Escolar Documentos
Profissional Documentos
Cultura Documentos
145
Configurando e gerenciando
interfaces e serviços IP
Suporte MTU
O WLAN Security Switch 2300 Series (Software WSS) suporta unidades de transmissão máxima padrão (MTUs) de 1514 bytes para
pacotes Ethernet padrão e 1518 bytes para pacotes Ethernet com uma etiqueta 802.1Q. O Software WSS não oferece suporte à alteração
da MTU por meio da configuração do software, e o Software WSS não faz a descoberta de MTU de caminho.
A comunicação entre WSSs é suportada em qualquer MTU de caminho, e o próprio domínio de mobilidade pode ser executado no
MTU de caminho IP mínimo (PMTU). No entanto, os túneis entre dois WSSs exigem um MTU de caminho de pelo menos 1384 bytes.
Esse caminho MTU mínimo é necessário porque os dispositivos da Nortel usam túneis IP para transportar o tráfego do usuário entre
WSSs e para transportar o tráfego do usuário e controlar o tráfego entre switches e APs. O encapsulamento dos pacotes para
encapsulamento adiciona 44 bytes adicionais aos cabeçalhos dos pacotes, de modo que o software WSS fragmenta e remonta os pacotes,
se necessário, para caber nos MTUs suportados. No entanto, o software WSS não oferece suporte à desfragmentação, exceto na
extremidade receptora de um túnel IP e apenas para remontar fragmentos criados por outro dispositivo Nortel para encapsulamento.
Se a MTU do caminho entre os dispositivos da Nortel for menor que 1384 bytes, um dispositivo no caminho poderá fragmentar ou
descartar um pacote encapsulado. Se o pacote for fragmentado ainda mais, o WSS receptor não poderá remontar os fragmentos e o
pacote será descartado.
As interfaces IP são associadas a VLANs. Pelo menos uma VLAN em um WSS deve ter uma interface IP para fornecer acesso de
gerenciamento. Opcionalmente, as outras VLANs configuradas no switch também podem ter uma interface IP. Cada interface IP deve
pertencer a uma sub-rede IP exclusiva e não sobreposta.
O cliente DHCP do software WSS permite que um WSS obtenha sua configuração de IP de um servidor DHCP. Um switch pode usar o
cliente DHCP para obter as seguintes informações de configuração:
• endereço de IP
•
Roteador padrão (gateway)
• nome de domínio DNS
O cliente DHCP é implementado de acordo com “RFC 2131: Dynamic Host Configuration Protocol” e “RFC 2132: DHCP Options and
BOOTP Vendor Extensions”. O cliente suporta as seguintes opções:
•
(12) Nome do host (o nome do sistema WSS)
•
(55) Lista de solicitações de parâmetros, consistindo em (1) Máscara de sub-rede, (3) Roteador, (15) Nome de domínio e (6)
Servidor de nomes de domínio
•
(60) Identificador de classe de fornecedor, definido como NRTL xxx, onde xxx é a versão do software WSS
O cliente DHCP é habilitado por padrão em um 2350 não configurado quando a chave de redefinição de fábrica é pressionada e mantida
durante a inicialização. O cliente DHCP é desabilitado por padrão em todos os outros modelos de comutador e é desabilitado em um 2350
se o comutador já estiver configurado ou se o botão de redefinição de fábrica não for pressionado e mantido durante a inicialização.
O software WSS também possui um servidor DHCP configurável. (Consulte “Servidor DHCP” na página 803.) Você pode configurar um
cliente DHCP e um servidor DHCP na mesma VLAN, mas somente o cliente ou o servidor podem ser ativados. O cliente DHCP e o
servidor DHCP não podem ser habilitados na mesma VLAN ao mesmo tempo.
O software WSS envia um ARP para o endereço IP oferecido pelo servidor DHCP para verificar se o endereço ainda
não está em uso.
• Se o endereço não estiver em uso, o WSS Software configura a VLAN que tem o cliente DHCP habilitado
com o endereço IP recebido do servidor DHCP. O Software WSS então configura os outros valores da
seguinte forma:
ÿ Roteador padrão—O software WSS adiciona uma rota padrão para o gateway, com uma métrica de 10.
ÿ Nome de domínio DNS e endereço IP do servidor DNS—Se o nome de domínio padrão e o endereço IP do servidor
DNS já estiverem configurados no switch e o DNS estiver habilitado, os valores configurados serão usados. Caso
contrário, os valores recebidos do servidor DHCP são usados.
• Se o endereço oferecido pelo servidor DHCP já estiver em uso, o software WSS envia um DHCP Decline
mensagem para o servidor e gera uma mensagem de log.
• Se o endereço estiver em uma sub-rede que já esteja configurada em outra VLAN no switch, o
software WSS envia uma mensagem DHCP Decline ao servidor e gera uma mensagem de log.
Se o switch for desligado ou reiniciado, o software WSS não retém os valores recebidos do servidor DHCP.
No entanto, se a interface IP ficar inativa, mas o software WSS ainda estiver em execução, o software WSS tentará reutilizar o endereço
quando a interface voltar a funcionar.
Você pode configurar o cliente DHCP em mais de uma VLAN, mas o cliente pode estar ativo em apenas uma VLAN.
Para remover todas as informações de IP de uma VLAN, incluindo o cliente DHCP e o servidor DHCP configurado pelo usuário, use o
seguinte comando:
A tabela de interface IP sinaliza o endereço atribuído por um servidor DHCP com um asterisco ( * ). No exemplo a seguir, a VLAN corpvlan
recebeu o endereço IP 10.3.1.110 de um servidor DHCP.
Cuidado! Se você remover a interface IP que está sendo usada como endereço IP do sistema, os
recursos que exigem o endereço IP do sistema não funcionarão corretamente.
