Você está na página 1de 14

Gerenciamento

www.datacom.ind.br
17
Command Line Interface (CLI)
Modo Descrição Acesso
Configuração Usado para configurar DmSwitch3000#configure
Global parâmetros que serão DmSwitch3000(config)#exit ou Ctrl+D
aplicados para todo o DmSwitch3000#
DmSwitch
end ou Ctrl+Z em qualquer nível, sai do modo glogal

Configuração Usado para configurar DmSwitch3000(config)#interface ethernet 1/1


Interface parâmetros de uma ou mais DmSwitch3000(config-if-eth-1/1)#exit ou Ctrl+D
interfaces (range) ethernet, DmSwitch3000(config)#
como velocidade, modo DmSwitch3000(config)#interface ethernet range 1/1 1/8
duplex, controle de fluxo, DmSwitch3000(config-if-eth-1/1-to-1/8)#exit ou Ctrl+D
descrição, etc DmSwitch3000(config)#

Configuração Usado para configurar DmSwitch3000(config)#interface vlan 1


VLAN parâmetros de uma ou mais DmSwitch3000(config-if-vlan-1)#exit
VLANs (range), como as DmSwitch3000(config)#
interfaces que são membros DmSwitch3000(config)#interface vlan range 1 100
da VLAN, endereço IP de DmSwitch3000(config-if-vlan-1-to-100)#exit
gerenciamento, etc DmSwitch3000(config)#

O Command Line Interface (CLI) é utilizado para configurar o switch localmente via porta console, ou remotamente via
Telnet ou SSH. Quando acessar o DmSwitch, você deverá efetuar logon antes de inserir qualquer comando. Por questões
de segurança, o DmSwitch possui dois níveis de usuário:
Usuário Normal- As tarefas típicas incluem aquelas que verificam o status do switch. Neste modo, não são permitidas
alterações na configuração do switch.

Usuário Privilegiado - As tarefas típicas incluem aquelas que alteram a configuração do switch.
Quando efetuar logon como usuário normal, você verá um prompt do modo usuário “>”. Os comandos disponíveis nesse
nível são um subconjunto dos comandos disponíveis no nível privilegiado. Na sua grande maioria, esses comandos
permitem que você exiba as informações sem alterar as definições de configuração do roteador. Para acessar o conjunto
completo de comandos, você deve efetuar login no modo privilegiado. O prompt “#", indica que você está no modo
privilegiado. Para efetuar logoff, digite exit.

•O endereço IP padrão para acesso ao DmSwitch é o 192.168.0.25/24. Para Alterar este endereço conecte ao DmSwitch
via porta console (9600 8N1) como usuário privilegiado:

DmSwitch3000#configure
DmSwitch3000(config)#interface vlan 1
DmSwitch3000(config-if-vlan-1)# ip address <ipaddress/mask>

DM4000#configure
DM4000(config)#interface mgmt-eth
DM4000(config-if-mgmt-eth)#ip address <ipaddress/mask>

www.datacom.ind.br
18
Web

• Endereço IP de
gerência
• Status das
interfaces

• Menu de
configuração
• Janela de
configuração

• Aplicar
alterações

• Para acessar o DmSwitch via interface web, abrir o browser e inserir o endereço IP de gerência. Por default, ambos http
e https estão habilitados no DmSwitch. Será solicitado a autenticação do usuário. Somente o usuário privilegiado poderá
logar:

• Na parte superior da página web, é possível visualizar o status das portas (up ou down), ou o modo duplex de operação
(full ou half) para cada unidade no caso dos switches estarem empilhados.

• Através do Menu de Configuração, localizado no lado esquerdo da página, é possível selecionar a opção que será
configurada.

• Após realizar as alterações na janela de configuração, é necessário aplicar as alterações através do botão Apply que está
na parte inferior esquerda da página web. Nota que este procedimento não salva as alterações, apenas aplica estas
configurações para que fiquem ativas no DmSwitch. Caso o switch seja reinicializado, ele perderá as alterações realizadas.

