Actualización de firmware en switch HP ProCurve

En nuestra conexión con el switch comprobamos la IP si estamos por consola, la versión que actual y las que están almacenadas:

show ip
show version
show flash

Necesitaremos un servidor TFTP con el que realizar la descarga de la imagen, el más sencillo, con más de 20 años TFTPD, debemos asegurarnos que desde nuestro equipo alcanzamos la IP del servidor TFTP, comprobar que el firewall no bloquea la conexión igualmente. Dejamos el fichero en la directorio del servidor TFTP, en este caso «PUBLIC» dentro del directorio del programa en su versión portable:

Volvemos al switch y ejecutamos la copia del fichero desde la IP de nuestro servidor (en este ejemplo 10.80.0.200) a la imagen primary / secondary que queramos

copy tftp flash 10.80.0.200 R_11_122.swi primary

Si se muestra un error de tipo 0000K Transport error, el fichero no existe o no esta accesible, debemos revisar los pasos previos. Si todo ha sido correcto se valida y escribe en la memoria del equipo:

Comprobamos las versiones almacenadas y veremos la nueva, solo los queda reiniciar:

show flash
reload

 

Instalación básica de Centreon

Utilizaremos una máquina virtual con 2 GB de RAM y 2 vCores para menos de 100 host a monitorizar con la versión gratuita. Descargamos la ISO desde la web oficial, la versión actual es 20.04, una vez introducida la imagen realizamos la instalación de la base CentOS 7 (mínima) con el asistente y establecemos la clave del usuario root

Antes de conectar via web con el asistente de configuración, conectamos por consola, actualizamos y reiniciamos:

yum update
reboot

Iniciamos la instalación sin modificar los valores propuestos por defecto: http://[IP_SERVIDOR]/centreon y seguimos el asistente con los valores predeterminados. En la clave de root para mysql dejamos en blanco si utilizamos localhost

Una vez finalizado el asistente, iniciamos sesión y exportamos la configuración inicial en blanco:

Volvemos a la consola y nos aseguramos que los servicios se inicien con el sistema:

 

systemctl enable rh-php72-php-fpm httpd24-httpd mariadb centreon cbd centengine gorgoned snmptrapd centreontrapd snmpd --now

systemctl restart cbd centengine
systemctl restart gorgoned
systemctl start snmptrapd centreontrapd
systemctl start snmpd

Para monitorizar menos de 100 host y acceder a todas las posibilidades de la edición IT, debes registrar la instalación y solicitar el token. Recibirás un email con un código que debes añadir en: Administration > Extensions > Manager > Add token

Con la activación ya tendrás acceso a los Configuration > Plugin Packs que facilitan la monitorización y gestión mediante Centreon.

 

Redireccionamiento NAT con interfaz virtual en equipos Zyxel USG

En equipos Zyxel USG con interfaz virtuales asociadas, por ejemplo asignando varias IPs fijas públicas, aparecen definidas en la intefaz visual de este modo:

Si se desea realizar NAT a una de las interfaces virtuales directamente:

Se muestra error y no crea la regla NAT correspondiente, aparece un descripción del mismo genérica: «Wrong CLI command, device timeout or device logout.«

En su lugar, para realizarla correctamente debemos elegir la interfaz padre principal y limitar la IP de origen a la IP asignada a la interfaz virtual, se indica la IP «88.0.0.2» como la dirección IP de wan2:4 a modo de ejemplo:

Una vez creada la redirección del puerto o servicio, deberemos crear la correspondiente Política de control en el firewall para permitir el tráfico.

NOTA: Aplicable a firmware: V4.33(AAPI.0) e inferiores

Aerohive Firmware error AP121 / AP141

HiveOS, el sistema operativo de Aerohive, ha sido pensado desde sus inicios con gestión remota para nube (aunque sea posible instalar un servidor local), el resto de fabricantes de dispositivos de red han seguido sus pasos posteriormente.

Las actualizaciones desde la consola principal Hivemanager NG son sencillas de aplicar a cualquier punto de acceso (tambien switchs y routers) con salida a internet, aunque en ocasiones puede no serlo.

El paso de firmware 6.5r4 a la versión 6.5r11 no es posible desde la consola habitual de actualización. Pese a reiniciar los equipos aparece el error:

"The CLI 'save image https://cloud-ie.aerohive.com:443/afs-webapp/hiveos/images/AP141-6.5r11.golden.img.S admin VHM-SDYGSGEX password *** basic no-prompt' execute failed, cause by: The Aerohive device was unable to save the image to flash memory. Reboot the Aerohive device and try again. If this problem persists, contact Aerohive Support."

Al parecer la sintaxis de los comandos enviados desde Hivemanager al AP se han actualizado no siendo válidos para estas versiones.

Como solución para estos saltos entre versiones, será necesario iniciar sesión en los APs via web (si no están habilitados será neceario resetear a valores de fabrica) utilizando las credenciales configuradas en la directiva (por defecto son admin/aerohive).

Una vez iniciada sesión via web en la IP del dispositivo, nos aparecerá la opción de cargar el firmware mediante fichero local.

Es recomendable después de la actualización, enviar una actualización completa de la configuración desde el panel Hivemanager.

 

Voz IP VLAN + Akuvox

A la hora de planificar el despligue de una infraestructura de telefonía sobre voz ip dentro de una red local, una de las recomendaciones básica pasa por separar en una red diferencia. No hablamos de IP fijas en otro rango, subnetting ni similares; sino de una separación totalmente diferenciada.

Segmentar nos ayudará a tener mayor control y trazabilidad frente a eventuales problemas:

  • Autoprovisionamiento controlado mediante Organizationally unique identifier (OUI) tanto para el envio de configuración a los terminales, como para la asignación de VLANs en la eletrónica de red. Utilizando la parte inicial de la MAC del fabricante (habitualmente el mismo en un despliegue).
  • Seguridad adicional, una mayor restricción a la hora de conectar cualquier aparato en cualquier toma. Limita y dificulta pero no impide.
  • Priorizar tráfico mediante políticas QoS, necesitaremos que entre los puntos de comunicación todos los dispositivos dispongan de esta posibilidad.

En este caso concreto con terminales Akuvox, con una configuración previa funcional con otro fabricante, los equipos se quedan permanentemente «Obteniendo dirección IP«. Finalmente parece tratarse de un error en el firmware del propio fabricante, en el cual no se añade correctamente el etiquetado de los paquetes…

Firmware afectado: 55.0.6.134

Firmware funcional sin problemas en VLAN: 55.203.6.230