Posts com Tag ‘Switch’

Switch Cisco 2960X e 2960XR

Publicado: 2 de outubro de 2013 em Routing & Switching
Tags:, ,

Você conhece a nova linha de switches de acesso 2960-X e 2960-XR?

Sabe qual a diferença em relação ao 2960-S?

No post de hoje iremos responder estas e outras perguntas.

Primeiramente, uma imagem dessa linha de switches de acesso…

Switches 2960-X e 2960-XR.

Switches 2960-X e 2960-XR.

A linha 2960 e 2960-S era equipada com processadores de apenas 1 Core, já a linha 2960-X e XR possui processadores Dual-Core de 600 MHz. Também foi adicionado memória Flash e DRAM!

No 2960-XR é possível utilizar duas fontes de energia (hot-swappable) para maior redundância, conforme pode ser visto na imagem acima. Tal switch também é Layer 3, mas falarei mais sobre isso no decorrer do post…

Também foi introduzida a tecnologia FlexStack-Plus que é uma melhoria do FlexStack (empilhamento de switches, fazendo com que todos os switches da pilha operem como um único switch). Agora é possível empilhar até 8 switches com banda total de até 80 Gbps. Com a FlexStack era possível empilhar apenas 4 switches obtendo a banda de 40 Gbps.

É necessário adicionar o stack-module para o switch ser “stackavel”. Tal módulo é hot-swappable.

A tabela abaixo sumariza tais informações:

FlexStack-Plus

FlexStack-Plus

Alguns pontos importantes sobre FlexStack e FlexStack-Plus:

  • Os modelos LAN Base e IP Lite (falarei sobre isso depois) suportam stack.  LAN Lite é um modelo standalone, que não suporta stack;
  • Não é possível ter um stack com switches de diferentes features set, por exemplo: switches LAN Base e IP Lite não podem formar um stack, dessa forma, não é possível empilhar switches 2960-X e 2960-XR juntos;
  • Investiment Protection: é possível empilhar switches FlexStack e FlexStack-Plus, por exemplo, 2960-X e 2960-S, no entanto, as features são limitadas à tecnologia FlexStack: 40 Gbps e máximo de 4 membros. É importante lembrar que é necessário aplicar o comando “switch stack-speed 40” caso haja um mix de switches na mesma pilha.
  • No caso de stack com mix de switches, todos devem estar na mesma release de IOS, sendo a versão mínima a 15.0(2)EX;

As principais melhorias da linha 2960-X e XR em relação ao 2960-S são:

  • Dual-Core;
  • FlexStack-Plus, possibilitando o empilhamento de até 8 switches e banda de 80 Gbps;
  • Duas fontes de energia (2960-XR apenas);
  • Netflow-Lite em todas as portas;
  • Switch Hibernation Mode;
  • Energy-Efficient Ethernet (EEE) – 802.3az;
  • Layer 3 (2960-XR apenas);

Como pode-se notar, há diversas melhorias para tornar esta linha  mais “green”, tornando-o eficiente e, consequentemente, reduzindo os custos.Green Technology

Switch Hibernation Mode coloca o switch em modo de hibernação durante um período pré-programado possibilitando redução de até 90% no consumo de energia fora do horário de produção. Durante este período o switch fica inativo, as ASICs (application-specific integrated circuits) são desligadas, bem como equipamentos PoE conectados ao switch. Apenas a DRAM fica ativa, mantendo os dados.

Como tirar o switch do modo de hibernação?

O switch sai do modo de hibernação após terminar o período pré-programado ou apertando o botão MODE.

Caso seja configurado o modo de hibernação em uma pilha de switches, ele é aplicado a todos os switches membros do stack, não sendo possível que apenas determinado membro do stack hiberne.

Outra técnologia green destes switches é o suporte ao padrao 802.3az – Enery-Efficient Ethernet (EEE), habilitado por default em todas as interfaces de downlink. Com isso a interface é colocada em um modo de baixo consumo de energia durante os períodos em que não está sendo utilizada. É importante lembrar que o dispositivo conectado a interface do switch deve ser compatível com o padrão EEE, para verificar o status pode-se utilizar o comando “show eee status interface Gigabit Ethernet X/X“.

Falando sobre as feature sets…

A linha 2960-X/XR utiliza um IOS universal e suporta 3 features set:

  • LAN Lite: entry-level Layer 2 features, destinadas ao midmarket em geral. Pessoalmente eu nao recomendo, pois você sentirá falta de features que gostaria de ter, em especial as de segurança;
  • LAN Base: Advanced Layer 2 features. Essa sim eu recomendo!
  • IP Lite: Layer 3 features!
2960-X Feature Sets

2960-X Feature Sets

IMPORTANTE: a feature set é atrelada ao hardware e não a licenças. Sendo assim, não é possível adquirir um equipamento LAN Lite e posteriormente fazer o upgrade para LAN Base. Compre logo o LAN Base ou IP Lite que será melhor, eu garanto!

