Só um comentário

Por André Ortega, 26/10/2009 08:03

Para usar autenticação no RIP, é necessário trabalhar com a versão 2, já que o RIPv1 não tem suporte a esta funcionalidade.

Após habilitar o RIPv2, devemos criar uma key-chain, onde cadastraremos as chaves que serão utilizadas para autenticação, e em seguida, em cada interface que faz parte do processo de roteamento indicaremos qual key-chain utilizar e se a autenticação será em “clear text” ou em “md5”.

Configuração 2801:
!
key chain RIP_CHAIN_NAME
key 1
key-string cisco123
!
interface FastEthernet0/0
ip address 192.168.20.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
router rip
version 2
network 1.0.0.0
network 192.168.20.0
!
Configuiração 3750:
!
key chain RIP_CHAIN_NAME
key 1
key-string cisco123
!
interface FastEthernet1/0/1
ip address 172.16.1.6 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
interface FastEthernet1/0/2
ip address 192.168.20.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
router rip
version 2
network 172.16.0.0
network 192.168.20.0
!
Configuração 3550:
!
key chain RIP_CHAIN_NAME
key 1
key-string cisco123
!
interface FastEthernet0/1
ip address 172.16.1.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
interface FastEthernet0/2
ip address 172.16.1.5 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!

router rip
version 2
network 172.16.0.0
network 192.168.1.0
!

As chaves devem ser utilizadas em pares, ou seja, a interface do 2801 e do 3750, por onde se comunicam, devem utilizar a mesma chave. Já as interface do 3750 e do 3550 poderiam ser configuradas com outro key chain.

Outras opções de configuração para o RIP aqui.

Até a próxima.

Só um comentário

Por André Ortega, 21/10/2009 12:06

Todos os modelos de ISR G2 vem com interfaces gigabit, suporte aos módulos EHWIC e ISM, e suportam até 2,5 GB de memória SDRAM. Estes roteadores também suportam módulo com interfaces switches e funcionalidades de segurança.

A parte de telefonia (Cisco Call Manager Express) é suportada a partir do modelo 2901, e pode chegar a 250 ramais.

Veja abaixo um comparativo entre os novos roteadores, ISR G2, série 1900, 2900 e 3900.

* Up to 2 GB available for use; upgradable to 4 GB in the future.
** LAN switching counts for ISR 2911 through 3945 are based on the latest generation of Switch Service Modules.
*** Scales to documented phone support in 15.0.1 rebuild.

Abaixo uma outra comparação, entre os roteadores ISR e ISR G2, onde podemos perceber o grande salto com relação a desempenho.

Até o momento a Cisco não pretende descontinuar os roteadores da série 1800, 2800 e 3800 (ISR G1).

Mais informação sobre os roteadores ISR G2 aqui.

Licença para o IOS

Uma grande diferença entre os ISR G2 e G1 e a forma como são tratadas as funcionalidades do IOS.

Anteriormente, para adicionar uma funcionalidade era necessário trocar o software do roteador (existem entre 7 e 11 modelos de IOS). Agora, com os ISRs G2, basta escolher a funcionalidade e adicionar a licença com as features desejadas. Além disso é possível trabalhar com licenças permanentes ou temporárias.

Permanent: Como o nome sugere, licença que nunca expira. Uma vez adquirida o roteador passará a contar com as funcionalidades desejadas para sempre.

Temporary: Licença que permite testar determinada funcionalidade. Pode ficar ativa por 60 dias e não é possível estendê-la.

Counted: Licença que habilita certa quantidade de alguma função. Por exemplo, licença para 10 VPN dos tipo SSL;

Subscription: Esta licença permite o acesso a um recurso ou capacidade por um determinado período de tempo. É relacionadas ao serviço de filtro de conteúdo, por exemplo, e permite atualizações regulares a partir de um banco de dados.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 20/10/2009 19:15

Após 5 anos do lançamento dos Integrated Service Routers (séries 1800, 2800 e 800), a Cisco realizou hoje o lançamento mundial da segunda geração dos ISRs. Os novos equipamentos são das famílias 1900, 2900 e 3900.

Os novos roteadores, indicados para a agregação de serviços de dados, voz e vídeo, contam com slots para módulos EHWIC – Enhanced High Speed WAN Interface Card, que são compatíveis com os módulos tradicionais (HWIC), suportados pelos ISRs G1. Já os módulos AIM foram substituídos pelos módulos ISM – Internal Services Module, e neste caso os módulos AIM não podem ser reaproveitados.

Nas séries 2900 e 3900 temos ainda um outro tipo de módulo: Cisco Service Module. Estes módulos substituem os módulos NM e EVM e para utilizar os módulos NM e EVM é necessário um adaptador.

Estes novos equipamentos possuem também multi-core CPUs, Gigabit Ethernet switching com enhanced POE, um novo sistema para monitoramento e controle do consumo de energia, opção de wireless (802.11n, na série 1900) e módulos 3G . Os modelos 2900 e 3900 tem suporte a PVDM3, suportando ainda PVDM2, com o uso de adaptador.

Diferente dos demais roteadores, os ISRs G2 contarão com apenas um tipo de IOS, que possui todas as funcionalidades, e o cliente pode habilitá-las ou não através de licenças.

