1
Cisco IOS– Internetwork Operating System
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
Configuração de route...
3
IOS – Componentes de um Router
● O software do Router é composto pelo IOS e por várias rotinas de arranque do
sistema:
●...
5
IOS – Componentes de um Router
● Memória do Router:
● RAM (Random Access Memory): função idêntica à da RAM dos computado...
7
IOS – Componentes de um Router
● Portos: Usados para acesso ao equipamento. Permitem configuração e gestão do
router:
● ...
9
IOS – Componentes de um Router
● Registo de configuração: registo de 16 bits, guardado na NVRAM, que controla o
modo com...
11
IOS – Modos de acesso
● Interface da linha de comandos – CLI (Command Line Interface): interface que disponibiliza
uma ...
13
IOS – Modos de configuração
Consola Aux Interface
Modo utilizador
Router>
Modo privilegiado
Router#
Modo configuração
R...
15
IOS – Alguns Comandos globais...
●ip route “network” “mask” “interface”: adiciona uma entrada manual na tabela de
encam...
17
IOS – Alguns Comandos principais...
●interface “interface”: permite entrar em modo de configuração do interface
especif...
19
IOS – Ajuda e remoção de configuração
● Ajuda:
● Em qualquer altura, é possível obter ajuda acerca dos comandos ou opçõ...
21
IOS – Rede de testes
Rede C
172.16.3.0/24
Rede A
172.16.1.0/24
Rede B
172.16.2.0/24
Rede D
172.16.4.0/30
Rede E
172.16....
23
IOS – Protocolo CDP
● CDP – Cisco Discovery Protocol: protocolo proprietário da Cisco, usado pelos
routers e switches p...
25
IOS – Protocolo CDP
● Visualização de informação CDP:
● show cdp neighbor
● show cdp neighbor detail
● show cdp entry n...
27
IOS – Configuração de ligações Frame Relay
● Rede típica Frame Relay
Engenharia Informática ESTiG/IPB
Serviços de Comun...
29
IOS – Configuração do protocolo RIP
● Configuração do RIP (Routing Information Protocol):
● configure terminal
● router...
31
IOS – Configuração do protocolo RIP
● O comando network (cont.):
● Todas as interfaces especificadas nesta condição pas...
33
IOS – Configuração do protocolo RIP
● show ip route – lista a tabela de encaminhamento do router
● show ip protocols – ...
35
IOS – Configuração do protocolo OSPF
● Configuração de parâmetros OSPF nos Interfaces:
● ip ospf cost “custo”: define o...
37
IOS – Configuração do protocolo OSPF
● Configuração de parâmetros de uma Área OSPF:
● area “area_id” authentication: ac...
39
IOS – Configuração do protocolo OSPF
● show ip route
● show ip ospf
● show ip ospf database
● show ip ospf neighbor
● s...
41
IOS - Listas de controlo de acesso
● Permitem filtrar tráfego (efectua testes aos pacotes de dados)
● Ex: nega ou permi...
43
IOS – Comandos para manuseamento de ACLs
● Standard
- Acrescentar uma linha a uma lista:
access-list número-lista {perm...
45
IOS – Exemplos de ACL Standard
Exemplo 1: Cria uma lista de acesso que permite todo o tráfego excepto da rede
10.0.0.0....
47
IOS – Exemplos de ACL com nome
Router(config)# ip access-list extended fica_de_fora
Router(config-ext-acl)# permit tcp ...
49
IOS – Exercícios de ACLs (2)
a) Configure uma ACL que permita todo o tráfego excepto tráfego com origem em:
• máquina 1...
51
IOS – Rede de testes no Packet Tracer
● A rede D não aceita “pings” do exterior
● A rede C não aceita tráfego da rede B...
53
IOS – Configuração de um Servidor DHCP
● Exemplo de configuração:
ip dhcp excluded-address 172.20.1.1
ip dhcp excluded-...
55
NAT (Network Address Translation)
● Permite ligar uma rede privada à Internet
● Não necessita de um endereço IP “públic...
57
IOS – NAT estático
Router(config)# ip nat inside source static Endereço_Interno Endereço_público
Router(config)# ip nat...
59
IOS – NAT dinâmico
Exemplo (Configuração de NAT dinâmico para os dois PCs)
Router(config)# ip nat inside source list 1 ...
