Berichten

Laatste AOS-release voegt nieuwe functionaliteiten toe aan OmniSwitch 6350- en 6450-modellen

OmniSwitch 6350 en Omniswitch 6450

Voor de OmniSwitch 6350– en 6450-modellen is eind december 2018 AOS-release 6.7.2.R05 gepubliceerd. In dit artikel beschrijven we enkele nieuwe functies die bij deze release beschikbaar zijn gekomen.

Nieuwe hardwaretoevoeging SFP-10G-ZR
Deze versie voegt ondersteuning toe voor de SFP-10G-ZR-transceiver op de OmniSwitch 6450 SFP+ chassis poorten en XNI-invoegmodules voor zowel stacking als uplink. Met deze toevoeging wordt de uplink- of stackingafstand van deze switch over single mode fiber uitgebreid tot een maximale afstand van 80 kilometer.

Wire rate loopback test
De loopback testfunctie maakt het mogelijk om een externe testmachine te gebruiken om verkeer op wire rate snelheid naar een specifieke switchpoort te versturen die vervolgens het verkeer terug naar de testmachine stuurt. De testmachine meet en verzamelt statistieken over frame verlies, latency en delay van het teruggestuurde verkeer. Er worden twee types loopback tests ondersteund: Inward en Outward loopback. In voorgaande AOS-releases moest het bron MAC-adres, doel MAC-adres, bron VLAN, loopback poort en type omleiding, inkomend of uitgaand, worden opgegeven voordat de test werkte. Met de laatste AOS-release hoeft bij een inkomende test alleen het doel MAC-adres en loopback poort opgegeven te worden en bij een uitgaande test alleen het doel MAC-adres, het bron VLAN en de loopback poort.

Interface Status Details
Het show interfaces CLI-commando geeft de operationele status van de poort (up/down) weer met andere parameters zoals poort type en MAC-adres. De operationele status kan down zijn als gevolg van een adminactie en softwareredenen zoals schendingen als gevolg van STP, LFP, LLDP en LPS. In deze release geeft het show interfaces CLI-commando de reden weer waarom de poort de operationele status down heeft. Hiermee wordt de gebruiker zich bewust van de fout en kan hij aan de slag gaan met corrigerende maatregelen.

Verbeterde DDM-weergave
Met Digital Diagnostics Monitoring (DDM) kan de switch de status van een transceiver controleren door de drempelwaarden te bewaken en een trapmelding te genereren wanneer de operationele waarde de afgebakende waarden overschrijdt. Met de laatste AOS-release wordt de ondersteuning uitgebreid om de DDM-informatie voor alle poorten weer te geven. Ongeacht de operationele status van de poort, op afstand of lokaal.

SSH Stronger Key Exchange
De AOS SSH-functionaliteit genereert en gebruikt DSA 1024 bit-sleutels en RSA 2048-sleutels en het Diffie-Hellman-sleuteluitwisselingalgoritme. Als onderdeel van SSH Strong Key Exchange ondersteunt AOS ook ECDSA-publieke sleutels en het ECDH-sleuteluitwisselingalgoritme. ECDSA 256-bit publiek/privaat sleutelpaar wordt gegenereerd wanneer een switch opnieuw wordt opgestart. De sleutels worden alleen tijdens het opstarten gegenereerd als de respectievelijke sleutelpaarbestanden niet aanwezig zijn in de map “/flash/network”. AOS ondersteunt ECDH 256, ECDH 384 en ECDH521 sleutel algoritme samen met Diffie-Hellman in common criteria en default modus.

Meer MAC-reeksen per poort.
Voorheen ondersteunde de MAC-bereikopdracht slechts één MAC-bereik configuratie. Met de laatste AOS-release wordt het mogelijk om maximaal acht MAC-reeksen per poort te configureren. Deze meerdere MAC-reeksen kunnen worden geconfigureerd met behulp van de CLI-opdracht port-security mac-range.

Policy lijst in CoA Packet Processing verbetering
Tijdens de CoA-pakketverwerking, als het geretourneerde UNP  in beide niveaus van verificatie afkomstig is van hetzelfde VLAN, werd het herverificatiemechanisme niet geactiveerd.
De volgende verbetering wordt gedaan in de huidige versie: als tijdens de CoA-pakketverwerking het geretourneerde UNP in beide niveaus van verificatie afkomstig is van hetzelfde VLAN, wordt de Policy-List die door de server wordt geretourneerd verwerkt. Als de door de server geretourneerde Policy-List niet op de switch beschikbaar is dan wordt de Policy-List die aan het UNP is gekoppeld niet toegepast.

