Seja o primeiro a comentar

Por André Ortega, 05/03/2010 10:52

Quem mexeu no roteador? Ou, quais foram os últimos comandos utilizados?

Quem não tem um servidor de accounting, como o ACS, pode usar uma funcionalidade chamada Configuration Change Notification and Logging, inclusa no próprio IOS (a partir da versão 12.3(4)T) para identificar quem anda fazendo alterações no equipamento e quais configurações estão sendo feitas.

Esta funcionalidade (que não é assim um ACS) permite o acompanhamento das alterações na configuração, identificando sessão, usuário e comando utilizado entre outros.

Observação: apenas os comando completos e com sucesso são logados.

Além de armazenar as mudanças também podemos configurar para que as alterações sejam enviadas para o processo de syslog do roteador, que passará a enviar para o syslog server (desde que configurado, claro).

Configuração do Configuration Change Notification and Logging

! Entre no modo de configuração global
BrainGW01#conf t
! Entre no modo archive
BrainGW01(config)#archive
! Agora entre no log config
BrainGW01(config-archive)#log config
! Habilite o logging
BrainGW01(config-archive-log-cfg)#logging enable
! Defina quantidade de entradas (valores 1 a 1000, 100 é o padrão) – opcional
BrainGW01(config-archive-log-cfg)#logging size 200
! Configure para que as senhas sejam omitidas – opcional
BrainGW01(config-archive-log-cfg)#hidekeys
! Envia as mudanças para o syslog – opcional
BrainGW01(config-archive-log-cfg)#notify syslog
BrainGW01(config-archive-log-cfg)#end
BrainGW01#

Após habilitar o archive log, os comando passarão a ser gravados, e ara verificar os logs gerados utilize o comando show archive log config all.

BrainGW01#show archive log config all
idx   sess           user@line      Logged command
1     1         andreo@vty0     |  logging enable
2     1         andreo@vty0     |  hidekeys
3     6         andreo@vty0     |hostname teste
4     7         andreo@vty0     |hostname BrainGW01

Também podemos usar os seguintes comandos, para mais informações:

• show archive log config number [end-number]
• show archive log config all provisioning
• show archive log config statistics

Outra informações na página da Cisco, e até a próxima.

Seja o primeiro a comentar

Por André Ortega, 11/02/2010 10:23

Gente, para de sofrer.

Com o comando terminal podemos ajustar a altura e o comprimento do texto que será exibido na tela. O padrão é 24 x 80, mas nem sempre é o mais adequado para o seu tipo de monitor, assim podemos redefinir estas “medidas”.

! Especifica que serão exibidas 30 linhas antes da pausa (–more –)
brainRT01#terminal length 30
! O comprimento da linha será de 100 colunas
brainRT01#terminal width 100

Podemos usar valores de 0 a 512, sendo que se colocar 0 no terminal length não teremos a pausa.

Número da linha

Outra dica é usar a palavra chave linenum após o show run ou show start. Este comando faz com que o output venha com a indicação das linhas.

brainRT01#sh running-config linenum
Building configuration…

Current configuration : 1297 bytes
1 : !
2 : version 12.4
3 : service config
4 : service timestamps debug datetime msec
5 : service timestamps log datetime msec
6 : no service password-encryption
7 : !
8 : hostname brainRT01
9 : !
10 : boot-start-marker
11 : boot-end-marker
12 : !
13 : logging message-counter syslog
14 : enable secret 5 $1$Gj.C$0Xth/MY.2FWnvYR.4H.Ul1
15 : !
16 : aaa new-model
17 : !
18 : !
19 : !
20 : !
21 : aaa session-id common
22 : memory-size iomem 15
23 : no network-clock-participate wic 2
24 : dot11 syslog
25 : ip source-route
26 : !
27 : !
28 : !
29 : !
30 : ip cef
31 : no ipv6 cef
(–more–)

Estas dicas eu vi aqui.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 09/02/2010 10:22

O L2TP – Layer 2 Tunnel Protocol, foi desenvolvido pelo IETF com base o PPTP (Microsoft) e no Cisco L2F, para a configuração de VPN. Porém este protocolo não fornece qualquer tipo de criptografia e/ou confidencialidade, logo para criarmos uma VPN segura, temos que usar outros mecanismos, como o IPSec.

