Capítulo 2 Ccna III

Configurando um Switch

Switching LAN e Wireless - Capítulo 2

ITE I Chapter 6 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1

2.1 Introdução às Redes Ethernet/802.3

� Família de Protocolos

- Ethernet (10Mbps)

- FastEthernet (100Mbps)

- GigabitEthernet (1000Mbps)

- 10G Ethernet (10.000 Mbps)

� Mesmo formato de quadro � Interconectáveis

ITE 1 Chapter 6 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2

2.1.1 Elementos chave nas redes Ethernet/802.3

� Meio compartilhado -Detecção de Portadora -Detecção de Colisão -Tempo de propagação → Tamanhos mínimo e máximo de quadro, comprimento máximo do segmento


2.1.1 Modos de Transmissão


2.1.1 O Quadro Ethernet/802.3

• Mesmo formato de quadro em todas as tecnologias

• Endereço MAC → 48 bits

(passe o mouse sobre os campos para saber mais)


2.1.1 Modo de Operação •• Half Duplex (CSMA/CD) Full Duplex

- Fluxo de dados - Exclusivamente ponto-a-pontounidirecional - Portas dedicadas no switch

- Colisões - Ambos dispositivos devem ser - Hubs/Repetidores capazes de operar em full-

duplex - Cabeamento - Ambiente sem colisão


2.1.1 Autonegociação de Modo Duplex

• Switches podem ser configurados para um dos modos - “auto” → autonegociação- “full” → força modo full duplex - “half” → força modo half duplex

• Autonegociação pode falhar - Cabo defeituoso - Dispositivos antigos podem não suportar autonegociação- Falha na negociação → switches Catalist assumem modo “half”- Pontas em modo diferente causam “colisão retardada”

• Seleção automática do cabo - Antes: cabos “diretos” x cabos “cross”- Agora: “mdix auto”


2.1.1 Encaminhando Quadros

• MAC Address Table → Tabela CAM• Encaminhamento baseado no endereço MAC de

destino • Endereços não encontrados → flooding

- Quadro é encaminhado a todas as portas, exceto aquela por onde entrou


2.1.1 Aprendendo Endereços MAC

• MAC Address Table → Tabela CAM • Aprendizado baseado no endereço MAC de origem

- Switch anota o endereço de origem e a porta por onde ele entra

- Endereços encontrados na tabela CAM → envio direto àinterface associada

- Limpeza periódica da tabela CAM


2.1.2 Domínios de Colisão

� Todas as portas ligadas a um Hub formam um domínio de colisão.

� Cada porta do switch está num domínio de colisão separado.

- Microssegmentos

� Cada porta do roteador está num domínio de colisão separado.

� Colisões reduzem a banda efetiva da rede


2.1.2 Domínios de Broadcast

� Switches encaminham quadros de broadcast para todas as portas

� Roteadores não encaminham quadros de broadcast


2.1.2 Latência

� “Tempo entre um quadro começar a ser enviado pelo emissor, e ser completamente recebido pelo destinatário”

- Latência = Tempo de propagação na rede + tempo de transmissão do quadro + tempo de processamento dos switches


2.1.2 Congestionamento

� Usar redes segmentadas diminui o congestionamentoda rede - Colisões - Tráfego de outras estações


2.1.2 Segmentação

� Switches e Bridges segmentam a rede em domínios de colisão menores

� Não há alteração no tamanho do domínio de Broadcast.


2.1.2 Segmentação

� Roteadores, Switches L3 e VLANs segmentam domínios de broadcast

� Menores domínios de broadcast → melhor desempenho - Quadros de broadcast “pesam” nas estações - Isolamento de tráfego


2.1.3 Controlando a Latência da Rede


2.1.3 Removendo pontos de Gargalo

� Pontos de concentração de tráfego podem requerer mais banda

- Exemplo: Servidores de rede - NICs adicionais podem ajudar - Agregação de links


2.1.3 Atividade: Identificando Domínios de Colisão e de Broadcast


2.2.1 Modos de Encaminhamento � Store-and-forward� Cut-through

- Fast-Forward - o quadro é encaminhado assim que o endereço de destino é recebido.

- Fragment-Free - o quadro é encaminhado assim que os primeiros 64 bytes são recebidos.


