(3) Comentários

Por André Ortega, 11/02/2010 08:03

Quem utiliza VPN Remote Access com terminação em gateways Cisco sofre com um problema: O client IPSec Cisco não suporta instalação no Windows 64 bits, como podemos ver neste link.

Para contornar este problema podemos utilizar o Shrew Soft VPN Access Manager, desenvolvido pela Shrew, que é gratuíto e conta com versões para toda a família Windows, 32 e 64 bits.

Após fazer o download no site do desenvolvedor (menos de 3 MB) e instalar o aplicativo (Next, next, finish), vamos configurá-lo.

1°) Clique em Add, para criar um novo profile, e na aba General informe o IP do concentrador VPN, no campo Host Name or Ip Address.

2°) Depois vá para a aba Authentication, e em Authentication Method selecione Mutual PSK + XAuth (se for assim que seu equipamento – roteador/firewall ou outro concentrador VPN – estiver configurado. No Campo Key ID String coloque o nome do grupo (VPN_Group_Name, no exemplo), também configurado no Gateway VPN.

3°) Ainda na aba Authentication, selecione a sub-aba Credentials e especifique a mesma Pre Shared Key que foi configurada no concentrador VPN.

4°) Configuração finalizada. Você pode renomear o profile, colocando o nome do local onde a conexão será realizada, por exemplo.

Para conectar à VPN basta selecionar o ícone e clicar em Connect. Quando forem solicitadas as credenciais informe o usuário e senha.

O Shrew Soft VPN também permite a importação de profile criado no client da Cisco (.pfc).

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Só um comentário

Por Rafael Leão, 17/12/2009 07:00

Private VLAN, ou PVLAN, é um recurso que permite segmentação de uma VLAN em diversos grupos de portas separados. Apesar destes grupos estarem na mesma VLAN (consequentemente, mesmo domínio broadcast e range de IP), eles não se comunicam entre si, pois este isolamento é feito por camada 2.

Como vantagens principais, podemos citar a redução do consumo de endereços IP, e políticas de acesso, como por exemplo, hosts de uma mesma subrede não se comunicarem sem uso de ACLs.

No domínio de uma VLAN normal, configurada como PVLAN, são criadas divisões chamadas de subdomínios, que são pares formados cada um por uma Primary VLAN (VLAN Primária) e uma Secondary VLAN (VLAN Secundária).

Uma VLAN primária pode formar pares com várias VLANs secundárias, possibilitando a criação de vários subdomínios dentro de uma PVLAN. O que identifica estes subdomínios em uma PVLAN é ID das VLANs secundárias. As VLANs secundárias podem ser de 2 tipos: Isolated e Community. Elas Têm em comum, como citado acima, a mesma VLAN como primária, e acesso de todos os hosts conectados as portas de seu subdomínio à Promiscuous Port (porta promíscua).

Promiscuous Port

Geralmente na rede há um gateway ou servidor, ou qualquer host que todos os demais podem acessar. Em um cenário de PVLAN, estes hosts estão conectados a uma interface, chamada de Promiscuous Port. A VLAN primária e as demais secundárias são associadas (mapeadas) a esta interface, de modo que os hosts de QUALQUER VLAN secundária tenha acesso irrestrito a ela.

Isolated VLAN

Host conectados às interfaces associadas a esta VLAN, chamadas de Isolated Ports, comunicam-se SOMENTE com hosts conectados à Promiscuous Port.

Community VLAN

Host conectados às interfaces associadas a esta VLAN, chamadas de Community Port, comunicam-se entre si e com os hosts conectados à Promiscuous Port.

PVLAN em Diversos Switches

Para que o tráfego de PVLANs trafegue normalmente através de vários switches, dois tipos de trunk que podem ser configurados: o trunk padrão e o PVLAN trunk.

Trunk padrão: entende as PVLANs como VLANs normais. É usado quando os dois switches conectados suportam e estão corretamente configurados com as mesmas PVLANs.

PVLAN Trunk Isolated Port: permite passagem de tráfego de várias portas promíscuas em uma única interface. É um trunk promíscuo usado para levar tráfego de múltiplas PVLANs primárias a múltiplas PVLANs secundárias, principalmente quando um dos switches não suporta PVLANs, como os da série 2960.

Principais Restrições

- O protocolo VTP não suporta PVLANs, portanto, os switches devem operar em VTP modo transparente, e as configurações devem ser feitas manualmente em todos os switches;
- As VLANs 1 e de 1002 até 1005 não podem ser configuradas como PVLANs;
- Interfaces VLAN layer 3 não podem ser configuradas como PVLAN;
- Não é possível configurar EtherChannel em interfaces de PVLAN;
- Uma VLAN primária pode se associar com várias VLANs secundárias community, mas somente uma Isolated;
- Apenas trunks 802.1Q são suportados por PVLANs.