Como identificar a feature set?

Pelo Part Number, a ultima letra do Product ID indica a feature set.

“-L” = LAN Base

“-LL” = LAN Lite

“-I” = IP Lite

Por exemplo:

WS-C2960XR-48FPS-I é IP Lite.
WS-C2960X-48LPS-L é LAN Base.
WS-C2960X-48TS-LL é LAN Lite.

Via CLI pode-se utilizar o comando “show license” e verificar qual está ativa. Como exemplo, o output abaixo exibe um switch LAN Base:

C2960-X_Switch# show license
Index 1 Feature: lanlite
Period left: 0 minute 0 second
Index 2 Feature: lanbase
Period left: Lifetime
License Type: Permanent
License State: Active, In Use
License Priority: Medium
License Count: Non-Counted

Por fim, vamos falar do 2960-XR… O que ele tem de vantagem?

  • Fonte redundante integrada, sem a necessidade de RPS externo;
  • Layer 3 Features:
  • 48 EtherChannel Groups

As features Layer 3 são:

  • RIP V1 e V2;
  • OSPF V2 e V3 Stub;
  • EIGRP Stub;
  • Equal-cost Routing;
  • HSRP;
  • PIM (Sparse Mode, Dense Mode, Sparse Dense Mode, Source Specific Multicast) stub;
  • VRRP;
  • Private VLANs.

A tabela abaixo sumariza as principais funcionalidades do 2960, 2960-S, 2960-X e 2960-XR.

Comparação 2960

Comparação 2960

Caso tenham dúvidas, dicas ou sugestões, postem nos comentários… =)Follow_Me

Se inscrevam no blog para receber notificações sempre que um novo post for publicado, clique em seguir, lá em cima…

Ah… se increvam no meu canal do YouTube tb: www.youtube.com/mbartulihe.

Abraços,

Marco Bartulihe

Anúncios

Quando o Cisco ISE foi lançado, ele foi anunciado como o novo ACS, unindo as funcionalidades do ACS e NAC (além de diversas melhorias). No entanto, rapidamente observou-se que estava “faltando” o suporte a Tacacs+ no Cisco ISE.

Tacacs+ está no Road Map do ISE, mas não apareceu na versão 1.0, 1.1 e nem 1.2… Quem sabe apareça na 2.0.

Portanto, se hoje você for fazer um projeto que inclua o Cisco ISE e o cliente também fizer questão de Tacacs+ é necessário posicionar o ISE e o ACS.

Mas, Radius ou Tacacs+? Qual e por quê?

Ambos protocolos são destinados a validar a identidade de um usuário (Authentication), atribuindo o devido perfil de acesso (Authorization) e fazendo o logging (Accounting) – AAA.  As semelhanças entre os dois protocolos são muitas, mas também existem diferenças. Uma comparação detalhada pode ser encontrada nesse link.

As principais diferenças são que Tacacs+ é proprietário da Cisco, ou seja, só funciona se você estiver utilizando equipamentos Cisco. Outra grande diferença é que no Tacacs+ é possível autorizar ou bloquear comandos específicos (Command Authorization), ou seja, quando o usuário acessa determinado equipamento e aplica um comando, antes do mesmo ser executado, ele é enviado ao servidor de autenticação (ACS) que diz se tal usuário pode ou não executá-lo.

Historicamente, Radius é utilizado para autenticar usuários da rede (end users) e Tacacs+, usuários de gerência de equipamentos (device administrators), mas na minha opinião isso ocorre pois “sempre configuramos dessa forma” e é assim que as Best Practices mandam fazer. Contudo, posso dizer que raramente vi Command Authorization sendo implementado. O que sempre vejo é a existência de dois grupos, um com privilégio de Leitura e Escrita (RW) e outro somente com permissão para Leitura (RO) e isso é mais do que suficiente para as necessidades da maioria das empresas.

Se essas são as necessidades, é perfeitamente possível a utilização de Radius para autenticar tanto end users quanto device administrators.

O que eu vou mostrar neste post é a configuração de um roteador Cisco para realizar a autenticação de usuários de gerência utilizando Radius (no Cisco ISE) e criação de dois grupos de usuários, um com permissão RO e outro com RW. Também será realizado o Accounting, informando quem e quando acessou qual equipamento.

Inicialmente, vamos configurar o Roteador (poderia ser também um Switch).

Configuração do Roteador

Serão exibidas apenas as configurações relevantes para esse Lab.

O Cisco ISE será utilizado para autenticar o usuário de gerência, realizando fallback para base local no caso ISE estiver indisponível (Unreachable).

