro endereço válido da rede 2001:0db8:0000:000:0000:0000:0000:0000/64 em um roteador, poderiamos configurar com o endereço IPv6 na interface como ipv6 address 2001:db8::1/64 ( fácil, fácil )! 

E vocês, qual a sua experiência com endereços IPv6 (alguma, nenhuma)? Comentem!!

Bibliografia
Redes de Computadores – 4ª edição
Andrew S. Tanenbaum
Building Scalable Cisco Internetworks – 3ª edição
Diane Teare

Referências
http://www.infowester.com/ipv6.php
http://www.faqs.org/rfcs/rfc1550.html
http://ipv6.br/

quarta-feira, 14 de julho de 2010

1000 acessos....

Pessoal,

gostaria de compartilhar a quantidade de acessos ao blog, que apesar de modesto, torna-se muito significante pela continuidade de visitas.

Desde que iniciei a contagem contabilizamos mais de mil acessos, com media mensal de 150 visitantes!

Segue abaixo a origem dos dominios que mais acessam visitam o blog!



Abraços a todos!

quarta-feira, 26 de maio de 2010

Switches 3Com 4500G - Desmistificando o Cluster !

A feature Cluster permite a administração de diversos Switches pelo Switch Master da Rede que responderá por um único endereço IP para toda a pilha.

A grande vantagem é a utilização das portas 1Gb (frontais) para comunicação do Cluster entre os dispositivos, por cabo UTP ou fibra, sem a necessidade de compra de módulos ou cabos específicos, além de permitir a integração de Switches 3Com/H3C de diferentes famílias (ex: 4500G e 4800G)

Umas das particularidades do Cluster que vem agradando os administradores de rede é a facilidade de administração dos Switches participantes do Cluster pelo modo Web (GUI).

Se fizermos uma comparação da administração via Cluster com outros tipos de empilhamento, o Cluster permite a administração em árvore distribuída ao invés da administração vertical dos Switches que utilizam os protocolos XRN ou IRF.

O Clustering utiliza os protocolos Cluster, NDP e NTDP para descoberta de vizinhos e manutenção da Topologia que envolve os dispositivos do Cluster.

- Os Switches utilizam o NDP para coletar informações dos vizinhos diretamente conectados, incluindo versão de Software, hostname, endereço MAC e numero da porta conectada.

- Os Switches utilizam o NTDP para coletar informações dos dispositivos como saltos, informações da topologia e dispositivos com NTDP ativo.

- O Cluster permite ao dispositivo participar do Clustering.
ComandosÉ necessário habilitarmos o NDP e o NTDP globalmente nos Switches (todos) e nas Interfaces de UpLink.

ndp enable
ntdp enable
cluster enable

Para o Switch Master é obrigatório configurarmos um IP para
gerenciamento e aplicarmos o comando build [nome do cluster] para o Master descobrir e adicionar automaticamente os outros Switches na pilha.

cluster
!Habilita as configurações do Cluster no Switch Masterip-pool 10.0.0.1 255.255.255.240!Limita a quantidade de Switches gerenciados pelo Cluster e o range liberado para adminstração
build LaB
!Habilita a construção do Cluster, forçando o Switch a ser o Master com o nome LAB.

Após concluídas as configurações, os Switches trocarão mensagens para sincronização da Topologia envolvendo os protocolos citados. A partir dessas mensagens o Cluster será formado utilizando a VLAN 1 para troca de mensagens(por default). É possível alterarmos a VLAN do Cluster com o comando management-vlan [número da vlan] nos Switches participantes do Cluster.

O administrador de rede deverá conectar-se ao IP da interface de gerenciamento (Interface VLAN 1)

interface Vlan 1
ip address 192.168.1.1 255.255.255.0

A interface de VLAN de gerenciamento exibirá as informações do Switch Master (Switch Zero); além da sua relação com a topologia do Cluster. Os Switches Membros receberão um numero administração e o acesso aos outros Switches da pilha.

1. Após formação do Cluster acesse o Switch pelo Browser.

2. Clique no Menu esquerdo em Cluster > Topology


A imagem abaixo mostrará a Topologia construída no Cluster.


Para acessar os Switches do Cluster basta selecionar o equipamento com o Mouse e clicar no botão Manage.


