View
258
Download
4
Category
Preview:
Citation preview
11/03/2015
1
Laboratórios 1, 2, 3, 4, 6, 9 e 10Roteadores CISCO
Prof. Alexandre Beletti
Baseado no livro de Samuel Brito
Laboratório 1
11/03/2015
2
Laboratório 1
Laboratório 1
• Abra o Lab01.pkt
• Clique no roteador
• Observe as guias Physical e CLI
• Na Physical temos a simulação da interface física de um roteador
• Na CLI temos acesso ao software do roteador
11/03/2015
3
Physical X CLI
Sequência dos Comandos - CLI
• ENTER
• Enable
• p@ssw0rd
• erase startup-config
• ENTER
• “Ao final desligue e ligue novamente o roteador em Physical” e observe o diálogo MAS NÃO CONTINUE COM A CONFIGURAÇÃO!
11/03/2015
4
Sistema Cisco/IOS
• IOS = Internetwork Operating System
• Todos os roteadores/switches da Cisco acompanham uma variante do IOS
• O sistema possui 2 modos de acesso:
– Usuário
– Privilegiado
• Além dos seguintes submodos...
Principais Modos do IOS
• Router> (modo usuário): somente é possível exibir informações básicas do equipamento
• Router# (modo privilegiado): acesso total
• Router(config)# (submodo de conf. Geral): configurações globais
• Router(config-line)# (submodo de conf. Linha): acessos local e remoto
• Router(config-if)# (submodo de conf. Interface):
11/03/2015
5
Principais Modos do IOS
• Router(config-if)# (submodo de conf. Interface): configurações de interfaces
• Router(config-subif)# (submodo de conf. De subinterface): configurações de interfaces lógicas sobre interfaces físicas
• Router(config-router)# (conf. de roteamento): configuração de protocolos de roteamento de roteador
Comandos – Parte 1 de 3
Comando no IOS Descrição/Ação
Router> enable Entra no modo privilegiado
Router# configure terminal Modo de configuração geralDaqui pra frente estamos no modo terminal...
hostname Roteador Altera o nome do roteador
no ip domain-lookup Desativa a resolução de nomes
banner motd @ Msg. Personalizada de Login
enable secret SENHA Habilita a senha no modo privilegiado
service password-encryption Ativa criptografia de senhas
line vty 0 15 Modo de configuração remoto
11/03/2015
6
Daqui pra frente estamos no modo remoto...
password SENHA Habilita a senha no modo remoto
login Permite tentativa de acesso remoto
exec-timeout 0 0Restringe o tempo de acessor remoto (0 0 = infinito)
logging synchronous Desativa msg. Administrativas
exit Volta para o modo anterior
line console 0 Modo de acesso terminalDaqui pra frente estamos no modo terminal...
password SENHA Habilita a senha no modo terminal
exit Volta para o modo anterior
interface f 0/0 Modo de configuração da interface
Comandos – Parte 2 de 3Daqui pra frente estamos no modo interface...ip address 192.168.0.254 255.255.255.0 Configura um ip e máscara
no shut ativa a interface
end retorna ao modo privilegiado
copy run start copia as configurações para a memória
show running-config exibe as configurações correntes
show startup-config exibe as configurações de inicialização
show ip interface brief exibe um resumo das interfaces de rede
show ip route exibe a tabela de rotas
11/03/2015
7
Telnet
• Desse ponto em diante qualquer máquina pode fazer um acesso nesse roteador via:
• telnet 192.168.0.254
• Para finalizar o telnet digite:
• exit
Laboratório 2
11/03/2015
8
Roteamento Estático
Descrição
• Cenário: uma empresa com 1 matriz e 1 filial deseja interligar as duas redes
• A matriz possui 3 redes locais
• A filial possui 2 redes locais
• Observe que as redes locais possuem máscara /24 enquanto a conexão entre os 2 roteadores possui máscara /30
11/03/2015
9
Parte 1 - Configure os IP nos PCs
• Configure os IPs dos hosts baseando-se na imagem do cenário.
