Segurança nos roteadores cisco

Hoje vamos conhecer um pouco das diferentes opções de segurança presentes nos roteadores Cisco.

Ao final deste artigo, você saberá:

. Descrever os dois níveis padrão: O User Mode e o Privileged Mode.
. Descrever os diferentes passwords usados para obter acesso aos diferentes níveis do roteador Cisco.
. Descrever o processo da encriptação do password.

O User Mode

Os comandos utilizados para alterar qualquer configuração do roteador estão ocultas no User Mode e presentes no Privileged Mode.

. User Mode – Utilizado para examinar basicamente o roteador

. Privileged Mode – Utilizado para alterar as configurações do roteador

Acesso por senha

Para garantir a entrada no momento do login é necessário um password, que irá garantir acesso ao User Mode, mas que não permitirá em momento algum alterações na configuração do roteador.

Existe uma diferença entre o password para console e telnet. Eles são configurados separadamente no roteador. Apesar de poderem apresentar o mesmo valor, são configurados por comandos diferentes.

O Privileged Mode

Seja como for que você conseguir acessar o roteador inicialmente, o acesso ao Privileged Mode só será permitido se você souber o password.

A relação a seguir mostra os comandos disponíveis no Privileged Mode. Os comandos destacados em negrito representam aqueles que unicamente estão disponíveis neste modo.

O comando “configure”, por exemplo, tem muitas opções que permitem a você modificarem o Configuration File (Arquivo de Configuração) que é o arquivo que dá as instruções do que fazer ao roteador.

Opções do comando Configure

A opção “network”: Permite carregar um Configuration File no roteador atual a partir de um servidor TFTP.

A opção “memory”: Permite restaurar o Configuration File armazenado na NVRAM na memória .

A opção “terminal”: Permite configurar manualmente um roteador.

A partir destas opções pode-se modificar Configuration File ativo diretamente e imediatamente. Só tome cuidado em planejar primeiro às alterações, pois elas podem afetar negativamente o desempenho do roteador.

O comando Enable Password

Dois tipos diferentes de passwords são utilizados para se obter acesso ao Privileged Mode. O comando “enable password” é o que permite criar um password que o administrador deve conhecer para acessar o Privileged Mode. Só para lembrar : os passwords são case sensitive.

Esse comando aparece em texto claro no Configuration File. Se você salvar o Configuration File em um servidor TFPT ou visualize-lo na tela, é possível que alguém possa descobrir este password. Caso deseje este password pode ser encriptado manualmente.

O Comando Enable Secret

O comando “enable secret” está disponível desde a versão 10.3 do Cisco IOS. Ele oferece alguns importantes avanços sobre o “enable password”.

Se ambos os comandos forem configurados, o administrador deverá usar “enable secret” para acessar o Privileged Mode e o “enable password” não será utilizado.

O comando “enable secret” é automaticamente encriptado usando-se o algoritmo de encriptação MD-5, que oferece uma proteção melhor que “enable password” e não são mais necessários comandos adicionais para proteger o password.

Configuração do comando Enable Password

Para configurar os passwords, use o comando privilegiado “configure terminal” para entrar no Configuration Mode. Para configurar o comando “enable password”, use o comando do Configuration Mode “enable password”. No exemplo a seguir o comando é configurado com “computer”, em minúsculo.

Alterando os argumentos do password

Os passwords não devem ser palavras simples. Neste outro exemplo, o comando “enable password” é configurado com “The sky is blue.” dê sempre preferência a frases e várias formas possíveis de colocar algumas letras em maiúsculas e com pontuação para aumentar a segurança do password.

Se a qualquer momento você quiser alterar o “enable secret” basta apenas redigitar o comando com o novo argumento. Se quiser desabilitar esta opção basta digitar “no” antes do comando (não precisa digitar o antigo argumento). Ex: “no enable secret”.

Verificação do password

Para verificar se os passwords foram devidamente configurados, você deve examinar o Configuration File.

O comando show não está disponível no Configuration Mode. Assim você, deve sair do Configuration Mode e retornar ao Privileged Mode. Para isso basta digitar o comando “end”.

Visualizando o Configuration File

O Configuration File só pode ser exibido no Privileged Mode. O comando “show running-config” mostra o arquivo de configuração ativo armazenado na RAM. Se o comando enable password estiver configurado, é mostrado perto do topo do arquivo. Neste exemplo , nós vemos : “The sky is blue.”.

O “enable secret” não pode ser visto no Configuration File. Cabe ao administrador lembrar-se deste password quando configurar comando.

Configuração do password da porta Console

Para configurar o password para a porta console, você deve estar no Configuration Mode. Uma vez lá, você deve configurar a porta console por si só e configurar o password.

A porta console é considerado uma linha ou mesmo ponto de entrada no roteador.

“line console 0″ :

Este comando configura a primeira porta console, console 0.

Comandos de configuração do password

Uma vez que você no prompt da porta console, existem dois comandos necessários para configurar o password da porta console. Um desses comandos é o password em si. No exemplo dado, o password é “television”.

O segundo comando é “login” que instrui o Cisco IOS a pedir, a cada tentativa de acesso, um prompt de password. Sem isto, o roteador não irá perguntar o password, desde que a sintaxe completa da configuração do password não é presente na porta console.

Configuração do password para Telnet

O password para telnet é configurado nas portas dos terminais virtuais do roteador. Existem cinco portas virtuais, ou portas VTY, que vão de zero até quatro respectivamente. Isto significa que até cinco pessoas podem estar em telnet no roteador simultaneamente.

Configure o mesmo password para todas as cinco portas, porque quando alguém fizer um telnet no roteador, o próximo login será feito na próxima porta. Desde que você não saberá em qual porta VTY você será levado a realizar login, você não saberá qual será o password específico para aquela porta.

As portas VTY

As portas VTY também são consideradas pontos de entrada no roteador.

“line vty 0 4″:

Este comando informa ao Cisco IOS que você quer configurar todas as cinco portas VTY. Mas caso você ainda queira que cada porta seja configurada com um password único, basta apenas indicar em qual porta você quer configurar, como mostrado a seguir.

Configurando as portas VTY

Uma vez que você decidiu como configurar as portas VTY, os mesmos dois comandos dados para configurar a porta console são utilizadas para configurar o password nas portas VTY. O comando “password” configura a senha atual. E o comando “login” instrui ao roteador a exibir um prompt exigindo um password.

