Teillen auf

Bewertung: 4 / 5

Stern aktivStern aktivStern aktivStern aktivStern inaktiv
 

Einrichten und Monitoring von ACLs auf einem HPE Aruba 2920-24G-PoEP Switch Teil 1 (ACL innerhalb eines Vlans)

 
Hier möchte ich zeigen wie auf einem HPE Aruba 2920 (J9727A) extended ACLs (Access Control Lists) eingerichtet werden.
 
In diesem Artikel wird der Traffic innerhalb eines Vlans kontrolliert. In einem weiteren Artikel wird der Traffic über zwei geroutete Vlans kontrolliert.
 
Nach dem Einrichten der ACLs ist immer die Frage, wie die ACLs überwacht werden können. Wie kann ich sehen,
welcher Traffic wirklich gefiltert wird und welcher Traffic ist von den ACLs nicht betroffen.
 
Ebenfalls kann mit dieser Methode auch der gesamte Traffic analysiert werden, damit eine Strategie entwickelt werden kann, um ACLs in einem bestehenden Netzwerk zu implementieren.
 
Als erstes möchte ich ein Wort über die HPE Aruba-Switche im Allgemeinen verlieren.
 
Die HPE Aruba-Switche sind die früheren Procurve Switche und „sprechen“ über Cli  Provision. Haben also vom OS nichts mit den Comware-Switchen/Routern zu tun.
Comware-Switche gehören zu der Gruppe SDN (Software defined Networking). HPE Aruba 2920 läuft in Hardware.
 
Welche Schritte werden in diesem Artikel  behandelt:
• Switch Grundeinstellung
• Die Sicherheit des Switches erhöhen
• Erweiterte Einstellungen nach Vorgabe Schaubild 1
• Extendet ACL einrichten mit ACE für die Kommunikation in einem gemeinsamen Vlan
• Packet-Drop durch die ACL auf dem Switch sichtbar machen
• Prüfen der Kommunikation mit Hilfe von Wireshark
 
Die Konfigurationsumgebung ist mit 4 virtuellen Maschinen aufgebaut:
• Windows VM für die Konfiguration über den oobm-Port (Out Of Band Management)
• Windows VM im Vlan 10 mit der IP 192.168.105.1/24
• Windows VM im Vlan 10 mit der IP 192.168.105.2/24
• Windows VM mit Wireshark an dem Monitor-Port angeschlossen
 

 
Die Software Version des Aruba 2920 ist  WB.16.08.0001, ROM Version WB.16.03
Hier noch ein paar Worte, wie auf dem Aruba 2920 die ACLs arbeiten:
Es können Standard ACLs und Extended ACLs angelegt werden. Die ACLs können auf einen Port gelegt werden als IN-Regel.
OUT-Regeln unterstützt der 2920 Switch nicht. Um die ACE (Access Control Entrys) anzulegen, ist die Sicht immer vom Client aus auf den Switch.
 
Grundeinstellung oobm (im config-mode):
Über das Konsolenkabel dem oobm-Port die IP-Adresse  192.168.100.1/24 und das Default  Gateway  zuweisen:
oobm ip address 192.168.100.1 255.255.255.0
oobm ip default-gateway 192.168.100.254
 
Settings überprüfen und speichern:
sh oobm ip
write mem
 
Zeitsynchronisierung einrichten mit einem sntp-Server. In dem Beispiel ist der sntp-Dienst auf der IP 192.168.100.100 installiert.
timesync sntp
sntp unicast
sntp server priority 1 192.168.100.100 oobm
time timezone 60
time daylight-time-rule middle-europe-and-portugal
 
Systemzeit überprüfen:
time
sh sntp statistics
 
Die Sicherheit des Switches erhöhen:
 
Hier schalte ich grundsätzlich alle Funktionen aus, die im Produktiven Umfeld nicht benötigt werden. Den Switch konfiguriere ich über die CLI. Deshalb wird auch das Webinterface nicht benötigt.
sh ip ssh                           -> prüfen ob ssh aktiviert ist
no web-management
no telnet
no tftp
no snmp-server enable
no snmp-server community public
 