2.2.2 Comutação Simétrica / Assimétrica

� Simétrica: todas as portas do switch operam na mesma taxa de transferência

� Assimétrica: cada porta do switch opera numa taxa de transferência diferente

� Comutação Assimétrica exige bufferização


2.2.3 Buffers de Memória

� Quadros podem precisar ser processados � A porta de saída pode estar ocupada � Bufferização → Quadros são armazenados em memória � Buffers por porta

- Cada porta tem uma porção fixa da memória. - Cada porta tem sua própria fila de quadros

� Buffer compartilhado - Fila única - Alocação dinâmica


2.2.4 Switches L2 e L3

� Switches L2 tomam decisões de comutação com base no endereço MAC dos quadros

� Switches L3 tomam decisões de comutação com base no endereço de camada 3 dos pacotes


2.2.4 Switches L3 x Roteadores

� Switches L3 e Roteadores encaminham pacotes com base no endereço IP de destino

� Roteadores são mais flexíveis � Switches L3 são mais rápidos

Facilidade Switches L3 Roteadores

Roteamento de pacotes √√Gerenciamento de Tráfego √ √Suporte a interfaces WAN (WIC) √

Protocolos de Roteamento avançados √

Alta taxa de encaminhamento √


2.2.4 Drag'n Drop: Identificando o Método de Encaminhamento


2.2.4 Drag'n Drop: Identificando Switches Simétricos x Assimétricos


2.2.4 Drag'n Drop: Identificando Switches Simétricos x Assimétricos


2.3 Configuração de um Switch


2.3.1 Modos de comando

� Modo EXEC de usuário � Modo EXEC privilegiado


2.3.1 Modos de comando

� Modo de configuração global � Modo de configuração de interface � Modo de configuração de linha


2.3.1 Configuração por Interface Gráfica

� Cisco Network Assistant� CiscoView� Cisco Device Manager � SNMP Network Management


2.3.2 Obtendo ajuda no modo de comandos


2.3.2 Obtendo ajuda no modo de comandos


2.3.3 Histórico de Comandos


2.3.4 Entendendo o Boot do Switch

� Boot de um switch Cisco Catalyst: - O Switch carrega o boot loader da NVRAM - O Boot Loader:

• Inicializa a CPU em baixo nível; • Executa o POST (Power On Self Test) • Carrega o sistema de arquivos Flash• Carrega o IOS em memória

- O IOS configura o sistema a partir do arquivo de configuração inicial


2.3.4 Recuperação de Falhas no IOS

� O Boot Loader auxilia na recuperação de falhas do IOS - Permite acesso ao switch caso não seja possível carregar o

IOS (“Rommon”). - Permite acesso aos arquivos da Flash antes da carga do IOS.- Interface de linha de comandos própria


2.3.6 Configuração de um Switch para Operação na Rede

• Preparação do switch para ser configurado


2.3.5 Conexão inicial ao Switch

� Passo 1: Verifique que: - Todos os cabos estão corretamente conectados - Seu PC ou terminal está ligado à porta console do Switch - O Software emulador de terminal está carregado e configurado.


2.3.5 Conexão inicial ao Switch

� Passo 2: Conecte o switch à energia. � Passo 3: Observe o processo de boot.

- System Led indica o resultado do POST • Erros de POST são fatais.


2.3.6 Configuração Básica de um Switch de Acesso


2.3.6 Configuração da Interface de Gerenciamento


2.3.6 Configuração da Conectividade IP


2.3.6 Verificando a configuração


2.3.6 Verificando a configuração


2.3.6 Configuração de Modo Duplex


2.3.6 Configurando a Interface Web


2.3.6 Gerenciando a Tabela de Endereços MAC

� Comando: “show mac-address-table”� Endereços Dinâmicos

- Aprendidos a partir da rede - Tempo de retenção

� Endereços Estáticos - Configurados pelo administrador - “mac-address-table static <MAC address> vlan <#> interface

