A Modular Policy Framework (MPF) é uma estrutura que cada vez mais vai ganhando espaço na configuração do IOS, e é utilizada entre outras, para configuração de QoS.
Ela é formada basicamente por class-maps e policy-maps.
Agora a parte interessante: é possível mudar o nome de um class-map ou de um policy-map sem ter que remover e inserir novamente os comandos.
Dentro do class-map e policy-map temos a opção rename, que permite trocar o nome e automaticamente mudar todas as referencias ele.
Exemplo: Mudando o nome do policy-map.
!Politica existente, chamada POLICY2
policy-map POLICY2
class CLASS_NOME
police 64000
! Politica aplicada à interface F0/0
c2801-lab#sh run int f0/0
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
service-policy input POLICY2
! Mudando o nome para POLITICA1
c2801-lab#conf t
Enter configuration commands, one per line. End with CNTL/Z.
c2801-lab(config)#policy-map POLICY2
c2801-lab(config-pmap)#rename POLITICA1
c2801-lab(config-pmap)#end
! Verificando o policy-map com o nome alterado
c2801-lab#sh run policy-map
policy-map POLITICA1
class CLASS_NOME
police 64000
c2801-lab#sh run int f0/0
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
service-policy input POLITICA1
end
c2801-lab#
O mesmo se aplica ao class-map.
Até a próxima.
Beleza, você tem um firewall. Isso basta?
Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.
-
Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
-
Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
-
Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
-
Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
-
Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
-
Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
-
Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
-
Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
-
Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
-
Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.
Quais outras dicas para administração de um firewall??
Até a próxima.
Já há alguns dias está disponível o brainwork responde, um espaço para perguntas e respostas. Nele é possível fazer uma pergunta e receber a resposta de outros membros.
Muitos frequentadores do blog tem enviado perguntas para nosso email, e o brainwork responde deve nos ajudar, permitindo o compartilhamento destas dúvidas, e claro, soluções.
O principal assunto serão as questões relacionadas aos equipamentos Cisco, mas com a participação aberta a todos, tenho certeza que não ficaremos restrito a isso.
No menu principal do blog tem um link para o brainwork responde, e depois de acessar basta informar se cadastrar para fazer uma pergunta ou dar uma resposta. Também é possível votar nas perguntas e resposta, ou deixar um comentário. Todas essas atividades valem pontos.
Lembrem-se que a Internet é um meio interativo, e o conhecimento deve ser utilizado nas duas vias: donwload e upload.
Ainda está na versão beta, mas acredito que não teremos problemas na utilização. Se perceberem algum é só deixar um comentário.
Até a próxima.
O Marco Felippeti, do blog CiscoCertified, informou que o Ethereal Mind lançou uma petição online para arrecadar “assinaturas” e posteriormente enviar à Cisco, solicitando que seja liberada uma versão do IOS para estudo/prática.
A discução não é nova, mas até agora a Cisco não decidiu o que fazer. Ela sempre alegou que com a liberação de uma versão free o número de chamados em seu suporte aumentaria.
Imagino que outra preocupação seria a utilização desta versão em ambientes em produção.
Por outro lado, a concorrencia tem aumentado, e liberar uma versão para estudo seria uma forma de se fortalecer no mercado.
De qualquer maneira, já que somos parte interessada, devemos colaborar aderindo a petição. Basta acessar o link http://etherealmind.com/petition/ informar o nome e seu endereço de email.
Como diz parte do texto “Quer sejamos revendedores, consultores, estudantes ou simplesmente interessados em aprender, todos nós precisamos de um método prático para acessar o IOS e praticar”.
Até a próxima.
Navegando dia desses encontrei um programa em formato de arquivo de ajuda (.chm)com comandos do Cisco IOS. O CiscoPedia, como é chamado, trás uma grande quantidade de comandos, ilustrando a sintaxe, descrevendo os possíveis argumentos e até exemplos de configurações.
Acredito que muita gente já conheça, mas pra mim é novidade, apesar dele não ser novo. A versão 3.0, que foi a que encontrei, é de 2003.
O programa ele é da própria Cisco, com comandos utilizados no Networking Academy, segundo descrição da página inicial.
Pesquisei mais, mas não encontrei quase nada a respeito do Ciscopedia… Existe versão mais recente? Por que não atualizaram mais?
Apesar de estar desatualizado (já que é de 2003), gostei da idéia. É muito bom ter um guia de consultas rápidas.
Download do Ciscopedia aqui.
Até a próxima.
Seja o primeiro a comentar 