• Para realizar o logoff, é necessário fechar o browser.

www.datacom.ind.br
19
DmView

O DmView é o Sistema Integrado de Gerência de Rede e de Elemento desenvolvido para supervisionar e configurar os
equipamentos Datacom, disponibilizando funções para gerência de supervisão, falhas, configuração, desempenho,
inventário e segurança. O sistema pode ser integrado a outras plataformas de gerência ou pode operar de forma
independente. Também é possível utilizar diferentes arquiteturas de gerência, desde a operação em campo via notebook
até um projeto centralizado com servidores de aplicação redundantes e múltiplos servidores de terminal para acesso
remoto.
O sistema disponibiliza o acesso às suas funcionalidades através de uma Interface Gráfica amigável e fácil de ser utilizada.
Ele permite o acesso simultâneo de múltiplos usuários em estações de gerência distintas, possibilitando que operadores
diferentes possam gerenciar a mesma rede de equipamentos Datacom. Os usuários do sistema operam com níveis de
acesso distintos, sendo possível restringir a operação por tipo de equipamento ou localidade. Entre as principais
funcionalidades do DmView, é possível citar:
• visualização e monitoração dos equipamentos gerenciados, suas interfaces e CPUs, permitindo identificação do estado
operacional e alarmes ativos;
• recepção e tratamento dos eventos gerados pelos equipamentos, com notificação automática da ocorrência de falhas e
opção para executar ação específica quando determinado evento é recebido;
• execução de ações de diagnóstico e visualização de parâmetros e contadores de desempenho;
• backup programável e rotação do armazenamento da configuração dos elementos gerenciados;
• ferramentas para localização de equipamentos e suas interfaces, incluindo localização por estado operacional,
localidade, cliente atendido, etc;
• visualização dos equipamentos Datacom através de mapas topológicos, com facilidade para criação de localidades e de
links;
• ferramentas para provisionamento de circuitos ponto-a-ponto entre diferentes elementos, permitindo a criação,
alteração e localização de circuitos existentes na rede;
• correlação de eventos por porta e por circuito customizável;
• logs de auditoria para ações de usuários;
• relatórios via interface Web, exportável para os formatos HTML, PDF e CSV, com envio configurável por email e
possibilidade de criar favoritos;
• suporte a servidores redundantes operando em cluster para alta disponibilidade automática;
• suporte a diferentes sistemas operacionais (Microsoft Windows e Sun Solaris ) e bases de dados (Oracle e Firebird ).

www.datacom.ind.br
20
SNMP
• O protocolo SNMP (Simple Network Management Protocol) é um protocolo desenvolvido
para permitir o acesso às informações em ambientes com equipamentos de múltiplos
fabricantes. O SNMP foi adotado como um padrão para redes TCP/IP em 1989 e é
amplamente utilizado nos dias atuais.

Fazem parte do modelo de gerenciamento SNMP os seguintes elementos:


• uma ou mais estações de gerenciamento contendo aplicações de gerenciamento (gerentes)
• um ou mais nodos gerenciados contendo uma entidade de processamento denominada agente
• as informações de gerenciamento (denominadas objetos) presentes em cada nodo gerenciado (agente), que descrevem
a configuração, o estado, as estatísticas e controlam as ações do nodo gerenciado.
O conjunto de dados que os nodos gerenciados suportam é definido através de especificações denominadas MIB
(Management Information Base). As MIBs são descritas utilizando a notação ASN.1 (Abstract Syntax Notation One), que
especifica como as informações serão codificadas, ex: OID: 1.3.6.1.2.1.1.3 (sysUpTime). Um agente pode suportar um ou
mais módulos MIB, incluindo as MIBs padrões, especificadas através de RFCs, ex: MIB-I (RFC1066, RFC1156) de 1990 e
MIB-II (RFC 1158, RFC 1213) e as MIBs proprietárias, definidas pelos fabricantes dos equipamentos para seus produtos
específicos.
As operações em SNMP são limitadas a recuperar os valores do conjunto de dados gerenciados, modificar estes valores e
avisar a ocorrência de um evento. Existem quatro tipos de operações no protocolo SNMPv1:
• GetRequest: operação para recuperação do valor de uma informação gerenciada (objeto) específica. O nodo
gerenciado (agente) responderá com a mensagem GetResponse.
• GetNextRequest: operação para recuperação dos valores de informaçõesgerenciadas seqüenciais em uma MIB. O nodo
gerenciado responderá com a mensagem GetResponse.
• SetRequest: operação para modificar o valor de uma informação gerenciada específica pertencente à MIB. O nodo
gerenciado responderá com a mensagem GetResponse.
• Trap: mensagem de gerenciamento enviada pelo nodo gerenciado informando a ocorrência de um evento significativo.
A trap tem um formato exclusivo.