Você pode designar um dos endereços IP configurados em um WSS para ser o endereço IP do sistema do switch. O endereço IP do sistema determina a
interface ou endereço IP de origem que o software WSS usa para tarefas do sistema, incluindo o seguinte:
•
Operações do domínio de mobilidade
mostrar sistema
Para rotas de destino que não estão diretamente anexadas, você pode adicionar rotas estáticas. Uma rota estática especifica o destino e o roteador
padrão pelo qual encaminhar o tráfego. Você pode adicionar os seguintes tipos de rotas estáticas:
•
Rota explícita — Caminho de encaminhamento do tráfego para um destino específico
•
Rota padrão — Caminho de encaminhamento do tráfego para um destino sem uma rota explícita na tabela de rotas
Um destino pode ser uma sub-rede ou rede. Se duas rotas estáticas especificarem um destino, a rota mais específica será sempre escolhida
(correspondência de prefixo mais longo). Por exemplo, se você tem uma rota estática com destino 10.10.1.0/24 e outra rota estática com destino
10.10.0.0/16, a primeira rota estática é escolhida para chegar a 10.10.1.15, porque tem a maior correspondência de prefixo.
Se a tabela de rotas IP contiver uma rota explícita para um determinado destino, o WSS Software usará a rota. Caso contrário, o Software WSS usa
uma rota padrão. Por exemplo, se a tabela de rotas não tiver uma rota para o host 192.168.1.10, o WSS usará a rota padrão para encaminhar um
pacote endereçado a esse host. A Nortel recomenda que você configure pelo menos um padrão
rota.
Você pode configurar no máximo quatro rotas por destino. Isso inclui rotas padrão, que têm destino 0.0.0.0/0. Cada rota para um determinado
destino deve ter um endereço de gateway exclusivo. Quando a tabela de rotas contém várias rotas padrão ou várias rotas explícitas para o mesmo
destino, o WSS Software usa a rota com a métrica mais baixa (custo para usar a rota). Se duas ou mais rotas para o mesmo destino tiverem o menor
custo, o WSS Software seleciona a primeira rota na tabela de rotas.
O software WSS pode usar uma rota somente se a rota for resolvida por uma rota direta em uma das VLANs do switch WSS.
Observação. Antes de adicionar uma rota estática, use o comando show interface para verificar se o switch tem uma
interface IP na mesma sub-rede que o roteador padrão da rota (gateway). O software WSS requer as rotas da interface para
resolver a rota estática. Se o switch não tiver uma interface na sub-rede do roteador padrão, a rota estática não poderá ser
resolvida e o campo VLAN:Interface da saída do comando show ip route mostrará que a rota estática está inativa.
Exibindo rotas IP
Para exibir rotas IP, use o seguinte comando:
Este exemplo mostra rotas dinâmicas adicionadas pelo software WSS para duas interfaces VLAN, 10.0.1.1/24 na VLAN 1 e 10.0.2.1/24
na VLAN 2.
Este exemplo também mostra duas rotas estáticas, que têm um valor de tipo de próximo salto (Tipo NH) de Roteador. As rotas
estáticas têm um roteador padrão, listado no campo Gateway. O destino 0.0.0.0 representa uma rota padrão.
Aqui, o roteador padrão 10.0.1.17 é acessível através da sub-rede na VLAN 1. A rota 10.0.1.1/24 resolve a rota estática que usa
o roteador padrão. O roteador padrão 10.0.2.17 é acessível através da sub-rede na VLAN 2 e a rota 10.0.2.1/24 resolve a rota
estática para esse gateway.
O software WSS adiciona rotas com os tipos de próximo salto Direto e Local quando você adiciona uma interface IP a uma VLAN,
quando a VLAN está ativa. As rotas diretas são para as sub-redes conectadas localmente nas quais os endereços IP do switch estão.
As rotas locais são para interfaces de destino configuradas no próprio WSS.
O software WSS adiciona automaticamente a rota 224.0.0.0 para suportar o recurso de espionagem IGMP.
Se uma VLAN for desabilitada administrativamente ou todos os links na VLAN ficarem inativos ou desabilitados, o software WSS
remove as rotas da VLAN da tabela de rotas. Se a rota direta exigida por uma rota estática ficar inativa, o WSS Software altera o
estado da rota estática para Inativo. Se a tabela de rotas contém outras rotas estáticas para o mesmo destino, o WSS Software
seleciona a rota resolvida que tem o menor custo. No exemplo a seguir, a rota padrão para 10.0.1.17 está inativa, então o WSS
Software seleciona a rota padrão para 10.0.2.17.
(Para obter mais informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch
2300 Series.)
definir rota ip {padrão | máscara ip-addr | ip-addr/ mask-length} métrica de roteador padrão
A métrica (custo) pode ser qualquer número entre 0 e 2.147.483.647. As rotas de custo mais baixo são preferidas às rotas de custo mais
alto. Quando você adiciona várias rotas ao mesmo destino, o WSS Software agrupa as rotas e as ordena do custo mais baixo na parte
superior do grupo ao custo mais alto na parte inferior do grupo. Se você adicionar uma nova rota que tenha o mesmo destino e custo de
uma rota já na tabela, o WSS Software coloca a nova rota no topo do grupo de rotas com o mesmo custo.
Para adicionar uma rota padrão que usa o roteador padrão 10.5.4.1 e tem um custo de 1, digite o seguinte comando:
Observação. Depois de remover uma rota, o tráfego que usa a rota não pode mais
chegar ao seu destino. Por exemplo, se você estiver gerenciando o WSS com uma sessão
Telnet e a sessão precisar da rota estática, a remoção da rota também remove a conexão
Telnet com o switch.