Administração pela interface CLI (modo texto)
É possível administrarmos os equipamentos do Clustering via CLI...
1.Para acessar os Switches Membros, acesse o Switch Master por Telnet, Console ou SSH.

2. No modo user-view, digite o comando cluster switch-to [numero do Switch na pilha].

3.Para sair do Switch Membro e voltar para o Switch Master digite quit no modo user-view.
Para visualizar o número dos Switches Membros digite o comando display cluster current-topology ou display cluster members

[LaB_0.LABORATORIO]displ cluster current-topology
--------------------------------------------------------------------
(PeerPort) ConnectFlag (NativePort) [SysName:DeviceMac]
--------------------------------------------------------------------
ConnectFlag:
<--> normal connect ---> odd connect **** in blacklist
???? lost device ++++ new device -©È©À- STP,RRPP discarding
--------------------------------------------------------------------
[LaB_0.LABORATORIO:0024-73d6-2100]

©À-(P_1/0/16)++++(P_1/0/22)[LaB_4.Franca-1:0024-73d6-0700]

©À-(P_1/0/23)++++(P_1/0/23)[LaB_5.Franca-2:4001-c637-0900]

©¸-(P_1/0/24)++++(P_1/0/24)[LaB_4.Franca-1:0024-73d6-0700]

©¸-(P_1/0/24)++++(P_1/0/24)[LaB_5.Franca-2:4001-c637-0900]

©À-(P_1/0/18)++++(P_1/0/19)[LaB_6.Quimica:0024-73d6-1f00]

©À-(P_1/0/20)++++(P_1/0/22)[4800G:0024-73d6-1d80]

©À-(P_1/0/24)++++(P_1/0/24)[4500G:0024-7305-4a00]

©¸-(P_1/0/23)++++(P_1/0/23)[4500G:0024-7305-4a00]

©À-(P_1/0/23)++++(P_1/0/23)[LaB_7.Odonto:4001-c637-2a80]

©À-(P_1/0/24)++++(P_1/0/24)[LaB_6.Quimica:0024-73d6-1f00]

©¸-(P_1/0/12)++++(P_1/0/22)[LaB_8.Farmacia:0024-73d6-4780]

©¸-(P_1/0/24)++++(P_1/0/24)[LaB_7.Odonto:4001-c637-2a80]

©À-(P_1/0/23)++++(P_1/0/24)[LaB_1.4500G:4001-c636-c980]

©¸-(P_1/0/24)++++(P_1/0/23)[LaB_2.Dracena:0024-73d6-4680]

©¸-(P_1/0/24)++++(P_1/0/23)[LaB_3.Rosana-2:4001-c621-7a00]


[LaB_0.LABORATORIO]displ cluster members
SN Device MAC Address Status Name
0 Switch 4800G PWR 24-Port 0024-73d6-2100 Admin LaB_0.LABORATORIO
1 3Com Switch 4500G 24-Port PWR 4001-c636-c980 Up LaB_1.4500G
2 Switch 4800G PWR 24-Port 0024-73d6-4680 Up LaB_2.Dracena
3 3Com Switch 4500G 24-Port PWR 4001-c621-7a00 Up LaB_3.Rosana-2
4 Switch 4800G PWR 24-Port 0024-73d6-0700 Up LaB_4.Franca-1
5 3Com Switch 4500G 24-Port PWR 4001-c637-0900 Up LaB_5.Franca-2
6 Switch 4800G PWR 24-Port 0024-73d6-1f00 Up LaB_6.Quimica
7 3Com Switch 4500G 24-Port PWR 4001-c637-2a80 Up LaB_7.Odonto
8 Switch 4800G PWR 24-Port 0024-73d6-4780 Up LaB_8.Farmacia

Obs: para efetuar a conexão entre os Switches do Clustering, será necessário habilitarmos o protocolo telnet no user-interface vty 0 4 com o protocol inbound telnet ou protocol inbound all .

Obs.2:Para administração via SNMP e coleta por Syslog dos equipamentos deveremos configurar a opção no Cluster Master dentro da opção Cluster (cluster-view). O gerenciamento será único para todos os dispositivos.