SNMP Protocol Data Unit (PDUs):


• Versão: Para garantir que gerente e agente estão executando a mesma versão do protocolo. Mensagens com versões
diferentes são descartadas. As atuais versões são SNMPv1, SNMPv2c e SNMPv3
• Comunidade: Garante o acesso a um conjunto limitado de objetos da MIB. Caso exista diferenças na comunidade é
emitido pelo agente uma trap que indica falha de autenticação
Caso a versão e comunidade estejam consistentes então é processada a PDU logo a seguir

Version Community PDU GetRequest, GetNextRequest, GetResponse ou SetRequest

www.datacom.ind.br
21
Configuração SNMP

• Parâmetros para configuração do SNMP:


DmSwitch3000(config)#ip snmp-server [?]
community Define SNMP community access string
contact Set system contact string
host Specify SNMP notification operation recipients
location Set system location information
traps Enable sending of SNMP traps
user Define a SNMPv3 user
<enter> Enable SNMP server

• Configurando uma community de leitura e escrita:


DmSwitch3000(config)#ip snmp-server community <text> rw

• Configurando um gerente SNMP para receber traps:


DmSwitch3000(config)#ip snmp-server host <ipaddress> version <1 | 2c | 3> <text>

• Configurando Informações de contato e localização do switch:


DmSwitch3000(config)#ip snmp-server contact <text>
DmSwitch3000(config)#ip snmp-server location <text>

Configurações Default:

• Criada a community public de somente leitura:


ip snmp-server community public ro

• Todas as traps estão habilitadas:


DmSwitch3000(config)#show ip snmp-server traps
TRAP STATUS
alarm-status-change enable
authentication enable
cold-warm-start enable
config-change enable
config-save enable
critical-event-detected enable
critical-event-recovered enable
duplicated-ip enable
eaps-status-change enable
fan-status-change enable
forbidden-access enable
link-flap-detected enable
link-flap-no-more-detected enable
link-up-down enable
login-fail enable
login-success enable
loopback-detected enable
loopback-no-more-detected enable
power-status-change enable
sfp-presence enable
stack-attach enable
stack-detach enable
traps-lost enable
unidir-link-detected enable
unidir-link-recovered enable
port-security-violation enable

www.datacom.ind.br
22
Lista de Controle de Acesso (ACL)

• As ACLs são usadas para filtrar endereços IP que gerenciam o DmSwitch, negando acesso aos
endereços que não estejam explicitamente declarados. Os filtros podem ser criados para
permitir acesso dos clientes http, snmp, telnet ou ssh individualmente ou para todos
simultaneamente.

• Parâmetros para configuração das ACLs:


DmSwitch3000(config)#management [?]
all-client Add IP addresses to SNMP, SSH, HTTP and Telnet groups
http-client Add IP addresses to the HTTP group
snmp-client Add IP addresses to the SNMP group
telnet-client Add IP addresses to the Telnet group
ssh-client Add IP addresses to the SSH group

• Adicionando Endereços IP para permitir acesso:


DmSwitch3000(config)#management <all-client | http-client | snmp-client | telnet-client |
ssh-client> <ipaddress/mask>

• Número máximo de conexões simultâneas para cada tipo de acesso:


DmSwitch3000(config)#ip <http | telnet | ssh> max-connections <1-32>

Configurações Default:

• Somente o acesso via SSH está desabilitado:


ip telnet server
ip http server
ip http secure-server
ip snmp-server
no ip ssh server

• Máximo de 8 acessos simultâneos por serviço.