<interface>


2.3.7 Verificando as configurações






2.3.8 Gerenciamento Básico do Switch

� Salvando a configuração em execução



� Recuperando a configuração salva



� Salvando as configurações para um servidor FTP



� Eliminando os arquivos de configurações atuais


2.3.8 Atividade: Gerenciamento Básico do Switch


2.4.1 Configurando a segurança do Switch






2.4.1 Recuperação de Senhas

� Execute os passos abaixo (1/3): - Passo 1 : Conecte um PC com software emulador de terminal

ao console do switch - Passo 2 : Configure a comunicação com o console - Passo 3 : Desligue a energia do switch. Religue a energia e aperte e segure o botão “Mode” durante o POST

• System Led piscando verde → verde sólido - Passo 4 : Inicialize o sistema de arquivos Flash

• flash_init- Passo 5 : Carregue os arquivos auxiliares

• load_helper- Passo 6 : Exiba o conteúdo da memória flash

• dir flash



� Execute os passos abaixo (2/3): - Passo 7: Renomeie o arquivo “config.text”

• rename flash:config.text flash:config.text.old- Passo 8: Reinicie o sistema

• boot - Passo 9: Responda “n” para não iniciar a configuração

automática - Passo 10: Entre no modo EXEC privilegiado

• enable- Passo 11: Renomeie o arquivo “config.text.old” de volta para

“config.text”

• rename flash:config.text.old flash:config.text



� Execute os passos abaixo (3/3): - Passo 12: Copie o arquivo de configuração inicial para a

configuração corrente • copy flash:config.text system:running-config

- Passo 13: Entre no modo de configuração global • configure terminal

- Passo 14: Redefina a senha de acesso• enable secret <nova senha>

- Passo 15: Retorne ao modo EXEC privilegiado • end ou exit

- Passo 16: Grave a configuração alterada. • copy running-config startup-config

- Passo 17: Reinicie o switch com o comando “reload”.


2.4.2 Avisos de Login

� O aviso de login é emitido antes de um usuário entrar no sistema (username/password)

� Não é uma mensagem de boas-vindas!!!


2.4.2 Mensagem do Dia

� A mensagem do dia é emitida quando um usuário acessa alguma linha (console, auxiliar, vty). � Usada para avisos de interesse geral.


2.4.3 Telnet x SSH

� Telnet � SSH - Mais simples - Configuração mais complexa - Mensagens em texto aberto - Fluxo de mensagens - Inseguro criptografado

- Mais seguro


2.4.4 Ataques de Segurança mais comuns

� Inundação de endereços MAC - O atacante gera uma enxurrada de endereços MAC aleatórios - A tabela MAC do switch “transborda”- O switch não consegue registrar novos endereços MAC - O switch passa a encaminhar quadros em flooding- O atacante captura os quadros como se estivesse num hub



• DHCP Spoofing- O atacante cria um servidor DHCP falso no mesmo segmento

de rede dos usuários. - Como está mais próximo, o servidor DHCP falso consegue

responder antes do servidor legítimo. - O servidor falso informa parâmetros de rede que desviam o tráfego para uma máquina sob controle do atacante. • DHCP Starvation

- O atacante gera pedidos de endereço DHCP falsos, esgotando a faixa de endereços do servidor DHCP legítimo.

- Pode ser usado em conjunto com o DHCP Spoofing.



� Defesa: DHCP Snooping- Portas seguras (“trusted”) podem enviar ofertas DHCP - Portas inseguras (“untrusted”) só podem enviar pedidos DHCP - Oferta DHCP na porta insegura → porta bloqueada - Portas são marcadas como trusted

com o comando

• ip dhcp snooping trust


2.4.4 Ataques de Segurança mais comuns • Ataques CDP

- Não-autenticado - Texto aberto - Habilitado por padrão - Um atacante pode usar a informação do CDP para planejar um

ataque - Um atacante pode forjar informações CDP para os dispositivos

Cisco

• Solução: desabilitar o CDP nas interfaces onde ele não seja necessário.



• Ataques contra o Telnet- Força bruta - DoS- Informação em texto aberto → ataques “man-in-the-middle”

• Proteção contra ataques de força bruta: - Trocar regularmente as senhas de acesso remoto - Usar senhas fortes [A-Z,a-z,0-9,!@#$%&*_+=] - Usar ACLs para limitar o acesso às portas VTY• Proteção contra DoS- Manter o IOS atualizado • Proteção contra “man-in-the-middle”

- Não usar Telnet → dar preferência a SSH


2.4.5 Ferramentas de Segurança

�� Ferramentas de Auditoria - Revelam que tipo de informação pode ser capturada - Encontram erros de configuração e equipamentos

desatualizados �� Ferramentas de Teste de Penetração

- Identificam vulnerabilidades nos dispositivos de rede - Testam a resistência do sistema a diversos ataques - OBS: Podem ter impacto negativo no desempenho da rede, portanto devem ser usados de forma bem planejada.