Próximos SlideShares
Carregando em…5
×

Cisco ios

371 visualizações

Publicada em

cisco

Publicada em: Negócios
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
371
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Cisco ios

  1. 1. 1 Cisco IOS– Internetwork Operating System Engenharia Informática ESTiG/IPB Serviços de Comunicações Configuração de routers Cisco 2 IOS – Internetwork Operating System ● O IOS é um sistema operativo de rede proprietário, utilizado na maior parte dos Equipamentos de rede (Routers, Switches, Servidores de Acesso Remoto, etc) do fabricante Cisco Systems ● Apesar de proprietário, detém actualmente um estatuto de ''quase'' standard, devido à enorme implantação mundial dos equipamentos que o incluem ● Trata-se de um SO de rede bastante poderoso e flexível, disponibilizando uma linguagem de configuração própria ● Permite a configuração das principais famílias de protocolos existentes, nomeadamente TCP/IP, IPX, AppleTalk, SNA, etc Serviços de Comunicações Engenharia Informática ESTiG/IPB
  2. 2. 3 IOS – Componentes de um Router ● O software do Router é composto pelo IOS e por várias rotinas de arranque do sistema: ● POST (Power-On-Self-Test): rotina guardada em ROM, usada para verificar a funcionalidade básica do hardware e detectar as suas interfaces aquando do arranque do equipamento ● ROM monitor: rotina guardada em ROM, usada no fabrico, teste e depuração de erros associados ao equipamento; permite recuperar de um estado de “crise” ● Mini-IOS: também conhecido por RXBOOT, é uma pequena imagem de IOS guardada em ROM para activar as funcionalidades básicas de comunicação do equipamento. Em geral, esta imagem é usada até que seja indicado ao equipamento a localização de uma nova imagem IOS, a ser usada durante a operação normal deste Engenharia Informática ESTiG/IPB Serviços de Comunicações 4 IOS – Componentes de um Router ● Hardware do Router: ● Processador ● Vários tipos de memória ● Registo de configuração ● Portos e Interfaces ● etc Engenharia Informática ESTiG/IPB Serviços de Comunicações
  3. 3. 5 IOS – Componentes de um Router ● Memória do Router: ● RAM (Random Access Memory): função idêntica à da RAM dos computadores, ou seja, armazenamento dos dados temporários e das instruções. Divide-se em: ● memória principal: contém cópia executável do IOS, uma cópia do ficheiro de configuração (running configuration), tabelas de encaminhamento, tabela de ARP e outras estruturas do IOS ● Memória partilhada (buffers): usada para armazenar temporariamente os pacotes que atravessam o router Engenharia Informática ESTiG/IPB Serviços de Comunicações 6 IOS – Componentes de um Router ● Memória do Router (cont.): ● ROM (Read-Only Memory): armazena o Mini-IOS (bootstrap) e o código POST ● Flash: ● memória implementada com uma variante de eeprom (Electrically Erasable Programable ROM) ou com uma PCMCIA (PC Memory Card International Association) ● Armazena as imagens IOS que o router usa ● NVRAM (Non-Volatile RAM): Memória RAM não volátil, usada para armazenar, de forma permanente, o ficheiro de configuração do equipamento Engenharia Informática ESTiG/IPB Serviços de Comunicações
  4. 4. 7 IOS – Componentes de um Router ● Portos: Usados para acesso ao equipamento. Permitem configuração e gestão do router: ● Porto de Consola: normalmente acessível através de ligação RJ45, permite o acesso local ao equipamento, a partir de um terminal ASCII ou de um computador com emulador de terminal (p.e. Hyperterminal do Windows) ● Porto Auxiliar: pode também ser usado como porto de Consola. Permite a configuração de comandos de modem e, como tal, permite a ligação de um modem para acesso remoto ao equipamento com uma ligação dial-up a partir de um terminal ASCII Engenharia Informática ESTiG/IPB Serviços de Comunicações 8 IOS – Componentes de um Router ● Interfaces: Usados para comunicação com outros equipamentos. Alguns dos mais usados: Tipo Descrição Async São usadas para ligações modem de dial-in e dial-out ATM Interfaces ATM Serial Portos série, usados geralmente para ligações ponto-a-ponto Ethernet Portos Ethernet Fastethernet Portos Fast Ethernet Gigabitethernet Portos Gigabit Ethernet BRI Tokenring Interfaces para redes Token Ring Fddi Hssi Loopback Interface virtual do encaminhador Null Interface BRI (Basic Rate Interface) para ISDN Interfaces para redes FDDI (Fiber Distributed Data Interconnect) Interface série HSSI (High Speed Serial Interface) Interface de descarte. Tudo o que é enviado para este interface é descartado Engenharia Informática ESTiG/IPB Serviços de Comunicações