Erweiterte Einstellungen nach Vorgabe Schaubild 1
ip routing
interface 1-12
vlan 10
ip address 192.168.105.100 255.255.255.0
exit
interface 13-23
vlan 20
ip address 192.168.106.100 255.255.255.0
exit
no vlan 1 ip address
interface 1-12 untagged vlan 10
interface 13-23 untagged vlan 20
Extendet ACL einrichten. In diesem Schritt werden die ACE angelegt.
ip access-list extended vlan_10_client_communication
remark "allow Ping gesamtes Subnetz im Vlan 10"
permit icmp 192.168.105.1/24 192.168.105.1/24
remark "RDP von 105.1 nach 105.2"
permit tcp host 192.168.105.1 host 192.168.105.2 eq 3389
permit tcp host 192.168.105.2 eq 3389 host 192.168.105.1
remark "RDP von 105.2 nach 105.1"
permit tcp host 192.168.105.2 host 192.168.105.1 eq 3389
permit tcp host 192.168.105.1 eq 3389 host 192.168.105.2
deny ip any any log
exit
 
Die ACL dem Vlan 10 zuweisen
vlan 10
ip access-group vlan_10_client_communication vlan-in
exit
 
Konfiguration speichern
write mem
 
Mit dieser ACL "vlan_10_client_communication" können von allen Clients die sich im Vlan 10 befinden alle Clients im Vlan 10 mit ICMP (Ping) erreicht werden. Ebenfalls kann vom Client 192.158.105.1 eine RDP-Verbindung zu dem Client 192.168.106.2 und umgekehrt aufgebaut werden.
Sonstiger Traffic wird verworfen und ein Log-Entry wird erstellt.
 
Die Zeile „deny ip any any“  könnte man einsparen. Denn der letzte Eintrag in einer ACL ist immer den nicht explizit erlaubten Traffic zu verwerfen. Wird diese Zeile nicht angegeben, ist diese nicht sichtbar. In diesem Beispiel gebe ich ein explizites „deny ip any any“ an, da ich den Traffic der verworfen wird in einem LOG darstellen möchte.
 
Packet-Drop durch die ACL auf dem Switch sichtbar machen
debug destination session
debug acl
no debug acl                       # schaltet das Debugging aus.
 
Die Verworfenen Packete werden in der CLI angezeigt. In dieser Einstellung wird alle 30Sekunden ein Eintrag angezeigt. Diese Einstellung kann auf  5 Sekunden minimiert werden.
Dies möchte ich hier aber nicht beschreiben, da dies keine supportete Einstellung ist. Bei Interesse meldet euch bei mir.
Prüfen der Kommunikation mit Hilfe von Wireshark:
 
Ein Wort vorab:
Wireshark ist ein sehr mächtiges Tool. Wenn Ihr Wireshark benutzt, bitte nur in eurem Netzwerk.
Wenn Ihr Wireshark auf der Arbeit benutzt, holt euch auf jeden Fall eine schriftliche Genehmigung von eurem Vorgesetzten über die Verwendung von Wireshark mit einer Beschreibung warum Ihr Wireshark nutzen möchtet und informiert die User.
Auf dem Schaubild 1 ist der Port 24 als Monitoring-Port angegeben. Ich hänge also eine VM mit Wireshark an diesen Port und schalte das Mirroring auf diesem Port ein. In dieser VM keine IP-Adresse konfigurieren. Der Mirrorport kann dem Default-Vlan zugewiesen sein.
mirror-port 24
interface 1 monitor
 
Monitoring ausschalten:
no mirror-port
 
Wenn Wireshark in einer VM Läuft z.B. vBox, muß die Netzwerkkarte der VM in der Virtualisierungssoftware in den Promiscuous-Mode gesetzt werden. Ansonsten kann Wireshark die Frames nicht mitschneiden.
 
Eine Eigenart von der Software Version des Aruba 2920 WB.16.08.0001, es kann als source interface Mirroring nur Port ausgewählt werden und kein vlan. In der Dokumentation „Aruba 2920 Management and Configuration Guide for ArubaOS-Switch 16.08“ wird das source interface vlan beschrieben. Jedoch ist das ausführen der settings nicht möglich, da das cli-command „vlan <ID> monitor“ nicht zur Verfügung steht.
 
Ich habe diesbezüglich einen Case bei HPE eröffnet.
 
Update zum HPE-Case:
Ich habe bezüglich dem vlan Mirroring vom HPE-Support Rückmeldung bekommen.
 
Bei dem Aruba 2920 ist die Funktion vlan Mirroring nicht vorhanden. Nur Portmirroring ist möglich. Diesbezüglich ist ein Fehler in der Dokumentation. HPE wird die Dokumentation ändern.