Há outras restrições documentadas aqui.

Espero ter ajudado. Em breve teremos exemplos de configuração.

Até mais.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Verificando a utilização da CPU
• Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA
• Redefinindo o terminal

(2) Comentários

Por Rafael Leão, 15/12/2009 08:09

Há alguns dias foi publicado o post sobre o que é e como funciona o EtherChannel PAgP. Neste será mostrada a configuração de um EtherChannel.

Na topologia a seguir temos 2 switches multilayer: um Catalyst 3550 (Cat3550) e um 3750 (Cat3750). Iremos configurar um Fast EtherChannel de 4 canais (800Mbps).

3 exemplos serão feitos com esta topologia.

Exemplo 1: EtherChannel como porta de acesso

No primeiro exemplo, será feita uma configuração com as interfaces operando em modo de acesso. Em Cat3550, as portas de Fa0/1 até Fa0/4 farão parte do channel-group 1, e em Cat3750, de Fa1/0/1 até Fa1/0/4.

Configuração

!- Configuração de Cat3550
!
enable
configure terminal

!- Criando a interface Port-channel 1
interface Port-channel1
switchport mode access

!- Associando as interfaces físicas ao Port-channel
interface range FastEthernet0/1 – 4
switchport mode access
channel-group 1 mode on

interface Vlan1
ip address 10.0.0.1 255.255.255.0
no shutdown

!- Configuração de Cat3750

enable
configure terminal

!- Criando a interface Port-channel 1
interface Port-channel1
switchport mode access

!- Associando as interfaces físicas ao Port-channel
interface range FastEthernet1/0/1 – 4
switchport mode access
channel-group 1 mode on

interface Vlan1
ip address 10.0.0.2 255.255.255.0
no shutdown

Exemplo 2: EtherChannel como trunk

Agora iremos configurar o port-channel para ser um trunk, onde será permitido o tráfego de 2 VLAN’s (10 e 20).

Configuração

!- Configuração de Cat3550
!
enable
configure terminal

!- Criando a interface port-channel 1
interface Port-channel1
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
exit

interface range FastEthernet0/1 – 4
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
!- Associando as interfaces físicas ao port-channel
channel-group 1 mode on
exit

!- Criando as VLANs
vlan 10
vlan 20

interface Vlan1
ip address 10.0.0.1 255.255.255.0
no shutdown

!- Opcionalmente, colocando IPs nas VLANs
interface Vlan10
ip address 10.0.10.1 255.255.255.0
no shutdown

interface Vlan20
ip address 10.0.20.1 255.255.255.0
no shutdown

!- Configuração de Cat3750
!
enable
configure terminal

!- Criando a interface port-channel 1
interface Port-channel1
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
exit

interface range FastEthernet1/0/1 – 4
!- Aplicando as configurações de trunk
switchport trunk encapsulation dot1q
switchport mode trunk
!- Permitindo somente as VLANs 10 e 20
switchport trunk allowed vlan 10,20
!- Associando as interfaces físicas ao port-channel
channel-group 1 mode on
exit

!- Criando as VLANs
vlan 10
vlan 20

interface Vlan1
ip address 10.0.0.2 255.255.255.0
no shutdown

!- Opcionalmente, colocando IPs nas VLANs
interface Vlan10
ip address 10.0.10.2 255.255.255.0
no shutdown

interface Vlan20
ip address 10.0.20.2 255.255.255.0
no shutdown

Exemplo 3: EtherChannel como interface camada 3

Agora a interface será layer 3 e terá um endereço IP. Para isso, primeiramente é necessário habilitar a operação do switch em layer 3, com o comando ‘ip routing’, e, com o comando ‘no switchport’, desabilitar a função de switching da interface.

!- Configuração de Cat3550
!
enable
configure terminal

ip routing

interface Port-channel1
no switchport
ip address 10.0.0.1 255.255.255.0

interface range FastEthernet0/1 – 4
no switchport
channel-group 1 mode on
exit

!- Configuração de Cat3750
!
enable
configure terminal

ip routing

interface Port-channel1
no switchport
ip address 10.0.0.2 255.255.255.0

interface range FastEthernet1/0/1 – 4
no switchport
channel-group 1 mode on

Agora é só realizar os testes. Qualquer dúvida, mande comentários!

Espero ter ajudado. Até breve!

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Verificando a utilização da CPU
• Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA

Só um comentário

Por André Ortega, 21/10/2009 12:06

Todos os modelos de ISR G2 vem com interfaces gigabit, suporte aos módulos EHWIC e ISM, e suportam até 2,5 GB de memória SDRAM. Estes roteadores também suportam módulo com interfaces switches e funcionalidades de segurança.