Primeiro o IPSec fornece um canal seguro, utilizando o IKE e o AES normalmente, e então o L2TP prove o túnel.

Já vimos aqui mesmo no brainwork, como o IPSec funciona, e até um exemplo de configuração de VPN IPSec entre dois roteadores.

Atualmente é normal utilizar apenas o IPSec, já que ele pode atender sozinho a necessidade de criar o túnel e garantir a segurança (criptografia, autenticação e integridade). Porém o L2TP possui pelo menos três grandes vantagens:

1. Permite passar multicast pela VPN;
2. O Windows possui um client VPN L2TP nativo (não é preciso um software adicional);
3. Padrão de mercado (multi vendor);

Configurando VPN L2TP/IPSec no roteador

Vamos ver como configurar uma VPN L2TP/IPSec em um roteador, para permitir a conexão remota de usuários (VPN Remote Access).

1°) Configure a autenticação que os usuário utilizarão. Neste exemplo os usuários serão criados no próprio roteador.

aaa new-model
aaa authentication ppp default local
username brainwork password senha123

2°) Habilite o VPDN (Virtual Private Dial-up Network), configure o grupo para que o roteador permita conexões de entrada e especifique o Template e o protocolo layer 2 a ser utilizado. VPN-L2TP é o nome do grupo.

vpdn enable
vpdn-group VPN-L2TP
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication

3°) Agora, vamos configurar os parâmetros do IPSec, para garantir a segurança da VPN. Mais detalhes sobre o IPSec podem ser encontrados em outros post aqui no brainwork.

crypto isakmp policy 10
! Tipo de criptografia e autenticação do grupo IPSec
encr 3des
authentication pre-share
group 2
! Pré-shared que deverá ser configurada também no client
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TRANSET esp-3des esp-sha-hmac
! Modo transport deve ser utilizado
mode transport
!
crypto dynamic-map DYMAP 10
! Permite a utilização de NAT junto com o túnel
set nat demux
set transform-set TRANSET
!
crypto map cisco 10 ipsec-isakmp dynamic DYMAP

4°) Crie um pool de endereçamento, que os client utilizarão quando se conectarem.

ip local pool vpn_pool 192.168.100.200 192.168.100.250

5°) Crie o Virtual Template, que foi amarrado ao VPDN no 2° passo. Neste template definimos o tipo de criptografia do PPP e a autenticação utilizada, além de informar o pool que usaremos.

interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool vpn_pool
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2

6°) Por fim, associe o crypto map a interface WAN.

interface FastEthernet0/0
description CONEXAO WAN
crypto map cisco

Configurando o client no Windows para conexão

1°) No Windows XP, clique em Iniciar > Conectar-se > Mostrar todas as Conexões.

2°) Na janela Conexões de Rede, de dois cliques em Assistente para novas conexões > Avançar e então selecione  Conectar-me a uma rede em meu local de trabalho e então Avançar.

3°) A seguir, selecione Conexão VPN (rede virtual privada), e Avançar.

4°) Na janela que se abrirá, de um nome qualquer para a nova conexão e clique Avançar e em seguida informe o IP da interface WAN do roteador.

5°) A conexão VPN foi criada, mas ainda faltam algumas configurações. Clique em Propriedades.

6°) Vá até a aba Segurança, e clique em Configurações de IPSec… Na janela seguinte selecione Usar chave pré-compartilhada para autenticação e coloque cisco123 (configurado no 3° passo da configuração do roteador). Clique Ok.

7°) Ainda na aba Segurança, selecione a opção Avançada (configurações personalizadas), e depois clique em Configurações.

8°) Selecione a opção Permitir estes protocolos, e habilite Microsoft CHAP (MS-CHAP) e Microsoft CHAP versão 2 (MS-CHAP v2).

9°) De volta a tela de login, informe o usuário e senha cadastrador no roteador e clique em conectar.