O comando a seguir remove a rota para 192.168.4.69/24 que usa o roteador defaultgateway 10.2.4.1:
Shell Seguro (SSH) O SSH fornece uma conexão segura à CLI por meio da porta TCP 22.
Telnet O Telnet fornece uma conexão não segura à CLI por meio da porta
TCP 23.
HTTPS O HTTPS fornece uma conexão segura ao aplicativo de gerenciamento
da Web por meio da porta TCP 443.
O SSH é ativado por padrão. Telnet e HTTPS são desabilitados por padrão.
Um 2380 pode ter até oito sessões de Telnet ou SSH, em qualquer combinação, e uma sessão de console. Um 2360/2361-8 ou
2350 pode ter até quatro sessões Telnet ou SSH, em qualquer combinação, e uma sessão de console.
Gerenciando SSH
O software WSS suporta Secure Shell (SSH) Versão 2. O SSH fornece acesso de gerenciamento seguro à CLI pela rede. O SSH requer um
nome de usuário e senha válidos para acesso ao switch. Quando um usuário insere um nome de usuário e uma senha válidos, o SSH estabelece
uma sessão de gerenciamento e criptografa os dados da sessão.
Quando você acessa o servidor SSH em um WSS, o WSS Software permite que você pressione Enter por 10 segundos para o prompt do
nome de usuário. Após a exibição do prompt de nome de usuário, o WSS Software permite 30 segundos para inserir um nome de usuário e
senha válidos para concluir o login. Se você não pressionar Enter ou concluir o login antes que o cronômetro expire, o WSS Software encerrará a
sessão. Esses temporizadores não são configuráveis.
Observação. Para garantir que todas as sessões de gerenciamento CLI sejam criptografadas, depois de configurar
o SSH, desative o Telnet.
Ativando SSH
O SSH é ativado por padrão. Para desativá-lo ou reativá-lo, use o seguinte comando:
O SSH requer uma chave de autenticação SSH. Você pode gerar um ou permitir que o WSS Software gere um. Na primeira vez que um cliente
SSH tenta acessar o servidor SSH em um WSS, o switch gera automaticamente uma chave SSH de 1024 bytes. Se você quiser usar uma chave
de 2048 bytes, use o seguinte comando para gerar uma:
Se uma chave já foi gerada, o comando substitui a chave antiga por uma nova. A nova chave tem efeito para todas as novas sessões SSH.
Por exemplo:
Este comando exibe a soma de verificação (também chamada de impressão digital) da chave pública. Quando você se conecta inicialmente ao
WSS com um cliente SSH, pode comparar a soma de verificação da chave SSH exibida pelo WSS com a exibida pelo cliente para verificar se
você realmente está conectado ao WSS e não a outro dispositivo. Geralmente, os clientes SSH lembram da chave de criptografia após a primeira
conexão, portanto, você precisa verificar a chave apenas uma vez.
O WSS armazena a chave em um armazenamento não volátil onde a chave permanece mesmo após a reinicialização do software.
Para fazer login com SSH, um usuário deve fornecer um nome de usuário e uma senha válidos. Para adicionar um nome de usuário e senha ao
banco de dados local, use o seguinte comando:
Opcionalmente, você também pode configurar o software WSS para autenticar localmente o usuário ou usar um servidor RADIUS para autenticar
o usuário. Use o seguinte comando:
Para adicionar o usuário administrativo mxadmin com a senha letmein e usar o grupo de servidores RADIUS sg1 para autenticar o usuário, digite
os seguintes comandos:
(Para obter mais informações, consulte “Adicionando e limpando usuários locais para acesso administrativo” na página 84.)
Para alterar a porta SSH em que o WSS escuta conexões SSH, use o seguinte comando:
Cuidado! Se você alterar o número da porta SSH de uma sessão SSH, o WSS Software encerrará
imediatamente a sessão. Para abrir uma nova sessão de gerenciamento, você deve configurar o cliente
SSH para usar o novo número de porta SSH.
Observação. Se você digitar o comando clear sessions admin ssh de dentro de uma sessão SSH, a sessão terminará
assim que você pressionar Enter.
3 sessões de administração
Gerenciando Telnet
O Telnet requer um nome de usuário e uma senha válidos para acesso ao switch.
Após a exibição do prompt de nome de usuário, o WSS Software permite 30 segundos para inserir um nome de usuário e senha
válidos para concluir o login. Se você não pressionar Enter ou concluir o login antes que o cronômetro expire, o WSS Software encerrará
a sessão. Este temporizador não é configurável.
Ativando o Telnet
O Telnet está desabilitado por padrão. Para habilitar o Telnet, use o seguinte comando:
Para efetuar login com Telnet, um usuário deve fornecer um nome de usuário e uma senha válidos. Para adicionar um nome de usuário
e senha ao banco de dados local, use o seguinte comando:
Opcionalmente, você também pode configurar o software WSS para autenticar localmente o usuário ou usar um servidor RADIUS para
autenticar o usuário. Use o seguinte comando:
Você pode usar o mesmo nome de usuário e senha para SSH ou criar um novo. Para obter um exemplo de CLI, consulte “Adicionando
um usuário SSH” na página 162.
mostrar telnet ip
Para exibir o status do servidor Telnet e o número da porta TCP na qual um WSS escuta o tráfego Telnet, digite o seguinte comando:
Para alterar a porta TCP em que o WSS escuta conexões Telnet, use o seguinte comando:
Cuidado! Se você alterar o número da porta Telnet de uma sessão Telnet, o WSS Software encerrará
imediatamente a sessão. Para abrir uma nova sessão de gerenciamento, você deve usar o Telnet
para o switch com o novo número de porta Telnet.
Para redefinir o serviço de gerenciamento Telnet para sua porta TCP padrão, use o seguinte comando:
limpar telnet ip
Esses comandos exibem e limpam sessões de gerenciamento de um cliente remoto para o servidor Telnet do WSS.
Observação. Se você digitar o comando clear sessions admin telnet de dentro de uma sessão Telnet, a sessão terminará
assim que você pressionar Enter.
3 sessões de administração
(Para gerenciar as sessões do cliente Telnet, consulte “Efetuando login em um dispositivo remoto” na página 190.)
Gerenciando HTTPS
Ativando HTTPS
HTTPS está desabilitado por padrão. Para habilitar o HTTPS, use o seguinte comando:
Cuidado! Se você desabilitar o servidor HTTPS, o acesso do Web View ao switch também será
Desativado.
mostrar ip https
Para exibir informações para o servidor HTTPS de um WSS, digite o seguinte comando:
Últimas 10 conexões:
Endereço IP conectado pela última vez Tempo atrás (s)
------------ ----------------------- ------------
O comando lista o número da porta TCP na qual o switch escuta conexões HTTPS. O comando também lista os últimos 10
dispositivos para estabelecer conexões HTTPS com o switch e quando as conexões foram estabelecidas.
Se um navegador se conectar a um WSS por trás de um proxy, somente o endereço IP do proxy será mostrado. Se vários
navegadores se conectarem usando o mesmo proxy, o endereço do proxy aparecerá apenas uma vez na saída.
Você pode especificar de 0 a 86.400 segundos (um dia). O padrão é 3600 (uma hora). Se você especificar 0, o tempo limite de inatividade será
desabilitado. O intervalo de tempo limite é em incrementos de 30 segundos. Por exemplo, o intervalo pode ser 0, ou 30 segundos, ou 60
segundos, ou 90 segundos, e assim por diante. Se você inserir um intervalo que não seja divisível por 30, a CLI arredonda para o próximo
incremento de 30 segundos. Por exemplo, se você inserir 31, a CLI arredondará para 60.
Este comando se aplica a todos os tipos de sessões de gerenciamento CLI: console, Telnet e SSH. A alteração de tempo limite se aplica
apenas a sessões existentes, não a novas sessões.
O comando a seguir define o tempo limite de inatividade para 1800 segundos (meia hora):
Para redefinir o tempo limite ocioso para seu valor padrão, use o seguinte comando:
Para exibir a configuração atual (se o tempo limite foi alterado do padrão), use o sistema show config area
comando. Se você não tiver certeza se o tempo limite foi alterado, use o comando show config all .
Por exemplo, como alternativa ao comando ping 192.168.9.1, você pode digitar o comando ping chris.example.com.
Quando você insere ping chris.example.com, o cliente DNS do WSS consulta um servidor DNS para obter o endereço IP que
corresponde ao nome do host chris.example.com e, em seguida, envia a solicitação de ping para esse endereço IP.
O cliente DNS do switch WSS está desabilitado por padrão. Para configurar o DNS:
• Habilite o cliente DNS.
•
Especifique os endereços IP dos servidores DNS.
•
Configure um nome de domínio padrão para consultas DNS.
O WSS sempre envia uma solicitação ao servidor DNS primário primeiro. O WSS envia uma solicitação para um servidor DNS secundário
somente se o servidor DNS primário não responder.
Para substituir o nome de domínio padrão ao inserir um nome de host em um comando da CLI, insira um ponto no final do nome
de host. Por exemplo, se o nome de domínio padrão for example.com, insira chris. se o nome do host for chris
e não chris.example.com.
Os aliases têm precedência sobre o DNS. Quando você insere um nome de host, o WSS Software verifica primeiro um alias
com esse nome, antes de usar o DNS para resolver o nome. (Para obter informações sobre aliases, consulte “Configurando e
gerenciando aliases” na página 171.)
mostrar ip dns
O exemplo a seguir mostra informações do servidor DNS em um WSS configurado para usar três servidores DNS.
(Para obter informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security
Switch 2300 Series.)
Os aliases têm precedência sobre o DNS. Quando você insere um nome de host, o WSS Software verifica primeiro um alias
com esse nome, antes de usar o DNS para resolver o nome.
Adicionando um alias
Para adicionar um alias, use o seguinte comando:
Para adicionar um alias HR1 para o endereço IP 192.168.1.2, digite o seguinte comando:
Removendo um alias
Para remover um alias, use o seguinte comando:
Exibindo aliases
Para exibir aliases, use o seguinte comando:
Raio da 192.168.1.2
folha de 192.168.1.3
pagamento HR11 192.168.7.2
Você pode configurar a hora e a data do sistema estaticamente ou usando servidores NTP (Network Time Protocol). Em cada caso,
você pode especificar o deslocamento do Tempo Universal Coordenado (UTC) definindo o fuso horário. Você também pode configurar
o software WSS para compensar o horário em uma hora adicional para o horário de verão ou período de verão semelhante.
Observação. A Nortel recomenda que você defina os parâmetros de data e hora antes de instalar certificados
no WSS. Se a hora e a data do switch estiverem incorretas, o certificado pode não ser válido.
Geralmente, os certificados gerados pela CA são válidos por um ano a partir da data e hora do sistema em vigor quando
você gera a solicitação de certificado. Os certificados autoassinados gerados ao executar o software WSS versão 4.2.3 ou
posterior são válidos por três anos, começando uma semana antes da hora e data no switch quando o certificado é gerado.
Se você não instalar certificados, o switch os gerará automaticamente na primeira vez que você inicializar o switch com
o WSS Software Versão 5.0 ou posterior. Os certificados gerados automaticamente são datados com base nas
informações de data e hora presentes no switch quando ele foi inicializado pela primeira vez com o WSS Software Versão
5.0.
•
Defina a hora e a data (comando set timedate )
O parâmetro de fuso horário ajusta a data do sistema e, opcionalmente, a hora, aplicando um deslocamento ao UTC.