A parte de telefonia (Cisco Call Manager Express) é suportada a partir do modelo 2901, e pode chegar a 250 ramais.

Veja abaixo um comparativo entre os novos roteadores, ISR G2, série 1900, 2900 e 3900.

* Up to 2 GB available for use; upgradable to 4 GB in the future.
** LAN switching counts for ISR 2911 through 3945 are based on the latest generation of Switch Service Modules.
*** Scales to documented phone support in 15.0.1 rebuild.

Abaixo uma outra comparação, entre os roteadores ISR e ISR G2, onde podemos perceber o grande salto com relação a desempenho.

Até o momento a Cisco não pretende descontinuar os roteadores da série 1800, 2800 e 3800 (ISR G1).

Mais informação sobre os roteadores ISR G2 aqui.

Licença para o IOS

Uma grande diferença entre os ISR G2 e G1 e a forma como são tratadas as funcionalidades do IOS.

Anteriormente, para adicionar uma funcionalidade era necessário trocar o software do roteador (existem entre 7 e 11 modelos de IOS). Agora, com os ISRs G2, basta escolher a funcionalidade e adicionar a licença com as features desejadas. Além disso é possível trabalhar com licenças permanentes ou temporárias.

Permanent: Como o nome sugere, licença que nunca expira. Uma vez adquirida o roteador passará a contar com as funcionalidades desejadas para sempre.

Temporary: Licença que permite testar determinada funcionalidade. Pode ficar ativa por 60 dias e não é possível estendê-la.

Counted: Licença que habilita certa quantidade de alguma função. Por exemplo, licença para 10 VPN dos tipo SSL;

Subscription: Esta licença permite o acesso a um recurso ou capacidade por um determinado período de tempo. É relacionadas ao serviço de filtro de conteúdo, por exemplo, e permite atualizações regulares a partir de um banco de dados.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Seja o primeiro a comentar

Por André Ortega, 20/10/2009 19:15

Após 5 anos do lançamento dos Integrated Service Routers (séries 1800, 2800 e 800), a Cisco realizou hoje o lançamento mundial da segunda geração dos ISRs. Os novos equipamentos são das famílias 1900, 2900 e 3900.

Os novos roteadores, indicados para a agregação de serviços de dados, voz e vídeo, contam com slots para módulos EHWIC – Enhanced High Speed WAN Interface Card, que são compatíveis com os módulos tradicionais (HWIC), suportados pelos ISRs G1. Já os módulos AIM foram substituídos pelos módulos ISM – Internal Services Module, e neste caso os módulos AIM não podem ser reaproveitados.

Nas séries 2900 e 3900 temos ainda um outro tipo de módulo: Cisco Service Module. Estes módulos substituem os módulos NM e EVM e para utilizar os módulos NM e EVM é necessário um adaptador.

Estes novos equipamentos possuem também multi-core CPUs, Gigabit Ethernet switching com enhanced POE, um novo sistema para monitoramento e controle do consumo de energia, opção de wireless (802.11n, na série 1900) e módulos 3G . Os modelos 2900 e 3900 tem suporte a PVDM3, suportando ainda PVDM2, com o uso de adaptador.

Diferente dos demais roteadores, os ISRs G2 contarão com apenas um tipo de IOS, que possui todas as funcionalidades, e o cliente pode habilitá-las ou não através de licenças.

Modelos disponíveis:

Série 1900: CISCO1941 e CISCO1941W

Série 2900: CISCO2901, CISCO2911, CISCO2921 e CISCO2951

Série 3900: CISCO3925 e CISCO3945

Página do produto: Integrated Service Routers G2

ISRs e borderless

Em 2004 a Cisco lançou os roteadores das famílias 1800, 2800 e 3800, chamados então de ISR. Em apenas dois foram vendidos mais de 2 milhões de roteadores destas séries, e  hoje são mais de 7 milhões em todo o mundo.

Esperando manter o mesmo sucesso agora são lançados os equipamentos da segunda geração de ISRs: 1900, 2900 e 3900.

Estes novos roteadores contam com funcionalidades de segurança, dados, voz e vídeo e são os principais componentes de um novo conceito de redes, desenvolvido pela Cisco, onde não existe mais delimitações entre as redes. Este conceito engloba a nova forma de trabalhar e viver, onde qualquer um pode estar conectado em qualquer lugar: Borderless.

Pensando velocidade das mudanças os novos equipamentos são dotados de extrema performance, e podem agregar serviços diversos. Junto a isso ainda temos a nova forma de licenciamento do IOS.

Agora as funcionalidades são habilitadas apenas adicionando uma chave, sem a necessidade de trocar o software do equipamento.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Verificando a utilização da CPU
• Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA