(12) Comentários

Por André Ortega, 29/07/2010 12:12

O roteador é um dispositivo layer 3, e obviamente, usado para rotear. Mas em algumas situações é necessário que ele trabalhe como layer 2. Sim isso é possível.

Nos roteadores Cisco, a partir do IOS 11.2, temos uma funcionalidade chamada IRB – Integrated Routing and Bridge, que permite fazer uma bridge entre interfaces, mantendo as informações sobre VLANs, e ainda rotear entre estas interfaces e as demais.

Durante o funcionamento normal de um roteador, quando um pacote chega a interface “A” o cabeçalho layer 2 (com informações da VLAN e MAC) é removido, e quando sai, pela interface “B”, um novo cabeçalho é inserido.

Quando o IRB é configurado o roteador passa a manter o cabeçalho com informações da VLAN, quando o tráfego é entre interfaces que pertencem ao mesmo grupo.

No exemplo abaixo, apesar do PC1 estar em uma interface diferente do PC2, eles estão na mesma rede.

Este tipo de configuração permite aumentar a disponibilidade, já que que o roteador poderá ter duas interfaces na mesma rede.

Exemplo: Criando uma bridge entre duas interfaces no roteador.

BrainRT01#conf t
! Habilite o IRB
BrainRT01(config)#bridge irb
! Habilite a bridge
BrainRT01(config)#bridge 1 protocol ieee
! Habilite o roteamento para o protocolo IP
BrainRT01(config)#bridge 1 route ip
! Associe as interfaces desejadas a um grupo
BrainRT01(config)#int f0/0
BrainRT01(config-if)#bridge-group 1
BrainRT01(config)#int f0/1
BrainRT01(config-if)#bridge-group 1
! Crie uma interface lógica, com o mesmo número do grupo, e defina seu IP
BrainRT01(config)#int bvi 1
BrainRT01(config-if)#ip add 192.168.1.1 255.255.255.0
BrainRT01(config-if)#end
BrainRT01#

Bom notar que o roteamento continua habilitado, e quando o destino é uma interface diferente das que estão na bridge, o pacote é roteador normalmente, utilizando a interface BVI.

Mais informações:

Understanding and Configuring VLAN Routing and Bridging

How to configure IRB

Até a próxima.

(pois é… switches que fazem roteamento, roteadores que fazem bridge…)

(2) Comentários

Por André Ortega, 28/07/2010 09:50

A Modular Policy Framework (MPF) é uma estrutura que cada vez mais vai ganhando espaço na configuração do IOS, e é utilizada entre outras, para configuração de QoS.

Ela é formada basicamente por class-maps e policy-maps.

Agora a parte interessante: é possível mudar o nome de um class-map ou de um policy-map sem ter que remover e inserir novamente os comandos.

Dentro do class-map e policy-map temos a opção rename, que permite trocar o nome e automaticamente mudar todas as referencias ele.

Exemplo: Mudando o nome do policy-map.

!Politica existente, chamada POLICY2
policy-map POLICY2
class CLASS_NOME
    police 64000

! Politica aplicada à interface F0/0

c2801-lab#sh run int f0/0

interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
  service-policy input POLICY2

! Mudando o nome para POLITICA1

c2801-lab#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c2801-lab(config)#policy-map POLICY2
c2801-lab(config-pmap)#rename POLITICA1
c2801-lab(config-pmap)#end

! Verificando o policy-map com o nome alterado
c2801-lab#sh run policy-map
policy-map POLITICA1
class CLASS_NOME
    police 64000

c2801-lab#sh run int f0/0
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
  service-policy input POLITICA1
end

c2801-lab#

O mesmo se aplica ao class-map.

Até a próxima.

(2) Comentários

Por André Ortega, 20/07/2010 13:18

Beleza, você tem um firewall. Isso basta?

Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.

1. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
2. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
3. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
4. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
5. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
6. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
7. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
8. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
9. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
10. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.

Quais outras dicas para administração de um firewall??

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 19/07/2010 15:39

Já há alguns dias está disponível o brainwork responde, um espaço para perguntas e respostas. Nele é possível fazer uma pergunta e receber a resposta de outros membros.

Muitos frequentadores do blog tem enviado perguntas para nosso email, e o brainwork responde deve nos ajudar, permitindo o compartilhamento destas dúvidas, e claro, soluções.

O principal assunto serão as questões relacionadas aos equipamentos Cisco, mas com a participação aberta a todos, tenho certeza que não ficaremos restrito a isso.

No menu principal do blog tem um link para o brainwork responde, e depois de acessar basta informar se cadastrar para fazer uma pergunta ou dar uma resposta. Também é possível votar nas perguntas e resposta, ou deixar um comentário. Todas essas atividades valem pontos.

Lembrem-se que a Internet é um meio interativo, e o conhecimento deve ser utilizado nas duas vias: donwload e upload.

Ainda está na versão beta, mas acredito que não teremos problemas na utilização. Se perceberem algum é só deixar um comentário.

Até a próxima.

(4) Comentários

Por André Ortega, 13/07/2010 10:18

O Marco Felippeti, do blog CiscoCertified, informou que o Ethereal Mind lançou uma petição online para arrecadar “assinaturas” e posteriormente enviar à Cisco, solicitando que seja liberada uma versão do IOS para estudo/prática.

A discução não é nova, mas até agora a Cisco não decidiu o que fazer. Ela sempre alegou que com a liberação de uma versão free o número de chamados em seu suporte aumentaria.

Imagino que outra preocupação seria a utilização desta versão em ambientes em produção.

Por outro lado, a concorrencia tem aumentado, e liberar uma versão para estudo seria uma forma de se fortalecer no mercado.

De qualquer maneira, já que somos parte interessada, devemos colaborar aderindo a petição. Basta acessar o link http://etherealmind.com/petition/ informar o nome e seu endereço de email.

Como diz parte do texto “Quer sejamos revendedores, consultores, estudantes ou simplesmente interessados em aprender, todos nós precisamos de um método prático para acessar o IOS e praticar”.

Até a próxima.