• Matriz– Rede1: 192.168.1.0 / 24
– Rede2: 192.168.2.0 / 24
– Rede3: 192.168.3.0 / 24
• Filial– Rede1: 192.168.8.0 / 24
– Rede2: 192.168.9.0 / 24
Roteadores
• Nas redes que formos configurar durante as aulas, sempre que cabível, adote o IP da interface do roteador como sendo o último endereço válido da rede a qual ele pertente
• Exemplo:
• Rede: 192.168.1.0 / 24
• Último IP: 192.168.1.254
11/03/2015
10
Rede dos Roteadores
• A rede que conecta os dois roteadores é:
192.168.0.0 / 30
• Temos somente 2 endereços válidos:
192.168.0.249 -> Roteador A
192.168.0.250 -> Roteador B
• Agora vamos configurar os 2 roteadores...
Roteador ARede Interface Endereço IP
192.168.0.248 S 0/0 192.168.0.249
192.168.1.0 F 0/0 192.168.1.254
192.168.2.0 F 0/1 192.168.2.254
192.168.3.0 F 0/2 192.168.3.254
Roteador BRede Interface Endereço IP
192.168.0.248 S 0/0 192.168.0.250
192.168.8.0 F 0/0 192.168.8.254
192.168.9.0 F 0/1 192.168.9.254
11/03/2015
11
Roteador A – Parte 1 de 2
enableconfigure terminalhostname Roteador-Ainterface s 0/0ip address 192.168.0.249 255.255.255.252clock rate 64000no shutinterface f 0/0ip address 192.168.1.254 255.255.255.0no shut
Roteador A – Parte 2 de 2
interface f 0/1
ip address 192.168.2.254 255.255.255.0
no shut
interface f 1/0
ip address 192.168.3.254 255.255.255.0
no shut
exit
ip route 192.168.8.0 255.255.255.0 192.168.0.250
ip route 192.168.9.0 255.255.255.0 192.168.0.250
end
11/03/2015
12
Roteador B – Parte 1 de 2
enableconfigure terminalhostname Roteador-Binterface s 0/0ip address 192.168.0.250 255.255.255.252clock rate 64000no shutinterface f 0/0ip address 192.168.8.254 255.255.255.0no shut
Roteador B – Parte 2 de 2
interface f 0/1
ip address 192.168.9.254 255.255.255.0
no shut
exit
ip route 192.168.1.0 255.255.255.0 192.168.0.249
ip route 192.168.2.0 255.255.255.0 192.168.0.249
ip route 192.168.3.0 255.255.255.0 192.168.0.249
end
11/03/2015
13
Exercício Lab2 – Análise das Saídas
• Digite os 2 comandos (nos 2 roteadores):
show ip interface brief
show ip route
• Análise e saída de dados...
Laboratório 3
11/03/2015
14
Roteamento Dinâmico
Descrição
• Cenário: uma empresa com 3 unidades:
�Rio de Janeiro
�São Paulo
�Minas Gerais
• Cada unidade possui 2 redes locais
• Observe que as redes locais e as redes dos roteadores possuem máscara /24
11/03/2015
15
Parte 1 - Configure os IP nos PCs
• Configure os IPs dos hosts
• Rio de Janeiro– Rede1: 172.16.10.0 / 24
– Rede2: 172.16.20.0 / 24
• São Paulo– Rede1: 172.16.30.0 / 24
– Rede2: 172.16.40.0 / 24
• Minas Gerais– Rede1: 172.16.50.0 / 24
– Rede2: 172.16.60.0 / 24
Roteador SPRede Interface Endereço IP
172.16.100.0 S 0/0 172.16.100.2
172.16.200.0 S 0/1 172.16.200.1
172.16.30.0 F 0/0 172.16.30.254
172.16.40.0 F 0/1 172.16.40.254
Roteador RJRede Interface Endereço IP
172.16.100.0 S 0/0 172.16.100.1
172.16.10.0 F 0/0 172.16.10.254
172.16.20.0 F 0/1 172.16.20.254 Roteador MGRede Interface Endereço IP
172.16.200.0 S 0/0 172.16.200.2
172.16.50.0 F 0/0 172.16.50.254
172.16.60.0 F 0/1 172.16.60.254
11/03/2015
16
Roteador RJenableconfigure terminalhostname Roteador-RJinterface s 0/0ip address 172.16.100.1 255.255.255.0no shutinterface f 0/0ip address 172.16.10.254 255.255.255.0no shutinterface f 0/1ip address 172.16.20.254 255.255.255.0no shutend
