Seja o primeiro a comentar

Por André Ortega, 17/11/2011 12:53

A partir da CLI – Command Line Interface, de roteadore, switches e access-points Cisco, podemos testar a comunicação com o servidor Radius e/ou Tacacs.

Esta funcionalidade nos permite verificar o status do servidor antes de aplicarmos a configuração de aaa, por exemplo.

Para isso basta, no modo de configuração privilegiado, e com o servidor já cadastrado, usar o comando test aaa group.

Testando a autenticação de dentro de um roteador

BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco123 new-code
Sending password
User successfully authenticated

USER ATTRIBUTES

username             "admin"
reply-message        "Password: "
BrainGW01#

Se usarmos um usuário com a senha errada veremos a resposta abaixo.

BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco1 new-code
Sending password
User rejected

BrainGW01#

Esta funcionalidade foi introduzida na versão 12.2(28)SB, e a partir da versão 12.2(4)T recebeu algumas melhorias, como a possibilidade de criar um profile para associar ao teste.

Mais informações neste link.

Até a próxima.

(2) Comentários

Por André Ortega, 03/11/2011 15:42

Sempre é bom deixar os equipamentos configurados para gerar logs. Isso facilita muito na hora do throubleshooting. Mas também é importante que os logs sejam gerados com o horário correto.

Para isso, primeiro precisamos configurar o clock do equipamento. Você pode usar um NTP ou configurar o horário localmente.

Configurando o horário localmente em um switch Cisco 2960

BrainSW01#clock set 16:15:00 3 nov 2011
BrainSW01#conf t
BrainSW01(config)#clock timezone GMT -3
BrainSW01(config)#end
BrainSW01#

Com esta configuração o equipamento utilizará o horário local (atenção para o horário de verão, nesta época temos que alterar para GMT -2).

Você pode verificar se o horário está correto com o comando show clock.

Com o horário certo, basta configurar o timestamps do log para que seja utilizado o horário local. Por padrão esta funcionalidade vem desabilitada.

Configurando o timestamps

BrainSW01#conf t
BrainSW01(config)#service timestamps log datetime localtime

Com esta configuração os logs serão gerados e marcados com o horário do equipamento.

teste#conf t
teste(config)#hostname BrainSW01
BrainSW01(config)#end
BrainSW01#
.Nov  3 16:24:17: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (10.10.10.3)
BrainSW01#

Os mesmos comandos são utilizados para configurar o horário nos logs de roteadores.

Mais informações sobre System Message Logging neste link.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 25/10/2011 16:24

O GRE é sem dúvida um protocolo de muita utilidade. Com ele podemos criar túneis (já falamos disso aqui) onde o tráfego é encapsulado.

Este encapsulamento resolve muitos problemas, pois podemos “dar um bypass” em redes que não permitem o tráfego de alguns protocolos.

Imagine um ambiente onde matriz e filais estão conectadas através de uma MPLS/Frame que não permite o tráfego de multicast. Eis que a matriz resolve divulgar vídeos institucionais para todas as localidades via multcast.

O GRE pode resolver este problema, e este documento mostra um passo-a-passo para isto.

Basicamente precisamos habilitar o roteamento multicast, criar o túnel e configurar as rotas.

Configuração para RT01, roteador próximo ao Multicast Source.

ip multicast routing
ip pim bidir-enable

interface loopback 0
description IP de Origem do GRE
ip add 2.2.2.1 255.255.255.255

interface tunnel0
description GRE
ip address 192.168.1.1 255.255.255.252
tunnel source loopback0
tunnel destination 4.4.4.1
ip pim sparse-dense-mode

interface f0/0
description LAN
ip address 10.1.1.1 255.255.255.0
ip pim sparse-dense-mode

ip route 0.0.0.0 0.0.0.0 200.0.0.1
ip route 10.2.2.0 255.255.255.0 192.168.1.2
ip route 4.4.4.1 255.255.255.255 192.168.1.2

Configuração para RT02, roteador próximo ao Multicast Receiver.

ip multicast routing
ip pim bidir-enable

interface loopback 0
description IP de Origem do GRE
ip add 4.4.4.1 255.255.255.255

interface tunnel0
description GRE
ip address 192.168.1.2 255.255.255.252
tunnel source loopback0
tunnel destination 2.2.2.1
ip pim sparse-dense-mode

interface f0/0
description LAN
ip address 10.2.2.1 255.255.255.0
ip pim sparse-dense-mode

ip route 0.0.0.0 0.0.0.0 189.0.0.1
ip route 10.1.1.0 255.255.255.0 192.168.1.1
ip route 2.2.2.1 255.255.255.255 192.168.1.1

ip mroute 10.1.1.0 255.255.255.0 tunnel0
ip mroute 2.2.2.1 255.255.255.255 tunnel0

Observe no exemplo acima que não há nenhuma configuração específica na interface WAN, e para o endereço multicast que o Multicast Source usará.

Até a próxima.

