Seja o primeiro a comentar

Por André Ortega, 07/06/2010 14:16

Com sabemos, para que hosts em redes diferentes se comuniquem é preciso um dispositivo layer 3, para fazer o roteamento. Assim podemos ter um roteador com uma interface em cada rede, como ilustrado abaixo, por exemplo.

Porém nem sempre é viável dispor de duas interfaces de um roteador para este fim, já que interface é um recurso findável (e até custoso).

Para evitar este desperdício, com roteadores Cisco podemos usar uma topologia chamada Router on a Stick, com a utilização de apenas uma interface do roteador, e com a configuração de VLANs (sub-interfaces).

Neste caso temos a topologia como mostrado abaixo (e que é abordada no CCNA).

A interface FastEthernet 0/0 foi dividida em duas sub-interfaces (F0/0.10 e F0/0.20), sendo que cada uma pertence a uma rede diferente (VLAN).

Na configuração do switch nenhuma novidade. As portas ondes estão os usuários e outros equipamentos devem ser configuradas como acesso. Já a porta onde está o roteador deve ser configurada como trunk.

conf t
! Crie as duas VLANs
vlan 10
  exit
vlan 20
  exit
! Configure a interface onde está o roteador como trunk
interface FastEthernet0/1
  switchport trunk encapsulation dot1q
  switchport mode trunk
  exit
! Coloque as interfaces de acesso nas respectivas VLANs
interface FastEthernet0/9
  switchport mode access
  switchport access vlan 20
  exit
interface FastEthernet0/10
  switchport mode access
  switchport access vlan 10
  exit
exit
copy run start

 

Já no roteador temos que criar as sub-interfaces e identificar as VLANs.

conf t
! Na interface física nenhuma configuração
interface fastethernet 0/0
  no ip address
! Crie a primeira sub-interface, coloque o IP e especifique a VLAN
interface FastEthernet 0/0.10
  ip address 192.168.10.1 255.255.255.0
  encapsulation dot1q 10
! Repita o processo para a segunda interface
interface FastEthernet 0/0.20
  ip address 192.168.20.1 255.255.255.0
  encapsulation dot1q 20

Com esta configuração, basta apontar as sub-interfaces como gateways das redes 192.168.10.0 e 192.168.20.0 para que haja comunicação entre elas.

Considerações:

• Esta configuração é simples, útil e abordada no CCNA;
• Cuidado para não inverter a sub-interface e o endereçamento IP na hora da configuração;
• A identificação da sub-interface (0.0/10) e a identificação da VLAN (10) não tem nenhuma relação, mas normalmente mantém-se o mesmo número para facilitar;
• A interface do roteador deve ser no mínimo FastEthernet, já que ela deve ser capaz de enviar e receber tráfego simultaneamente;

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 21/05/2010 10:23

O Secure Shell – SSH, é um protocolo que permite o acesso seguro aos equipamentos.

O SSH cria um canal criptografado entre o client e server, permitindo comunicação segura, mesmo em um meio inseguro (como a Internet, por exemplo). Para isso o SSH faz a autenticação do usuário e cria uma chave para a sessão. Quando o client conecta pela primeira vez a um determinado server (servidor linux, roteador ou switch, entre outros) o SSH cria uma chave que será o “fingerprint” para aquele server e pergunta se você deseja aceitá-la. Esta chave fica armazenada na base de dados local do client.

Atualmente podemos usar a versão 1 ou 2, devendo sempre optar pela versão 2, quando possível, pois ele possui algoritmo de criptografia foi melhorado.

Exemplo de configuração: Habilitando SSH em roteadores Cisco
BrainRT01#conf t
BrainRT01(config)#aaa new model
BrainRT01(config)#username admin secret brainwork
BrainRT01(config)#ip domain-name brainwork.com.br 
BrainRT01(config)#crypto key generate rsa modulus 1024
The name for the keys will be: BrainRT01.brainwork.com.br

% The key modulus size is 1024 bits
Generating RSA keys …
[OK]
BrainRT01(config)#ip ssh time-out 60
BrainRT01(config)#ip ssh version 2
BrainRT01(config)#ip ssh authentication-retries 3
BrainRT01(config)#ip ssh version 2
BrainRT01(config)#line vty 0 15
BrainRT01(config-line)#transport input ssh
BrainRT01(config-line)#end
BrainRT01#wr

Para verificar o funcionamento do SSH podemos utilizar o comando debug ip ssh e os shows abaixo:

BrainRT01#sh ip ssh
SSH Enabled – version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
BrainRT01#show ssh
Connection      Version Encryption      State                   Username
0               1.5     3DES            Keys exchanged          admin
1               1.5     3DES            Session started         andreo
Connection Version Mode Encryption  Hmac         State                 Username
3          2.0     IN   aes256-cbc  hmac-sha1    Session started       andreo
3          2.0     OUT  aes256-cbc  hmac-sha1    Session started       andreo
BrainRT01#

Desde a versão 12.1(19)E alguns IOSs já suportam a versão 2, mas para saber seu seu software suporta o SSH v2 utilize o Cisco Software Advisor (é preciso ter CCO no site da Cisco).