Espero que tenham gostado. Até mais!

domingo, 16 de maio de 2010

quarta-feira, 5 de maio de 2010

Switches 3Com 4800G - SSH, autenticação por troca de Chaves

O post de hoje surgiu da necessidade de um projeto na UNESP onde o cliente gerava as próprias chaves pública e privada e importava para o Switch. A autenticação para conexão ao Switch para fins de gerenciamento ocorrerá através de certificados. O cliente SSH irá autenticar-se utilizando certificados ao invés de senhas. Se não houver um certificado válido o usuário não conseguirá conectar-se ao Switch.

Mostraremos passo-a-passo como gerar as chaves pública e privada utilizando o Software Putty para Windows e configuraremos o Switch para permitir o acesso do host via SSH por troca de chaves.

Para efetuar download do Putty e do Puttygen clique em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Gerando as chaves

Gere as chaves pelo puttygen. Abra o software e clique no botão Generate. Depois, fique movendo o mouse no espaço abaixo da barra de progresso até que o processo esteja finalizado (isso é feito para gerar dados aleatórios para criar o certificado).


Após concluir o processo, será exibida a tela abaixo:

Salve a chave pública e privada. No exemplo salvaremos a chave privada como comutadores.ppk e chave pública como comutadores.pub.
Configurando o Switch
Criaremos um diretório chamado chave no Switch e copiaremos a chave pública na memória Flash no modo user-view:
mkdir chave
...
%Created dir flash:/chave.

tftp 1.1.1.2 get comutadores.pub flash:/chave/comutadores.pub

Importando a chave pública para o Switch e ativando o SSH no Switch
[4800G]ssh server enable
[4800G]public-key peer comutadores.pub import sshkeyflash:/chave/comutadores.pub

Criando o usuário diego e permitindo acesso por SSH com nível 3 de permissão
#
local-user diego
authorization-attribute level 3
service-type ssh
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#

Associando o usuário diego a chave comutadores.pub
[4800G] ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub

Utilizando a chave pública geradas pelo computador para acesso ao Switch

Utilizando o software putty digite o endeço IP do Switch e marque a opção SSH


Agora, você terá que acessar as opções oferecidas no menu à esquerda da janela do PuTTy. Neste menu, encontraremos uma opção chamada “Connection” e, logo abaixo dela, uma opção chamada “Data”, clique nela. Em “Auto-login username” digite o nome do usuário que você quer utilizar para se conectar ao Switch.

Agora, vamos dizer ao PuTTy onde está localizada a chave privada para que ele possa utilizá-la durante a conexão. Para isso, no menu à esquerda, vá em “Connection”, expanda “SSH” e clique em “Auth”. Clique no botão “Browse” e selecione o arquivo com a chave privada.

Agora, volte para “Session” (a primeira opção, no topo do menu à esquerda) e clique no botão “Save”. Pronto, se tudo correu bem, basta você dar dois cliques no nome do perfil que você salvou, clique em Open e você irá conseguir logar automaticamente no Switch.

Configuração final

ssh server enable
#
public-key peer comutadores.pub
public-key-code begin
AAAAAB3Nza00D06092A864886F70D010101050003818A003081860281806522B8CDE0A37D42A5
98ABCA897D7BEBBC9A7C6C9E0411CC43094076904639F090EFCC5844CD688AC3E25867E29D
C618B50CE435A5E0BEA497C6411A6C32E8DDAC4D9DD123418BD91F9D60EEDC3D4C96911E07
56621E8017F196AE8FBC39BB99794296A88A58C3BF9B0C13FC36DF9B67B186103B233F67E4
7AD1BE9E6B502A9B020125
public-key-code end
peer-public-key end
#
local-user diego
authorization-attribute level 3
service-type ssh
#
ssh user diego service-type all authentication-type publickey assign publickey comutadores.pub work-directory flash:/chave/comutadores.pub
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#

Script enviado por Douglas Jefferson.

Sites de referência:
http://www.pedropereira.net/ssh-sem-senha-autenticacao-atraves-de-certificados-rsa/

http://urucubaca.com/putty-o-poder-do-ssh-no-windows/2008/01/31/
Dúvidas? Deixem comentários...

Switches 3Com 4800G - Como incluir novas regras em uma ACL?