LOG-Eintrag: PHONY_MODULE not supported (HPE Comware 5900AF)
 
Ich habe heute die Logfiles auf einem HPE 5900AF Switch mit Comware 7 durchgeschaut "<HP> display logbuffer reverse" und da ist mir folgende Fehlermeldung aufgefallen:
%May  3 11:41:25:220 2017 HP OPTMOD/4/PHONY_MODULE: Ten-GigabitEthernet1/0/32: This is not a supported transceiver for this platform. HP does not guarantee the normal operation or maintenance of unsupported transceivers. Please review the platform datasheet on the HP web site or contact your HP sales rep for a list of supported transceivers.
seltsam war an dieser Meldung, daß diese nur auf den Ten-GigabitEthernet Ports von 20 bis 32 angezeigt wurde. Jedoch sind auch auf den Ports 1 bis 5 die anscheinend gleichen DAC eingesteckt. Jedoch werden diese anscheinend vom Switch supported. Ich habe mir dann diverse Whitepapers von HPE angeschaut und bin auf logende Information gestoßen:
 
HP A-Series Switches - Error Message OPTMOD/4/PHONY_MODULE Being Reported in the Log File Issue
The following error message is being reported in the log file:
%Apr 26 12:01:38:048 2000 Rack4sw1 OPTMOD/4/PHONY_MODULE:
  Ten-GigabitEthernet1/0/1: This transceiver is NOT sold by H3C. H3C therefore shall NOT guarantee the normal function of the device or assume the maintenance responsibility thereof!
 
Solution:
If the user installs a transceiver module that has no vendor name or a vendor name other than H3C, the system repeatedly outputs traps and logs to notify the user to replace the module.
To continue to use a transceiver module that was manufactured or customized by H3C but has no vendor information,
the user can disable alarm traps so that the system stops outputting alarm traps.
 
Quelle: http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c03661157&sp4ts.oid=4218345
Ich habe mir daraufhin den Port 32 und Port 1 angeschaut. "<HP> display transceiver interface Ten-GigabitEthernet1/0/1 und <HP> display transceiver interface Ten-GigabitEthernet1/0/32 ":
 
Bild Port 1: 
 
Bild Port 32: 
 
Hier ist nun zu sehen, daß die beiden DACs zwar gleich sind. Aber der Hersteller bei Port 1 wird mit "HP" angezeigt und der Hersteller bei Port 32 wird mit "MergeOptics GmbH" angezeigt.
 
Nun sehen wir uns noch die Alarmmeldung von dem Port 32 an:
[HP] display transceiver alarm interface Ten-GigabitEthernet1/0/32
 
Alarm Port 32: 
 
Hier hätte ich als Ausgabe "Transceiver type not supported by port hardware" erwartet. Aber der Port ist up und ich habe keine Errorcounter auf dem Port.
Als Lösung wird empfohlen die Meldung auf dem Switch auszuschalten.
<HP> system-view
[HP] transceiver phony-alarm-disable
 
Leider funktioniert der Befehl nicht und außerdem was passiert, wenn ein case hei HPE eröffnet wird?
Also hier unbedingt Module besorgen, die supported sind.

Grundkonfiguration und Befehle HPE Switch 5900AF mit Comware 7
 
Ich habe hier einige Befehle zusammengefasst für einen HPE Comware-Switch (A-Serie) zu konfigurieren und zu administrieren, da die Konfiguration doch schon anders ist als bei einem HP ProVision Switch der E-Serie.
 
Der Switch ist ein HPE 5900AF 48Port. Aktuell läuft die Comware-Version 7.1.0.45, Release 2422P03 auf dem Switch.
Comware besitzt keine GUI. Der Switch muß also komplett über die CLI konfiguriert und administriert werden. Aber mit etwas Übung kann man sich schnell einarbeiten.
 
Ein paar Worte zum User-Interface:
Die Konfiguration des User-Interfaces findet so statt, daß dieses über telnet oder SSH erreichbar ist. In dieser Anleitung ist das User-Interface nach der Konfiguration ausschließlich über SSH erreichbar (Sicherheitsgründe). Wenn eine Session über SSH auf den Switch aufgebaut wird, endet diese Session in dem Userinterface das auch "vty port" genannt wird.
 
Das Rechtekonzept:
 
 
Als erstes sollte man das Konfigurationskabel an den Konsolenport anschließen und über die Konsole sich mit dem Switch verbinden.
Hierzu kann das Programm "Putty" verwendet werden.
 