BYOD en External Captive Portal-ondersteuning op OmniSwitch6350
De OmniSwitch-implementatie van BYOD maakt gebruik van de functies OmniVista-UPAM (Unified Policy Access Manager)/Aruba ClearPass Policy Manager (CPPM) en Access Guardian op de OmniSwitch. Het biedt toegang voor gasten of onboarding van zowel bekabelde als draadloze apparaten van medewerkers, gasten, BYOD of stille apparaten via een OmniSwitch edge-apparaat met UPAM/ClearPass als RADIUS-server. Deze functie wordt nu ondersteund op de OmniSwitch6350.

Meer informatie over deze release kunt u vinden in de releasenotes en manuals die u op onze supportsite kunt downloaden. De firmware zelf kunt u verkrijgen door een mail te sturen naar support@alcadis.nl.

Nieuwe functionaliteiten OmniSwitch 6350 en 6450 modellen

OmniSwitch 6350 en Omniswitch 6450

Met de komst van AOS 6.2.7 R04 zijn de functionaliteiten van de OmniSwitch 6350 en 6450 modellen verder uitgebreid. In dit artikel geven we een nadere toelichting op enkele nieuwe mogelijkheden.

Stack Topologie Verandering Notificatie

Deze uitbreiding verstuurt een trap op het moment dat er een verandering in de stack topologie ontstaat. Bijvoorbeeld op het moment dat er een NI ontkoppeld of toegevoegd wordt aan de stack. Daarnaast wordt er een waarschuwing weergeven als het “write memory” CLI commando wordt uitgevoerd op het moment dat er een stack member is ontkoppeld. De waarschuwing geeft aan dat een deel van de configuratie mogelijk verwijderd wordt en vraagt de gebruiker om een bevestiging van het commando. Deze functionaliteit staat standaard aan.

FQDN ondersteuning voor NTP server

De NTP server configuratie kan ook ingesteld worden met een hostnaam/FQDN. Het “show ntp client, show ntp client server-list” CLI commando geeft nu naast het IP adres de FQDN weer in het formaat waarin de specifieke server geconfigureerd is.

SCP Server ondersteuning

SCP gebruikt een onderliggende SSH verbinding en verstuurt bestanden via deze tunnel. De onderliggende SSH tunnel verzekert data integriteit, gebruikers authenticatie en beveiliging tegen snooping. SCP maakt gebruik van de faciliteit van SSH om op afstand commando’s uit te voeren.  De switch kan als SCP server fungeren om bestanden van het werkstation te ontvangen en versturen. Het is mogelijk om software bestanden naar de switch te sturen via het gebruik van standaard SCP client software op een bron werkstation. Dit wordt in de regel gebruikt om de switch software te upgraden. SCP bestandoverdracht verzoeken afkomstig van CLI gebaseerde SCP clients worden geaccepteerd. SCP verzoeken van GUI gebaseerde SCP clients worden echter niet geaccepteerd.

Uitgebreide ondersteuning van het aantal IPv4 interfaces en statische routes

OmniSwitch ondersteunt een uitbreiding van het aantal IPv4 interfaces en statische routes naar respectievelijk 32 en 64. Gebruik het “ip tables extend” CLI commando om het aantal IPv4 interfaces en statische routes uit te breiden door het aantal IPV6 neighbor entries te verlagen naar 76.

Verbetering van de DHCP Snooping tabel weergave

Dit verbetert de weergave van de DHCP snooping tabel vermeldingen om het troubleshooten te vergemakkelijken. De DHCP snooping tabel vermeldingen kunnen in oplopende volgorde weergeven worden op basis van slot/port, IP adres of linkagg.

Vertraagde start van PoE

Deze functie maakt het mogelijk om een vertragingstimer in te stellen die het verstrekken van PoE op een poort uit stelt als de NI herstart wordt. De functionaliteit is alleen toepasbaar bij een herstart.

Ondersteuning om de configuratie in een RCL script op te slaan

De OmniSwitch downloadt het script bestand van een FTP/SFTP server en voert de commando’s in het script uit. Dit script bevat de volledige configuratie en “write memory, copy working certified” CLI commando’s.