  5. 5. 9 IOS – Componentes de um Router ● Registo de configuração: registo de 16 bits, guardado na NVRAM, que controla o modo como o equipamento realiza o processo de arranque ● Por defeito, indica ao processo de arranque para carregar o IOS guardado na Flash e para carregar o ficheiro de configuração a partir da NVRAM ● Valor por defeito: 0x2102 ● que corresponde à activação dos bits 1, 8 e 13 ● Este valor indica que o equipamento deve procurar a sequência de arranque na NVRAM, o break está inactivo e que deve carregar o software da ROM se falhar o arranque de rede Engenharia Informática ESTiG/IPB Serviços de Comunicações 10 IOS – Processo de arranque do router Liga o router Executa POST A flash tem uma imagem IOS? Carrega imagem IOS da ROM Router em modo de boot Carrega a imagem IOS da flash A NVRAM está vazia? Carrega configuração da NVRAM em RAM Entrar em modo setup? Termina inicialização do IOS Modo setup Copia configuração para NVRAM Router funcional s n n n s s Engenharia Informática ESTiG/IPB Serviços de Comunicações
  6. 6. 11 IOS – Modos de acesso ● Interface da linha de comandos – CLI (Command Line Interface): interface que disponibiliza uma linha de comandos, em modo texto, através da qual se pode interagir com o IOS ● Existem dois modos de acesso: ● User EXEC Mode: Modo de acesso normal, sem permissões para alteração da configuração. Estão acessíveis apenas alguns comandos gerais. Disponível por defeito, após acesso ao Router (por telnet ou consola). ● Prompt do tipo: Router> ● Privileged Access Mode: Modo de acesso com permissões completas sobre o sistema. Para aceder a este modo, digitar enable (introduzindo de seguida a password de acesso total) ● Prompt do tipo: Router# Engenharia Informática ESTiG/IPB Serviços de Comunicações 12 IOS – Categorias de comandos ● A configuração de Routers Cisco é dividida em diferentes níveis: ● Comandos Globais: afectam toda a configuração ● Comandos Principais: ● activam sub-comandos, para configurar determinados dispositivos ● Necessitam de sub-comandos adicionais para terem efeito ● Sub-Comandos: são utilizados após um comando principal, configurando aspectos específicos de um dispositivo Engenharia Informática ESTiG/IPB Serviços de Comunicações
  7. 7. 13 IOS – Modos de configuração Consola Aux Interface Modo utilizador Router> Modo privilegiado Router# Modo configuração Router(config)# Modo configuração interface Router(config-if)# Modo configuração linha Router(config-line)# Modo configuração router Router(config-router)# enable disable configure exit interface line router exit exit exit ctrl+z ou end ROUTER Engenharia Informática ESTiG/IPB Serviços de Comunicações 14 IOS – Alguns Comandos globais... ●enable: entra em modo de acesso privilegiado ●disable: sai do modo de acesso privilegiado de volta ao modo de utilizador ●show version: lista a versão do IOS instalada ●show startup-config: lista a configuração que é usada no arranque do router ●show running-config: lista a configuração actual do router ●configure terminal: entra em modo de configuração e muda o ficheiro running-config ●hostname “nome”: define o nome do router ●show ip route: mostra a tabela de encaminhamento ●show protocolos: mostra os protocolos de encaminhamento e endereços de rede configurados em cada interface ●show controllers: mostra o estado DTE ou DCE de uma interface Engenharia Informática ESTiG/IPB Serviços de Comunicações
  8. 8. 15 IOS – Alguns Comandos globais... ●ip route “network” “mask” “interface”: adiciona uma entrada manual na tabela de encaminhamento. Para ser atingida a rede especificada em network que possui a máscara especificada em mask os datagramas devem ser enviados para o interface interface ●no ip route “network” “interface”: remove uma entrada da tabela de encaminhamento ●write memory: grava a configuração actual na memória não volátil ●copy running-config startup-config: grava a configuração actual no ficheiro startup- config ●write erase: apaga a configuração corrente do router ●show interfaces: mostra a configuração de todos os interfaces do router ●show interface “interface”: mostra a configuração do interface especificado (p.e. Ethernet0, Ethernet1, Serial0, Serial1, BRI0, etc) ●ip domain-name “domínio”: define o domínio em que o router está incluído Engenharia Informática ESTiG/IPB Serviços de Comunicações 16 IOS – Alguns Comandos globais... ●ip name-server “IP”: define o endereço IP de um servidor de DNS ●ip http server: activa a possibilidade de acesso à configuração do router por HTTP ●ip subnet-zero: activa a possibilidade de utilização da primeira subnet, quando uma rede é dividida em sub-redes (activado por defeito a partir do IOS 12.0) ●ip classless: activação do reconhecimento de redes CIDR (sem a noção tradicional de classes) ●copy running-config tftp: copia a configuração actual para um servidor de tftp ●copy tftp running-config: copia a configuração de um servidor de tftp para o router ●copy flash tftp: copia a imagem do IOS da flash para um servidor de tftp ●copy tftp flash: copia a imagem do IOS do servidor de tftp para a flash do router Engenharia Informática ESTiG/IPB Serviços de Comunicações
  9. 9. 17 IOS – Alguns Comandos principais... ●interface “interface”: permite entrar em modo de configuração do interface especificado: ● interface fastethernet 0/0 ● interface serial 0/1 ●line “line”: entra em modo de configuração de um porto (console, auxiliar, vty, etc) para mudar ou activar a password ●router rip: activa o protocolo de encaminhamento RIP ●router ospf n: activa o protocolo de encaminhamento OSPF, com o nº de processo n ●enable password “password”: activa a password desencriptada ●enable secret “password”: activa a password encriptada ●ip access-list extended 100: activa a configuração da access list número 100 Engenharia Informática ESTiG/IPB Serviços de Comunicações 18 IOS – Alguns sub-comandos... ●ip address “IP” “netmask”: atribui o endereço IP e a máscara de rede especificados, ao interface que está a ser configurado ●description “text”: texto descritivo do interface que está a ser configurado ●shutdown: desliga administrativamente o interface ●no shutdown: activa administrativamente o interface ●network: activa o protocolo de encaminhamento que está a ser configurado na rede especificada, que está ligada ao router ●exit: termina a configuração de um comando, voltando um nível para trás ●end ou ctrl+z: termina a configuração de um comando, voltando à raiz da prompt ●encapsulation “type”: selecciona a forma de encapsulamento dos pacotes IP ●clockrate “frequência”: activa o sinal de sincronismo com a frequência especificada ●bandwidth: configura a largura de banda num interface série Engenharia Informática ESTiG/IPB Serviços de Comunicações
  10. 10. 19 IOS – Ajuda e remoção de configuração ● Ajuda: ● Em qualquer altura, é possível obter ajuda acerca dos comandos ou opções disponíveis na posição actual, pressionando a tecla ? ● Remoção de partes da configuração: ● precede-se o comando que activou determinado parâmetro com a expressão ''no''. ● Exemplo: no ip address 10.0.0.1 255.255.255.0 Engenharia Informática ESTiG/IPB Serviços de Comunicações 20 Exemplos de comandos IOS Engenharia Informática ESTiG/IPB Serviços de Comunicações
  11. 11. 21 IOS – Rede de testes Rede C 172.16.3.0/24 Rede A 172.16.1.0/24 Rede B 172.16.2.0/24 Rede D 172.16.4.0/30 Rede E 172.16.4.4/30 Engenharia Informática ESTiG/IPB Serviços de Comunicações 22 Rede de testes – passos para a configuração Rede C 172.16.3.0/24 Rede A 172.16.1.0/24 Rede B 172.16.2.0/24 Rede D 172.16.4.0/30 Rede E 172.16.4.4/30 Engenharia Informática ESTiG/IPB Serviços de Comunicações ● Para cada router: ● Configurar hostname ● Activar password (encriptada) ● Configurar interfaces ● Atribuir endereço IP ● Descrição do interface ● Activação do interface ● Gravar configuração na NVRAM ● Verificar as configurações ● Running-config ● Interfaces ● Rotas ● Configuração de rotas explícitas ou por defeito (onde aplicável) ● Configuração do RIP ● Configuração do OSPF ● Verificar as configurações ● Gravar configuração na NVRAM
  12. 12. 23 IOS – Protocolo CDP ● CDP – Cisco Discovery Protocol: protocolo proprietário da Cisco, usado pelos routers e switches para obter informação básica sobre equipamentos vizinhos, nomeadamente: ● Identificador do dispositivo: normalmente o nome do dispositivo ● Endereços: lógicos e físicos ● Funcionalidades do dispositivo ● Plataforma: modelo, sistema operativo, etc ● O CDP pode ser activado e desactivado globalmente e/ou por interface ● Activação: cdp run ● Desactivação: no cdp run Engenharia Informática ESTiG/IPB Serviços de Comunicações 24 IOS – Protocolo CDP ● Funcionamento do CDP: ● o equipamento começa por enviar um broadcast para descobrir os vizinhos que têm este protocolo activo ● Após determinar a lista dos equipamentos com CDP activo, começa a trocar pacotes CDP com estes, a intervalos regulares ● Funcionamento controlado por duas variáveis: ● Temporizador de actualização: intervalo de tempo de transmissão de pacotes CDP pelas interfaces com o protocolo activo (valor por defeito: 60 s) ● cdp timer valor ● Temporizador de espera: intervalo de tempo que o dispositivo retém a informação CDP do vizinho antes de ser eliminada, no caso de não receber mais pacotes CDP (valor por defeito: 100 segundos) ● cdp holdtime valor Engenharia Informática ESTiG/IPB Serviços de Comunicações
  13. 13. 25 IOS – Protocolo CDP ● Visualização de informação CDP: ● show cdp neighbor ● show cdp neighbor detail ● show cdp entry nome ● show cdp traffic ● show cdp interface Engenharia Informática ESTiG/IPB Serviços de Comunicações 26 IOS – Configuração de ligações Frame Relay ● Frame Relay: tecnologia de comunicação usada em redes WAN baseada na comutação por pacotes, que permite acesso múltiplo, ou seja, permite a interligação de vários dispositivos, ao contrário das ligações dedicadas que apenas interligam dois dispositivos ● Uma rede Frame Relay é partilhada por vários clientes, baseando-se no pressuposto de que os clientes não precisam de usar simultaneamente a rede a 100% ● A partilha de uma infra-estrutura de comunicações significa que os custos são distribuídos pelos vários clientes, o que reduz custos de comunicação por cliente ● O Frame Relay actua nos níveis um e dois do modelo OSI ● DLCI (Data Link Connection Identifier): identificador de um circuito virtual Frame Relay Engenharia Informática ESTiG/IPB Serviços de Comunicações
  14. 14. 27 IOS – Configuração de ligações Frame Relay ● Rede típica Frame Relay Engenharia Informática ESTiG/IPB Serviços de Comunicações 28 IOS – Configuração de ligações Frame Relay ● Exemplo de configuração Frame Relay num interface: ● interface serial0/0 ● no ip address ● encapsulation frame-relay [ietf] ● no keepalive ● interface serial0/0.1 point-to-point ● ip address 172.16.4.1 255.255.255.252 ● frame-relay interface-dlci 101 Engenharia Informática ESTiG/IPB Serviços de Comunicações
  15. 15. 29 IOS – Configuração do protocolo RIP ● Configuração do RIP (Routing Information Protocol): ● configure terminal ● router rip ● network xxx.xxx.xxx.xxx ● network yyy.yyy.yyy.yyy ● version [1 2] ● passive-interface “nome_interface” ● end Engenharia Informática ESTiG/IPB Serviços de Comunicações 30 IOS – Configuração do protocolo RIP ● O comando network: ● permite especificar quais as redes a que o router está ligado e que pretende anunciar aos vizinhos ● O endereço especificado é sempre classfull, mesmo que os endereços das redes ligadas ao router não o sejam ● O router verifica quais das suas interfaces têm endereços IP com o mesmo número de rede especificado no comando Engenharia Informática ESTiG/IPB Serviços de Comunicações
  16. 16. 31 IOS – Configuração do protocolo RIP ● O comando network (cont.): ● Todas as interfaces especificadas nesta condição passam a fazer parte do processo de actualização do protocolo RIP, nomeadamente: ● O router envia pacotes RIP pela interface ● Os pacotes RIP recebidos pela interface são processados ● A rede directamente ligada a essa interface é anunciada nos pacotes RIP Engenharia Informática ESTiG/IPB Serviços de Comunicações 32 IOS – Configuração do protocolo RIP ● O comando passive-interface: ● Desactiva o envio de pacotes RIP pela interface especificada ● No entanto, a interface continua a receber pacores RIP e a rede associada é anunciada pelas restantes interfaces que não estejam impedidas de anunciar pacotes RIP ● Há ainda situações em que os pacotes RIP podem não ser encaminhados por serem pacotes de broadcast ● Nestes casos, pode-se indicar explicitamente o endereço do router vizinho, para que os pacotes RIP sejam enviados directamente para este endereço ● neighboor endereço_router_vizinho Engenharia Informática ESTiG/IPB Serviços de Comunicações
  17. 17. 33 IOS – Configuração do protocolo RIP ● show ip route – lista a tabela de encaminhamento do router ● show ip protocols – mostra todos os protocolos de encaminhamento configurados no router ● debug ip rip – permite observar a troca de pacotes RIP de um router em tempo real Engenharia Informática ESTiG/IPB Serviços de Comunicações 34 IOS – Configuração do protocolo OSPF ● Configuração do OSPF: ● configure terminal ● router ospf “n_processo” ● network xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy area “area_id” ● xxx.xxx.xxx.xxx: end. da Rede a anunciar ● yyy.yyy.yyy.yyy: wildcard mask da rede a anunciar ● area_id: número da área a que percence a rede ● passive-interface “nome_interface” ● end Engenharia Informática ESTiG/IPB Serviços de Comunicações
  18. 18. 35 IOS – Configuração do protocolo OSPF ● Configuração de parâmetros OSPF nos Interfaces: ● ip ospf cost “custo”: define o custo de envio de um pacote no interface ● ip ospf retransmit-interval “segundos”: define o tempo entre retransmissões LSA para adjacências ● ip ospf priority “número”: define o valor de prioridade para determinação do router designado numa rede de acesso múltiplo ● ip ospf hello-interval “segundos”: especifica o intervalo de tempo entre envios de pacotes hello ● Ip ospf dead-interval “segundos”: número de segundos após um router ser detectado como desligado, a partir do qual o router deixa de enviar pacotes hello Engenharia Informática ESTiG/IPB Serviços de Comunicações 36 IOS – Configuração do protocolo OSPF ● Configuração de parâmetros OSPF nos Interfaces (cont.): ● ip ospf authentication-key “chave”: define uma password para ser usada pelos routers OSPF vizinhos num segmento de rede que use simple password authentication ● ip ospf message-digest-key “n_chave” md5 “chave”: activa a autenticação MD5 ● ip ospf authentication {message-digest | null}: define o tipo de autenticação para um interface Engenharia Informática ESTiG/IPB Serviços de Comunicações
  19. 19. 37 IOS – Configuração do protocolo OSPF ● Configuração de parâmetros de uma Área OSPF: ● area “area_id” authentication: activa a autenticação numa área OSPF ● area “area_id” authentication message-digest: activa autenticação MD5 numa área OSPF ● area “area_id” stub [no-summary]: define a área para ser uma área stub ● area “area_id” default-cost “custo”: define um custo por defeito para as rotas sumarizadas usado na área stub Engenharia Informática ESTiG/IPB Serviços de Comunicações 38 IOS – Configuração do protocolo OSPF ● Anúncio de uma rota por defeito para o interior de uma rede OSPF: ● No router de fronteira da rede: ● conf t ● router ospf “n_processo” ● network ... ● default-information originate ● exit ● ip route 0.0.0.0 0.0.0.0 “gateway” Engenharia Informática ESTiG/IPB Serviços de Comunicações
