Só um comentário

Por André Ortega, 01/09/2010 16:06

O Cisco IOS permite exibir todas as configurações através dos comandos shows, o que é uma bênção. Mas encontrar a parte que você precisa, quando a configuração é extensa, pode ser trabalhoso.

Para facilitar o processo, e encontrar a informação desejada rapidamente, é possível realizar filtros/modificadores, onde manipulamos como será exibido o resultado do comando show.

As opções de modificadores são exibidas após inserirmos o pipe “|”.

Append: Com o Append podemos criar um arquivo com o resultado do comando show executado, e salvar o resultado de vários “shows” em um arquivo na flash, por exemplo.

BrainRT01#show ver | append flash:teste.txt
BrainRT01#dir
Directory of flash:/

    1  -rw-       12262  May 12 2010 16:03:52 -03:00  app_faxmail_onramp.2.0.1.3.tcl
    2  -rw-    59478200  Jun 8  2010 12:04:40 -03:00  c2800nm-adventerprisek9-mz.124-24.T3.bin
    3              1788  Sep 01 2010 18:44:02 teste.txt

63995904 bytes total (1929216 bytes free)
BrainRT01#

Begin: Permite que seja exibida a configuração a partir da primeira linha onde está uma determinada palavra. Podemos fazer com que seja exibida a configuração a partir da line con0, por exemplo, que está no final da configuração.

BrainRT01#show run | begin line con 0
line con 0
escape-character BREAK
line aux 0
line vty 0 4
access-class brainTelnet in
exec-timeout 5 0
password 7 09184A0D4A011443180F54
escape-character BREAK
!
end

BrainRT01#

Include: Com este filtro apenas as linhas da configuração que contenham a palavra especificada serão exibidas. Ao invés de olhar todo o show run para ver as rotas configuradas, podemos fazer um filtro, pedindo para mostrar apenas as rotas IPs.

BrainRT01#show run | include ip route
ip route 0.0.0.0 0.0.0.0 189.56.33.25
ip route 10.10.8.0 255.255.252.0 10.10.20.2
ip route 10.10.11.32 255.255.255.224 172.16.1.129
ip route 10.10.16.32 255.255.255.224 10.10.20.2
ip route 192.168.10.0 255.255.255.0 10.10.20.22
BrainRT01#

Exclude: Como vocês já devem ter deduzido, funciona de forma contrária ao Include. Este filtro permite visualizar toda a configuração, exceto as linhas que contenham a palavra escolhida. Podemos usá-lo para identificar as interfaces que estão down, por exemplo.

BrainRT01#show ip int bri | exclude up
Interface                     IP-Address       OK?    Method        Status                Protocol
Vlan1                          unassigned      YES     NVRAM       administratively down down
GigabitEthernet0/1     unassigned       YES     unset         down                  down
GigabitEthernet0/2     unassigned       YES     unset         down                  down
BrainRT01#

Redirect: Com este filtro podemos direcionar a saída de um comando para um TFTP, FTP, SCP e até para o USB, caso o equipamento tenha esta opção.

BrainRT01#show tech | redirect tftp://10.10.10.5/shTech.txt
!
BrainRT01#

 Section: Este filtro é usado em conjunto com os filtros Include e Exclude. Com ele uma seção é exibida ou excluída, e não apenas a linha que contém a palavra. Para ver a configuração das interfaces podemos usar este filtro.

BrainRT01#show run | section include interface
interface Loopback0
ip address 10.10.10.10 255.255.255.255
ip flow ingress
h323-gateway voip interface
h323-gateway voip bind srcaddr 10.10.10.11
interface Loopback1
ip address 10.10.16.1 255.255.255.255
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
interface GigabitEthernet0/0.20
description Interface Inside
encapsulation dot1Q 20
ip address 10.10.20.20 255.255.255.0
BrainRT01#

Linenum: Não é exatamente um filtro, mas ajuda. Este comando fará com que as linhas da configuração sejam numeradas. Também pode ser usado em conjunto com outros filtros.