E como na configuração do password para a porta console, se o comando “login” não for utilizado, o password não será checado. Como você não instruiu o roteador a exibir o prompt pedindo a senha, a sessão telnet será bem sucedida. Isto com certeza vai comprometer toda a segurança da rede.

O Comando Login

Sem o comando “login”, você não verá o prompt de senha do roteador. Isto porque a sintaxe completa de password não está presente nas portas VTY.

Caso deseje, você pode utilizar o comando “login” sem um password nas portas VTY. Assim você desabilitará qualquer sessão telnet no roteador. O roteador sabe que as portas VTY são pontos de comunicação importantes, e caso você as configure sem um password, o Cisco IOS lhe informará de uma sessão telnet em potencial em que um password é necessário, mas que não foi configurado. Com isso o roteador irá desabilitar a sessão telnet.

Password Seguro

Caso você consiga entrar em um roteador via telnet, então você terá que digitar o password daquele roteador para ter acesso ao Privileged Mode. Caso os comandos “enable password” ou “enable secret” não estejam configurados, então a sessão telnet nega o acesso ao Privileged Mode. E caso você tente configurar remotamente um ou outro comando, você não irá conseguir.

A Encriptação do password

O password configurado com o comando “enable password” é exibido em texto claro. Isto já não acontece com o password configurado com o comando “enable secret”. Ele é automaticamente encriptado e não pode ser descriptografado.

Os outros passwords podem ser encriptados, mas tenha em mente que o algoritmo de criptografia utilizado não é tão seguro quanto o usado no comando “enable secret”.

Exemplo de encriptação de password

Se você der o comando “show”, vai ver todos os passwords, exceto o do enable secret. Se você armazenar o Configuration File em um servidor TFTP, estes passwords podem cair em mãos erradas.

Lembre-se que se você estiver usando o comando “enable secret”, o roteador está em segurança. Mesmo que alguém consiga o password do “enable password”, este alguém ainda não terá acesso ao Privileged Mode.

Comando para ativar a encriptação de password

Você pode encriptar os passwords dos comandos “enable password”, da porta console e das portas VTY com um simples comando. Você deve estar no Configuration Mode e digitar o comando “service password-encryption”

Aparentemente não houve nenhuma ação do roteador, mas se você sair do Configuration Mode e reexaminar o Configuration File, verá os resultados.

Encriptação

Agora você verá no Configuration File, todos os passwords encriptados. Note também que “service password-encryption” aparece no topo do Configuration File.

O comando “service password-encryption” é um alternador de funções. Se o comando está presente no Configuration File, todo e qualquer password que for inserido deste ponto em diante será encriptado. Caso contrário, eles serão apresentados em texto claro.

Desabilitando a função de encriptação

Para desabilitar a função de encriptação, use “no” no início do comando apresentado. Ex: “no service password-encription”, que neste caso aparentará que nada ocorreu até que você visualize novamente o Configuration File.

Recuperando os passwords encriptados

Aqui você pode ver que sempre que a encriptação de passwords for desabilitada, os passwords ainda estarão encriptados. Isto ocorre porque o algoritmo de encriptação é do tipo one-way , ou seja, de apenas uma mão, o que significa que o roteador não faz o processo de desencriptação dos passwords. Os passwords escritos em texto claro podem ser recuperados com programas adequados que fazem ataques por dicionário, mas não podem ser recuperados pelo roteador.

Se mesmo assim você os quer em texto claro, deve redigitar todos os passwords sem o “service password-encryption” ativo.

FTP com material Juniper e Cisco

Dados do FTP:

IP: 200.223.178.40
LOGIN: blog.user
SENHA: Bl0g@08

Informações adicionais:

- Apenas uma conexão está sendo permitida pelo mesmo IP;
- Atualmente 10 conexões simultâneas distintas estão sendo permitidas.

FTP cedido pelo Sr Marcos Pitanga mestre em tudo que se pense em redes rs… essa informação eu peguei no blog.ccna.com.br melhor lugar para se encontrar material sobre certificação cisco na lingua portuguesa.