  20. 20. 39 IOS – Configuração do protocolo OSPF ● show ip route ● show ip ospf ● show ip ospf database ● show ip ospf neighbor ● show ip ospf interface Engenharia Informática ESTiG/IPB Serviços de Comunicações 40 IOS – Configuração do protocolo BGP ● Configuração do BGP: ● configure terminal ● router bgp “n_sistema_autonomo” ● network xxx.xxx.xxx.xxx mask yyy.yyy.yyy.yyy ● xxx.xxx.xxx.xxx: end. da Rede a anunciar ● yyy.yyy.yyy.yyy: máscara da rede a anunciar ● neighboor xxx.xxx.xxx.xxx remote-as “n_as_remoto” ● end Engenharia Informática ESTiG/IPB Serviços de Comunicações
  21. 21. 41 IOS - Listas de controlo de acesso ● Permitem filtrar tráfego (efectua testes aos pacotes de dados) ● Ex: nega ou permite em função do endereço ou tipo de tráfego ● Permite restringir a utilização da rede para certos serviços e/ou dispositivos ● Cada interface do router, pode ter duas listas de acesso por protocolo, uma para entrada e outra para saída de tráfego ● Não se pode apagar uma linha da ACL (apenas toda a lista) REGRAS: ● É efectuado de uma forma sequencial: linha1, linha2, linha3, etc. (Colocar as linhas mais restritivas no topo da lista!) ● A procura é feita até que uma linha faça matching (as outras linhas serão ignoradas) ● Existe um “deny” implícito no fim de todas as listas de acesso (se não for efectuado matching até essa linha, então o pacote de dados será descartado) Engenharia Informática ESTiG/IPB Serviços de Comunicações 42 IOS – Tipos de ACLs ● Standard (1-99, 1300-1999) - Usado para filtrar pacotes de uma dada origem (permite ou nega o tráfego a um conjunto de protocolos baseado no endereço de rede/subrede/máquina) • Extended (100-199, 2000-2699) - Usado para filtrar pacotes baseados na sua origem e destino - Filtra pelo tipo de protocolo (Ex: IP, TCP, UDP, etc.) e pelo número da porta Nota: Também podem ser utilizados nomes para fazer referência às listas (em “substituição” dos números) Engenharia Informática ESTiG/IPB Serviços de Comunicações
  22. 22. 43 IOS – Comandos para manuseamento de ACLs ● Standard - Acrescentar uma linha a uma lista: access-list número-lista {permit | deny} endereço_origem {máscara} - Activar uma lista de acesso numa interface do router (para “entrada” ou “saída”): ip access-group número-lista {in | out} • Extended - Acrescentar uma linha a uma lista: access-list número-lista {permit | deny} protocolo endereço_origem {máscara} endereço- destino {máscara} - Activar uma lista de acesso numa interface do router (para “entrada” ou “saída”): ip access-group número-lista {in | out} • Listas com nome ip access-list standard|extended nome_lista (depois colocar as linhas necessárias para a lista) ip access-group nome-lista {in | out} • Remoção de uma lista de acesso no access-list número-lista no ip access-group número-lista in|out (remove uma ACL de uma interface) • Comandos para consulta de listas show ip interfaces show access-lists [número] show ip access-list [número] Engenharia Informática ESTiG/IPB Serviços de Comunicações 44 IOS – Máscaras nas ACLs ● São utilizadas para identificar os intervalos de endereços IP. Funcionam de forma contrária às máscaras de subrede (Cada 0 deve fazer matching, cada 1 deve ser ignorado) ● Para calcular a máscara da lista faz-se o seguinte: - Identificar o valor decimal de cada byte da máscara de subrede - Subtrair a 255 o valor encontrado ● Exemplo: Obter a máscara utilizada numa lista para a máscara de subrede 255.255.248.0 - Primeiro byte: 255-255=0 - Segundo byte: 255-255=0 - Terceiro byte: 255-248=7 - Quarto byte: 255-0=255 ● A máscara a utilizar na lista será: 0.0.7.255 ● Atente aos valores obtidos: - Máscara da subrede (255.255.248.0): 11111111.11111111.11111000.00000000 - Máscara da lista (0.0.7.255): 00000000.00000000.00000111.11111111 Engenharia Informática ESTiG/IPB Serviços de Comunicações