De Alcatel-Lucent Enterprise OmniSwitch 6350 series switches zijn beschikbaar in modellen met 10-, 24 en 48 poorten en PoE en non-PoE modellen, waardoor deze op het MKB gerichte oplossing mee kan groeien met uw netwerkbehoefte.
De Alcatel-Lucent Enterprise OmniSwitch 6450 Stackable Fast Ethernet en Gigabit Ethernet LAN kosteneffectieve switch familie bieden veelzijdige, 10/24/48-port vaste configuratie switches met 10 Gbps uplinks en bieden upgrade mogelijkheden voor 10 Gigabit Ethernet stacking, uplinks en Metro Ethernet diensten.

De volledige release notes en alle documentatie van de AOS 6.2.7 R04 firmware kunt u vinden op onze support site. De firmware zelf is niet langer publiekelijk beschikbaar op onze support site, maar alleen via een met wachtwoord beveiligde verbinding. U kunt de locatie van deze verbinding en het wachtwoord verkrijgen door een mail te sturen naar support@alcadis.nl met daarin het verzoek de link en het wachtwoord te verstrekken. →

Veel OpenFlow vernieuwingen in maintenance release OmniSwitches

Voor de Alcatel-Lucent Enterprise OmniSwitch 6250, 6350 en 6450 modellen is er onlangs maintenance release 6.7.1.107.R04 uitgebracht. Naast gebruikelijke bugfixes zijn er met het uitkomen van deze release een aantal nieuwe functies beschikbaar gekomen. Met name de OpenFlow ondersteuning is uitgebreid.

Hash Chain Length eigenschap verbetering

Ondersteunde platformen: OmniSwitch 6450, OmniSwitch 6250 en OmniSwitch 6350

De Hash Chain Length eigenschap verbetering zorgt ervoor dat de diepte van de Hash Chain Length van de Forwarding Database (bucket grootte) aangepast kan worden bij het schrijven van MAC adressen in de ASIC van het AOS platform. Botsingen bij het schrijven van MAC adressen in de ASIC ontstaan voornamelijk door het gebruik van povere hashing algoritmes. De XOR hashing modus heeft meer kans op botsingen, wat betekent dat dezelfde hash-index toegewezen wordt aan een verschillende set van bron-/bestemmingsadressen. Het veranderen naar de CRC hashing modus is een efficiëntere techniek dan XOR modus. Omdat een MAC botsing afhankelijk is van hardware en algoritme, kan de mogelijkheid van MAC botsingen verder verkleind worden door de hardware mogelijkheid te benutten om de bucket grootte van 4 naar een hogere waarde van 8 aan te passen. Deze instelling kan door de software gecontroleerd worden.

De behoefte van de eigenschap is de hash lengte van de FDB tabel aan te passen van DEFAULT (bucket grootte is 4) naar EXTEND (bucket grootte is 8) door een configuratie commando met de modus opties DEFAULT of EXTEND. Standaard wordt de waarde van de hash lengte DEFAULT, wat betekent dat de bucket grootte 4 is.

De ingestelde hash waarde wordt alleen tijdens het opstarten toegepast waardoor, als een gebruiker het commando toepast, er in de console een waarschuwing getoond wordt met de melding dat de verandering alleen wordt doorgevoerd na de eerstvolgende herstart van de switch/stack.

Source Learning Enable/disable voor Non-Metro units

Ondersteunde platformen: OmniSwitch 6450, OmniSwitch 6250 en OmniSwitch 6350.

Op dit moment is het aan- en uitzetten van source-learning beperkt tot de Metro OmniSwitch modellen. De implementatie van deze functie maakt het mogelijk dat ook non-metro units source-learning aan- en uit kunnen zetten. Dit biedt de gebruiker de optie het leren van het bron MAC-adres op een specifieke poort of link aggregatie aan- of uit te zetten. Bij iedere poort, behalve degene die al door ‘software’ leren geactiveerd zijn, kan het leren van het bronadres door gebruikers aan- of uitgezet worden. Deze functie is beperkt tot een maximum van 48 poorten (inclusief link aggregatie poorten) per systeem.

Er is geen nieuwe CLI toegevoegd. Dezelfde CLI die eerder voor metro units werd gebruikt, kan nu ook door non-metro units gebruikt worden.