Allgemeine Befehle (Auszug):
<HP> system-view
wechselt in configuration-mode [HP]
 
<HP> display interface brief
zeigt den Status der Ports an
 
<HP> display interface M-GigabitEthernet
zeigt die genaue Konfiguration vom GigabitEthernet Port (Verwaltungsport) an
 
<HP> display interface M-GigabitEthernet brief
zeigt eine Übersicht der Konfiguration vom GigabitEthernet Port (Verwaltungsport) an
 
<HP> display interface FortyGigE 1/0/50
zeigt die genaue Konfiguration von Port 50 an (hier ein 40Gb Port)
 
<HP> display interface FortyGigE 1/0/50 brief
zeigt eine Übersicht der Konfiguration von Port 50 an
 
<HP> display interface Ten-GigabitEthernet 1/0/47 | include Last
Zeigt alle Zeilen mit dem Wort Last an von Port 47
 
<HP> display interface Ten-GigabitEthernet 1/0/1
zeigt eine genaue Konfiguration von Port 1 an
 
<HP> display lldp neighbor-information list
zeigt Nachbarswitche an. CDP funktioniert nur mit Cisco IP-Telefonen
 
<HP> display lldp neighbor-information brief
zeigt genaue Informationen zu Nachbarswitche an.
 
<HP> display device manuinfo
Seriennummer / Device / Mac-Adress / Manufacturing Date können abgefragt werden.
 
<HP> display counters rate inbound interface
zeigt einkommenden Traffic auf angegebenen Interface an.
 
<HP> display logbuffer reverse
zeigt log im RAM an.
 
<HP> dir flash:/logfile/
zeigt den Inhalt des Ordners "logfile" an.
 
[HP] lldp enable
schaltet lldp auf dem gesamten Switch an.
 
[HP] undo lldp enable
schaltet lldp auf dem gesamten Switch aus.
 
[GigabitEthernet 1/0/1] undo lldp enable
lldp auf Port 1 ausschalten.
 
[HP] interface Ten-GigabitEthernet1/0/1
wechselt zum angegebenen Interface (1/0/1)
 
[Ten-GigabitEthernet1/0/1] undo shutdown
Schaltet Interface Ten-GigabitEthernet1/0/1 ein.
 
[Ten-GigabitEthernet1/0/1] shutdown
Schaltet Interface Ten-GigabitEthernet1/0/1 aus.
 
[HP] interface range Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/10
wählt die angegebenen Interfaces aus (1/0/1 bis 1/0/10)
 
 
Ports Namen zuweisen:
 
<HP> system-view
wechselt in configuration-mode [HP]
 
[HP] interface Ten-GigabitEthernet1/0/33
in den Port 1/0/33 wechseln
 
[HP-Ten-GigabitEthernet1/0/33] description uplink
Port 1/0/33 den Namen "uplink" zuweisen
 
[HP-Ten-GigabitEthernet1/0/33] undo description
zugewiesenen Namen löschen
 
[HP-Ten-GigabitEthernet1/0/33] quit
Portkonfiguration verlassen
 
[HP] save
Konfiguration speichern
 
[HP] display interface Ten-GigabitEthernet brief description
zeigt die Portnamen aller Ports an
 
[HP] display interface Ten-GigabitEthernet1/0/33 brief description
zeigt den Portnamen des Ports 1/0/33 an
 
 
<HP> more logfile/logfile.log
zeigt Inhalt von xxx.log an.
 
<HP> more logfile/logfile.log | include "Dec 30"
zeigt Inhalt von xxx.log an, gefiltert auf den String Dec 30. Alle Einträge vom 30 Dezember werden angezeigt.
 
<HP> tftp Ip_von_ftfp_server put xxx.log
xxx.log auf tftp-Server kopieren.
 
[HP] save
Schreibt die Running-Config in die Startup-Config.
 
<HP> restore factory-default
Setzt den Switch auf Werkseinstellungen zurück.
 
[HP] fan prefer-direction slot 1 power-to-port
Stellt die Lüfterrichtung des Switches von den Netzteilen in Richtung Netzwerkports ein.
 
Um den Switch von dem IMC (Intelligent Management Center) verwalten zu lassen, müssen folgende "snmp" Parameter gesetzt werden:
 
[HP] snmp comm read public
[HP] snmp comm write private
[HP] snmp sys-info version all
 
Setup - Beispiel:
Angenommene Switchdaten (ManagementPort ist an das lokale Netzwerk angeschlossen, ansonsten sind keine Netzwerkports auf dem 5900AF belegt. Switch wird über den Konsolenport konfiguriert):
Name: commaster
IP: 192.168.66.2 /24 (für Managementport)
Gateway: 192.168.66.254
Vlan: 110 (Storage) zuweisung für Switchports
Zeitserver: 192.168.66.100
Administratoranmeldung am Switch: Adminuser = Berlin und Passwort = 5678
Das Management soll nach der Konfiguration über den Managementport laufen via SSH.
 