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 18/05/2010 13:36

Pelo visto os últimos meses foram puxados para o pessoal de desenvolvimento da Cisco… Mais dois novos roteadores estão disponíveis, ambos na família 1900.

O 1921 e o 1905 são os mais novos integrantes da linha de produtos ISRg2, e vem juntar-se aos modelos 1941 e 1941W.

O 1921 é uma versão mais enxuta do 1941, sendo a maior diferença o fato do 1921 não possuir suporte a módulos ISM (e ser cerca de 40% mais barato).

Já o 1905 além de não suportar modulos ISM, também possui apenas um slot EHWIC (o outro vem ocupado por um módulo HWIC-1T, e pelo que consta na documentação é fixo). Com isso ele passou a ser o menor roteador Cisco com porta serial. Depois de parar de produzir o 805, o menor roteador com suporte a interfaces seriais era o 1841, posto agora ocupado pelo 1905.

Quanto ao throughput, o 1921 suporta 15 Mbps, com serviços habilitados e o 1905 suporta 10 Mbps (o 1941 suporta 25 Mbps).

Página do 1905: Cisco 1905 Integrated Services Router

Página do 1921: Cisco 1921 Integrated Services Router

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 01/04/2010 09:21

A Cisco lançou semana passada uma nova linha de produtos para redes sem fio, chamada Valet. São três produtos (Valet, Valet Plus e Valet Connector) para uso doméstico e segundo a Cisco, foram desenvolvidos para tornar a instalação, configuração e operação ainda mais simples.

Segundo teste da PC Magazine é possível estabelecer conexão com a Internet em 5 minutos, no novo access-point Valet Plus.

Os access-points acompanham um pen drive (que não é o da imagem acima – o Valet Connector é uma placa de rede wireless), que ao ser conectado ao computador inicia um passo-a-passo (Cisco Connect Software), bastando ao usuário seguir as orientações para que a configuração seja realizada.

É a primeira fez que são lançados produtos for home use sem a marca Linksys, mas isto tem uma explicação.

Esses novos equipamentos foram criados com base na experiência dos engenheiros da Pure Digital, criadores da câmera de vídeo Flip, visando a simplicidade.

No mais posso dizer apenas que são muito bonitos.

E a Linksys?

Não é o fim da marca Linksys.

A linha Valet deve ser posicionada abaixo dos equipamentos Linksys, que passarão a ser considerados equipamentos intermediários, com mais funcionalidades.

Inclusive foram lançados novos produtos com a marca Linksys (E-Series).

Os novos equipamentos E-Series têm o mesmo designe dos equipamentos Valet, e podem ser gerenciados pelo mesmo software. Mas também contam com interface web, para configurações avançadas.

Na série E existem opções com portas 10/100 e Gigabit, e são compatíveis com padrão A/B/G e N. O modelo top de linha (E3000) ainda permite o compartilhamento de mídia armazenada em servidores externos, sendo compatível com XBOX e PS3, entre outros.

Para mais informações e comparativos visite a página dos produtos: Valet e Linksys.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 23/03/2010 11:10

Como já escrito no post Enable password e enable secret a criptografia do tipo 7 é fraca, já foi quebrada e existem inúmeros software para reverter uma senha codificada por esse mecanismo.

Mais fácil ainda: podemos usar um roteador para descriptografar uma senha codificada com este tipo de criptografia.

Exemplo: Suponha que você tenha a enable password em uma configuração salva ou em um script de configuração, e queira descobrir qual é a senha.

enable password 7 02050D4808095E731F5A0C0A1112

1°) Crie um key chain com um nome qualquer.

BrainRT01(config)#key chain quebra-senha

2°) Especifique o identificador da chave.

BrainRT01(config-keychain)#key 1

3°) Cadastre a key criptografada que você possui.

BrainRT01(config-keychain-key)#key-string 7 02050D4808095E731F5A0C0A1112

4°) Peça para exibir a key cadastrada.

BrainRT01(config-keychain-key)#do sh key chain quebra-senha
Key-chain quebra-senha:
key 1 — text "cisco123teste"
accept lifetime (always valid) – (always valid) [valid now]
send lifetime (always valid) – (always valid) [valid now]
BrainRT01(config-keychain-key)#

Além da senha de enable, o mesmo processo pode ser aplicado para qualquer senha usada no roteador criptografada pelo tipo 7

Até a próxima.