OpenFlow vernieuwingen

OpenFlow is een protocol dat boven TCP geïmplementeerd wordt en het voor netwerkcontrollers mogelijk maakt het pad te bepalen dat pakketten binnen een netwerk van switches afleggen. Door controle van forwarding te scheiden is het mogelijk dataverkeer geavanceerder te regelen dan met ACL’s of routeringsprotocollen mogelijk is. Aangezien OpenFlow een open standaard is, maakt het gebruik ervan het mogelijk om producten van verschillende vendoren te managen vanuit een enkel open protocol. Met de publicatie van de nieuwe firmware release zijn de volgende functionaliteiten beschikbaar gekomen:

Ondersteuning voor pakket aanpassingsacties voor het groep type ALL in OpenFlow

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

Het huidige ontwerp van QoS kan een reeks acties uitvoeren voor een pakket wanneer een bepaalde voorwaarde overeenkomt. Om een flow te ondersteunen die meer dan één reeks acties voor een bepaalde voorwaarde uitvoert, gebruiken we het concept Groups en Buckets in OpenFlow. Groups en Buckets bevatte eerder de beperking dat acties die pakketten aanpast niet mogelijk waren. De implementatie van deze functie maakt ondersteuning voor de pakket aanpassingsactie voor het groepstype ALL mogelijk.

Verandering in de volgorde van acties in antwoord berichten

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

Multipart flow statistics berichten en Multipart group descriptor berichten geven de lijst van acties weer die repectievelijk met de flow en group verbonden zijn. De huidige implementatie zet de acties in dezelfde volgorde in de antwoordberichten neer, als de volgorde waarin ze van de OpenFlow controller ontvangen zijn.

Ondersteuning voor Apply Acties

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

Eerder ondersteunde AOS alleen de ‘Write actie’ type instructie volledig in OpenFlow. Instructies van het type ‘Apply acties’ werden ook beschouwd als ‘Write acties’ wanneer een flow in de database werd opgeslagen en de actiestructuur ‘Write actie’ gebruikte. Dankzij de implementatie van deze functie, ziet AOS deze OpenFlow acties als twee afzonderlijke entiteiten en ondersteunt de acties afzonderlijk voor beide types.

Ondersteuning voor PUSH_VLAN

Ondersteunde platformen: OmniSwitch 6450 en OmniSwitch 6250

De PUSH VLAN actie voegt nieuwe VLAN tags toe aan de binnenkomende pakketten. Dit is gelijksoortig aan de Q-in-Q dienst. Nieuw gepushte tags moeten altijd worden ingevoegd als de buitenste tag in de buitenste geldige locatie voor die tag. Dit wil zeggen dat wanneer er een nieuw VLAN tag gepushed wordt, dit de buitenste ingevoegde tag moet zijn; meteen na de ethernet header en voor andere tags.

Een maximum van 8 VLAN tags kunnen in een pakket gevoegd worden. In het geval dat we een binnenkomend pakket met VLAN tags hebben en we proberen tags toe te voegen wat tot gevolg heeft dat er meer dan 8 tags in het pakket komen, wordt het toevoegen van meer tags aan het pakket gestopt.

Alles over de bugfixes en nieuwe functies van deze maintenance release kunt u lezen in de release notes die te downloaden is op onze support pagina. Hier zijn ook per model de firmware bestanden te vinden →

Nieuwe firmware voor diverse Alcatel-Lucent Enterprise OmniSwitch modellen

tech-update

Met de introductie van de OmniSwitch 6350 familie van Alcatel-Lucent Enterprise is AOS 6.7.1 R01 geïntroduceerd voor zowel alle OS6250, OS6350 en OS6450 modellen. De firmware van de OS6250 en OS6450 is identiek qua software en functionaliteit. Gezien de beperktere feature set van de OS6350 is de firmware en functionaliteit van deze software verschillend van die van de OS6250 en OS6450 modellen. Voor de exacte verschillen verwijzen wij naar de release notes op onze support site. Bij de publicatie van deze versie is de volgende functionaliteit beschikbaar geworden:

Chassis / System

Monitor Interswitch Stacking Connections

Voor deze verbetering was het alleen mogelijk om port status, statistieken en tellers van niet stacking poorten in te zien. Deze verbetering maakt het mogelijk om deze gegevens ook bij stacking poorten te bekijken.

