(18) Comentários

Por André Ortega, 13/01/2010 10:20

Este post deveria ter sido um dos primeiros no blog… mas como dizem, antes tarde do que nunca.

Coloquei os comandos básicos/úteis para utilização no Cisco IOS, via CLI – Command Line Interface. Acredito que vai ser bem útil para que está começando, ou acessa o roteador apenas eventualmente.

Modos de Configuração
roteador> -  Modo Usuário
roteador# -  Modo Privilegiado
roteador(config)# -  Modo Global

Modo Usuário
enable -  Entra no modo de configuração privilegiado

Modo Privilegiado
? -  Mostra os comandos disponíveis
configure terminal -  Entra no modo de configuração global
clock set – Configura a data e hora no equipamento
delete flash:/nome_do_arquivo -  Apaga o arquivo da flash
dir -  Mostra o conteúdo da flash
disable -  Sai do modo de configuração privilegiado
erase flash -  Apaga todo o conteúdo da flash
erase nvram -  Apaga todo o conteúdo da nvram
ping 10.1.1.1 – Pinga o host 10.1.1.1 e mostra o resultado
reload – Reinicia o roteador
traceroute 172.16.1.1 -  Mostra o caminho até o IP 172.16.1.1

Modo configuração global
enable secret -  Define a senha de enable
hostname  - Define o "nome" no roteador
interface f0/0 – Entra no modo de configuração da interface fastethernet 0/0
ip route 0.0.0.0 0.0.0.0 10.1.1.1 -  cria uma rota padrão para 10.1.1.1
ip route 192.168.0.0 255.255.255.0 172.16.1.1 – cria uma rota estática para a rede 192.168.0.0, através de 172.16.1.1

Modo Configuração de Interface
description -  Coloca uma descrição na interface
end -  Volta para o modo privilegiado
exit -  Sai do modo de configuração de Interface
ip address 5.5.5.5 255.255.255.0 -  Configura o IP e máscara na interface
shutdown -  Desabilita a interface
no shutdown – Habilita a interface

Verificação básica
show arp -  Mostra a tabela arp do roteador
show diag -  Mostra informações dos módulos
show history -  Mostra os últimos comandos digitados
show version -  Mostra a versão do IOS e informações de hardware
show running-config -  Mostra a configuração
show interface -  Mostra informações das interfaces
show ip interface -  Mostra informações do protocolo IP na interface
show ip route -  Mostra a tabela de rotas
show users -  Mostra os usuários conectados
show tech-support -  Informação completa do sistema

Salvando a configuração
copy running-config startup-config -  Salva configuração da memória DRAM para NVRAM
copy running-config tftp: -  Salva configuração da memória DRAM para o servidor TFTP
copy tftp: running-config -  Salva configuração do servidor TFTP para memória DRAM
wr -  Salva configuração da memória DRAM para NVRAM

Esta lista de comandos, mais as teclas de atalhos (publicadas em outro post) estão neste wallpaper, para quem quiser baixar.

Até a próxima.

(5) Comentários

Por Rafael Leão, 08/07/2009 06:00

Continuando nossa série de posts sobre VPN IPSec, segue um exemplo da configuração passo-a-passo de uma Site-to-Site VPN, usando a CLI de 2 Cisco Routers, modelo 1721. O objetivo deste cenário é possibilitar o tráfego seguro (criptografado) entre as redes 10.1.1.0/24 e 192.168.0.0/24.

Topologia:

Configuração do BrainRT01

! Primeiramente configuraremos os parâmetros ISAKMP
BrainRT01#conf t
! O número 1 é apenas o identificador da política (podemos ter mais que uma)
BrainRT01(config)#crypto isakmp policy 1
! Método de autenticação
BrainRT01(config-isakmp)#authentication pre-share
! Algoritmo de hash SHA (neste exemplo)
BrainRT01(config-isakmp)#hash sha
! Algoritmo de criptografia; neste caso, AES-128
BrainRT01(config-isakmp)#encryption aes 128
! Troca de chaves Diffie-Hellman
BrainRT01(config-isakmp)#group 2
! Tempo de vida do Security Association em segundos
BrainRT01(config-isakmp)#lifetime 86400
BrainRT01(config-isakmp)#exit
! Chave compartilhada para comunicação com o outro peer
BrainRT01(config)#crypto isakmp key Brainwork address 200.20.20.2
BrainRT01(config)#exit

! Definição dos parâmetros IKE fase 2
BrainRT01#conf t

! Criando o transform-set, onde são definidos os parâmetros usados pelo túnel IPSec, sendo ESP-AES para criptografia
! e ESP-SHA-HMAC para hash (MYSET é o nome do transform-set)
BrainRT01(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
BrainRT01(cfg-crypto-trans)#exit
! ACL definindo qual será o tráfego protegido pelo túnel IPSec
BrainRT01(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
! Criando o Crypto Map, que é o agrupamento das regras para construção do túnel (BrainRT01_to_BrainRT02 é o nome
! do crypto map e 10 é o identificador)
BrainRT01(config)#crypto map BrainRT01_to_BrainRT02 10 ipsec-isakmp
! Dentro dele, apontamos o peer remoto
BrainRT01(config-crypto-map)#set peer 200.20.20.2
! Aplicamos a ACL…
BrainRT01(config-crypto-map)#match address 101
! … e o Transform Set
BrainRT01(config-crypto-map)#set transform-set MYSET
BrainRT01(config-crypto-map)#exit
BrainRT01(config)#

! Aplicando na interface WAN de BrainRT01
BrainRT01(config)#interface Serial0
BrainRT01(config-if)#crypto map BrainRT01_to_BrainRT02
*Mar  1 01:14:25.519: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
BrainRT01(config-if)#exit
BrainRT01(config)#

Importante: As configurações acima postadas, devem ser aplicadas em BrainRT02 da mesma forma. As principais alterações serão nas regras da ACL e nos parâmetros que apontam BrainRT01 como peer IPSec.

Agora devemos conferir o resultado de nossa configuração. Seguem alguns comandos úteis para verificarmos o status de nosso trabalho, ou seja, o túnel IPSec “Up”:

BrainRT01#show crypto engine connections active

    ID Interface            IP-Address      State  Algorithm                Encrypt  Decrypt 
     1 Serial0              200.10.10.2     set    HMAC_SHA+AES_CBC          0        0
2001 Serial0              200.10.10.2     set    AES+SHA                            0      208
2002 Serial0              200.10.10.2     set    AES+SHA                        207        0

BrainRT01#

BrainRT01#show crypto session
Crypto session current status

Interface: Serial0
Session status: UP-ACTIVE
Peer: 200.20.20.2 port 500
  IKE SA: local 200.10.10.2/500 remote 200.20.20.2/500 Active
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 192.168.0.0/255.255.255.0
        Active SAs: 2, origin: crypto map

BrainRT01#

Espero que ajude. Até breve!