Categoria: Cisco

Switching camada 2–Tabelas CAM e TCAM

comments Seja o primeiro a comentar
Por , 26/01/2012 14:12

Os switches são equipamentos inteligentes, e que possuem grande capacidade de encaminhamento de frames. Para isso duas tabelas são usadas: CAM e TCAM.

Quando os frames chegam em uma interface de um switch, eles são colocados na fila de entrada (ingress queue) desta porta. Depois, quando o switch decide por qual porta este frame deverá ser enviado, ele é colocado na fila de saída (egress queue), da porta escolhida.

Se o switch não conhecer o MAC address de destino, o frame é enviado para a fila de saída de todas as portas (menos aquela por onde o frame foi recebido), e então é feito o flooding.

As duas tabelas são usadas para escolher por onde o frame deverá ser enviado, se poderá ser enviado e como.

CAM – Content Addressable Memory: A tabela CAM, também chamada de MAC Address Table ou Layer 2 Fowarding Table, armazena os MAC address aprendidos pelo switch. O switch usa a informação do campo MAC Address Source dos frames que recebe, para preencher esta tabela.

CAM Table

Por padrão, um MAC aprendido dinamicamente fica na tabela CAM por 300 segundos após a uma atividade registrada. Este tempo é conhecido como aging timer, e podemos alterá-lo. Também é possível criar uma entrada estática.

Criando uma entrada estática na tabela CAM

BrainSW05(config)# mac address-table static 0012.1122.3355 vlan 10 interface fa0/5

Aumentando o Aging timer para 400 segundos, na VLAN 10

BrainSW05(config)# mac address-table aging-time 400 vlan 10

Apagando da Tabela CAM um MAC aprendido dinamicamente

BrainSW05(config)# clear mac address-table dynamic 0012.da8e.c496

A tabela CAM fica armazenada na memória RAM, o que torna sua consulta rápida.

É importante lembrar que a tabela CAM é finita, e se não houver espaço para cadastrar os novos MAC dos frames que o switch recebe, ele passará a fazer o floding sempre que chegar um frame destinado ao endereço MAC não gravado.

Use o comando show mac address-table count para ver quanto espaço ainda tem na Tabela CAM.

TCAM – Ternary Content Addressable Memory: A tabela TCAM é usada para armazenar access-lists baseadas em MAC Address e access-lists usadas na configuração de QoS. Em switches camada 3, access-lists baseadas em endereços IPs e portas também ficam na TCAM.

Assim como a CAM, a TCAM fica armazenada na memória RAM, porém ela é mais complexa, e um switch pode ter mais de uma TCAM (uma para o tráfego que entra, outra para o tráfego que sai, outra para QoS,…).

Ela conta com os campos Valor, Máscara e Resultado, não pode ser configurada, mas em alguns switches podemos especificar o tamanho que ela terá, otimizando-a para uma funcionalidade específica.

Mudando o tamanho / otimizando a TCAM

BrainSW05(config)#sdm prefer ?
  default                    Default bias
  dual-ipv4-and-ipv6  Support both IPv4 and IPv6
  lanbase-routing      Lanbase routing
  qos                        QoS bias

Até a próxima.

categorias Cisco, Configuração, Switches | tags , , , , , ,

Praticando antes da prova 640-802

comments Seja o primeiro a comentar
Por , 12/01/2012 09:30

Quem está estudando para tirar o CCNA pode contar com os Certification Practice Exams, ferramenta do The Cisco Learning Network com questões sobre o conteúdo da prova.

O pacote para a prova 640-802 (U$ 79,95) conta 419 questões e 31 itens interativos. Também é possível comprar um pacote apenas para o ICND1 ou ICND2, por U$ 49,95 cada.

CPE-store

Quem tem iPhone ou iPad também pode adquirir estes “simulados” através do M-Learning Test and Study Mobile, no iTunes.

Nunca usei o Certification Practice Exams, e não achei um versão demo, e os comentários nas páginas dos produtos são bem variados, com pessoas elogiando bastante e outras criticando. De qualquer maneira fica a dica.

Até a próxima.

categorias Cisco, Cisco Certification, Dicas, Informação | tags , , , , , ,

Fim do CCSP

comments Seja o primeiro a comentar
Por , 11/01/2012 16:53

Como já era esperado desde o lançamento do CCNP Security, a Certificação CCSP, da Cisco, chega ao fim. Desde maio de 2011 não era possível fazer as provas do CCSP, e agora, a partir de 17 de novembro de 2012, também não será possível fazer a renovação.

Quem já é certificado poderá fazer provas complementares, e “migrar” para o CCNP Security. Quem fez apenas uma ou algumas provas do CCSP, também poderá substituir algumas, e trocar outras.CCSP e CCNP S

Por exemplo, se você já fez a prova SNRS, ela poderá substituir a prova SECURE. Se você tem a prova IPS 6.0, não precisará fazer a IPS 7.0, e a SNAF ou SNPA pode ser usada no lugar da FIREWALL. Da mesma forma, quem já fez a prova SNAA, não precisará fazer a prova VPN.

Já as provas MARS e CANAC não tem equivalentes na nova certificação.

Mais informação no Cisco Learning Network.

Até a próxima.

categorias Cisco, Cisco Certification, Segurança | tags , ,

Logins simultâneos na VPN – Cisco ASA

comments Seja o primeiro a comentar
Por , 23/11/2011 13:50

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Logins simultâneos com mesmo usuário

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

categorias Cisco, Firewall, Segurança, VPN | tags , , , ,

Testando a comunicação com Radius/Tacacs Server

comments Seja o primeiro a comentar
Por , 17/11/2011 12:53

A partir da CLI – Command Line Interface, de roteadore, switches e access-points Cisco, podemos testar a comunicação com o servidor Radius e/ou Tacacs.

Esta funcionalidade nos permite verificar o status do servidor antes de aplicarmos a configuração de aaa, por exemplo.

Para isso basta, no modo de configuração privilegiado, e com o servidor já cadastrado, usar o comando test aaa group.

Testando a autenticação de dentro de um roteador

BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco123 new-code
Sending password
User successfully authenticated

USER ATTRIBUTES

username             "admin"
reply-message        "Password: "
BrainGW01#

Se usarmos um usuário com a senha errada veremos a resposta abaixo.

BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco1 new-code
Sending password
User rejected

BrainGW01#

Esta funcionalidade foi introduzida na versão 12.2(28)SB, e a partir da versão 12.2(4)T recebeu algumas melhorias, como a possibilidade de criar um profile para associar ao teste.

Mais informações neste link.

Até a próxima.

categorias Cisco, Configuração, Dicas, IOS, Routers, Switches, Wireless | tags , , , , ,

Tema Brainwork 0.2(beta)