Laag 2

Priotisering ERP pakketten

In bepaalde netwerk scenario’s is hoge CPU belasting zichtbaar als gevolg van grote aantallen muticast pakketten die door de CPU verwerkt worden. IPv4 of IPv6 multicast protocol pakketten zoals HSRP, EGRP of ieder type end to end multicast applicatie die de 224.0.0.0/24 of ff02:0::/32 adres reeks gebruiken die niet verwacht worden door een L2 switch verwerkt te worden, kunnen CPU gebruik beïnvloeden wat kwesties tot gevolg kan hebben bij het normale afhandelen van andere protocollen zoals LACP of ERP. Dit wordt typisch gezien in Carrier Ethernet netwerken waar Ethernet diensten op de OmniSwitch geprovisioneerd worden waar deze geïmplementeerd wordt om L2 toegang te bieden tot het Carrier netwerk. Maar dit scenario kan ook toepasbaar zijn op ieder groot L2 access/core type netwerk.

Het verwerken van IPv6 protocol pakketten is afhankelijk van de aanwezigheid van een IPV6 interface. Als een IPv6 interface aanwezig is dan worden de pakketten door de CPU verwerkt, anders worden de pakketten transparant doorgelaten. Om het verwerken van IPv4 protocol pakketten te controleren is het volgende commando geïntroduceerd: -> ip multicast dynamic-control drop-all status {enable | disable}

Bij veel multicast verkeer in een netwerk kan de voor de switch kwesties opleveren bij het controleren van de ERP ring wat een loop in het netwerk tot gevolg kan hebben. Deze functie maakt het mogelijk het verwerken van de L3 multicast protocol pakketten door de CPU te beperken. De functie staat twee typen configuratie toe:

  • Configuratie exclusief bekende protocollen, dit staat toe dat alleen bekende IPv4 protocollen zoals OSPF, VRRP, RIPv2, PIM en DVRMP door de CPU verwerkt worden.
  • Configuratie inclusief bekende protocollen, dit controleert de verwerking door de CPU van alle multicast control frames inclusief IPv4 protocollen.

Laag 3

IPv6 Supported RFCs / IPv6 Phase 2 Logo

De OmniSwitch heeft de conformiteit- en interoperabiliteitstesten doorstaan die nodig zijn om het IPv6 forum IPv6 Ready Logo te mogen voeren.

IPv6 Security – Source Guard

IPV6 Source Filtering is een IPv6 veiligheidfunctie. Als IPv6 source guard is geactiveerd op een interface, wordt al het onbekende IPv6 verkeer naar de CPU verstuurd. De software zoekt het IPv6 bron adres op in een binding tabel die in het apparaat geleerd wordt. Als dit verband niet wordt gevonden wordt de flow uitgesloten.

IPv6 bron filteren wordt toegepast op DHCPv6 Snooping poorten, gebundelde verbindingen en VLANs en beperkt poort verkeer tot alleen pakketten die het source MAC adres, IPv6 adres en VLAN combinatie van de klant bevatten. De DHCPv6 Snooping binding tabel wordt gebruikt om de klant informatie te verifiëren van de poort/VLAN waarop IPv6 source filteren is geactiveerd.

IPv6 Security – Router Advertisement (RA) Guard

RA filteren kan gebruikt worden om het verspreiden van rogue RAs van ongeauthoriseerde systemen te voorkomen. Als het geactiveerd is op een interface worden alle ontvangen RA gedropt zonder naar enig ander verbonden IPv6 klant doorgelaten te worden. Eén of meer vertouwde poorten of linkaggs kunnen als interface gespecificeerd worden. RAs afkomstig van deze poorten of linkaggs worden doorgelaten naar alle andere IPv6 klanten die via dit interface bereikt kunnen worden.

IPv6 DHCP Relay/snooping/circuit-id

De Alcatel-Lucent OmniSwitch implementatie van RFC 3315 biedt DHCPv6 Relay-ondersteuning en stateless adres auto configuratie aan IPv6 hosts aangesloten op de switch. DHCPv6 wordt gebruikt om een globaal IPv6-adres te verwerven in Stateful-modus en DHCPv6 berichten worden uitgewisseld tussen IPv6-hosts en IPv6-router vergelijkbaar met het client-server model. De IPv6-adressen worden toegewezen door de DHCPv6-server in Stateful-modus. De DHCPv6-server onderhoudt de klant informatie. DHCPv6 Relay op OmniSwitch verwerkt en stuurt alle DHCPv6 berichten veroorzaakt door DHCPv6 client naar de geconfigureerde DHCPv6 Relay-agent als een unicast pakket.