O nome da zona pode ter até 32 caracteres alfanuméricos, sem espaços. O parâmetro hours especifica o número de horas para
adicionar ou subtrair do UTC. Use um sinal de menos (-) na frente do valor da hora para subtrair as horas do UTC.
Para definir o fuso horário para PST (Horário Padrão do Pacífico), digite o seguinte comando:
WSS# set timezone PST -8 O fuso horário está definido como 'PST', o deslocamento
do UTC é -8:0 horas.
Observação. Configure o horário de verão antes de definir a hora e a data. Caso contrário, o
ajuste do horário de verão tornará o horário incorreto, se a data estiver dentro do período do horário de verão.
set summertime summer-name [início semana dia da semana mês hora min fim semana dia da semana mês
hora min]
O nome de verão pode ter até 32 caracteres alfanuméricos, sem espaços. As datas e horários de início e término são opcionais. Se você não
especificar um horário de início e término, o WSS Software implementa a mudança de horário começando às 2h do primeiro domingo de abril e
terminando às 2h do último domingo de outubro, de acordo com o padrão norte-americano.
Para definir o período de verão para PDT (Horário de verão do Pacífico) e usar as datas e horas padrão de início e término, digite o seguinte
comando:
claro verão
A CLI altera a hora e exibe a hora atual do sistema com base na alteração. (A hora exibida pode ser um pouco posterior à hora inserida devido ao
intervalo entre quando você pressiona Enter e quando a CLI lê e exibe a nova hora e data.)
A implementação do NTP no Software WSS é baseada na RFC 1305, Especificação, Implementação e Análise do Network Time Protocol
(Versão 3).
Você pode configurar um WSS para consultar até três servidores NTP. O switch compara os resultados dos servidores e seleciona a
melhor resposta. (Para obter informações, consulte RFC 1305.)
Depois de habilitar o cliente NTP e configurar os servidores NTP, o software WSS consulta os servidores NTP para obter uma atualização a
cada 64 segundos e aguarda 15 segundos por uma resposta. Se o switch não receber uma resposta a uma consulta NTP em 15 segundos, o
switch tentará novamente até 16 vezes. Você pode alterar o intervalo de atualização, mas não o tempo limite ou o número de tentativas.
O Software WSS ajusta a resposta NTP de acordo com os seguintes parâmetros de tempo configurados no WSS:
•
Deslocamento do UTC (configurado com o comando timezone ; consulte “Definindo o fuso horário” na página 176)
•
Horário de verão (configurado com o comando set summertime ; consulte “Configurando o período de verão” na página 177)
Observação. Se o NTP estiver configurado em um sistema cujo horário atual difere do horário do servidor
NTP em mais de 10 minutos, a convergência do horário WSS pode levar muitos intervalos de atualização
do NTP. A Nortel recomenda que você defina a hora manualmente para a hora do servidor NTP antes de
habilitar o NTP para evitar um atraso significativo na convergência.
Para configurar um WSS para usar o servidor NTP 192.168.1.5, digite o seguinte comando:
WSS# set ntp server 192.168.1.5
Por exemplo, para alterar o intervalo de atualização do NTP para 128 segundos, digite o seguinte comando:
mostrar ntp
Os campos Fuso horário e Horário de verão são exibidos somente se você alterar o fuso horário ou habilitar o horário de verão.
(Para obter mais informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch 2300
Series.)
• Adicionado automaticamente pelo WSS. Um switch adiciona uma entrada para seu próprio endereço MAC e adiciona entradas para
endereços aprendidos do tráfego recebido pelo WSS. Quando o WSS recebe um pacote IP, o switch adiciona o endereço MAC de
origem e o endereço IP de origem do pacote à tabela ARP.
• Adicionado pelo administrador do sistema. Você pode adicionar entradas dinâmicas, estáticas e permanentes à tabela ARP.
Hospedeiro
Estado do tipo de VLAN do endereço HW
------------------------------ ----------------- --- -- ------- --------
Este exemplo mostra duas entradas. A entrada local (com LOCAL no campo Tipo) é para o próprio WSS. O endereço MAC da entrada
local é o endereço MAC do switch. A tabela ARP contém uma entrada local para cada VLAN configurada no switch. A entrada dinâmica é
aprendida a partir do tráfego recebido pelo switch. A tabela ARP também pode conter entradas estáticas e permanentes, que são adicionadas
por um administrador. O campo State indica se uma entrada foi resolvida (RESOLVED) ou se o WSS Software enviou uma solicitação ARP
para a entrada e está aguardando a resposta (RESOLVING).
O software WSS adiciona automaticamente uma entrada local para um WSS e entradas dinâmicas para endereços aprendidos do
tráfego recebido pelo switch. Você pode adicionar os seguintes tipos de entradas:
O tempo limite de envelhecimento especifica por quanto tempo uma entrada dinâmica pode permanecer sem uso antes que o software remova a entrada da
tabela ARP. O tempo limite de envelhecimento padrão é de 1200 segundos (20 minutos). O tempo limite de envelhecimento não afeta a entrada local, entradas
estáticas ou entradas permanentes.
Por exemplo, para desabilitar o envelhecimento de entradas ARP dinâmicas, digite o seguinte comando:
Observação. Para redefinir o tempo limite de envelhecimento do ARP para seu valor padrão, use o comando set arpagingtime
1200 .
Para verificar se outro dispositivo na rede pode receber pacotes IP enviados pelo WSS, use o seguinte comando:
ping host [contagem num-packets] [dnf] [flood] [ tempo de intervalo] [tamanho do tamanho] [source-ip ip-addr |
vlan-name]
Para executar ping em um dispositivo com endereço IP 10.1.1.1, digite o seguinte comando:
Neste exemplo, o ping é bem-sucedido, indicando que o WSS tem conectividade IP com o outro dispositivo.