abs

Gustavo Franco

GNS3

O GNS3 é um emulador de Roteador. O que ele faz é unir os recursos do Dynagen (saiba mais), do Dynamips (saiba mais) e de uma interface GUI (saiba mais). Apesar de possuir alguns bugs (saiba mais), vai realmente surpreender. Não existe simulador capaz da fazer o que o GNS3 consegue. O maior dos inconvenientes é que ele ocupa muita memória RAM, por isso, exige um equipamento robusto. Caso queira dar uma olhada no Manual para saber como otimizar outros recursos, clique aqui. Para aqueles que não se sentem confortáveis ainda com linhas de comando ou, que nunca tiveram contato com um Roteador, aconselho lerem as aulas do Módulo 2. Lá você encontrará diversos laboratórios e linhas de comando devidamente explicadas. Faça o DOWNLOAD do GNS3 clicando aqui. 01. Abra a pasta onde o arquivo de instalação foi salvo. Dê dois cliques sobre o arquivo. 02. Será aberto um Wizard. Apenas clique em NEXT. 03. Clique em I Agree (você está concordando com os termos de licença). 04. O aplicativo de instalação sugere um nome que será mostrado no menu Programas. Altere se desejar. Clique em NEXT. 05. Caso você já possua o WinPCap instalado na sua máquina, tire a seleção do quadro abaixo, caso contrário, selecione os três componentes e clique em NEXT. 06. Agora selecione onde você deseja que ele seja instalado. Normalmente, o assistente de instalação sugere o local correto, mas não custa dar uma verificada. Se tudo estiver correto, clique em Install. 07. Caso você tenha o WinPCap instalado, será apresentada uma mensagem informando isso. Se pressionar OK, a instalação irá continuar e instalará ele assim mesmo. Se clicar em CANCELAR, a instalação irá ignorar essa etapa. Clique em OK. 08. Apenas clique em NEXT. 09. No site do fabricante, existem diversos materiais e links sobre esse produto. Se deseja saber mais sobre ele, clique aqui. Apenas clique em NEXT. 10. Clique em I Agree. 11. Clique em FINISH. Isso conclui a instalação do WinPCap. 12. A instalação do GNS3 irá continuar sozinha. Apenas aguarde alguns instantes. 13. Após o término da instalação, clique em FINISH. 14. Bem, para continuar, abra a pasta onde o IOS Cisco que você possui está guardado. Caso não possua um (que é pago), providencie, caso contrário, de nada adiantará continuar a ler essa aula. Não me peça por e-mail. 15. Clique com o botão direito do mouse sobre o arquivo e selecione COPIAR. 16. Agora pressione simultâneamente as teclas + E. Isso abrirá o Windows Explorer. Caso prefira, clique em INICIAR > ACESSÓRIOS > WINDOWS EXPLORER. Feito isso, localize a pasta onde o GNS3 foi instalado. No caso dessa aula: E:\Arquivos de Programas\GNS3 Localize a pasta DYNAMIPS. Abra ela. No lado direito da tela, clique com o botão direito do mouse e selecione copiar. Isso copiará a imagem do IOS Cisco para essa pasta. 17. Ainda na janela do Windows Explorer e dentro da pasta Dynamips, clique em ARQUIVO > NOVO > PASTA 18. Após criar a pasta, nomeie ela como TEMP. O nome que você optar por dar à pasta não importa, desde que você lembre dele, pois mais para a frente vamos utilizá-la. O objetivo de se criar essa pasta é concentrar todos os arquivos gerados pelo GNS3. Esses arquivos são grandes e não são deletados automaticamente. Mais para a frente você entenderá como utilizá-la. 19. Bem, agora precisamos testar o IOS que colocamos na pasta DYNAMIPS. Para fazer esse teste, arraste o arquivo do IOS e simplesmente solte sobre “dynamips-w2000.exe” se estiver utilizando o Windows 2000/2003, ou arraste e solte o IOS sobre “dynamips-wxp.exe” se estiver usando o Windows XP. 20. Se a imagem do IOS Cisco estiver perfeita, será mostrada uma tela como a seguir (primeira tela). As duas telas seguintes servem como referência para saber se sua imagem está OK. Após os testes, pode fechar TODAS as janelas abertas. Caso a imagem esteja danificada, providencie outra e repita o teste. 21. Abra o GNS3. Você verá uma interface como a abaixo. 22. Antes de iniciar suas configurações nos equipamentos, precisa fazer alguns ajustes. Logicamente que esses ajustes podem variar conforme suas necessidades, mas sinceramente, somente o tempo e a prática (além do conhecimento do seu equipamento pessoal) é que vão definir isso de forma correta. Clique em FILE > IOS IMAGES AND HYPERVISORS 23. Localize o botão que possui “…” Ele está ao lado de IMAGE FILE 24. Localize a pasta onde salvamos a imagem do IOS Cisco. Selecione ela e clique am ABRIR. 25. Feito isso, clique em SAVE. Observe que a imagem foi parar no grande quadro branco. Esse quadro é uma referência de todos os IOS que você possui na sua máquina. Durante as configurações, você poderá optar por cada uma delas. No exemplo que estamos vendo, utilizei uma imagem do Cisco 7200. Pode fechar a janela. 26. Clique em EDIT > PREFERENCES. 27. Na guia GENERAL você poderá, selecionar o idioma de sua preferência, entre outras coisas. Deixe as seleções com estão. 28. Clique em DYNAMIPS. Agora observe os “…” que aparecem ao lado de EXECUTABLE PATH. Clique nele. 29. Localize e selecione a versão correta do Dynamips que você deseja usar (comentado anteriormente). No nosso exemplo, estou utilizando a versão para o Windows 2003. Clique em ABRIR. 30. Logo após, clique em “…” de WORKING DIRECTORY. Direcione o GNS3 para a pasta que criamos, que nesse exemplo foi em E:/Arquivos de programas/GNS3/Dynamips/Temp É nessa pasta que o GNS3 irá armazenar os arquivos temporários. 31. Agora clique no botão TEST. 32. Se tudo correr bem, deverá aparecer uma mensagem: Dynamips successfully started. 33. Clique em APPLY e depois em OK. 34. Na janela principal, é onde iremos montar as nossas topologias. O objetivo dessa aula não ensinar a fazer isso (para isso, existem diversas outras aulas prontas), mas sim, ensinar um pouco (muito) sobre o aplicativo. Bem, arraste dois Roteadores (logo o primeiro, que está no alto da lista) e coloque na tela. 35. Selecione os dois Roteadores. Observe que, quando o dispositivo está selecionado, sua cor muda e fica um pouco mais escura. 36. Clique com o botão direito do mouse sobre um dos Roteadores. No menu flutuante que irá aparecer, clique em CONFIGURE. 37. Nessa tela, mais precisamente no lado esquerdo, você pode inserir as configurações personalizadas para cada um dos Roteadores. Isso vai depender da necessidade de cada laboratório e da necessidade de cada um. Para fazer a configuração personalizada, clique sobre UM Roteador apenas. Para essa aula, irei padronizar as configurações. Dessa forma, clique sobreROUTERS. Isso irá afetar TODOS os Roteadores, ou seja, as configurações serão aplicadas à todos eles. Nessa mesma janela, observe que a imagem IOS CIsco já aparece disponível. Caso houvesse selecionado outras, estariam nessa lista. 38. Clique na guia MEMORIES AND DISKS. Aqui você poderá alterar os valores conforme a capacidade de seu equipamento pessoal. No exemplo abaixo destinei 350MB, 12MB e 128MB para RAM, ROM e NVRAM respectivamente. Cada uma das memórias é tratada em sala de aula em outras oportunidades. Clique em APPLY. 39. Clique na guia SLOTS. Selecione a quantidade de interfaces de sua necessidade. Para o nosso exemplo, selecionei quatro interfaces seriais. No manual do GNS3 existe uma lista dos tipos de interfaces suportadas, assim como seus respectivos códigos. 40. Após e seleção das interfaces adicionais, a tela ficará como a seguinte. Clique em APPLY novamente e depois em OK. 41. Na tela de layout, observe um ícone que parece um conector. Ao colocar o mouse sobre ele, aparece escrito “add a link”. 42. Ao clicar sobre add a link, aparece um menu flutuante. Selecione MANUAL. 43. Clique sobre o primeiro Roteador. Escolha uma das interfaces e dê um clique sobre ela. Para esse exemplo, utilizei a S1/0 44. Repita o passo 43 para o Roetador seguinte. 45. Ao fazer isso, aparece um link. Caso não hajam mais Roteadores, clique novamente em add a link. Isso irá desativar as novas conexões, ou seja, nenhuma outra ligação poderá ser feita até que pressione add a link. 46. Agora clique no botão EMULATION MODE. 47. A tela ficará como a seguinte. 48. Clique com o botão direito sobre um dos Roteadores e selecione START. Isso é muito importante, caso contrário, não será possível iniciar uma sessão de Telnet. Se tudo correu bem, a bolinha vermelha próxima a ele ficará verde. 49. Clique novamente com o botão direito do mouse sobre o Roteador, mas dessa vez, selecione CONSOLE. 50. Será aberta a tela de TELNET. No meu exemplo ela está branca pois eu prefiro assim. Na maioria dos casos, ela será preta (o que na minha opinião cansa a vista). Quem quiser modificar isso, clique com o botão direito do mouse sobre a barra azul e selecione PADRÕES. Seguem algumas capturas (duas) das telas que serão vistas. 51. Antes de começar suas configurações, é MUITO IMPORTANTE que você salve seu arquivo. Para isso, clique em FILE > SAVE. 52. Determine o nome de sua preferência. No nosso exemplo, determinei “Tutorial”. Clique em SALVAR. 53. De volta à sua topologia, abra uma sessão de TELNET para cada um dos dois Roteadores. e insira as seguintes configurações: R0 (Que está no alto da tela): Router>enable Router#configure terminal Router(config)#hostname Router_A Router_A(config)#exit Router_A#wr R1 (Que está embaixo na tela): Router>enable Router#configure terminal Router(config)#hostname Router_B Router_B(config)#exit Router_B#wr Na realidade, a única alteração que fizemos foi atribuir um nome aos Roteadores. O objetivo dessa etapa é salvar as configurações, mas como vocês sabem, o Roteador possui uma memória NVRAM onde essas configurações são armazenadas. Como estamos em um emulador, elas não foram REALMENTE salvas. No entanto, o GNS3 mantém essas configurações naquela pasta TEMP que criamos. Mas, se fecharmos o aplicativo agora, perderemos tudo. Para que isso não aconteça, vá na parte mais baixa da tela (Dynagen) e digite o seguinte comando: save /all Isso fará com que as configurações sejam salvas junto com a topologia. Não se esqueça de salvar o arquivo em FILE (sempre que fizer uma alteração) antes de fechar o programa, caso contrário, perderá tudo também. 54. Para que tenhamos os arquivos de configuração à parte da topologia (como se houvesse um Servidor TFTP), devemos digitar o seguinte comando no Dynagen: export /all {partição/pasta} Exemplo: export /all E:\Tutorial 55. Vá até o Windows Explorer e veja que sua pasta Tutorial foi criada e que seu arquivo está lá. 56. Aproveitando que estamos no Windows Explorer. Vá até a pasta TEMP que criamos e veja a quantidade de arquivos que o GNS3 criou para que possamos fazer os laboratórios. Aqui vemos 410MB mas, quanto maior a quantidade de Roteadores, maior o espaço utilizado por ele. 57. Após concluir seu exercício, abra o CCLEANER (existe uma aula sobre ele) e configure para limpar a pasta TEMP que criamos. Depois disso, vá em LIMPEZA e clique em EXECUTAR LIMPEZA. Caso esqueça de fazer isso, em 5 ou 6 laboratórios (dependendo do tamanho), o seu espeço físico em disco sumirá. Bem, é isso. Outras informações podem ser conseguidas no manual ou em Fórums.