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-3com-4800g-como-incluir-novas-regras-em-uma-acl/

Obrigado!

segunda-feira, 26 de abril de 2010

terça-feira, 13 de abril de 2010

Switches 3Com 4800G - Redistribuição seletiva de rotas estáticas e interfaces diretamente conectadas no OSPF com Route Policy

Amigos, gostaria de compartilhar um script muito interessante elaborado pelo Denis Albuquerque (.. e sugerido o post no blog). O Script possui uma sofisticação muito bacana para redistribuição seletiva de interfaces diretamente conectadas e rotas estáticas no OSPF.

Quando falamos de Redistribuição, o processo faz referência a interconexão de diversos protocolos de Rotamento (OSPF, RIP, etc), rotas estáticas e interfaces diretamente conectadas no processo de Roteamento dinâmico. Como por exemplo injetar, rotas estáticas em um domínio OSPF ou fazer a redistribuição de Rotas entre uma rede Rodando RIP e a outra rede rodando OSPF.

Segue abaixo os comandos para redistribuição de Rotas estáticas e Interfaces VLAN:
#
ospf 1
default-route-advertise type 1 // Aplicar somente se necessário o anuncio de rota default pelo switch
import-route direct type 1 route-policy REDIST_CONNECTED
import-route static type 1 route-policy REDIST_STATIC
silent-interface all
undo silent-interface //vlans de adjacência do OSPF
area 0.0.0.0
authentication-mode md5
network // ip da interface que realizará a adjacência
#

route-policy REDIST_STATIC permit node 10
if-match tag 10
route-policy REDIST_CONNECTED permit node 10
if-match interface //inserir interfaces VLAN locais que deverão ser anunciadas no OSPF
#
interface Vlan-interface //vlan de adjacência
ospf authentication-mode md5 1 cipher ospf999
ospf dr-priority 255 // prioridade para eleição do DR

Para redistribuir rotas estáticas no OSPF, as rotas deverão estar marcadas com TAG=10. Rotas com importância local não deverão conter o TAG, para que não sejam distribuídas no domínio como referências para route-policy REDIST_STATIC Ex:

ip route-static 172.31.0.0 255.240.0.0 192.168.1.1 tag 10
Para redistribuir as interfaces VLANs diretamente conectadas no switch, deveremos declarar a interface VLAN na route-policy REDIST_CONNECTED, para que novas redes de trânsito e outras interfaces com importância local não sejam declaradas no domínio.

Dúvidas? Deixe um comentário!

sexta-feira, 9 de abril de 2010

Switches 3Com 4800G - Link Aggregation

Desculpe-nos, o conteúdo foi migrado para o domínio comutadores.com.br, para acessar clique no link:

http://www.comutadores.com.br/switches-3com-4800g-link-aggregation/

Obrigado

Switches 3Com 4007 - Configurações Básicas - parte 2 de 2

Criando VLANs

Na criação de VLANs, deveremos tomar os seguintes cuidados:

a) Cada Vlan vai possuir um ID que deverá ser o mesmo para todos os módulos e em todos os equipamentos Gigabit da rede;

b) Será visto o conceito de TAGGED 802.1Q. Quando forem definidas as portas utilizadas pela Vlan, cada porta deve ser definida como TAGGED ou UNTAGGED:

TAGGED 802.1Q – Quando se define que uma porta será TAGGED, está sendo informado que esta porta será utilizada como Backbone Port(UP Link), ou seja, por esta porta poderão passar mais de uma Vlan. Esta definição é usada para as portas de Backplane e portas de fibras. Também pode-se definir uma porta (RJ45) como TAGGED, para interligar com outra porta (RJ45) também definida como TAGGED. Para o outro Switch entender a marcação da VLAN. Esse conceito é similar ao das portas TRUNK.

IMPORTANTE: Porta definida como TAGGED, só funcionará se o dispositivo conectado a porta entender os frames "tagueados" (Switches ou Servidores), e se forem definidas as mesmas Vlans para as duas portas.

UNTAGGED – Quando se define que uma porta será UNTAGGED, está sendo informado que a porta será dedicada a uma determinada Vlan, ou seja, somente uma Vlan funcionará nesta porta. Esta definição é usada geralmente em portas de usuários finais (RJ45). Não há marcação no quadro com TAG.