Observação. Um WSS não pode executar ping em si mesmo. O Software WSS não suporta isso.
(Para obter informações sobre as opções de comando, consulte a Referência de linha de comando do Nortel WLAN Security Switch 2300 Series.)
De dentro de uma sessão de console do software WSS ou de uma sessão Telnet, você pode usar o cliente Telnet para estabelecer uma sessão
de cliente Telnet da CLI de um WSS para outro dispositivo. Para estabelecer uma sessão de cliente Telnet com outro dispositivo, use o seguinte
comando:
Nome de usuário:
Quando você pressiona Ctrl+t ou digita exit para encerrar a sessão do cliente, a sessão de gerenciamento retorna ao prompt local do WSS:.
0 192.168.1.81 23 48.000
1 10.10.1.22 23 48001
Você também pode limpar uma sessão do cliente Telnet digitando exit de dentro da sessão do cliente.
Você pode rastrear os saltos do roteador necessários para alcançar um host IP.
O recurso traceroute usa o campo TTL (Time to Live) no cabeçalho IP para fazer com que roteadores e servidores gerem mensagens de retorno específicas. O
traceroute começa enviando um datagrama UDP para o host de destino com o campo TTL definido como 1. Se um roteador encontrar um valor TTL de 1 ou 0,
ele descarta o datagrama e envia de volta uma mensagem ICMP Time Exceeded ao remetente.
O recurso traceroute determina o endereço do primeiro salto examinando o campo de endereço de origem da mensagem ICMP de tempo excedido.
Para identificar o próximo salto, o traceroute envia novamente um pacote UDP, mas desta vez com um valor TTL de 2. O primeiro roteador diminui o
campo TTL em 1 e envia o datagrama para o próximo roteador. O segundo roteador vê um valor TTL de 1, descarta o datagrama e retorna a mensagem
Time Exceeded para a origem. Esse processo continua até que o TTL seja incrementado para um valor grande o suficiente para que o datagrama alcance
o host de destino (ou até que o TTL máximo seja atingido).
Para determinar quando um datagrama atingiu seu destino, o traceroute define a porta de destino UDP no datagrama para um valor muito grande, que é
improvável que o host de destino esteja usando. Além disso, quando um host recebe um datagrama com um número de porta não reconhecido, ele envia um
erro ICMP Port Unreachable para a origem. Esta mensagem indica ao recurso traceroute que atingiu o destino.
Para rastrear uma rota para uma sub-rede de destino, use o seguinte comando:
host traceroute [dnf] [no-dns] [port port-num] [queries num] [size size] [ttl hops] [wait ms]
Para rastrear a rota para o host server1, digite o seguinte comando:
Neste exemplo, server1 está a quatro saltos de distância. Os saltos são listados em ordem, começando com o salto mais próximo ao WSS e terminando
com o destino da rota. (Para obter informações sobre as opções de comando, consulte a Referência de linha de comando do Nortel WLAN Security Switch
2300 Series.)
Este cenário configura interfaces IP, atribui uma das interfaces para ser o endereço IP do sistema e configura uma rota padrão, parâmetros DNS e parâmetros
de hora e data.
2 Configure a interface IP na VLAN de roaming para ser o endereço IP do sistema e verifique a configuração
mudança. Digite os seguintes comandos:
3 Configure uma rota padrão por meio de um roteador defaultgateway conectado ao WSS e verifique a
alteração de configuração. Digite os seguintes comandos:
4 Configure o nome de domínio DNS e as entradas do servidor DNS, ative o serviço DNS e verifique o
alterações de configuração. Digite os seguintes comandos:
10.10.10.69 PRIMÁRIO
10.20.10.69 SECUNDÁRIO
5 Configure os parâmetros de fuso horário, horário de verão e NTP e verifique as alterações de configuração. Digite
os seguintes comandos:
WSS # definir fuso horário PST -8
sucesso: mudança aceita.
195
Configurando o SNMP
Visão geral
O mecanismo SNMP do software WSS (também chamado de servidor ou agente SNMP) pode executar qualquer combinação dos seguintes
Versões SNMP:
• SNMPv1—SNMPv1 é a versão SNMP mais simples e menos segura. As strings de comunidade são usadas para autenticação. As
comunicações são claras (não criptografadas). As notificações são traps, que não são reconhecidas pelo destino da notificação (também
chamado de receptor de trap).
• SNMPv2c — SNMPv2 é semelhante ao SNMPv1, mas oferece suporte a informes. Um informe é uma notificação que é reconhecida pelo destino da notificação.
• SNMPv3—SNMPv3 adiciona opções de autenticação e criptografia. Em vez de strings de comunidade, o SNMPv3 oferece suporte a usuários do modelo de
segurança do usuário (USM), com níveis de acesso configuráveis individualmente, opções de autenticação e opções de criptografia.
Configurando o SNMP
Para configurar o SNMP, execute as seguintes tarefas:
•
Defina o endereço IP do sistema do switch, se ainda não estiver definido. O SNMP não funcionará sem o endereço IP do sistema. (Consulte “Configurando
o endereço IP do sistema” na página 153.)
•
Opcionalmente, defina a localização do sistema e as cadeias de contatos.
•
Ative a(s) versão(ões) do SNMP que você deseja usar. O Software WSS pode executar uma ou mais versões, em qualquer combinação.
•
Configure strings de comunidade (para SNMPv1 ou SNMPv2c) ou usuários USM (para SNMPv3).
•
Defina o nível mínimo de segurança permitido para trocas de mensagens SNMP.
•
Configure um perfil de notificação ou modifique o padrão para habilitar o envio de notificações para destinos de notificação.
Por padrão, notificações de todos os tipos são descartadas (não enviadas).