Tags:Adicionar nova tag, cisco

Conceitos básicos de ROTEAMENTO – Por Márcia Guimarães

Vamos ver agora conceitos básicos de ROTEAMENTO. Reafirmo: o objetivo desta série não é dissecar todas as definições. Não. Apenas reforçar aquilo que devemos saber, para que possamos assim compreender o que vem pela frente. ok?

Então, vamos lá !

O próximo artigo da série será ACCESS LIST.

Sds.

Márcia Guimarães

---

ROTEAMENTO

---

Como o OSPF habilitado nos routers constroem adjacências e trocam tabelas de roteamento ?

O OSPF habilitado nos routers constroem adjacências ao enviar pacotes Hello através das interfaces habilitadas para OSPF.

Se estes routers compartilharem um link comum e aceitarem os parâmetros dentro de seus pacotes Hello, então tornam-se vizinhos. Se estes parâmetros diferirem entre os routers, estes não se tornam vizinhos e as comunicações param.

Routers OSPF formam adjacências com certos routers. Estes routers são determinados pelo tipo de meio de camada 2 (Enlace de Dados), e assim que as adjacências são formadas, cada router envia LSA´s (Link State Advertisements) para os routers adjacentes.

Os LSA´s (Link State Advertisements) descrevem os status de cada link do router. Existem múltiplos tipos de LSA´s e um router que recebe um LSA de um vizinho, grava o LSA deste no banco de dados link-state ou topology e inunda uma cópia do LSA para todos os seus vizinhos.

Quando todos os bancos de dados de toda a área estiverem completos, ou seja, convergência total, então cada router roda seu algoritmo SPF (Shortest-Path First) para calcular uma topologia livre-de-loop da perspectiva do próprio router, e constrói sua tabela de roteamento baseada neste topologia.

É importante notar que o protocolo Hello é bidirecional e tem significado para aqueles vizinhos que foram descobertos e atua como uma espécie de “keepalive” entre os routers vizinhos. Ele também estabelece e mantêm os relacionamentos entre vizinhos e elege o DR (Designated Router) e BDR (Backup Designated Router) para representar o segmento nas redes Broadcast e NBMA (NonBroadcast multiaccess).

Nota: Pacotes Hello são enviados periódicamente para cada interface habilitada com o OSPF usando o endereço IP multicast 224.0.0.5. O intervalo default sobre redes NBMA (nonbroadcast multiaccess) é de 30 segundos. O intervalo default sobre redes Broadcast, Point-to-point, e point-to-multipoint é de 10 segundos.

O que são LSAs (link-state advertisements)?