(2) Comentários

Por André Ortega, 17/10/2011 14:56

Você sabia que é possível criar um servidor radius em um roteador? Os IOSs mais novos, a partir da versão 12.3(11)T, possuem esta funcionalidade.

Claro que não recomendo a utilização do roteador como um servidor para autenticação em larga escala, mas é um funcionalidade legal, que pode ajudar nos nossos laboratórios.

E a configuração é bem simples.

Client (R2): A configuração do radius client é a mesma de quando usamos um servidor radius normal (ACS, IAS, FreeRadius…).

! Habilite o aaa
aaa new-model
! Configure para a autenticação usar Radius
aaa authentication login TESTE group radius
! Especifique o IP e key do servidor Radius (R1)
radius-server host 10.123.45.1 auth-port 1812 acct-port 1646 key cisco
! Na line configure o método de autenticação criado
line vty 0 4
login authentication TESTE

Server (R1): No roteador que será o Radius Server basta habilitar o serviço, cadastrar o NAS, sua chave e um usuário e senha.

! Habilite o radius-server no roteador
radius-server local
! Cadastre o ip do Radius Client e a senha
nas 10.123.45.79 key 0 cisco
! Crie um usuário e senha para acesso ao roteador R2 (client)
user teste password teste

Pronto! Basta dar um telnet no R2, informar o usuário e senha (teste/teste) criados no R1 e acessar o equipamento.

Até a próxima.

(11) Comentários

Por André Ortega, 17/09/2011 15:44

Quem tal um rack com seis roteadores e quatro switches layer 3, para você brincar a vontade? E o melhor: de graça!

Pois saiba que isto é possível graças ao L2/L3 IOU, uma VM pronta para usar, criada para permitir a elaboração de diversas topologias, e treinar na prática para as certificações.

Você vai precisar do VMware Workstation, para rodar a VM onde os equipamentos serão emulados. Se não tiver, instale antes de continuar. É recomendado o uso da versão 7, porém eu testei com a versão 6.5.3 e funcionou.

Preparando a VM

1) Faça o download através de um dos links abaixo, e descompacte os arquivos. Você encontrará dois arquivos .rar.

O Cisco_IOU_Rack_v3_Video.rar é um vídeo mostrando como iniciar o LAB e acessar os equipamentos (o resumo eu coloquei abaixo). Já o arquivo  Cisco_IOU_Rack_VM_by_flyxj.rar é a VM (Debian), onde temos os equipamentos.

Download Via Wupload: L2/L3 IOU

Download L2/L3 IOU, via Rapidshare: Part1 – Part2 – Part3 – Part4 – Part5 – Part6 – Part7

2) Descompacte o arquivo onde está a VM e abra o VMware Workstation. Inicie o VMware, clique em File > Open e selecione o local onde está o arquivo descompactado.

Depois clique em Edit > Virtual Network Editor.

3) Para o LAB funcionar é OBRIGATÓRIO fazer as seguintes configurações:

- VMnet0: Bridged to an automatically chosen adapter – Bridged
- VMnet1: Local Area Connection 3 – Subnet 192.168.20.0/24 – DHCP Enabled – Host Only
- VMnet8: Local Area Connection 4 – Subnet 192.168.80.0/24 – DHCP Enabled – NAT

Após a configuração das 3 VMnets, clique em Summary e veja se sua configuração ficou como na imagem abaixo. Este é o passo mais importante. Se algo estiver diferente disso o LAB pode não funcionar.

4) Com as VMnets configuradas basta iniciar a VM e começar a usar o LAB.

Usando o LAB

1) Quando a VM inicializar você vai ver a tela abaixo, com as informações básicas para o uso LAB. Faça o login usando o usuário e senha indicados, e entre no diretório LAB.

2) Dentro do diretório LAB você pode usar o comando show para visualizar a topologia, e o comando Rx ou Sx para iniciar o respectivo roteador e swtich.

3) Para acessar os equipamentos basta você dar um Telnet no IP / Porta.

• R1: 192.168.80.160:2001
• R2: 192.168.80.160:2002
• R3: 192.168.80.160:2003
• S4: 192.168.80.160:2004
• S5: 192.168.80.160:2005
• R6: 192.168.80.160:2006
• R7: 192.168.80.160:2007
• R8: 192.168.80.160:2008
• S9: 192.168.80.160:2009
• S10:192.168.80.160:2010

IMPORTANTE: Não mude o hostname ou IP de acesso aos equipamentos (192.168.80.160). Isto pode fazer com que o LAB pare de funcionar.

Usei pouco até agora, mas por enquanto estou gostando.

As funcionalidades que testei funcionaram e outro fato positivo é que a VM não está consumindo muitos recursos, como é comum no Dynamips.

Se tiver alguma dúvida assista o vídeo que vem junto com o download. Também é possível encontrar mais exemplos no Youtube.

Encontrei as informações para este post no site Gopherden.

Até a próxima.