CB9000> connect 7.1 // conectando ao Fabric
Menu options (Corebuilder 9000-1A97FC):

CB9000@slot 7.1 [24G-FAB-T] ():

Menu options (Corebuilder 9000-1A97FC): ------------------------------------
module - Administer module-level functions
ethernet - Administer Ethernet ports
bridge - Administer bridging/VLANs
snmp - Administer SNMP
disconnect - Disconnect and return to Management Console

Type ? for help.
--------------------------------------------------------------------------------
CB9000@slot 7.1 [24G-FAB-T] (): bridge

Menu options (Corebuilder 9000-1A97FC): ------------------------------------
display - Display bridge information
agingTime - Set the bridge address aging time
spanningTree - Administer spanning tree
cos - Administer COS priority queues
port - Administer bridge ports
multicast - Administer multicast filtering
vlan - Administer VLANs
trunk - Administer trunks
link - Administer resilient links

Type "q" to return to the previous menu or ? for help.
--------------------------------------------------------------------------------
CB9000@slot 7.1 [24G-FAB-T] (bridge): vlan


Menu options (Corebuilder 9000-1A97FC): ------------------------------------
summary - Display summary information
detail - Display detail information
define - Define a VLAN
modify - Modify a VLAN
remove - Remove a VLAN
mode - Configure VLAN mode

// criaremos aqui uma Vlan com nome TESTE

Type "q" to return to the previous menu or ? for help.
--------------------------------------------------------------------------------
CB9000@slot 7.1 [24G-FAB-T] (bridge/vlan): define
Enter VID (1 Default-VLAN,2-4094) [2]: 2 // ID da VLAN
Select bridge ports (1,5,9,13-17,21all?): allConfigure per-port tagging? (n,y) [y]: [Enter]
Enter port 1-4 tag type (none,802.1Q) [none]: 802.1QEnter port 5-8 tag type (none,802.1Q) [none]: 802.1Q
Enter port 9-12 tag type (none,802.1Q) [none]: 802.1QEnter port 13 tag type (none,802.1Q) [none]: 802.1Q
Enter port 14 tag type (none,802.1Q) [none]: 802.1QEnter port 15 tag type (none,802.1Q) [none]: 802.1Q
Enter port 16 tag type (none,802.1Q) [none]: 802.1Q
Enter port 17-20 tag type (none,802.1Q) [none]: 802.1Q
Enter port 21-24 tag type (none,802.1Q) [none]: 802.1Q
Enter VLAN Name {?} [ ]: teste

Adicionando Portas a uma VLAN

CB9000> connect 6.1

Menu options (Corebuilder 9000-1C0F38): ------------------------------------
module - Administer module-level functions
ethernet - Administer Ethernet ports
bridge - Administer bridging/VLANs
snmp - Administer SNMP
analyzer - Administer Roving Analysis
disconnect - Disconnect and return to Management Console

Type ? for help.
--------------------------------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (): bridge

Menu options (Corebuilder 9000-1C0F38): ------------------------------------
display - Display bridge information
agingTime - Set the bridge address aging time
spanningTree - Administer spanning tree
cos - Administer COS priority queues
port - Administer bridge ports
multicast - Administer multicast filtering
vlan - Administer VLANs
trunk - Administer trunks
link - Administer resilient links

Type "q" to return to the previous menu or ? for help.
--------------------------------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (bridge): vlan

Menu options (Corebuilder 9000-1C0F38): ----------------------------------
summary - Display summary information
detail - Display detail information
define - Define a VLAN
modify - Modify a VLAN
remove - Remove a VLAN
mode - Configure VLAN mode
Type "q" to return to the previous menu or ? for help.
--------------------------------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (bridge/vlan): modifyEnter VID (2-4094) [2]:
Select bridge ports (1-24all?) [1-24]: 2
Configure per-port tagging? (n,y) [y]:
Enter port 2 tag type (none,802.1Q) [none]: none // configurando a porta 2 untaggedEnter port 37 tag type (none,802.1Q) [none]: 802.1Q // porta taggeadaEnter port 38 tag type (none,802.1Q) [none]: 802.1QEnter VLAN Name {?} []: teste