LSAs são enviados para todas as interfaces habilitadas com o OSPF descrevendo o estado dos links do router. Eles são também pacotes que o OSPF utiliza para anunciar mudanças na condição de um link ou de outros routers OSPF.

Quais os 2 tipos de LSA (link-state advertisement) ?

LSAs Tipo 1 = são LSAs-router e são gerados por cada router para a área para a qual o router pertence. Estes LSA´s descrevem o estado dos links do router para a área (area 0 por exemplo) e são inundados dentro de uma única área (area 0 por exemplo).

LSAs Tipo 2 = são LSA-network e são gerados pelo DR (Designated Router) e o BDR (Backup Designated Router). Eles descrevem os routers anexados a uma rede em particular e são inundados dentro de uma única área (area 0 por exemplo).

Nota: Existem 7 tipos de LSAs, mas somente o tipo 1, Hello, é o que nos interessa para o CCNA.

Qual é a métrica de roteamento na qual o OSPF se baseia?

Bandwith, e usando a fórmula abaixo :

Custo = 10⁸ / bw em bps ou 100.000.000 / bandwidth em bps

Por exemplo, podemos calcular assim o custo de uma interface 100 MBbps (802.3u) que deverá ser:

custo = 100.000.000 / 100.000.000 = 1

O que acontece com o custo de uma interface com 1Gbps (802.3ab/z) ?

Observe que em relação ao custo precisamos fazer alguns ajustes nos links de 1Gbps. Se você usar a fórmula padrão do OSPF, você terá :

custo = 10⁸ / 10⁹ = 0,1 ~ 1

Observou que houve o arredondamento??? Pois é, assim resultando em um custo igual a uma interface com 100Mbps, mas só que temos 1Gbps e esta é bem diferente de uma 100Mbps. Como vamos resolver isso ?

Você tem 2 soluções :

Ou utilizar o comando “ip ospf cost” e setar individualmente o custo em cada interface, assim:

R1(config)# int fa 0/0

R1(config-if)# ip ospf cost 10

R1(config)# int gi 0/0

R1(config-if)# ip ospf cost 1

Ou utilizar o comando “auto-cost reference-bandwidth” e modificar o numerador da fórmula para 10⁹ com o parâmetro “1000″:

R1(config)# router ospf 1

R1(config-router)# auto-cost reference-bandwidth 1000

Você escolhe o sabor !

Baseado na topologia abaixo – Se adjacências forem estabelecidas com somente o DR (Designated Router) e BDR (Backup Designated Router), qual é a contagem do circuito ?

Fórmula :

2(n – 1) onde n é o número de routers na rede.

Então, onde temos 5 routers, temos 8 circuitos :

2(5 – 1) = 8 circuitos

Um circuito também pode ser pensado como uma adjacência ou conexão.

Conte 4 saindo do DR e 4 saindo do BDR, para um total de 8.

Nota: OSPF evita a sincronização entre cada par de routers na rede ao usar um DR e um BDR. Este modo de adjacências são formadas somente para o DR e o BDR, com isso o número de LSA´s enviados sobre a rede é reduzido. Agora, somente o DR e o BDR têm 4 adjacências, e todos os outros routers tem 2.

Em um router habilitado com OSPF – qual será o RID (router ID) do router e onde um router habilitado com OSPF receberá seu RID?

Ao iniciar o OSPF deve ser capaz de definir um router ID ou RID. A fonte mais comum e estável para router ID é o endereço IP configurado na interface lógica loopback que sempre estará disponível. Se nenhuma interface é definida – então o router receberá seu RID do maior endereço IP setado numa interface física.

Nota: Se 2 interfaces lógicas loopback forem definidas – o router utilizará aquela com o maior endereço IP. Ache primeiro o maior endereço IP lógico depois o maior endereço IP físico, e depois a prioridade.

O nome dos 5 tipos de rede OSPF:

Redes Broadcast: Ethernet/Token Ring. Routers habilitados com OSPFem redes broadcast elegem UM DR (Designated Router) e UM BDR (Backup Designated Router).

Todos os routers na rede formam adjacências com o DR e BDR.

Nota: Pacotes OSPF são multicast para o DR e BDR.

Redes NBMA (nonbroadcast multiaccess): Frame Relay/X.25/ATM. Redes NBMA podem se conectar a mais de 2 routers porém não tem a funcionalidade do broadcast. Estas redes elegem um DR e BDR.

Nota: Pacotes OSPF são unicast.

Redes Point-to-point: Um DS1 (T1) físico por exemplo. Redes Point-to-point não elegem um DR ou BDR.

Redes Point-to-point conectam a um par de routers e sempre se torna adjacente.

Redes Point-to-multipoint: Redes Point-to-multipoint têm uma configuração especial nas rede NBMA dentro da qual as redes são tratadas como uma coleção de links point-to-point. Redes Point-to-multipoint não elegem um DR ou BDR.

Nota: Pacotes OSPF são multicast em 224.0.0.5 e 224.0.0.6 .

Virtual links: links virtuais é uma configuração especial de área que o router interpreta como redes point-to-point não-numeradas. O administrador de rede cria/define os virtual links.

O que é roteamento?

Roteamento é o processo no qual itens são encaminhados de uma localização para outra. Roteamento é um paradigma hop-by-hop. Um router Cisco executa funções de roteamento e switching.

Descreva o que cada função faz :

Roteamento é o modo de aprender e manter os anúncios de topologia de rede. Cada router mantem uma tabela de roteamento na qual ele procura (faz um lookup) por endereços de destino de camada 3 para entregar um pacote o mais perto do seu destino.

A função de switching é um movimento de tráfego temporário através de um router, vindo da interface de entrada para uma interface de saída.

Quais são os 3 tipos de rotas que você pode usar em um router Cisco?

rotas estáticas, dinâmicas e rotas default

Qual é a diferença entre uma rota estática e uma rota dinâmica?

Rotas estáticas são rotas que um administrador manualmente entra no router.

Rotas Dinâmicas são rotas que um router aprende automaticamente através de um protocolo de roteamento.

Como você configura uma rota estática em um router Cisco?

Para configurar uma rota estática em um router Cisco, entre com o comando global ….

