Un monde d'octets

Aller au contenu | Aller au menu | Aller à la recherche

InformatiqueRéseau › HP

Fil des billets

vendredi, mars 26 2021

Hp Procurve

Par pepin le vendredi, mars 26 2021, 16:36

J'ai recu mon hp procurve gigabit, et me remet en tête les bases :

configuration initiale

configurer minicom pour utilier ttyusb0 et lancer en tant que root. il toruvera le switch a 9600 bauds.

il n'y a par défaut pas d'authentification sur le port console.

Pour configuer l'ip sur un port (qui sera le port d'interco), nous faisons comme ceci :

enable
conf txt
interface eth 1
ip address 10.0.0.1/255.0.0.0
exit
exit
save

ensuite pour valider on reboot ;)

Par défaut, telnet est actif. Vous pouvez donc maintenant vous connecter par telnet et procéder aux opérations initiales de sécurisation :

  • activation ssh
  • activation clef-publique
  • positionnement des mots de passe console
  • desactiver telnet

C'est un minima à faire ... on pourrait aussi parler de radius pour les comptes, d'un filtrage ip pour le login ssh, ...

mercredi, septembre 6 2017

H3C et analyse réseau

Par pepin le mercredi, septembre 6 2017, 16:58

Il est possible sur les switch H3C de faire une capture .pcap analysable à postériori avec Wireshark

Pour cela :

acl number 2000
rule permit source 192.168.1.0 0.0.0.255
quit

Puis nous lançons la capture comme suit, et l'éteignons après le temps voulu :

packet capture start acl 2000
packet capture stop

Enfin le fichier de capture est visible comme suit :

dir

Directory of flash:/

0     -rw-      1860        Sep 21 2012 12:52:58   test.pcap
1     drw-         -           Apr 26 2012 12:00:38   seclog
2     -rw-      10479398  Apr 26 2012 12:26:39   logfile.log

Nous pouvons arrêter et nettoyer la capture comme suit :

undo packet capture

dimanche, août 27 2017

Limiter l'accès SSH à un équipement H3C

Par pepin le dimanche, août 27 2017, 08:30

Par défaut, le serveur ssh d'un équipement h3c écoute sur toutes les ip configurées sur celui-ci. Le fait de mettre une acl isolant le vlan d'administration ne suffit donc pas à pleinement restreindre les accès à celui-ci. Il faut placer une acl sur les interface vty.

Voici un exemple :

acl number 2000 name ssh-pty-restriction
rule 0 permit source 10.1.0.0 0.0.0.255
quit

user-interface vty 0 3
acl 2000 inbound
quit

user-interface vty 0 4
acl 2000 inbound
quit

A l'issu de ces règles, l'accès au ssh de votre équipement n'est plus possible que pour le range 10.1.0.0/24

Un save, et tout cela est pérénisé !

vendredi, août 25 2017

Activer SSH sur un routeur H3C

Par pepin le vendredi, août 25 2017, 16:28

system-view
rsa local-key-pair create
1024
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
local-user networkadmin
password simple MySSHpassword
service-type ssh
quit
ssh user networkadmin authentication-type password
save

jeudi, février 20 2014

Solution de remontée des connections aux switchs

Par pepin le jeudi, février 20 2014, 15:43

Nous paramétrons les switchs (H3C) pour envoyer les trappes à notre serveur de supervision :

snmp-agent target-host trap address udp-domain 10.2.0.40 params securityname PRIVCOMMUNITY

Nos paramétrons le démon snmptrapd comme suit (fichier /etc/snmp/snmptrapd.conf) :

disableAuthorization yes
authCommunity log,execute PRIVCOMMUNITY
traphandle IF-MIB::linkUp /usr/local/bin/snmp-link-up-handler

Voici le contenu de la commande snmp-link-up-handler :

#!/usr/bin/perl -w

while (<>)
{
  chomp;
  if (/SNMP-COMMUNITY-MIB::snmpTrapAddress.0/)
  {
    $ip=$_;
    $ip=~ s/.* //;
  }

  if (/IF-MIB::ifIndex/)
  {
    $port=$_;
    $port=~ s/.* //;
  }

}

system "/usr/local/bin/getmacbyswitchport $ip $port";

Quant à la commande getmacbyswitchport, elle interroge le switch d'ip ip pour avoir la liste des adresses mac connectées au port port, et envoie le contenu dans une base de données.