Roteador SP – Parte 1 de 2enableconfigure terminalhostname Roteador-RJinterface s 0/0ip address 172.16.100.2 255.255.255.0clock rate 500000no shutinterface s 0/1ip address 172.16.200.1 255.255.255.0clock rate 500000no shut
11/03/2015
17
Roteador SP – Parte 2 de 2
interface f 0/0
ip address 172.16.30.254 255.255.255.0
no shut
interface f 0/1
ip address 172.16.40.254 255.255.255.0
no shut
end
Roteador MGenableconfigure terminalhostname Roteador-MGinterface s 0/0ip address 172.16.200.2 255.255.255.0no shutinterface f 0/0ip address 172.16.50.254 255.255.255.0no shutinterface f 0/1ip address 172.16.60.254 255.255.255.0no shutend
11/03/2015
18
Roteamento Dinâmico
• Faremos uso de 3 protocolos distintos para a configuração do roteamento dinâmico:
�RIP
�EIGRP
�OSPF
• Lembre-se de salvar seu trabalho até este ponto, pois teremos 3 configurações distintas de roteadores
RIP
• No roteamento dinâmico basta o administrador informar quais redes estão diretamente conectadas e devem ser anunciadas aos roteadores vizinhos
• Fizemos uso de um plano de endereçamento sumarizado na nossa inter-rede, de forma que todas as sub-redes fazem parte da rede sumarizada 172.16.0.0 / 16.
11/03/2015
19
RIP
• Com o procedimento anterior não precisamos anunciar cada uma das redes /24, anunciamos apenas a rede sumarizada /16
• Simplificamos a configuração, mas nossos roteadores estão agora usando máscara /24
• O RIPv1 não suporta utilização de máscara de tamanho variável (VLSM) e assim as sub-redes precisam utilizar a mesma máscara
RIP - Roteadores: RJ, SP e MG
enableconfigure terminalrouter ripnetwork 172.16.0.0end
11/03/2015
20
EIGRP
• Simples e similar ao RIP
• Deve ser informado o administrador do sistema autônomo (AS)
• O “AS” deve ser o mesmo em todos os roteadores que irão estabelecer a vizinhança
• Possui um dos melhores desempenhos
• Suporta máscaras de tamanho variável VSLM
• Faremos uso de autosumarização, como no RIP
EIGRP - Roteadores: RJ, SP e MG
enableconfigure terminalrouter eigrp 90network 172.16.0.0end
11/03/2015
21
OSPF
• Protocolo aberto
• Grandes redes
• Rígida estrutura hierárquica
• Divisão da inter-rede (sub-redes)
• Pode se tornar uma configuração complexa
OSPF
• Esse protocolo exige pelo menos uma área principal de backbone (área 0)
• Precisamos informar o número de processo, que só é relevante no contexto local e pode ser diferente nos roteadores
• Não realiza auto sumarização por padrão
• As redes são informadas com sua respectiva wildcard (“inverso” das máscara de rede!?)
11/03/2015
22
OSPF - Roteadores
Roteador RJenableconfigure terminalrouter ospf 64network 172.16.10.0 0.0.0.255 area 0
network 172.16.20.0 0.0.0.255 area 0network 172.16.100.0 0.0.0.255 area 0end
Roteador SPenable
configure terminalrouter ospf 65network 172.16.30.0 0.0.0.255 area 0network 172.16.40.0 0.0.0.255 area 0network 172.16.100.0 0.0.0.255 area 0network 172.16.200.0 0.0.0.255 area 0end
Roteador MGenableconfigure terminal
router ospf 66network 172.16.50.0 0.0.0.255 area 0network 172.16.60.0 0.0.0.255 area 0network 172.16.200.0 0.0.0.255 area 0end
Exercício Lab3 – Análise das Saídas
show ip interface briefshow ip protocolsshow ip routeshow ip eigrp neighborshow ip eigrp topologyshow ip ospf neighborshow ip ospf databaseshow ip interface brief
• Digite os comandos nos roteadores:
• Obs: Alguns comandos apresentam saída somente nos roteadores que fizeram uso do protcolo.