“ip route rede-destino [mask] {ip-do-next-hop ou outbound-interface} [distância] [permanent] ”

Aqui está um exemplo:

R1(config)# ip route 172.17.0.0 255.255.0.0 172.16.0.1

Leia assim : quando um pacote com um endereço IP de destino estiver range de hosts válidos ( .0.1 a .255.254) da rede 172.16.0.0 /16, R1 irá routear para o next-hop 172.16.0.1.

R1(config)# ip route 172.17.0.0 255.255.0.0 172.16.0.1 135

Este outro exemplo instrue o router a rotear para a rede 172.16.0.1 qualquer pacote que tenha como destino o endereço ip de 172.17.0.1 a 172.17.255.254, sendo que esta rota estática é a rota backup de uma rota dinâmica, e tem distância administrativa com o valor 135. Esse tipo de rota se chama rota flutuante, porque ela só é ativada quando a rota dinâmica estiver indisponível. Quando tudo se normalizar com o roteamento dinâmico, a rota flutuante volta a ficar “discretamente” desativada. Só “flutuando” em torno da dinâmica.

O que é uma rota default ou padrão?

Também conhecida como “gateway of last resort” ou gateway de último recurso, uma rota default é um tipo especial de rota estática com rede all-zeros e uma máscara de rede. A rota default é utilizada para rotear qualquer pacote para uma rede que um router não está diretamente conectado através do router next-hop. Por default, se um router recebe um pacote para uma rede de destino que não está na tabela de roteamento, ele abandona o pacote (todo router é classful sem o “ip classless”). Quando a rota default é especificada, o router não abandona o pacote. Ao invés disso, ele encaminha o pacote para o endereço IP especificado na rota default ou padrão. Mas isso somente acontece sem o “ip classless” estiver habilitado.

O comportamento default de um router Cisco é usar roteamento classfull, ou seja, ele espera que uma mesma mascára de sub-rede seja configurada para cada interface. Quando o router recebe um pacote para uma rede de destino que não tem uma rota compatível na sua tabela de roteamento, ele descartará o pacote por default. Se você tiver usando rota default, você precisa usar o comando “ip classless”, uma vez que nenhuma rede remota constará na sua tabela de roteamento.

Nota: A partir do IOS 12.x, comando “ip classless” já vem habilitado por default. Mas se você estiver usando versões anteriores a essa, você precisa habilitar o comando, senão seu roteamento default não vai funcionar. Você verifica se o comando está habilitado através do “sh run”.

Como você configura a rota default em um router Cisco?

Para configurar uma rota default em um router Cisco, entre o comando a seguir no modo de configuração global:

ip route 0.0.0.0 0.0.0.0 [ip-address do router next-hop ou outbound-interface]

Por exemplo:

R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.0.2 <— rede quad-zero e a saída next-hop

Nota: 0.0.0.0 0.0.0.0 = quad-zero

Nota: Qual a distância administrativa dessa rota default ? 0(zero) ou 1 ?

Qual a diferença entre os comandos ip default-gateway, ip default-network e “ip route” ?

ip default-gateway - somente é utilizado quando o roteamento ip está desabilitado no router. Por exemplo, se seu router é um host na rede IP, você pode usar esse comando para definir um default gateway para ele. E por que você desabilitaria o roteamento IP ? Seu router tem poucos recursos e está no modo de boot a fim de utilizar uma imagem que existe em um servidor TFTP, e no modo de boot, o router não tem o roteamento ip habilitado.

ip default-network e “ip route” - Quanto a decidir se você usa uma rota estática default (ip route) ou uma rede default (ip default-network), tenha em mente que se você quer que o protocolo de roteamento propague a rota default, o comando “ip default-network” irá fazer isso para você. Porém, se você quer somente que seu router local tenha a rota default, uma rota IP estática é caminho a seguir.

Nota :

O ótimo Chris Bryant é a fonte desta informação. Aqui o link: IP Default-Gateway

Ou a fonte da Cisco aqui : Configuring a Gateway of Last Resort Using IP Commands

O que é protocolo de roteamento?

Um protocolo de roteamento define um conjunto de regras utilizadas por um router quando este se comunica com os routers vizinhos. Protocolos de roteamento “ouvem” os pacotes de outros participantes a fim de aprender e manter uma tabela de roteamento.

Em quais endereços os protocolos de roteamento “ouvem” a troca de informações ?

Protocolo	Endereço
RIPv1	255.255.255.255 – broadcast
RIPv2	224.0.0.9 – multicast
IGRP	255.255.255.255 – broadcast
EIGRP	224.0.0.10 – multicast
OSPF	224.0.0.5 e 224.0.0.6 – multicast

Quais são os principais tipos de protocolos de roteamento?

• Interior Gateway Protocol (IGP)

• Exterior Gateway Protocol (EGP)

IGP é utilizado para trocar informação de roteamento entre routers no mesmo Autonomous System (AS).

EGP é usado para a comunicação entre ASs.

O que é distância administrativa?

Uma distância administrativa ou DA é um inteiro de 0 a 255 que classifica a confiabilidade de uma informação de roteamento recebidas em um router de um router vizinho. A DA é usada como critério de desempate quando um router tem múltiplos paths de diferentes protocolos de roteamento para um mesmo destino. O path com a menor DA é aquele que terá a prioridade

Quais são as 3 classes de protocolos de roteamento?

• Distance vector

• Link-state

• Balanced hybrid

Qual é a Distância Administrativa de cada um dos protocolos abaixo?

Protocolo	Distância Administrativa
interface diretamente conectada	0
rota estática	1
EIGRP – summary	5
EIGRP – interna	90
IGRP	100
OSPF	110
IS-IS	115
RIP	120
EIGRP – externa	170
Desconhecida	255

Como funciona um protocolo de roteamento distance vector?

Também conhecido como Algorítmo Bellman-Ford, os protocolos de roteamento distance vector passam toda a tabela de roteamento para os routers vizinhos. Routers vizinhos então combinam a tabela de roteamento recebida com sua própria tabela de roteamento. Cada router recebe uma tabela de roteamento de seu vizinho diretamente conectado. Tabelas de roteamento distance vector incluem informação sobre o custo total e os endereços lógicos do primeiro router no caminho de cada rede que eles conhecem.

Como um protocolo de roteamento distance vector rastreia qualquer alteração na internetwork?

Protocolos de roteamento distance vector rastreiam a internetwork periodicamente por updates broadcast saindo por todas as interfaces ativas. Este broadcast contem toda a tabela de roteamento. Este método é frequentemente chamado de “routing by rumor”.