2.4.5 Ferramentas de Segurança

• Características comuns nas ferramentas de segurança: - Identificação dos serviços em execução (“port mapping”) - Suporte a teste de serviços baseados em SSL (HTTPS, SSH, etc) - Testes não-destrutivos x destrutivos - Base de dados de vulnerabilidades

• Ações comuns ao usar ferramentas de segurança: - Capturar mensagens, arquivos, acessos Web, emails, senhas,

etc. - Simular ataques de falsificação (MAC Spoofing, IP Spoofing,

DHCP Spoofing, DNS Spoofing)


2.4.6 Configurando Segurança de Portas

�� Segurança de Porta permite: - Especificar grupos de endereços MAC válidos para uma porta.- Permitir que apenas um endereços MAC acesse a partir da

porta. - Determinar que a porta se desative automaticamente no caso

de acessos indevidos.



� Endereços MAC seguros : - Estáticos (definidos pelo administrador)- Dinâmicos (aprendidos pelo IOS)- Aderentes (“sticky”)

� Endereços MAC Aderentes (“sticky”) - Aprendidos automaticamente, são armazenados na

configuração em execução (“running-config”). - Desabilitar a aderência não exclui o endereço da tabela MAC.

• switchport port-security mac-address sticky


2.4.6 Modos de Violação de Segurança

• Violações de Segurança : - Um novo MAC address aparece numa porta que já chegou ao

limite de MAC adresses permitidos - Um mesmo MAC address está sendo usado em duas interfaces

configuradas para Segurança de Porta • Modos “protect”, “restrict”, “shutdown”

Modo de Encaminha Envia mensagens Exibe Mensagens Aumenta o contador Desabilita Violação Tráfego de Syslog de Erro de violações a porta

Protect Não Não Não Não Não

restrict Não Sim Não Sim Não

shutdown Nao Sim Não Sim Sim






2.4.6 Verificando Segurança de Portas


2.4.6 Verificando Segurança de Portas


2.4.7 Protegendo portas não-utilizadas

� Portas não-utilizadas devem, sempre que possível, ser desabilitadas para evitar acessos indevidos.


2.4.7 Atividade: Protegendo portas não-utilizadas


2.5.1 Laboratório: Configuração Básica


2.5.1 Atividade: Configuração Básica


2.5.2 Laboratório: Gerenciando o IOS e os arquivos de configuração


2.5.3 Laboratório: Gerenciando o IOS e os arquivos de configuração


Resumo

Neste capítulo você aprendeu:

•O padrão 802.3 Ethernet se comunica usando mensagens unicast, broadcast e multicast. Ajustes de Duplex e Segmentação da LAN aumentam o desempenho. Domínios de coli-são e de broadcast, latência de rede e segmentação da LAN são pontos-chave a serem considerados no projeto.

•O método usado para encaminhamento de quadros pelo switch influencia o desempenho e a latência da LAN. Bufferização em memória do tráfego de rede permite ao switch ar-mazenar os quadros de maneira a permitir o encaminhamento, comutando de maneira simétrica, assimétrica e multi-nível.

•A interface Cisco IOS CLI permite a configuração rápida de tarefas repetitivas no switch. •A configuração inicial do switch inclui definir a conectividade IP, nomes de dispositivos, e mensagens de aviso. Verifique sua configuração com o comando Cisco IOS “show running-config” e sempre faça cópias de segurança de suas configurações. •Useos comandos do Cisco IOS CLI para proteger o acesso ao console e às portas VTY de acesso remoto.

• Defina senhas de acesso para o modo EXEC privilegiado e criptografe as senhas armazenadas.

• Use SSH para configurar remotamente os switches Cisco. • Habilite Segurança de Portas para diminuir os riscos, e faça auditorias de segurança

regularmente em sua rede.


Desafio: Gerenciamento de Switches



Documents

Capítulo 2 Ccna III