Renomeando policy-map e class-map

A Modular Policy Framework (MPF) é uma estrutura que cada vez mais vai ganhando espaço na configuração do IOS, e é utilizada entre outras, para configuração de QoS.

Ela é formada basicamente por class-maps e policy-maps.

Agora a parte interessante: é possível mudar o nome de um class-map ou de um policy-map sem ter que remover e inserir novamente os comandos.

Dentro do class-map e policy-map temos a opção rename, que permite trocar o nome e automaticamente mudar todas as referencias ele.

Exemplo: Mudando o nome do policy-map.

!Politica existente, chamada POLICY2
policy-map POLICY2
class CLASS_NOME
    police 64000

! Politica aplicada à interface F0/0

c2801-lab#sh run int f0/0

interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
  service-policy input POLICY2

! Mudando o nome para POLITICA1

c2801-lab#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c2801-lab(config)#policy-map POLICY2
c2801-lab(config-pmap)#rename POLITICA1
c2801-lab(config-pmap)#end

! Verificando o policy-map com o nome alterado
c2801-lab#sh run policy-map
policy-map POLITICA1
class CLASS_NOME
    police 64000

c2801-lab#sh run int f0/0
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
  service-policy input POLITICA1
end

c2801-lab#

O mesmo se aplica ao class-map.

Até a próxima.

Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

10 dicas para seu firewall

Por André Ortega, 20/07/2010 13:18

Beleza, você tem um firewall. Isso basta?

Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.

  1. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
  2. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
  3. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
  4. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
  5. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
  6. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
  7. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
  8. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
  9. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
  10. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.

Quais outras dicas para administração de um firewall??

Até a próxima.

Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

Brainwork Responde

Já há alguns dias está disponível o brainwork responde, um espaço para perguntas e respostas. Nele é possível fazer uma pergunta e receber a resposta de outros membros.

Muitos frequentadores do blog tem enviado perguntas para nosso email, e o brainwork responde deve nos ajudar, permitindo o compartilhamento destas dúvidas, e claro, soluções.

O principal assunto serão as questões relacionadas aos equipamentos Cisco, mas com a participação aberta a todos, tenho certeza que não ficaremos restrito a isso.

brainwork responde

No menu principal do blog tem um link para o brainwork responde, e depois de acessar basta informar se cadastrar para fazer uma pergunta ou dar uma resposta. Também é possível votar nas perguntas e resposta, ou deixar um comentário. Todas essas atividades valem pontos.

Lembrem-se que a Internet é um meio interativo, e o conhecimento deve ser utilizado nas duas vias: donwload e upload.

Ainda está na versão beta, mas acredito que não teremos problemas na utilização. Se perceberem algum é só deixar um comentário.

Até a próxima.

Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

Cisco IOS free para estudo?

Por André Ortega, 13/07/2010 10:18

O Marco Felippeti, do blog CiscoCertified, informou que o Ethereal Mind lançou uma petição online para arrecadar “assinaturas” e posteriormente enviar à Cisco, solicitando que seja liberada uma versão do IOS para estudo/prática.

A discução não é nova, mas até agora a Cisco não decidiu o que fazer. Ela sempre alegou que com a liberação de uma versão free o número de chamados em seu suporte aumentaria.

Imagino que outra preocupação seria a utilização desta versão em ambientes em produção.

Por outro lado, a concorrencia tem aumentado, e liberar uma versão para estudo seria uma forma de se fortalecer no mercado.

De qualquer maneira, já que somos parte interessada, devemos colaborar aderindo a petição. Basta acessar o link http://etherealmind.com/petition/ informar o nome e seu endereço de email.

Como diz parte do texto “Quer sejamos revendedores, consultores, estudantes ou simplesmente interessados em aprender, todos nós precisamos de um método prático para acessar o IOS e praticar”.

Até a próxima.

Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

CiscoPedia – Guia de comandos Cisco

Por André Ortega, 07/07/2010 08:50

Navegando dia desses encontrei um programa em formato de arquivo de ajuda (.chm)com comandos do Cisco IOS. O CiscoPedia, como é chamado, trás uma grande quantidade de comandos, ilustrando a sintaxe, descrevendo os possíveis argumentos e até exemplos de configurações.

Acredito que muita gente já conheça, mas pra mim é novidade, apesar dele não ser novo. A versão 3.0, que foi a que encontrei, é de 2003.

O programa ele é da própria Cisco, com comandos utilizados no Networking Academy, segundo descrição da página inicial.

CiscoPedia

Pesquisei mais, mas não encontrei quase nada a respeito do Ciscopedia… Existe versão mais recente? Por que não atualizaram mais?

Apesar de estar desatualizado (já que é de 2003), gostei da idéia. É muito bom ter um guia de consultas rápidas.

Download do Ciscopedia aqui.

Até a próxima.

Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

Tema Brainwork 0.2(beta)