11/03/2015
24
Introdução
• Considere uma empresa com 2 domínios administrativos distintos (círculo azul e amarelo)
• A propagação de rotas em um deles é realizada via EIGRP
• No outro domínio a propagação é realizada via OSPF
• A função do roteador intermediário é viabilizar a comunicação entre os 2 roteadores
Detalhes
• Cada protocolo de roteamento dinâmico possui suas características (algoritmo, métricas, etc)
• Não é possível fazer vizinhança entre dois roteadores com protocolos distintos
• Porém existe a possibilidade de inserção de um roteador intermediário
11/03/2015
25
Roteador Intermediário
• O roteador intermediário passará a conhecer em sua tabela de roteamento todas as rotas anunciadas em ambos os protocolos
• Podemos configurar a redistribuição de rotas em cada um dos protocolos, de forma que as rotas OSPF sejam redistribuídas no domínio EIGRP
• Tal procedimento fará com que os demais roteadores desse domínio recebam as rotas OSPF como sendo externas
Roteador EIGRPenableconfigure terminal
hostname Router-EIGRPinterface f 0/0ip address 192.168.3.254 255.255.255.0no shutinterface f 0/1ip address 192.168.4.254 255.255.255.0no shutinterfacce s0/3/0
ip address 10.1.0.2 255.255.255.252no shutexitrouter eigrp 65000network 192.168.3.0network 192.168.4.0network 10.1.0.0 0.0.0.3end
11/03/2015
26
Roteador OSPFenableconfigure terminalhostname Router-OSPFinterface f 0/0ip address 192.168.1.254 255.255.255.0no shutinterface f 0/1
ip address 192.168.2.254 255.255.255.0no shutinterfacce s0/3/0ip address 10.2.0.2 255.255.255.252no shutexitrouter ospf 64network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0network 10.2.0.0 0.0.0.3 area 0end
Roteador Redistributeenableconfigure terminalhostname Redistributeinterface serial 0/3/0ip address 10.1.0.1 255.255.255.252clock rate 64000no shut
interface serial 0/3/1ip address 10.2.0.1 255.255.255.252clock rate 64000no shutexitrouter eigrp 65000network 10.1.0.0 0.0.0.3redistribute ospf 64 metric 100 33 255 1 1500
exitopsf 64network 10.2.0.0 0.0.0.3redistribute eigrp 65000 subnetsend
11/03/2015
27
Exercício Lab4 – Análise das Saídas
• Digite o comando (nos 3 roteadores):
show ip route
• Análise e saída de dados...
Laboratório 6
11/03/2015
28
Conf. de switches e VLANs
Conf. de switches e VLANs
• 2 switches CISCO interligados com redundância (dois cabos) em um cenário que requer a utilização de VLANs (redes virtuais)
• No cenário proposto, serão configurados:
�VLANs;
�Roteamento Inter-VLANs (802.1q) e;
�VTP (Virtual Trunk Protocolo).
11/03/2015
29
Detalhes
• Existe redundância entre os 2 switches
• Os modelos da CISCO fazem isso automaticamente via STP
• STP = Spanning Tree Protocol
• Esse protocolo bloqueia uma das portas redundantes para evitar a ocorrência de loops
Configuração nos PCs das sub-redes
• O fato das máquinas estarem fisicamente conectadas aos mesmos switches não é suficiente para garantir a comunicação entre os computadores que estejam logicamenteconfigurados em sub-redes distintas
• Não existe comunicação na camada de REDE, porém o domínio de broadcast na camda de ENLACE ainda é único para todo o switch...
Continua...