•
Configure destinos de notificação.
•
Ative o mecanismo SNMP do software WSS.
Cada string pode ter até 256 caracteres e espaços em branco são aceitos.
Os comandos a seguir definem a localização de um WSS como 3rd_floor_closet e definem o contato como sysadmin1:
A string de comunicação pode ter até 32 caracteres alfanuméricos, sem espaços. Você pode configurar até 10 strings de
comunidade.
• somente leitura—Um aplicativo de gerenciamento SNMP usando a string pode obter (ler) valores de objeto no
switch, mas não pode configurá-los (gravá-los). Este é o padrão.
• read-notify—Um aplicativo de gerenciamento SNMP que usa a string pode obter valores de objeto no switch, mas não pode
defini-los. O switch pode usar a string para enviar notificações.
• leitura-gravação—Um aplicativo de gerenciamento SNMP usando a string pode obter e definir valores de objeto no
trocar.
• notificar-ler-escrever—Um aplicativo de gerenciamento SNMP que usa a string pode obter e definir valores de objeto em
o interruptor. O switch pode usar a string para enviar notificações.
O comando a seguir configura a string de comunidade switchmgr1 com nível de acesso notificar-leitura-gravação:
O usm-username pode ter até 32 caracteres alfanuméricos, sem espaços. Você pode configurar até 20 SNMPv3
usuários.
A opção snmp-engine-id especifica um identificador exclusivo para uma instância de um mecanismo SNMP. Para enviar informes, você deve
especificar o ID do mecanismo do receptor de informes. Para enviar traps e permitir operações get e set e assim por diante, especifique local
como o ID do mecanismo.
A opção de acesso especifica o nível de acesso do usuário. As opções são as mesmas que as opções de acesso para strings de comunidade.
(Consulte “Configurando strings de comunidade (somente SNMPv1 e SNMPv2c)” na página 198.) O padrão é somente leitura.
A opção auth-type especifica o tipo de autenticação usado para autenticar as comunicações com o mecanismo SNMP remoto. Você pode
especificar um dos seguintes:
• nenhum—Nenhuma autenticação é usada. Este é o padrão.
Se o tipo de autenticação for md5 ou sha, você poderá especificar uma senha ou uma chave hexadecimal.
•
Para especificar uma senha, use a opção de string auth-pass-phrase . A string pode ter de 8 a 32 caracteres alfanuméricos, sem
espaços.
•
Para especificar uma chave, use a opção auth-key hex-string . Digite uma string hexadecimal de 16 bytes para MD5 ou uma string
hexadecimal de 20 bytes para SHA.
A opção encrypt-type especifica o tipo de criptografia usado para o tráfego SNMP. Você pode especificar um dos seguintes:
Se o tipo de criptografia for des, 3des ou aes, você poderá especificar uma senha ou uma chave hexadecimal.
•
Para especificar uma frase-senha, use a opção de string de frase-senha de criptografia . A string pode ter de 8 a 32
caracteres alfanuméricos, sem espaços. Digite uma string com pelo menos 8 caracteres para DES ou 3DES ou pelo menos
12 caracteres para AES.
•
Para especificar uma chave, use a opção de string hexadecimal de chave criptografada . Digite uma string hexadecimal de 16 bytes.
Exemplos de comandos
O comando a seguir cria o usuário USM snmpmgr1, associado ao ID do mecanismo SNMP local. Este usuário pode enviar traps
para receptores de notificação.
O comando a seguir cria o securesnmpmgr1 do usuário USM, que usa autenticação SHA e criptografia 3DES com senhas. Este
usuário pode enviar informações para o receptor de notificação que possui o ID do mecanismo 192.168.40.2.
Por padrão, o software WSS permite trocas de mensagens SNMP não seguras. Você pode configurar o software WSS para exigir
trocas SNMP seguras.
Dependendo do nível de segurança que você deseja que o Software WSS imponha, você pode exigir autenticação apenas de
trocas de mensagens ou de trocas de mensagens e notificações. Você também pode exigir criptografia além da autenticação.
SNMPv1 e SNMPv2c não suportam autenticação ou criptografia. Se você planeja usar SNMPv1 ou SNMPv2c, deixe o nível mínimo
de segurança SNMP definido como não seguro.
Para definir o nível mínimo de segurança que o software WSS requer para SNMP, use o seguinte comando:
• não seguro — as trocas de mensagens SNMP não são seguras. Este é o padrão e é o único valor suportado para
SNMPv1 e SNMPv2c. (Este nível de segurança é o mesmo que o nível noAuthNoPriv descrito em RFCs SNMPv3.)
• autenticado — as trocas de mensagens SNMP são autenticadas, mas não criptografadas. (Este nível de segurança é o mesmo
que o nível authNoPriv descrito em RFCs SNMPv3.)
• criptografado — as trocas de mensagens SNMP são autenticadas e criptografadas. (Este nível de segurança é o mesmo que o
nível authPriv descrito em RFCs SNMPv3.)
• auth-req-unsec-notify — as trocas de mensagens SNMP são autenticadas, mas não criptografadas, e as notificações são
nem autenticado nem criptografado.
Exemplo de comando
O comando a seguir define o nível mínimo de segurança SNMP permitido para autenticação e criptografia:
Um perfil de notificação padrão (chamado default) já está configurado no WSS Software. Todas as notificações no perfil padrão são
descartadas por padrão. Você pode configurar até 10 perfis de notificação.
Para modificar o perfil de notificação padrão ou criar um novo, use o seguinte comando:
definir perfil de notificação snmp {padrão | nome-do-perfil} {soltar | enviar} {tipo de notificação | tudo}
Para limpar um perfil de notificação, use o seguinte comando:
O nome do perfil pode ter até 32 caracteres alfanuméricos, sem espaços. Para modificar o perfil de notificação padrão, especifique
default.