• Não há ACLs hábilitadas:


DmSwitch3000(config)#sho management all-client
Management IP filter:
Telnet client:

HTTP client:

SNMP client:

SSH client:

www.datacom.ind.br
23
Local and Remote User Authentication

• Por padrão, usuários e permissões são armazenados em uma base de dados local.
• O DmSwitch suporta também autenticação remota de usuários através de RADIUS ou
TACACS+ servers.
• Suporte há multiplos servidores de autenticação para garantir disponibilidade.

O DmSwitch permite que os usuários sejam autenticados em um servidor remoto RADIUS ou TACACS+.
O DmSwitch suporte múltiplos métodos de autenticação, sendo possível configurar a autenticação na base local e através
de servidor remoto:
• Quando configurado como primeira opção a autenticação em servidor remoto e após na base local, e ocorra uma falha
no servidor remoto, será feita a busca pelo usuário na base de dados local. Mas se o servidor remoto esteja ativo e não
encontre em sua base de dados o usuário que está tentando realizar o login, o acesso será negado e não será feita a
busca na base de dados local do DmSwitch nem em outras servidores remotos caso estejam configurados.
• No caso em que seja configurado o login local como primeira opção, se o usuário não constar na base de dados local,
será feita a busca nos servidores remotos.
Podem ser configurados até 5 servidores RADIUS e 1 servidor TACACS+ para garantir disponibilidade caso algum dos
servidores falhe. O servidor estará em falha quando o serviço não esteja ativo, neste caso o DmSwitch irá buscar em outro
servidor conforme a ordem em que foram configurados. Os parâmetros do servidor RADIUS podem ser configurados de
forma global, ou individual por servidor.
Deve-se tomar o cuidado de manter pelo menos um usuário criado localmente e habilitar login local. Na falta de um
usuário local, e no caso de falha de todos os servidores remotos, não será possível logar no DmSwitch.

www.datacom.ind.br
24
Configuração de Usuários e Autenticação

• Ordem de Autenticação:
DmSwitch3000(config)#authentication login [?]
local Local database
radius RADIUS server authentication
tacacs Configure login to TACACS server

DmSwitch3000(config)#authentication login <local | radius | tacacs> <local | radius | tacacs>


<local | radius | tacacs>

• Criação de Usuário Local:


DmSwitch3000(config)#username <user> access-level <0 | 15>
DmSwitch3000(config)#username <user> password 0 <password>

• Configuração do servidor RADIUS:


DmSwitch3000(config)#radius-server key <text>
DmSwitch3000(config)#radius-server host <1-5> address <ipaddress>

• Configuração do servidor TACACS+:


DmSwitch3000(config)#tacacs-server key <text>
DmSwitch3000(config)#tacacs-server host <ipaddress>

• Opções de configuração para autenticação no servidor RADIUS:


DmSwitch3000(config)#radius-server [?]
acct-port RADIUS default server accounting port
auth-port RADIUS default server authentication port
host RADIUS server IP
key RADIUS default server key
retries RADIUS server retries
timeout RADIUS server timeout

DmSwitch3000(config)#radius-server host <1-5> [?]


accounting Enable RADIUS accounting
acct-port Specify RADIUS server accounting port
authentication Enable RADIUS authentication
auth-port Specify RADIUS server authentication port
address Specify RADIUS server IP address
key Specify RADIUS server key

• Opções de configuração para autenticação no servidor TACACS+:


DmSwitch3000(config)#tacacs-server [?]
host Login TACACS server IP
key Login TACACS server key
port Login TACACS server port

www.datacom.ind.br
25
IEEE 802.1x

LANs, como foi definido pelo IEEE 802.1D in 1998, permitem acesso de usuários e dispositivos não autorizados que
podem ser conectados fisicamente a rede. Neste contexto, a possibilidade de restringir o acesso a rede se tornou uma
questão importante. O padrão IEEE 802.1x estabelece um mecanismo de segurança por porta que permite acesso
somente a usuários e dispositivos autorizados.