Verificando as portas adicionadas as VLANs

Menu options (Corebuilder 9000-1C0F38): -----------------------------------
summary - Display summary informationdetail - Display detail information
define - Define a VLAN
modify - Modify a VLAN
remove - Remove a VLAN
mode - Configure VLAN mode

Type "q" to return to the previous menu or ? for help.
--------------------------------------------------------------------------------
CB9000@slot 6.1 [36-E/FEN-TX-L2] (bridge/vlan): sumary

domingo, 4 de abril de 2010

Switches 3Com 4007 - Configurações Básicas - Parte 1 de 2

Estes dias acabei recebendo de 2 colegas da Infraero (Fabinho e Indio) um manual muito bacana dos Switches 3Com 4007 com um passo-a-passo de atividades do dia-a-dia que dividirei em 4 partes.

Para quem não conhece, os Switches da linha 4000 são modulares e possuem função de Camada 3. O equipamento já foi descontinuado pela 3Com.

O Switches 4007 possuem uma interface CLI diferente das utilizadas atualmente, que recebeu o apelido "CLI de menu".

Durante muito tempo tive desânimo em trabalhar com Switches de "menu", mas com o passar do tempo, comecei a me divertir na configuração desses dispositivos. Espero que apreciem....

Na primeira parte falaremos dos Módulos de Gerenciamento, primeiro acesso, configuração de IP de gerência, nome e verificação dos módulos.

Módulos de Gerenciamento

O chassi do 4007 possui 2 slots ( slots 8 e 9) para Módulos de gerenciamento. Esses slots não ocupam espaço útil para módulos de portas.

A comunicação poderá ser efetuada atráves de conector RS-232 (console) ou RJ-45 (rede) .
Primeiro acesso
Para conexão via console utilize os seguintes valores:

Bits per second -> 9600
Data bits -> 8
Parity -> None
Stop bits -> 1
Flow control -> None

Confirme as configurações clicando em OK. Após esse passo, aperte a tecla [Enter] algumas vezes até aparecer o prompt da linha de comando do sistema operacional do 4007, como mostrado a seguir:

Login
Login

digite o usuário e senha para acesso ao equipamento. Por default o equipamento virá com o usuário admin sem a senha configurada.

Para alterar a senha digite:
CB9000> set login password
Enter current session password for user "admin": [Enter]
Enter new password: ****** // entre com a nova senha e tecle [Enter]
Verify - re-enter password: ****** // redigite a senha [Enter]User password changed.

Configuração de endereço de gerência
4007> set ip ip_address 102.1.162.20 ethernet_port // definição de endereço IPIP Address associated with ETHERNET_PORT set to 102.1.162.20.

4007> set ip subnet_mask 255.255.240.0 ethernet_port // definição da máscara de redeSubnet Mask associated with ETHERNET_PORT set to 255.255.240.0.
4007> set eme name // comando para definição do nome do equipamento
Enter eme name:
> CB-020
Eme name changed.

4007> set eme location // comando para definição do local do equipamento
Enter one line of text:
> RACK 302-D
Location changed.

4007> set eme contact // comando para informar contato
Enter one line of text:
> HELPDESK 5555-3096
Contact changed.
Módulos

Para verificação dos módulos conectados ao chassi do Switch digite o comando show module all

4007> show module all

Slot Module Status Description
----- ----------- ------------------ ------------------
01.01 3CB9LF36R Up 36 Port 10/100TX RJ45 Layer 2 Switching Module
02.01 3CB9LF36R Up 36 Port 10/100TX RJ45 Layer 2 Switching Module
03.01 3CB9LF36R Up 36 Port 10/100TX RJ45 Layer 2 Switching Module
04.01 3CB9LF36R Up 36 Port 10/100TX RJ45 Layer 2 Switching Module
06.01 3CB9RF12R Up
12 Port 10/100TX Layer 3 Switching Module
07.01 3CB9FG9 Primary 9 Port Gigabit Switching Fabric
08.01 3CB9EMC Active Enterprise Management Controller
08.02 3CB9EME Primary Enterprise Management Engine

quarta-feira, 17 de fevereiro de 2010

quinta-feira, 4 de fevereiro de 2010