Modelos disponíveis:

Série 1900: CISCO1941 e CISCO1941W

Série 2900: CISCO2901, CISCO2911, CISCO2921 e CISCO2951

Série 3900: CISCO3925 e CISCO3945

Página do produto: Integrated Service Routers G2

ISRs e borderless

Em 2004 a Cisco lançou os roteadores das famílias 1800, 2800 e 3800, chamados então de ISR. Em apenas dois foram vendidos mais de 2 milhões de roteadores destas séries, e  hoje são mais de 7 milhões em todo o mundo.

Esperando manter o mesmo sucesso agora são lançados os equipamentos da segunda geração de ISRs: 1900, 2900 e 3900.

Estes novos roteadores contam com funcionalidades de segurança, dados, voz e vídeo e são os principais componentes de um novo conceito de redes, desenvolvido pela Cisco, onde não existe mais delimitações entre as redes. Este conceito engloba a nova forma de trabalhar e viver, onde qualquer um pode estar conectado em qualquer lugar: Borderless.

Pensando velocidade das mudanças os novos equipamentos são dotados de extrema performance, e podem agregar serviços diversos. Junto a isso ainda temos a nova forma de licenciamento do IOS.

Agora as funcionalidades são habilitadas apenas adicionando uma chave, sem a necessidade de trocar o software do equipamento.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 19/10/2009 07:02

O ASDM – Adaptive Security Device Manager, é a interface gráfica para administração do ASA/PIX. Ele pode ser rodado a partir do browser ou como um aplicativo (ambos java) e estabelece uma conexão SSL com o equipamento, permitindo configuração, monitoração. O ASDM também conta com diversos wizards para ajudar na configuração do dispositivo.

Para funcionar, a versão do ASDM e do ASA OS (ou PIX OS) devem ser compatíveis (a versão 8.0 do ASA OS é compatível com o ASDM 6.0). E a versão mais recente do ASDM suporta as versões anteriores do ASA OS, mas o contrário não é verdadeiro. Também é necessário que o browser suporte e tenha habilitado Java e SSL, e o bloqueador de Pop-up deve estar desabilitado.

Pode rodar em computadores com Windows, Linux e Mac e para que o ASA/PIX aceite a conexão do ASDM devemos configurar ao menos o seguinte:
- Time
- Endereço IP e máscara na interface, nameif inside
- Hostname
- Domain Name
- Endereço IP dos hosts que farão o acesso via http
- Habilitar o web Server
- Criar um usuário local

Exemplo: No cenário abaixo, para preparar o ASA para utilizarmos o ASDM, acesse o equipamento pela console e configure o seguinte:

! Entre no modo de configuração glocal
Conf t
! Entre na interface que será a inside
Interface g0/1
! Configure o nome e o IP da interface
Nameif inside
Ip add 10.0.1.1 255.255.255.0
! Habilite a interface
No shut
Exit
! Defina o nome do equipamento
Hostname BrainFW01
! Cadastre o domínio
Domain-name brainwork.com.br
! Especifique quem poderá acessar o ASA pelo ASDM
http 10.0.1.20 255.255.255.0 inside
! Habilite o web server
http server enable
! Crie um usuário com privilégio 15
username brainwork password cisco privilege 15
! Salve a configuração
write memory

Com esta configuração qualquer computador que esteja na rede especificada (10.0.1.0/24) poderá acessar o ASA pelo ASDM.

Também é possível utilizar o comando setup, no modo de configuração privilegiado para realizar esta configuração. Este comando apresentará um diálogo interativo para a realização da configuração inicial, como abaixo:

ciscoasa(config)# setup
Pre-configure Firewall now through interactive prompts [yes]?
Firewall Mode [Routed]:
Enable password [<use current password>]: cisco
Allow password recovery [yes]?
Clock (UTC):
Year [1999]: 2009
Month [Nov]: jul
Day [30]: 17
Time [00:01:59]:
Inside IP address [0.0.0.0]: 10.0.1.1
Inside network mask [255.255.255.255]: 255.255.255.0
Host name [ciscoasa]: brainFW01
Domain name: brainwork.com.br
IP address of host running Device Manager: 10.0.1.20

The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 00:01:59 jul 17 2009
Firewall Mode: Routed
Inside IP address: 10.0.1.1
Inside network mask: 255.255.255.0
Host name: brainFW01
Domain name: brainwork.com.br
IP address of host running Device Manager: 10.0.1.20

Use this configuration and write to flash? yes

Outras informações sobre o ASDM no site http://www.cisco.com/go/asdm.

Até a próxima.

Só um comentário

Por André Ortega, 16/10/2009 09:22

O governador de São Paulo, José Serra, anunciou ontem em seu Twitter (http://twitter.com/JoseSerra_), a assinatura do decreto que cria o projeto Banda Larga Popular. As operadoras que participarem do projeto (fornecer acesso Banda Larga a 29,90 por mês) terão isenção do ICMS.

A velocidade do acesso popular deverá variar de 200 Kbps a 1Mbps, e além de São Paulo, Pará e Distrito Federal já anunciaram medidas para acelerar a inclusão digital. A Telefônica anunciou que irá participar, e oferecerá acesso de 250 kbps, por 29,90, já incluso a taxa de instalação, modem e provedor. Este plano terá consumo (franquia) ilimitado. A NET ainda avalia como será seu “acesso popular”, e a TVA não deve participar.

Os acessos superiores a 1 Mbps não serão beneficiados pelo projeto.

Mais detalhes no site do G1 e da Info.

Até a próxima.