• AuthenTraps — Gerado quando o mecanismo SNMP do WSS recebe uma string de comunidade inválida.
• CounterMeasureStopTraps — Gerado quando o software WSS interrompe contramedidas contra um ponto de acesso não autorizado.
• APConnectWarningTraps — gerado quando um AP distribuído cuja impressão digital não foi configurada no WSS
O software estabelece uma sessão de gerenciamento com o switch. •
• MichaelMICFailureTraps—Gerado quando duas falhas de código de integridade de mensagem (MIC) Michael ocorrem dentro de 60
segundos, acionando contramedidas Wi-Fi Protected Access (WPA).
• MobilityDomainJoinTraps—Gerado quando o WSS é inicialmente capaz de entrar em contato com um membro seed do domínio de mobilidade,
ou pode entrar em contato com o membro semente após um tempo limite.
• MobilityDomainTimeoutTraps—Gerado quando um tempo limite ocorre após um WSS ter tentado sem sucesso
comunicar com um membro semente.
• RDFtectRogueDisappearTraps — Gerado quando um ponto de acesso não autorizado não está mais sendo detectado.
• RDFetectClientViaRogueWireapTraps—Gerado quando o software WSS detecta, na parte cabeada da rede, o endereço MAC de um cliente
sem fio associado a um AP de terceiros.
• RDFtectDoSPortTraps—Gerado quando o software WSS detecta uma inundação de solicitação associada, reassocia solicitação
inundação, ou desassociar a inundação de solicitação.
• RFDetectDoSTraps — Gerado quando o software WSS detecta um ataque DoS que não seja uma inundação de solicitação associada, inundação de
solicitação de reassociação ou inundação de solicitação desassociada.
—Gerado quando o software WSS detecta um pacote sem fio com o MAC de origem
endereço de um AP Nortel, mas sem a assinatura do AP falsificado (impressão digital).
• RFDetectSpoofedSsidAPTraps — Gerado quando o software WSS detecta quadros de beacon para um SSID válido, mas enviado
por um AP desonesto.
• RFDetectUnAuthorizedAPTraps—Gerado quando o software WSS detecta o endereço MAC de um AP que está ligado
a lista de ataques.
• RFDetectUnAuthorizedOuiTraps—Gerado quando um dispositivo sem fio que não está na lista de fornecedores permitidos
é detectado.
• RFDetectUnAuthorizedSsidTraps — Gerado quando um SSID que não está na lista de SSID permitido é detectado.
A opção soltar ou enviar especifica a ação que o mecanismo SNMP executa em relação às notificações.
Exemplos de comandos
O comando a seguir altera a ação no perfil de notificação padrão de soltar para enviar para todos os tipos de notificação:
Os comandos a seguir criam o perfil de notificação snmpprof_rfdetect e alteram a ação a ser enviada para todos os tipos de notificação de
detecção de RF:
Para configurar um destino de notificação para informes do SNMPv3, use o seguinte comando:
[tempo limite ]
Para configurar um destino de notificação para traps do SNMPv3, use o seguinte comando:
[tempo limite ]
Para configurar um destino de notificação para traps do SNMPv2c, use o seguinte comando:
O target-num é um ID para o destino. Esse ID é local para o WSS e não precisa corresponder a um valor no próprio destino. Você pode
especificar um número de 1 a 10.
O ip-addr[:udp-port-number] é o endereço IP do servidor. Você também pode especificar o número da porta UDP para enviar notificações.
O padrão é 162.
A opção inform ou trap especifica se o mecanismo SNMP do software WSS espera que o destino reconheça as notificações enviadas ao
destino pelo WSS. Use informe se quiser reconhecimentos. Use trap se você não quiser confirmações. A opção inform é aplicável apenas
à versão SNMP v2c ou usm .
O nome de usuário é um nome de usuário USM e é aplicável somente quando a versão SNMP é usm. Se o usuário enviar informações em
vez de traps, você também deverá especificar o snmp-engine-id do destino. Especifique ip se o ID do mecanismo SNMP do destino for
baseado em seu endereço IP. Se a ID do mecanismo SNMP do destino for um valor hexadecimal, use hex hex-string para especificar o valor.
A opção de segurança especifica o nível de segurança e é aplicável somente quando a versão do SNMP é usm:
• não seguro—As trocas de mensagens não são autenticadas nem criptografadas. Este é o padrão.
As opções de tentativas e tempo limite são aplicáveis somente quando a versão do SNMP é v2c ou usm e o tipo de notificação é
informado. A opção de tentativas especifica o número de vezes que o mecanismo SNMP do software WSS reenviará uma notificação que
não foi reconhecida pelo destino. Você pode especificar de 0 a 3 tentativas. O padrão é 0. A opção de tempo limite especifica o número
de segundos que o software WSS aguarda pelo reconhecimento de uma notificação. Você pode especificar de 1 a 5 segundos. O padrão é
2.
Exemplos de comandos
O comando a seguir configura um destino de notificação para notificações confirmadas:
WSS# set snmp notify target 1 10.10.40.9 usm informe o usuário securesnmpmgr1 snmp-engine-id ip
sucesso: mudança aceita.
Este comando configura o destino 1 no endereço IP 10.10.40.9. O ID do mecanismo SNMP do destino é baseado em seu endereço. O
mecanismo SNMP do software WSS enviará notificações com base no perfil padrão e exigirá que o destino confirme o recebimento delas.
•
Destinos de notificação
• Contadores de estatísticas SNMP
O comando lista as configurações separadamente para cada perfil de notificação. A contagem de uso indica quantos
destinos de notificação usam o perfil. Para cada tipo de notificação, o comando lista se o WSS Software envia notificações
desse tipo para os destinos que usam o perfil de notificação.