11/03/2015
30
Configuração nos PCs das sub-redes
• ... dessa forma, quadros podem ser capturados e o desempenho da rede ficará comprometido
• Para contornar essa limitação, faremos uso de VLANs associadas às sub-redes para quebrar o domínio de broadcast (segurança e desempenho)
VLANs
• Uma instância virtualizada de um swtichlógico dentro de um switch físico
• Por exemplo, se criarmos 4 VLANs num switch físico equivale a 4 switches lógicos
11/03/2015
31
Plano de IPs por VLAN
HOST IP MASK GW
VLAN10-PC1 192.168.10.1 /24 192.168.10.254
VLAN10-PC1 192.168.10.2 /24 192.168.10.254
VLAN20-PC1 192.168.20.1 /24 192.168.20.254
VLAN20-PC2 192.168.20.2 /24 192.168.20.254
VLAN30-PC1 192.168.30.1 /24 192.168.30.254
VLAN30-PC2 192.168.30.2 /24 192.168.30.254
VLAN40-PC1 192.168.40.1 /24 192.168.40.254
VLAN40-PC1 192.168.40.2 /24 192.168.40.254
Configuração dos switches e VLANs
• Faremos a ativação do VTP (Virtual TrunkProtocolo) para que todas as configurações de VLAN de um switch operando em modo SERVIDOR sejam automaticamente propagadas para todos os demais switches CLIENTES da rede
• Teremos um domínio de switches chamado de NOME
11/03/2015
32
Modos de um Switch
• SERVIDOR: adicionam, alteram e removem VLANs e propagam as alterações
• CLIENTE: recebem as configurações do switch servidor
• TRANSPARENTE: membro do domínio, mas não aplica as configurações de VLANs para ele mesmo, somente no seu contexto local, não propagando para os demais
Switch SERVIDOR – Parte 1 de 2
enableconfigure terminalhostname Switch1vtp mode servervtp domain NOMEvlan 10name VLAN-10vlan 20name VLAN-20vlan 30name VLAN-30vlan 40name VLAN-40end
11/03/2015
33
Switch SERVIDOR – Parte 2 de 2
configure terminalinterface f 0/1switchport access vlan 10interface f 0/2switchport access vlan 20interface f 0/3switchport access vlan 30interface f 0/4switchport access vlan 40interface f 0/24switchport mode trunkinterface range g 1/1 - 2switchport mode trunkend
Swtich CLIENTE
enableconfigure terminalhostname Switch2vtp mode clientvtp domain NOME
endconfigure terminalinterface f 0/1switchport access vlan 10interface f 0/2switchport access vlan 20interface f 0/3switchport access vlan 30
interface f 0/4switchport access vlan 40interface range g 1/1 - 2switchport mode trunkend
11/03/2015
34
Roteador
• Temos agora 4 redes distintas conectadas em 2 switch fazendo uso de VLANs
• Essas redes não se comunicam entre si, mas um roteador pode realizar tal procedimento
• Em tese precisaríamos de 4 interfaces físicas no roteador para ligar cada uma das 4 redes, o que não é interessante ($$$)
• Fazemos uso então do modo trunk (com encapusulamento dot1q)
Roteador
enableconfigure terminalinterface f 0/0no shutdown
interface f 0/0.10encapsulation dot1Q 10ip address 192.168.10.254 255.255.255.0interface f 0/0.20encapsulation dot1Q 20ip address 192.168.20.254 255.255.255.0interface f 0/0.30encapsulation dot1Q 30
ip address 192.168.30.254 255.255.255.0interface f 0/0.40encapsulation dot1Q 40ip address 192.168.40.254 255.255.255.0end
11/03/2015
35
Exercício Lab6 – Análise das Saídas
• Digite o comando (nos 2 switches):
show mac-address-table
show vlan
show interface trunk
show vtp status
• Análise e saída de dados...