Seqüência de autenticação do IEEE 802.1x:


• O suplicante deseja acessar a rede, então ele envia um Extensible Authentication Protocol Over LAN (EAPOL) Start
message para o autenticador.
• O autenticador recebe o EAPOL Start message e envia um Extensible Authentication Protocol (EAP) Request para o
cliente, solicitando sua identidade. Também é possível que o autenticador detecte a presença de um cliente e envia o
mesmo EAP request.
• O suplicante responde com sua identidade.
• A identidade do suplicante é então encaminhada usando um EAP message para o servidor de autenticação (geralmente
um servidor RADIUS)
• O servidor de autenticação desafia o suplicante
• O suplicante responde com suas credenciais
• Se as credenciais forem aprovadas pelo servidor, o acesso é permitido para o suplicante
• O suplicante pode enviar e receber o tráfego normalmente.
• Quando o suplicante deseja desconectar da rede, ele envia um EAPOL Logoff message.

Para implementar o 802.1x port security, deve-se verificar os seguintes requisitos:


•O DmSwitch deve estar configurado com um endereço IP e com um default-gateway opcionalmente
•Ao menos um servidor RADIUS deve estar configurado
•Cada cliente deve possuir um software 802.1x suplicante
•O servidor radius e os clientes devem suportar

www.datacom.ind.br
26
Configurando IEEE 802.1x

• Habilita 802.1x globalmente:


DmSwitch3000(config)#dot1x system-auth-control

• Retorna as configurações default e desabilita o 802.1x:


DmSwitch3000(config)#dot1x default

• Parâmetros para configuração das interfaces:


DmSwitch3000(config)#interface ethernet <1-8>/<1-28>
DmSwitch3000(config-if-eth-1/1)#dot1x [?]
guest-vlan 802.1X Guest VLAN
max-req Max EAP request/identity packet retransmissions
port-control Set the 802.1X mode on a port interface
re-authentication Enables periodic re-authentication
restricted-vlan 802.1X Restricted VLAN
timeout Timeout value

Ao habilitar o dot1x de forma global, os clientes 802.1x já poderão logar na rede desde que um servidor RADIUS esteja
configurado. Abaixo a descrição do Parâmetros para configuração das interfaces:
• guest-vlan: Clientes que não suportam 802.1x serão colocados nesta VLAN quando o servidor não receber uma
resposta para seu EAPOL Request. A VLAN deve estar criada no switch.
• max-req: Número máximo de EAP messages transmitidas pelo switch antes de encerrar a tentativa de autenticação
(default: 2)
• port-control:
- auto: Apenas clientes 802.1x poderão logar no switch.
- force-auth: Todos os clientes terão acesso a rede. Os cliente que não suportam 802.1x serão encaminhados para a
guest-vlan (default)
- force-unauth: Nenhum cliente terá acesso a rede
• re-authentication: Esta função força a re-autenticação periódica
• restricted-vlan: Clientes que suportam 802.1x e o processo de autenticação falhou, serão colocados nesta VLAN.
• timeout:
- quiet-period: Período após o max-req antes de transmitir novas mensagens (default: 60s)
- re-authperiod: Período que os clientes já conectados devem re-autenticar (default: 3600s)
- tx-period: Período em que o switch aguarda para retransmitir pacotes EAP (default: 30s)

www.datacom.ind.br
27
Logging
• Parâmetros para a configuração do logging:
DmSwitch(config)#logging [?]
facility Set the facility type for remote logging
history Configure level of events to be stored in memory
host Configure a remote syslog server
on Configure logging of events
sendmail Configure smtp event handling
trap Configure level of events sent to remote server

• Configurando níveis de eventos na memória Flash e RAM:


DmSwitch(config)#logging history flash <0-7>
DmSwitch(config)#logging history ram <0-7>

• Configurando envio de traps para um servidor remoto:


DmSwitch(config)#logging host <ipaddress>
DmSwitch(config)#logging trap <0-7>

• Verificando os logs do sistema:


DmSwitch(config)#show log flash
DmSwitch(config)#show log ram

O logging registra os eventos que ocorrem no switch. Os eventos podem ser salvos na memória RAM, Flash,
encaminhados para um servidor syslog ou enviados por e-mail.Por padrão o logging está ativo loggin on.
Quando configuramos o nível de evento que será logado, na verdade estamos configurando o range a partir do nível 0
(maior severidade) até o nível que está sendo configurado. Portanto, uma configuração com nível de evento 3, irá logas
mensagens do nível 0 à 3.