# Aktive Ports abfragen:
<HP> display interface brief
Port M-GE0/0/0 ist aktiv (Management-Port)
 
# Vlans abfragen:
<HP> display vlan all
Aktuell vlan1 vorhanden. M-GE0/0/0 ist nicht in vlan1 zugeordnet.
 
# Port M-GE0/0/0 eine IP zuweisen (192.168.66.2)
<HP> system-view (-> in den configuration-mode wechseln)
[HP] interface M-GigabitEthernet 0/0/0 (-> wechselt das Interface)
[HP-M-GigabitEthernet0/0/0] ip address 192.168.66.2 255.255.255.0
[HP-M-GigabitEthernet0/0/0] quit
 
# Route zuweisen (Default Gateway):
[HP] ip route-static 0.0.0.0 0.0.0.0 192.168.66.254 (-> die letzte IP ist das default gateway)
 
# Routing tabele abfragen:
[HP] display ip routing-table
 
# Switchname vergeben:
[HP] sysname commaster
 
# SSH aktivieren / abfragen:
[commaster] ssh server enable
[commaster] display ssh server status
[commaster] display ssh server session
 
# SSH public-key erstellen:
[commaster] public-key local create rsa (-> hier können die Standardvorgaben verwendet werden)
 
# SSH user anlegen und network-admin recht zuweisen:
[commaster] user-interface vty 0 15 (-> hier wird in das Management Interface gewechselt)
[commaster-ui-vty0-15] authentication-mode scheme (-> "scheme" auf local authentication wechseln)
[commaster-ui-vty0-15] protocol inbound ssh
[commaster-ui-vty0-15] quit
[commaster] local-user Berlin (-> hier wird der User "Berlin" angelegt)
[commaster-luser-manage-Berlin] password simple 5678 (-> hier wird das Passwort "5678" gesetzt)
[commaster-luser-manage-Berlin] service-type ssh
[commaster-luser-manage-Berlin] authorization-attribute user-role network-admin (-> siehe oben Rechtekonzept)
[commaster-luser-manage-Berlin] quit
[commaster] save
 
# Konfiguration speichern / anzeigen
[commaster] save
[commaster] display current-configuration (-> zeigt die running config an)
[commaster] display saved-configuration (-> zeigt die gespeicherte config an)
 
# Uhrzeit einstellen mit sntp-Protokoll (ab Comware 7 möglich):
[commaster] sntp enable
[commaster] sntp unicast-server 192.168.66.100
[commaster] display sntp session (-> erhaltene Zeit vom sntp-Server anzeigen)
[commaster] clock timezone 0 add 2 (-> Zeitzone Berlin)
[commaster] display clock (-> aktuelle Zeit auf dem Switch wird angezeigt)
 
# SNMP-Agent überprüfen ob disabled
[commaster] display snmp sys-info
 
# Vlan einrichten 110 Storage:
[commaster] vlan 110
[commaster-vlan110] name Storage
[commaster-vlan110] quit
[commaster] display vlan all (-> VLANS werden angezeigt)
 
# Ports (1,2 und 48) dem Vlan 110 zuweisen (access = untagged):
[commaster] vlan 110
[commaster-vlan110] port Ten-GigabitEthernet 1/0/1
[commaster-vlan110] port Ten-GigabitEthernet 1/0/2
[commaster-vlan110] port Ten-GigabitEthernet 1/0/48
[commaster-vlan110] display vlan all
[commaster-vlan110] quit
[commaster] save
[commaster] quit
 
# Configuration sichern via tftp
<commaster> backup startup-configuration to ip_des_tftp-Server configname.cfg
 
# Firmware updaten (Firmware auf den Switch laden)
<commaster> tftp ip_des_tftp-Servers get xxx.ipe (-> läd das ipe File in das Root-Verzeichnis)
 
# Firmware File aktivieren
<commaster> boot-loader file flash:/xxx.ipe slot 1 main
 
# Änderungen speichern
<commaster> save
 
# Switch booten
<commaster> reboot
 
# Switch Firmware prüfen nach reeboot
<commaster> display version
 
# Prüfen welche Firmware nach einem reebot geladen wird:
<commaster> display boot-loader
 
# Nicht mehr benötigte Files auf dem Switch löschen:
<commaster> Dir
<commaster> delete /unreserved xxx.ipe
<commaster> save
 
Einrichten und Monitoring einfach erklärt.

Social Icons

 

ThoR.IT Lübeck.
Unseren Service
unterstützen.

PayPal Logo

 

Go to Top