Op dit moment zijn de volgende modi van DHCPv6 Relay beschikbaar:

  • DHCPv6 L3 Relay – Switch functioneert als zuiver Layer 3 relay agent als het klant gerichte interface een associatie met een IPv6 interface heeft. De DHCPv6 Layer 3 Relay configuratie heeft de volgende modi gelijksoortig aan DHCP relay:

Globale modus – tot aan 256 configureerbare IPv6 relay adressen

Per-VLAM modus – tot 256 VLANs met tot aan 8 IPv6 relay adressen per VLAN

Dit kan via de IPv6 helper address commando familie geconfigureerd worden.

  • DHCPv6 LDRA – De switch acteert als een Lightweight DHCPv6 Relay Agent (LDRA) als een klant gericht interface of poort geen IPv6 interface heeft en alleen een VLAN geconfigureerd heeft.

DE LDRA gebruikt de volgende berichten voor DHCP Snooping en relay-forwarding.

Relay-Forward:

  • Het link-adres wordt aan het ongespecificeerde adres gekoppeld
  • Het peer-adres wordt van het client link local addres gekopieerd
  • De Interface-ID optie wordt ingevoegd

Relay-Reply:
Berichten ontvangen op client poorten worden alleen doorgegeven aan vertrouwde poorten en niet naar andere client poorten. Op client poorten worden de volgende berichten als server schending verworpen:

  • Advertise
  • Reply
  • Reconfigure
  • Relay-Reply

Een client poort kan ook als client-only-trusted of client-only-untrusted geconfigureerd worden. Als een poort als client-only-untrusted poort geconfigureerd is, wordt het Relay-Forward bericht verworpen. De LDRA ondervangt ieder DHCPv6 bericht dat op client poorten ontvangen wordt.

Management

RCL- DHCP Server Priority

Deze functie verandert het Automatic Remote Configuration DHCP client proces op een OmniSwitch om prioriteit toe te kennen aan een DHCP antwoord van een OV Client server. Als een DHCP respons op VLAN 1 ontvangen wordt van een DHCP server anders dan OmniVista wordt dit respons tijdelijk opgeslagen. De DHCP client zal tijdens een periode van 30 seconden afwachten of er een respons van de OmniVista DHP server met een hogere prioriteit ontvangen wordt.

  • Prioriteit 1 – OmniVista DHCP server (VSI = alcatel.nms.ov2500)
  • Prioriteit 2 – OXO DHCP Server – (VSI = alcatel.a.a4400.0)
  • Prioriteit 3 – Alle andere DHCP servers

Als er binnen de periode van 30 seconden geen DHCP respons van de OmniVista DHCP server ontvangen is, wordt het opgeslagen respons toegepast. Als een respons van de OmniVista DHCP server binnenkomt wordt deze direct toegepast.

Metro

CPE Test Head verbeteringen

De L2 SAA test maakt het mogelijk om de RTT en Jitter tijdens de test head operatie te meten. De L2 SAA test wordt tussen twee OmniSwitches uitgevoerd. Deze test kan parallel aan andere CPE tests uitgevoerd worden. De l2 SAA maakt het mogelijk de netwerk prestaties tussen de appaten continu te monitoren. De netwerk prestaties wordt gemonitort door tijdens de test contunu L2 SAA pakketten te injecteren die verkeer prestaties genereren en analyseren. Bij het ontvangen van de SAA reply van ieder frame wordt de mimimale RTT, maximale RTT, totale RTT, minimale jitter, maximale jitter, totale jitter en aantal ontvangen pakketten berekend en voor referentie opgeslagen in een globale buffer.

Security

Critical Voice VLAN wanneer RADIUS down is

DE critical Voice VLAN maakt het mogelijk IP telefoon verkeer van het dataverkeer te classificeren als de authenticatie server down is. Een user-network-profile (UNP) is geconfigureerd om pakketten die niet geauthentiseerd kunnen worden te classificeren als de authenticatie server down of onbereikbaar is. Een extra user-network-profile moet geconfigureerd worden en toegewezen aan voice verkeer om het gescheiden te houden van ander data verkeer. Het user-network-profile wordt geassocieerd aan de voice policy en het UNP wordt toegepast op het ontdekte IP telefonie verkeer. Bij aanwezigheid van een authenticatieserver wordt het MAC adres van de IP telefoon geauthentiseerd tegen de authenticatieserver en het verkeer wordt in het voice domein VLAN geclassificeerd dat door de RADIUS server teruggekoppeld wordt. Als de RADIUS server down is, wordt het MAC adres eerst geclassificeerd als IP telefoon of geen-IP telefoon verkeer. Het MAC adres wordt tegen de LLDP database geverifiëerd voor classificatie.