BrainRT01#show run linenum
Building configuration…

Current configuration : 19950 bytes
     1 : !
     2 : ! Last configuration change at 16:54:56 GMT Tue Aug 31 2010 by danielf
     3 : ! NVRAM config last updated at 16:09:41 GMT Mon Aug 30 2010 by danielf
     4 : !
     5 : version 12.4
     6 : service timestamps debug datetime msec
     7 : service timestamps log datetime msec localtime
     8 : no service password-encryption
     9 : !
    10 : hostname BrainRT01
    11 : !
    12 : boot-start-marker
    13 : boot system flash c2800nm-adventerprisek9-mz.124-24.T3.bin
    14 : boot-end-marker
    15 : !
    16 : logging message-counter syslog
    17 : enable secret 5 $1$wzP5$Ebl.gYkGDdSPAI7E3IKMG0
    18 : !
    19 : aaa new-model
    20 : !
    21 : !
    22 : aaa authentication attempts login 2
  –More–

Mais informação neste link.

Até a próxima.

Só um comentário

Por André Ortega, 19/08/2010 11:09

Fisicamente, hubs e switches são parecidos, mas eles funcionam de forma bem diferente. De um lado temos os hubs, equipamentos simples, com baixo desempenho e segurança. Do outro os switches, com toda a inteligência embutida.

Hub

Hubs são dispositivos de camada 1 (física) no modelo OSI, e funcionam como repetidores de sinal elétrico. Quando um pulso chega em uma das portas do hub, ele retransmite este pulso para todas as outras portas, criando um único domínio de colisão.

Desta forma, quando uma estação transmite, todas as outras recebem o dado transmitido. Como toda banda é ocupada quando um host transmite, apenas um host pode transmitir por vez

Por funcionar desta forma os hubs tornam a rede lenta e insegura.

Switch

Os switches trabalham na camada 2 (enlace) no modelo OSI, com capacidade de identificar a origem e destino do frame (MAC Address). Cada porta do switch é considerada um domínio de colisão. Quando um host transmite, apenas o host destino recebe o frame.

Esta característica dos switches permite que vários hosts transmitam simultaneamente, aproveitando melhor a banda da rede.

Para ser capaz de identificar o destino do frame, o switch realiza um processo de aprendizagem, constituído por: Learning, Flooding, Filtering, Forwarding e Aging.

Learning

Learning é o processo pelo qual o switch aprende o MAC Address dos dispositivos.

Quando um switch é ligado sua tabela MAC (ou CAM table) está vazia. Cada frame que chega até o switch contém o MAC Address do host que originou o frame. Então o switch armazena este MAC na tabela CAM (Content Addressable Table) e associa a porta pela qual o frame chegou.

 Flooding

Quando o switch não tem uma entrada na CAM table para um endereço (MAC address) específico, ele então encaminha o frame para todas as portas, menos para porta que recebeu o frame. Este procedimento é conhecido com flooding.

Filtering

Após o switch aprender os MAC address e associá-los as respectivas portas, os benefícios do switch podem ser verificados através do Filtering (Filtro).

Quando dois dispositivos conhecidos tentam se comunicar através do switch, o frame do host de origem é encaminhado direta e unicamente para porta do host de destino.

Forwarding

Forwarding é o encaminhamento de um frame de um host conhecido (que está na CAM table) associado a uma porta para outro host conhecido localizado em uma porta do switch.

Aging

Além do MAC address e da porta associada a este MAC, o switch também armazena o tempo que determinado MAC foi aprendido (Learning).

O Aging do aprendizado permite que o switch se adapte as mudanças de dispositivos (um host pode trocar de porta, ser removido ou ainda um novo equipamento pode ser adicionado na rede). Assim que um MAC é armazenado o switch inicia o aging timer, e cada vez que o switch encaminha ou filtra um frame de determinado dispositivo, o aging timer é reiniciado. Se em período de tempo o switch não verificar o envio de nenhum frame do dispositivo, o MAC é removido da CAM table.

O Aging garante que apenas dispositivos ativos permaneçam na CAM table.