A convergência lenta de um protocolo de roteamento distance vector pode gerar tabelas de roteamento inconsistentes e loops de roteamento.

Quais são os mecanismos que os protocolos de roteamento distance vector implementam para evitar loops de roteamento e inconsistência nas tabelas de roteamento?

• Maximum hop count

• Split horizon

• Route poisoning

• Holddowns

O que é maximum hop count ?

Se um loop existe na internetwork, um pacote fica circulando indefinidamente na internetwork. A contagem máxima de saltos ou Maximum hop counts evita que loops de roteamento ao definir o número máximo de vezes que um pacote ficará em loop através da internetwork. RIP utiliza a contagem de salto ou hop count de até 15, então, qualquer coisa acima de 16 hops se torna INALCANÇÁVEL (unreachable). Toda vez que um pacote passa atravé de um router, é considerado um hop.

Nota :

O que evita loops na camada de rede – L3 ? os mecanismos dos protocolos de roteamento

O que evita loops na camada de enlace de dados – L2 ? STP (802.1d) ou RSTP(802.1w)

O que é Split Horizon ?

A regra do split horizon é quando o router nunca envia de volta informação na direção na qual um update veio.

O que é convergência ?

Convergência é quando todos os routers têm conhecimento consistente e tabelas de roteamento corretas.

O que é route poisoning ?

Com o route poisoning, quando o protocolo distance vector alerta que uma rota não é mais válida, a rota é anunciada com uma métrica infinita, significando que a rota é ruim, rota envenenada. No RIP, uma métrica de 16 é usada para significar infinita. Route poisoning é utilizado junto com holddowns.

O que são timers hold-down?

Hold-down timers evitam que mensagens de updates regulares reinstalem uma rota que talvez ainda seja ruim. Os timers holddown também dizem aos routers para aguardar (hold) por um certo período de tempo qualquer alteração que possa afetar as rotas.

O que são triggered updates ou flash updates?

Quando um router observa que uma rota diretamente conectada alterou seu estado, ele imediatamente envia outrou update de roteamento para todas as suas interfaces ao invés de esperar pelo timer update (30s) expirar. Triggered updates são também conhecidas como Flash updates.

O que é IP RIP?

RIP IP é um protocolo de roteamento verdadeiramente distance vector que envia toda sua tabela de roteamento para todas as interfaces ativas a cada 30s. RIP IP utiliza hop count como sua métrica para determinar o melhor caminho para uma rede remota. O número máximo de saltos/hop permitidos é 15, significando que 16 é inalcançável (unreachable).

Existem 2 versões do RIP.

Versão1 é classful, e a versão 2 é classless.

Qual o tipo de balanceamento de carga o RIP utiliza e até quantos caminhos utiliza por default?

RIP IP pode fazer balanceamento de carga sobre no máximo até 6 links de igual custo, usando 4 por default.

Todos os protocolos suportam balanceamento de carga de igual custo, mas somente o IGRP e EIGRP suportam caminhos de custo desiguais. E o balanceamento de carga já está habilitado por default para 4 caminhos, com o máximo de 6. Agora, observe que se eu fizer :

R1(config)# router igrp 100

R1(config-router)# maximum-paths 1

Se você setar para “1“, estará desabilitando o balanceamento de carga de custo igual e desigual no IGRP, e em qualquer protocolo de roteamento terá o mesmo efeito.

O que os 4 timers utilizados no RIP regulam em sua performance?

• update (30s) - intervalo entre as atualizações de roteamento onde toda a TR é enviada

• invalid (180s) - tempo que o router aguarda quando uma rota se torna inválida

• hold-down (180s)- durante este período de tempo, o router “congela” a rota inválida ou poisoned na sua TR. Se nenhuma rota melhor for recebida, ela entrará no timer flush, para ser excluída definitivamente da TR. Mas se neste período de holddown, o router receber um update dizendo que tem uma métrica melhor ou igual para a rota inválida, o router irá abortar o período de holddown, e remover a rota inválida e colocar a nova rota recebida na TR. Entretanto, se o router receber uma métrica pior do que a rota inválida, o router trata esta como uma rota suspeita e assume que a rota está provavelmente dentro de um loop, ignorando o update. É claro que a métrica “pior” pode realmente ser uma rota alternativa válida, entretanto a função do timer holddown e rota envenenadas (router poison) proibe o uso de rotas até que o holddown expire. Enquanto no status holddown, uma rota envenenada na TR aparecerá como “possibly down”. O timer holddown dá a chance para que toda a rede possa convergir e todos os routers aprendam que uma rota falhou, evitando assim loops de roteamento. É preferível ter “paciência = holddown”, do que ter problemas de pacotes perdidos porque você tem um loop na sua rede. É muito útil quando uma interface está em flapping, ou seja, seu status transita entre down… up… down… up… com intervalos de 10 a 15 s, e assim indefidamente. E isso pode derrubar sua rede fácilmente. Veja a definição de Alex Zinin no seu ótimo livro Cisco IP Routing:

“A regra é : Uma vez que uma rota é marcada como inalcançável, ela deve permanecer neste estado por um período de tempo determinado o suficiente para que todos os routers recebam a nova informação sobre a rede inalcançável. Em essência, nós instruimos os routers a deixar os boatos acalmarem e só então considerar como verdade.”

• flush (240s)- quanto tempo depois que uma rota se tornou inválida antes que ela seja removida da TR. Antes do flush expirar, o router avisa os router vizinhos que a determinada rota encontra-se inativa.

Como você pode habilitar o RIP em um router Cisco ?

Para habilitar o RIP no seu router Cisco, inicie pelo uso do comando no modo global “router”, seguindo do protocolo “rip”. Isto irá selecionar o RIP como protocolo de roteamento. Então vc designa o comando “network”, seguido do número de rede classfull que vc quer ativar no RIP. Observe que vc tem um protocolo CLASSFUL, e portanto precisa declarar uma rede CLASSFUL. Se vc entrar “network 172.16.10.0”, o comando network irá transformar para CLASSFUL, mas sua questão será invalidada porque você não considerou a classe do protocolo.