#!/bin/bash

database=/var/lib/h3cinventory/inventory.sqlite

date=`date`
macadresses=`/usr/local/bin/h3cquery.exp $1 | grep -i "1/0/$2\s" | awk '!x[$1]++ {print $1}'`
for f in $macadresses
do 
  echo "delete from inventory where macadress='$f';" 
  echo "insert into inventory values ('$f','$1',$2,'$date');"
done | sqlite $database

la commande h3cquery.exp est un script expect qui se connecte en ssh au switch passé en argument et fait un "dis mac-address".

la base de données à comme structure l'unique table définie comme suit :

create table inventory (macadress text,switch text, port integer, lastseen text);

mardi, février 1 2011

Parametrages de switchs H3C sortis d'usine

Par pepin le mardi, février 1 2011, 18:48

Initialement, les switchs n'ont pas de configuration réseau. L'accès se fait par le port console.

Sous linux, installez minicom, puis initialisez celui-ci avec

minicom -s

Il faut paramétrer le port usb à utiliser (/dev/ttyUSB0 pour les adaptateurs usb/serie) ainsi que les options (bauds, parité, ...).

Les options des switchs ton souvent indiqués en facade. Exemple pour un 4200G : 19200.8.N.1

Si vous ne mettez pas les bons paramètres, minicom ne pourra pas se connecter...

Une fois paramétré, sauvegarder les options en tant que DFL (nécessite d'être root). Ces options seront utilisées au prochain lancement de minicom.

Puis lancez minicom, et vous accédez a l'interface d'administration

minicom

Il faut paramêtrer les options suivantes :

Mot de passe administrateur

sys
local-user admin
password simple ********

IP

sys
int vlan-interface 1
ip address 192.168.1.1 255.255.255.0

Route par défaut

sys
ip route 0.0.0.0 0.0.0.0 192.168.1.254

SNMP

sys
snmp community read ******
undo snmp community public
undo snmp community private

Sauvegarder la configuration

save

vendredi, novembre 26 2010

Script Expect pour interroger la table de bridge d'un H3C

Par pepin le vendredi, novembre 26 2010, 09:55

Voici un peut script utilisant la commande expect qui permet d'interroger la table de bridge d'un switch.
Le script s'appelle comme suit :

h3cquery.exp ip_switch [Mac Adress]

L'adresse mac doit être précisée sous la forme XXXX-XXXX-XXXX.
Si vous ne précisez pas d'adresse mac, vous verrez toute la table de bridge du switch. 

#!/usr/bin/expect -f

set force_conservative 0 ;
if {$force_conservative} {
set send_slow {1 .1}
proc send {ignore arg} {
sleep .1
exp_send -s -- $arg
}
}

set timeout -1
set macaddress [lindex $argv 1]
set server [lindex $argv 0]
spawn ssh admin@$server
expect "password: "
send "********"
send "\r"
expect ">"
send "screen-length disable\r"
expect ">"
send "dis mac-address $macaddress \r"
expect {
  "More" {send -- " " ; exp_continue}
  ">" {send -- "quit\r"}
}

mercredi, novembre 10 2010

Cookbook H3C

Par pepin le mercredi, novembre 10 2010, 09:08

Commandes a connaitre sur les firmware H3C (HP/3com)

Passer en mode Système sur un switch (nécessaire pour les modifications de paramètres)

ssh admin@ip
sys

Supprimer le VLAN sur un port

int gig 1/0/port
undo port access vlan
save

Changer le VLAN d'un port

int gig 1/0/"port"
port access vlan 3
save

Rechercher une adresse mac

dis mac-address 0001-0203-0405