Configurações Default:
DM4000(config)#show logging flash
Syslog logging: Enabled
History logging in flash: error (3)
DM4000(config)#show logging ram
Syslog logging: Enabled
History logging in RAM: info (6)
DM4000(config)#show logging trap
Syslog logging: Enabled
REMOTELOG status: Enabled
REMOTELOG facility type: 23
REMOTELOG level type: info (6)

Os eventos logados na memória RAM serão perdidos após o reboot do switch.

www.datacom.ind.br
28
Atualização e Escolha de Firmware

• Atualizando o firmware do switch a partir de um servidor TFTP:


DM4000#copy tftp <ipaddress> <filename> firmware unit [?]
range Range of units
1-8 Unit number

• Selecionando o firmware que será marcado como startup:


DM4000#select firmware <1-2> unit <1-8>

A atualização de firmware pode ser feita via DmView, http/https e por CLI a partir de um servidor TFTP através do
comando copy.
Após o envio do arquivo de firmware para o switch, os dados serão gravados em memória sobrescrevendo o firmware
que está inativo, sendo possível armazenar dois firmwares simultâneamente. Este processo pode levar alguns minutos.
Quando a gravação do novo firmware for concluida, será necessário rebootar o switch para que o novo firmware entre
em funcionamento.
Através do comando show firmware, é possível verifcar as versões de firmware que estão armazenadas, qual está ativa (R)
e qual está marcada com a flag startup (S).

DmSwitch3000#show firmware
Running firmware:
Firmware version: 5.0
Stack version: 2
Compile date: Fri Sep 21 21:03:31 UTC 2007

Flash firmware:
ID Version Date Flag Size
1 4.3 25/06/2007 17:16:54 8284544
2 5.0 21/09/2007 21:03:44 RS 8725360

Flags:
R - Running firmware.
S - To be used upon next startup.
E - Empty/Error

Para deletar um dos firmwares armazenados na flash, utilizar o comando erase:


DM4000#erase firmware <1-2>

www.datacom.ind.br
29
Arquivos de Configuração
• Selecionando o arquivo da flash que será marcado como startup:
DM4000#select startup-config <1-4>

• Salvando a configuração ativa na flash já marcada como Startup:


DM4000#copy running-config startup-config

• Salvando a configuração ativa e alterando a flash que será marcada como startup:
DM4000#copy running-config startup-config <1-4> <config_name>

• Salvando a configuração ativa na flash :


DM4000#copy running-config flash-config <1-4> <config_name>

• Salvando a configuração da flash em um arquivo no servidor TFTP:


DM4000#copy flash-config <1-4> tftp <ipaddress> [?]
<text> Name of file
<enter> Use config name, or <Hostname_FlashIndex> if no config name

• Ativando a configuração default:


DM4000#copy default-config running-config

• Verificando diferenças entre a configuração ativa e a startup-config:


DM4000#diff running-config startup-config

Por CLI, a manipulação dos arquivos de configuração também é feita através do comando copy. Este comando possui
várias combinações de parâmetros que permitem selecionar diversas origens e destinos para as configurações. É possível
armazenar até 4 configurações diferentes no switch. Através do comando show flash, pode-se verificar qual a flash-config
está marcada com a flag de startup (S). Por default, nenhuma das 4 posições da flash, está marcada como startup.

DM4000#show flash

BootLoader version: 1.1.2-11

Flash firmware:
ID Version Date Flags Size
1 5.0 26/12/2007 20:05:59 RS 9834560
2 E

Flash config:
ID Name Date Flags Size
1 treinamento 01/01/1970 00:15:17 S 12685
2 E
3 E
4 E

Flags:
R - Running firmware.
S - To be used upon next startup.
E - Empty/Error

Para deletar uma das 4 configurações armazenadas na flash, utilizar o comando erase:
DM4000#erase flash-config <1-4>

www.datacom.ind.br
30