Aqui está um exemplo:

R1(config)# router rip

R1(config-router)# network 192.168.1.0

R1(config-router)# network 192.168.2.0

R1(config-router)# network 172.16.0.0

R1(config-router)# network 10.0.0.0

R1(config-router)# network 10.10.15.0 ===> NUNCA FAÇA ISSO NO EXAME !

Como você pode parar os updates do RIP de se propagarem em uma interface do router?

Algumas vezes, você irá querer que os updates RIP não se propaguem através de certas interfaces do seu router para a WAN, gastando assim bandwidth ou fornecendo informação valiosas sobre sua internetwork. A maneira mais fácil de parar os updates do RIP de sair por uma interface é usar o comando de configuração global “passive-interface”.

Nota: Esse comportamento de somente receber e não enviar updates somente acontece com RIP e IGRP. Com EIGRP e OSPF, você desabilita tanto o recebimento quanto o envio de updates.

Como você pode exibir o conteúdo de uma tabela de roteamento IP de um router Cisco ?

O comando no modo privilegiado “show ip route” exibe o conteúdo da TR do seu router Cisco.

Ou especificando por protocolo ou tipo de rota assim :

R1# show ip route eigrp

R1# show ip route rip

R1# show ip route static

O que é Interior Gateway Routing Protocol (IGRP) ?

IGRP é um protocolo de roteamento distance vector proprietário Cisco. O IGRP tem uma contagem de saltos (hop count) default de 100 hops, com uma contagem máxima de saltos (maximum hop count) de 255. O IGRP utiliza bandwidth (K1) e delay(K3) da linha como métrica default, porém ele pode usar também a reliability(K4), load(K2), e MTU(K5).

Como você habilita o IGRP em um router Cisco ?

A maneira como você habilita o IGRP no seu router Cisco é parecida como você já fez com o RIP, exceto pelo fato de que no IGRP, você tem que adicionar o número do AS ou autonomous system, ao qual o IGRP pertence. Por exemplo :

R1(config)#router igrp 10 (10 é o número do AS – 1 a 65.536)

R1(config-router)#network 192.168.0.0

R1(config-router)#network 192.168.1.0

R1(config-router)#network 172.10.0.0

R1(config-router)#network 10.0.0.0

Nota : IGRP é classful, então declare como tal. E mais uma vez e não me canso: CUIDADO COM ISSO !!

O que os 4 timers que o IGRP utiliza, regula em sua performance ?

• update (90s) – intervalo entre as autualizações de roteamento onde toda a TR é enviada

• invalid (270s ou 3×90) – tempo que o router aguarda até que expire para que uma rota se torne inválida

• hold-down (280s ou 3×90+10) – Se um destino torna-se inalcançável ou unreachable, ou se o router do next-hop aumenta a métrica gravada na sua TR, o router aguarda por um período de 280 seconds.

• flush (630s) – quanto tempo depois que uma rota se tornou inválida antes que ela seja removida da TR. Antes do flush expirar, o router avisa os router vizinhos que a determinada rota encontra-se inativa.

Quais são os 3 tipos de NAT ?

• Static

• Dynamic

• Overloading (Dynamic with Overloading e PAT)

Descreva resumidamente cada um deles :

Static

- não tem tradução de portas

- 1-para-1

- mapeamento fixo (ideal para dar acesso a servidores à Internet)

Dynamic

- não tem tradução de portas

- muitos-para-muitos (muitos IPs para um pool – nem todos terão acesso a rede externa – se tenho um pool de 5 endereços IPs públicos, somente 5 hosts de cada vez terá acesso)

- mapeamento dinâmico

Dynamic with Overloading

- com tradução de portas

- muitos-para-pool (muitos IPs para um pool)

- mapeamento dinâmico

PAT

- com tradução de portas

- muitos-para-pool (muitos IPs para o endereço IP da interface física)

- mapeamento dinâmico

- tipo mais implementado

Nota: A principal diferença entre o NAT Dinâmico e PAT é a palavra overload.

Qual tipo de solução NAT pode ser necessária se duas empresas se fundem e estas têm a mesma faixa de endereçamento IP privado ?

Overlapping

- necessário quando 2 redes de uma mesma empresa precisa se comunicar e utilizam a mesma faixa de endereços privados

- inclui mapeamento estático e dinâmico

- deve traduzir endereços de origem e destino

Quando usar o NAT Estático, Dinâmico ou PAT ?

Se apenas UM host da sua empresa precisa atingir a Internet, use o ESTÁTICO.

Se apenas ALGUNS hosts da sua empresa precisa atingir a Internet, use o DINÂMICO.

Se apenas TODOS os hosts da sua empresa precisa atingir a Internet, use o NAT Dinâmico com Overloading ou o PAT.

Qual a diferença entre o NAT Dinâmico com Overloading e o PAT (Port Address Translation) ?

O NAT Dinâmico com Overloading é essencialmente o mesmo que o PAT. A principal diferença entre os dois é o endereço IP utilizado na tradução.

No NAT Dinâmico com Overloading, o endereço IP utilizado a multiplexação de portas não é compartilhado com qualquer interface física externa.

Com o PAT, o endereço utilizado é o mesmo utilizado para a interface física externa.

Existe algo que possa limitar a implementação do NAT em um router Cisco ?

Sim. Vai depender de quanta memória DRAM tem seu router. É a DRAM que armazena os pools configuráveis do NAT e trata cada tradução.

Cada tradução feita pelo NAT consome 160 bytes de memória DRAM. Logo, você precisa de 1.6 MB de RAM para fazer 10.000 traduções no seu router.

Quais as vantagens do NAT ?

• segurança

• economia de endereços IPs públicos

• no caso de mudança de ISP, economiza tempo e dinheiro na transição

Quais as DESvantagens do NAT ?

•perda de funcionalidade - protocolos que precisam de informação dentro do PAYLOAD do pacote IP

•aumento do atraso - 1o. pacote é via process-switch (lento), os outros são via fast-switch (rápido) (#degub ip nat)

•perda de desempenho - se o router utiliza permanentemente o processo de comutação via process-switch

•perda de rastreabilidade do IP fim-a-fim

Qual o tipo de tráfego o NAT no Cisco IOS não suporta ?

• SNMP

• BootP

• Protocolos Talk e NTalk

• transferências de zonas DNS

• Atualizações de tabelas de roteamento

• IP Multicast

• Netshow

Tags:cisco