1 – Criar um usuário na base local do Router para ser utilizado como fallback:

R1#conf t
R1(config)#username marco.bartulihe privilege 15 password 0 b@rtulih3

2 – Habilitar AAA

R1(config)#aaa new-model

3 – Habilitar o acesso a Console, sem autenticação

R1(config)#aaa authentication login default none

4 – Criar uma “authentication list” (neste exemplo chamada de AuthCLI, utilizando primeiramente Radius e Local como fallback

R1(config)#aaa authentication login AuthCLI group radius local

5 – Habilitar o acesso a Console, sem autorização

R1(config)#aaa authorization exec default none

6 – A Authentication List chamada de AuthCLI utilizará Radius e a base Local

R1(config)#aaa authorization exec AuthCLI group radius local

7 – Para cada login realizado ou finalizado é enviado um pacote com o Accouting

R1(config)#aaa accounting exec default start-stop group radius

8 – Definir o Radius Server (IP do Cisco ISE, neste exemplo, 192.168.1.200) e a Key (neste exemplo, Cisco123.)

R1(config)#radius-server host 192.168.1.200 auth-port 1645 acct-port 1646 key Cisco123.

9 – Aplicar a Authentication List AuthCLI ao acesso via telnet ou SSH (VTY Lines)

R1(config)#line vty 0 15
R1(config-line)#authorization exec AuthCLI
R1(config-line)#login authentication AuthCLI

10 – Salvar as configurações

R1(config-line)#end

R1#wr

Em suma, as configuração são:

Configurações Globais:

username [USER] privilege 15 password 0 [PASSWORD]

aaa new-model

aaa authentication login default none

aaa authentication login [AUTHLIST] group radius local

aaa authorization exec default none

aaa authorization exec [AUTHLIST] group radius local

aaa accounting exec default start-stop group radius

radius-server host [IP_ISE] auth-port 1645 acct-port 1646 key [KEY]

Configuração da Line VTY

line vty 0 15

authorization exec VTY

login authentication VTY

Configurações do Cisco ISE

A primeira etapa é adicionar o Roteador como um Network Device, para facilitar a administração, vamos criar um grupo, chamado Routers e adicionar a localização, neste exemplo, Laboratório.

Acessar Administration > Network Resources > Network Device Groups. Expandir Groups, clicar em All Device Types e Add.

Admin_Access_with_ISE_001

Preencher os campos e clicar em Submit.

Admin_Access_with_ISE_002

Clicar em All Locations e depois em Add.

Admin_Access_with_ISE_003

Preencher os campos e clicar em Submit.

Admin_Access_with_ISE_004

Acessar Administration > Network Resources > Network Device e clicar em Add.

Admin_Access_with_ISE_005

Preencher com o Name, Description, IP Address, Location, Device Type. Checar a checkbox Authentication Settings e preencher com a Shared Secret. Neste exemplo, a Key (ou Shared Secret) configurada no roteador foi Cisco123.

Clicar em Submit.

Admin_Access_with_ISE_006

Pronto, o roteador foi acionado como um Network Device.

Admin_Access_with_ISE_007

Agora vamos criar dois grupos, um chamado de Network Admins, no qual serão inseridos usuários com privilégio de leitura e escrita e outro grupo chamado de Network Read Only, que como o nome já diz, terá usuários com acesso de leitura apenas.

Acessar Administration > Identity Management > Groups. Clicar em User Identity Groups e Add.

Admin_Access_with_ISE_008

Preencher com o Name e Description e clicar em Submit.

Admin_Access_with_ISE_009

Repetir o processo para criar o grupo Network Read Only.

Admin_Access_with_ISE_010

Agora vamos criar os usuários. Neste exemplo criarei o usuário administrator, que irá pertencer ao grupo Network Admins e o usuário readonly, que pertencerá ao grupo Network Read Only.

Acessar Administration > Identity Management > Identities. No menu esquerdo, clicar em Users e em Add.

Admin_Access_with_ISE_011

Preencher os campos Name, e-mail, Password, etc, observando que o status deve estar como Enabled e em User Group, adicionar o usuário ao respectivo grupo (Network Admins ou Network Read Only). Clicar em Submit.

Admin_Access_with_ISE_012

Admin_Access_with_ISE_013

A tela a seguir exibe os usuários criados.

Admin_Access_with_ISE_014

Neste exemplo estamos usando a base de usuários interna do Cisco ISE, mas poderíamos integrá-lo com o AD e utilizar os usuários de lá.

O próximo passo é criar uma policy chamada Allowed Protocols e permitir apenas o protocolo PAP que é o utilizado no login via CLI nos equipamentos Cisco. Com isso nós tornamos a nossa regra de autenticação (ainda não criada)  mais específica, eliminando a possibilidade de conflitos com outras regras.