Laboratório 9
11/03/2015
36
Lista de Controle de Acesso - ACL
ACLs
• ACL = Lista de Controle de Acesso
• Pode transformar um roteador em firewall
• Podemos criar regras de acesso específico
• OBS: Futuramente criaremos um firewall dentro do Linux, utilizando o IPTABLES
11/03/2015
37
Explicação
• Somente a máquina 172.16.10.1 poderá obter acesso remoto ao roteador
• As máquinas da rede 192.168.10.0/24 deverão ser impedidas de acessar o servidor 172.16.10.1/24
• As máquinas da rede 172.16.100.0/24 não podem acessar o servidor 192.168.10.1/24
Entendendo as ACLs – CISCO
• Lembre-se que o roteador não consegue tratar máquinas da mesma rede, isso ocorre no switch ou ainda diretamente no servidor
• Podemos aplicar até 2 listas de acesso por porta de um roteador (in e out)
• Toda lista deve ter ao menos uma linha de permissão (permit), para não ocorrer o bloqueio total na interface (toda lista tem em seu final uma regra implícita que nega tudo que não foi previamente liberado)
11/03/2015
38
Tipos de ACL
• Padrão: somente trabalha com endereços de origem e destino. São aplicadas o mais próximo possível do destino. (NEGATIVO)
• Estendida: trabalha na camada de transporte, portanto consegue identificar o tipo de aplicação, baseado no protocolo de uso. Recomenda-se aplicar as regras o mais próximo da origem possível. (POSITIVO)
Sintaxe – Lista Padrão
access-list <número> [permit/deny] [IP origem]
Regra 1 - Lista Padrão
enable
configure terminal
access-list 10 permit 172.16.10.1
line vty 0 15
access-class 10 in
11/03/2015
39
Sintaxe – Lista Estendida
• access-list <número> [permit/deny] [protocolo] [IP de origem] [IP de destino] [número da porta ou nome do protocolo]
Obs: Protocolo de Rede ou Transp.: ip, udp ou tcp
Regras – Lista Estendida
Regra 2 - Lista Estendidaaccess-list 100 deny ip 192.168.10.0 0.0.0.255 host 172.16.10.1access-list 100 permit ip any anyinterface f 0/1ip access-group 100 inRegra 3 - Lista Estendidaaccess-list 100 deny ip 192.168.10.0 0.0.0.255 host 172.16.10.1access-list 100 permit ip any anyinterface f 0/1ip access-group 100 in
11/03/2015
40
Exercício Lab9 – Análise das Saídas
• Digite o comando (no roteador):
show run
show ip access-list
show ip interface f 0/0
show ip interface f 0/1
• Análise e saída de dados...
Laboratório 10
11/03/2015
41
NAT
NAT
• Faremos tradução de endereços privados (frios) para um endereço público (quente) fornecido pelo provedor de Internet (ISP)
• Temos a rede local 172.22.0.0/16 que passará por um roteador que irá fazer a tradução dos endereços (NAT)
11/03/2015
42
Config. do Roteador do Provedorenableconfigure terminalno ip domain lookuphostname Router-ISPinterface f 0/0ip address 9.0.0.1 255.0.0.0no shutinterface s 0/0ip address 100.1.1.1 255.255.255.252clock rate 500000no shutend
IPs dos PCs e do Servidor
Hostname Rede Interface Gateway
PC-PT1 172.22.11.101 S 0/0 172.22.11.1
PC-PT2 172.22.11.102 F 0/0 172.22.11.1
SERVIDOR 9.1.1.1 F 0/1 9.0.0.1
11/03/2015
43
Roteador da Empresa
• A interface fast-ethernet do roteador receberá um IP para se comunicar com a rede interna
• A interface serial estará conectada a WAN e receberá um IP fixo do provedor de Internet
• Teremos também um rota default, cuja saída apontará para a interface serial conectada ao provedor de Internet
• Toda rede de destino que não for encontrada na tabela de rotas será encaminhada para a interface serial (ex: Internet).
Conf. Roteador Empresaenableconfigure terminalno ip domain lookuphostname Router-NATip route 0.0.0.0 0.0.0.0 serial 0/0interface f 0/0ip address 172.22.11.1 255.255.0.0no shutinteface s 0/0ip address 100.1.1.2 255.255.255.252no shutend
11/03/2015
44
Definição das zonas “inside” e “outside”
• Nos roteadores da CISCO precisamos informar ao NAT qual interface representa a rede local (nat inside) e qual interface representa a conexão com a Internet (nat outside)...
Conf. Zonas – Rot. Empresa
enableconfigure terminalinterface f 0/0ip nat insideinterface f 0/0ip nat outsideend
11/03/2015
45
ACL e NAT
• Antes de ativar o NAT precisamos criar uma ACL informando quais hosts poderão participar do processo de tradução e acesso a Internet
• Depois de criar a ACL, basta aplicá-la em conjunto com o comando que ativa a tradução de endereços...
Conf. NAT – Rot. Empresa
enableconfigure terminalaccess-list 1 permit 172.22.11.0 0.0.0.255ip nat inside source list 1 interface s0/0 overloadend
Recommended