Maintenance Release 6.6.5.77.R02 voor OmniSwitch 6250-6450 gepubliceerd

tech-update

Er is nu een nieuwe Maintenance Release gepubliceerd voor de Alcatel-Lucent OmniSwitch 6250 en 6450. Deze release bevat, naast de gebruikelijke bugfixes de volgende nieuwe functionaliteit:

1. DHCP Snooping Global Mode Enhancement

Om flexibiliteit en meer veiligheidsmechanismen te bieden voor Enterprise klanten om DHCP snooping in hun omgeving te implementeren zijn er een aantal opties toegevoegd. Met DHCP snooping wordt een vertrouwde of onvertrouwde status toegekend aan een switchpoort. Hierdoor wordt het mogelijk om alleen door voor de organisatie bekende DHCP-servers op vertrouwde switchpoorten ip-adressen uit te geven. Een illegale DHCP-server, die op een willekeurige host achter een onvertrouwde switchpoort is aangesloten, kan geen adres meer toekennen. DHCP-snooping valideert ieder DHCP-netwerkpakket dat van een DHCP-server op een onvertrouwde interface binnenkomt.

Door opties toe te voegen aan de maintenance release kan het AOS apparaat voorspelbaar werken. Dit stelt de gebruiker in staat configureerbare vlaggen te kiezen wat resulteert in het verwachte gedrag dat hieronder staat beschreven:

udpGblSbUturn Modus 6.6.5.R02
0 Standaard oude gedrag als in GA Release
1 Als deze variabele geselecteerd is zullen unicast BOOTP geen DHCP snooping functionaliteit volgen en zal er geen binding tabel hiermee opgebouwd worden
2 Hardware modus Nieuwe hardware instellingen waarbij alleen de combinatie van UDP poorten 68/67 als bron- en doel poort als DHCP pakketten behandeld zullen worden.Bv. als er een pakket met als bron UDP poort 67 en als doel UDP poort 67 wordt ontvangen, dan zal dit niet als DHCP gezien worden en niet door DHCP snooping onderschept worden.
3 Software modus Nieuwe hardware instellingen om pakketten met UDP poort paar 67/67 naar de CPU te onderscheppen, naast UDP poort paren 67/68 en 68/67.Nieuwe software forwading logica in DHCP snooping context verbeterd om L2, L3 switching (ARP) en L3 routing (IP Route) af te handelen

2. Critical Voice Vlan – fase 1

Het bestaande gedrag is dat, wanneer de RADIUS server niet meer reageert of toegankelijk is, een authentiserende IP telefoon naar het standaard VLAN verplaatst wordt, wat niet noodzakelijkerwijs het Voice VLAN is. Dit kan er toe leiden dat IP telefoons niet kunnen verbinden. Als een verbetering wordt de huidige auth-server down functie gebruikt om het critical voice VLAN te ondersteunen. Er wordt een nieuwe policy geïntroduceerd om één “Voice” User Network-Profile te ondersteunen.

Met deze uitbreiding wordt het MAC adres van het apparaat tegen de LLDP database gecontroleerd, als RADIUS authenticatie mislukt omdat de server niet reageert. Als bepaald wordt dat het een telefoon betreft, wordt het MAC adres geleerd en geclassificeerd in het “Voice-user-network-profile”. Als zo’n voice profiel niet aangemaakt is, dan wordt het apparaat als, hieronder beschreven, niet-IP apparaat geclassificeerd.

Als het MAC adres niet van een IP telefoon is wordt de normale policy toegepast. Bij de normale policy wordt, als UNP is geconfigureerd, een MAC adres geleerd en geclassificeerd in het betreffende profiel. Als er geen User-Network Profile is geconfigureerd, wordt het MAC adres geblokkeerd en als gefilterd geleerd.

Voor meer informatie kunt u de release note bekijken en de firmware downloaden op onze support pagina →