Apesar disso, ainda hoje, é grande o número de redes que utilizam hubs…

Até a próxima.

(10) Comentários

Por André Ortega, 29/07/2010 12:12

O roteador é um dispositivo layer 3, e obviamente, usado para rotear. Mas em algumas situações é necessário que ele trabalhe como layer 2. Sim isso é possível.

Nos roteadores Cisco, a partir do IOS 11.2, temos uma funcionalidade chamada IRB – Integrated Routing and Bridge, que permite fazer uma bridge entre interfaces, mantendo as informações sobre VLANs, e ainda rotear entre estas interfaces e as demais.

Durante o funcionamento normal de um roteador, quando um pacote chega a interface “A” o cabeçalho layer 2 (com informações da VLAN e MAC) é removido, e quando sai, pela interface “B”, um novo cabeçalho é inserido.

Quando o IRB é configurado o roteador passa a manter o cabeçalho com informações da VLAN, quando o tráfego é entre interfaces que pertencem ao mesmo grupo.

No exemplo abaixo, apesar do PC1 estar em uma interface diferente do PC2, eles estão na mesma rede.

Este tipo de configuração permite aumentar a disponibilidade, já que que o roteador poderá ter duas interfaces na mesma rede.

Exemplo: Criando uma bridge entre duas interfaces no roteador.

BrainRT01#conf t
! Habilite o IRB
BrainRT01(config)#bridge irb
! Habilite a bridge
BrainRT01(config)#bridge 1 protocol ieee
! Habilite o roteamento para o protocolo IP
BrainRT01(config)#bridge 1 route ip
! Associe as interfaces desejadas a um grupo
BrainRT01(config)#int f0/0
BrainRT01(config-if)#bridge-group 1
BrainRT01(config)#int f0/1
BrainRT01(config-if)#bridge-group 1
! Crie uma interface lógica, com o mesmo número do grupo, e defina seu IP
BrainRT01(config)#int bvi 1
BrainRT01(config-if)#ip add 192.168.1.1 255.255.255.0
BrainRT01(config-if)#end
BrainRT01#

Bom notar que o roteamento continua habilitado, e quando o destino é uma interface diferente das que estão na bridge, o pacote é roteador normalmente, utilizando a interface BVI.

Mais informações:

Understanding and Configuring VLAN Routing and Bridging

How to configure IRB

Até a próxima.

(pois é… switches que fazem roteamento, roteadores que fazem bridge…)

(2) Comentários

Por André Ortega, 28/07/2010 09:50

A Modular Policy Framework (MPF) é uma estrutura que cada vez mais vai ganhando espaço na configuração do IOS, e é utilizada entre outras, para configuração de QoS.

Ela é formada basicamente por class-maps e policy-maps.

Agora a parte interessante: é possível mudar o nome de um class-map ou de um policy-map sem ter que remover e inserir novamente os comandos.

Dentro do class-map e policy-map temos a opção rename, que permite trocar o nome e automaticamente mudar todas as referencias ele.

Exemplo: Mudando o nome do policy-map.

!Politica existente, chamada POLICY2
policy-map POLICY2
class CLASS_NOME
    police 64000

! Politica aplicada à interface F0/0

c2801-lab#sh run int f0/0

interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
  service-policy input POLICY2

! Mudando o nome para POLITICA1

c2801-lab#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c2801-lab(config)#policy-map POLICY2
c2801-lab(config-pmap)#rename POLITICA1
c2801-lab(config-pmap)#end

! Verificando o policy-map com o nome alterado
c2801-lab#sh run policy-map
policy-map POLITICA1
class CLASS_NOME
    police 64000

c2801-lab#sh run int f0/0
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
  service-policy input POLITICA1
end

c2801-lab#

O mesmo se aplica ao class-map.

Até a próxima.

(2) Comentários

Por André Ortega, 20/07/2010 13:18

Beleza, você tem um firewall. Isso basta?

Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.

1. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
2. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
3. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
4. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
5. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
6. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
7. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
8. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
9. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
10. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.

Quais outras dicas para administração de um firewall??

Até a próxima.