Para isso acesse Policy > Policy Elements > Results. No menu esquerdo, expandir Authentication, clicar em Allowed Protocols e depois em Add.

Admin_Access_with_ISE_015

Preencher com o Name desta Policy, Description e selecionar apenas Allow PAP/ASCII. Clicar em Submit.

Admin_Access_with_ISE_016

A figura abaixo exibe a policy PAP criada.

Admin_Access_with_ISE_017

Agora vamos criar a Authentication Policy neste exemplo chamada de CLI Access. Essa policy diz que se o device pertencer ao grupo Routers E o Radius:NAS-Port-Type for Virtual, então é permitido o protocolo PAP e a autenticação é realizada utilizando a base interna do ISE.

Para tal, acesse Policy > Authentication. No ícone da engrenagem, clicar em Insert new rule above.

Admin_Access_with_ISE_018

Preencher com o nome desta Policy, neste exemplo, chamada de CLI Access. Em conditions, clicar em Create New Condition (Advanced Option).

Admin_Access_with_ISE_019

Selecionar DEVICE > Device Type EqualsRouters. Clicar na engrenagem e em Add Attribute Value.

Admin_Access_with_ISE_020

Selecionar Radius > NAS-Port-Type Equals Virtual.

Admin_Access_with_ISE_021

Em Allowed Protocols, selecionar a regra PAP, criada anteriormente.

Admin_Access_with_ISE_022

Rolar a página até o final e clicar em Save.

A imagem abaixo sumariza a Authentication Policy criada.

Admin_Access_with_ISE_023

Agora vamos criar dois perfis de autorização, chamados de CLI-RW e CLI-RO.

O Authorization Profile CLI-RW envia o Cisco AV-pair “shell:priv-lvl=15Radius:Service Type “Login”.

O Authorization Profile CLI-RO envia o Cisco AV-pair “shell:priv-lvl=7Radius:Service Type “Login”.

Acesse Policy > Policy Elements > Results. No menu lateral, expanda Authorization, clique em Authorization Profiles e depois em Add.

Admin_Access_with_ISE_025

Criar o Authorization Profile CLI_RW, conforme imagem abaixo:

Admin_Access_with_ISE_026

*shell:priv-lvl=15 precisa ser digitado.

Criar o Authorization Profile CLI_RO, conforme imagem abaixo:

Admin_Access_with_ISE_027

*shell:priv-lvl=7 precisa ser digitado.

Agora o último passo: criação das Authorization Policies. Para tanto acesse Policy > Authorization e crie duas regras, neste exemplo, chamadas de Cisco Routers and Switches RWCisco Routers and Switches RO. A primeira diz que se o User Identity Group for Network Admins e o Device Type for Routers, então é aplicado o Authorization Profile CLI_RW. Já a segunda diz que se o User Identity Group for Network Read Only e o Device Type for Routers, então é aplicado o Authorization Profile CLI_RW.

Admin_Access_with_ISE_028

Agora vamos aos testes.

No router, por meio do acesso via console, foram habilitados os debugs:

debug aaa authentication

debug aaa authorization

Realizando um acesso via telnet com as credenciais de administrador:

Admin_Access_with_ISE_029

Realizando um acesso via telnet com as credenciais de read only:

Admin_Access_with_ISE_030

No Cisco ISE, em Operations > Authentications é possível ver ambas autenticações realizadas e os Authorization Profiles atribuidos.

Admin_Access_with_ISE_031

Também é possível, através do Cisco ISE, ver o Accouting realizado. Para tal, acessar Operations > Reports > Catalog > AAA Protocol > RADIUS Accouting.

Admin_Access_with_ISE_032

Admin_Access_with_ISE_032

Start e Stop dos acessos, informando a data, usuário e IP.

Admin_Access_with_ISE_033

Por fim, lembram que bem no começo nós configuramos um usuário local no Router (Usuário: marco.bartulihe Password: b@rtulih3)?

Se tentarmos acessar o roteador com este usuário/senha, não será possível, pois roteador irá direcionar a autenticação para o Cisco ISE, que vai dizer que este usuário e senha não existe em sua base interna.

Admin_Access_with_ISE_034

No entanto, se o ISE ficar indisponível, será possível utilizar este usuário/senha (fallback configurado no router). Como este é um Laboratório, pausando a VM do Cisco ISE para que ele fique unreachable e acessando novamente, com este usuário e senha:

Admin_Access_with_ISE_035

Portanto, utilizando o Cisco ISE e, consequentemente, o protocolo RADIUS, é possível diferenciar usuários com privilégio de RW e RO, suprindo a necessidade da grande maioria das implantações.