10°) Pronto, a VPN foi fechada.

Mais informações sobre a configuração de VPN L2TP em roteadores Cisco aqui.

Até a próxima.

Só um comentário

Por André Ortega, 04/02/2010 10:22

Para quem dificuldade em criar access-lists ou apenas para conferir o resultado da ACL antes de aplicá-la, uma boa opção é o Cisco ACL Editor and Simulator (que não é desenvolvido pela Cisco). Com este programa inserimos as informações e ele cria a ACL.

Além de criar, também é possível verificar o que acontecerá com o tráfego que passar pela lista de acesso. Com a access-list já criada, clique no ícone com a engrenagem para iniciar a simulação. Especifique o tráfego, indicando se é TCP, UDP, o IP de origem e destino, bem como as portas e pronto.

Esta funcionalidade lembra o Packet Tracer, que temos no ASDM (ASA/PIX), e que talvez um dia seja integrado no IOS.

O programa é pago, mas conta com uma demo de 30 dias para testá-lo.

Para fazer o download do Cisco ACL Editor and Simulator visite a página do desenvolvedor.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 13/01/2010 10:20

Este post deveria ter sido um dos primeiros no blog… mas como dizem, antes tarde do que nunca.

Coloquei os comandos básicos/úteis para utilização no Cisco IOS, via CLI – Command Line Interface. Acredito que vai ser bem útil para que está começando, ou acessa o roteador apenas eventualmente.

Modos de Configuração
roteador> -  Modo Usuário
roteador# -  Modo Privilegiado
roteador(config)# -  Modo Global

Modo Usuário
enable -  Entra no modo de configuração privilegiado

Modo Privilegiado
? -  Mostra os comandos disponíveis
configure terminal -  Entra no modo de configuração global
clock set – Configura a data e hora no equipamento
delete flash:/nome_do_arquivo -  Apaga o arquivo da flash
dir -  Mostra o conteúdo da flash
disable -  Sai do modo de configuração privilegiado
erase flash -  Apaga todo o conteúdo da flash
erase nvram -  Apaga todo o conteúdo da nvram
ping 10.1.1.1 – Pinga o host 10.1.1.1 e mostra o resultado
reload – Reinicia o roteador
traceroute 172.16.1.1 -  Mostra o caminho até o IP 172.16.1.1

Modo configuração global
enable secret -  Define a senha de enable
hostname  - Define o "nome" no roteador
interface f0/0 – Entra no modo de configuração da interface fastethernet 0/0
ip route 0.0.0.0 0.0.0.0 10.1.1.1 -  cria uma rota padrão para 10.1.1.1
ip route 192.168.0.0 255.255.255.0 172.16.1.1 – cria uma rota estática para a rede 192.168.0.0, através de 172.16.1.1

Modo Configuração de Interface
description -  Coloca uma descrição na interface
end -  Volta para o modo privilegiado
exit -  Sai do modo de configuração de Interface
ip address 5.5.5.5 255.255.255.0 -  Configura o IP e máscara na interface
shutdown -  Desabilita a interface
no shutdown – Habilita a interface

Verificação básica
show arp -  Mostra a tabela arp do roteador
show diag -  Mostra informações dos módulos
show history -  Mostra os últimos comandos digitados
show version -  Mostra a versão do IOS e informações de hardware
show running-config -  Mostra a configuração
show interface -  Mostra informações das interfaces
show ip interface -  Mostra informações do protocolo IP na interface
show ip route -  Mostra a tabela de rotas
show users -  Mostra os usuários conectados
show tech-support -  Informação completa do sistema

Salvando a configuração
copy running-config startup-config -  Salva configuração da memória DRAM para NVRAM
copy running-config tftp: -  Salva configuração da memória DRAM para o servidor TFTP
copy tftp: running-config -  Salva configuração do servidor TFTP para memória DRAM
wr -  Salva configuração da memória DRAM para NVRAM

Esta lista de comandos, mais as teclas de atalhos (publicadas em outro post) estão neste wallpaper, para quem quiser baixar.

Até a próxima.