  23. 23. 45 IOS – Exemplos de ACL Standard Exemplo 1: Cria uma lista de acesso que permite todo o tráfego excepto da rede 10.0.0.0. A lista é aplicada à interface Ethernet 0/0: Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255 Router(config)#access-list 1 permit any Router(config)#interface Ethernet 0/0 Router(config-if)#ip access-group 1 out Exemplo 2: Rejeita todo o tráfego excepto da máquina 10.12.12.14 e aplica a lista à interface Serial 0/0 Router(config)#access-list 2 permit host 10.12.12.14 (Router(config)#access-list 2 deny any) Router(config)#interface serial 0/0 Router(config-if)#ip access-group 2 in Engenharia Informática ESTiG/IPB Serviços de Comunicações 46 IOS – Exemplos de ACL Extendend ● Exemplo 1: Não encaminha tráfego TCP de qualquer host da rede 10.0.0.0 para a rede 11.12.0.0. Aplica a lista à interface Serial 0/0 Router(config)#access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255 Router(config)#access-list 111 permit ip any any Router(config)#interface serial 0/0 Router(config-if)#ip access-group 111 in • Exemplo 2: Esta lista impede todos os telnets do host 192.168.1.25 Router(config)# access-list 102 deny tcp host 192.168.1.25 any eq 23 Router(config)# access-list 102 permit tcp any any • Exemplo 3: Estas listas permitem a ligação a servidores Web na internet e impedem a ligação de qualquer máquina da internet à rede interna Rede interna: 63.36.9.0 Access-list 101: aplicada ao tráfego que sai da rede interna (outbound) Access-list 102: aplicada ao tráfego que entra na rede interna (inbound) Router(config)# access-list 101 permit tcp 63.36.9.0 0.0.0.255 any eq 80 Router(config)# access-list 102 permit tcp any 63.36.9.0 0.0.0.255 established Router(config)# interface serial 0/0 Router(config-if)# ip access-group 101 out Router(config-if)# ip access-group 102 in Engenharia Informática ESTiG/IPB Serviços de Comunicações
  24. 24. 47 IOS – Exemplos de ACL com nome Router(config)# ip access-list extended fica_de_fora Router(config-ext-acl)# permit tcp any 172.16.0.0 0.0.255.255 established Router(config-ext-acl)# permit udp any host 172.16.1.1 eq dns Router(config-ext-acl)# permit tcp 172.17.0.0 0.0.255.255 host 176.16.1.2 eq telnet Router(config-ext-acl)# permit icmp any 176.16.0.0 0.0.255.255 echo-reply Router(config-ext-acl)# deny ip any any Router(config-ext-acl)# exit Router(config)# interface Ethernet0 Router(config-if)# ip access-group fica_de_fora {in|out} Engenharia Informática ESTiG/IPB Serviços de Comunicações 48 IOS – Exercícios de ACLs Considere que está a utilizar a ACL 15. Efectue a configuração da lista, de modo a permitir o acesso do tráfego com origem em: • 192.168.1.0/20 • 220.11.199.64/27 • 10.64.0.0/13 • 130.15.128.0/17 • 76.240.96.0/19 • 214.122.95.128/26 Engenharia Informática ESTiG/IPB Serviços de Comunicações
  25. 25. 49 IOS – Exercícios de ACLs (2) a) Configure uma ACL que permita todo o tráfego excepto tráfego com origem em: • máquina 12.15.77.122 • máquina 188.15.99.75 • rede 177.15.0.0/16 • rede 200.12.199.0/24 b) Aplique a ACL à interface Serial0 do router (tráfego de “entrada”) c) Consulte todas as ACLs que existem no router d) Consulte a lista que acabou de definir e) Consulta as listas configuradas na interface serial 0/0 f) Remova a ACL da interface serial 0/0 g) Remova a ACL do router Engenharia Informática ESTiG/IPB Serviços de Comunicações 50 IOS – Rede de testes no Packet Tracer Engenharia Informática ESTiG/IPB Serviços de Comunicações
  26. 26. 51 IOS – Rede de testes no Packet Tracer ● A rede D não aceita “pings” do exterior ● A rede C não aceita tráfego da rede B ● A rede B acede ao servidor http ● Na rede C apenas a máquina 172.16.3.1 acede ao servidor http ● Na rede D apenas a máquina 172.16.4.2 não acede ao servidor http ● A impressora apenas pode ser utilizada por máquinas que se encontrem na rede B, rede C e pela máquina 172.16.4.2 Engenharia Informática ESTiG/IPB Serviços de Comunicações 52 IOS – Configuração de um Servidor DHCP ● O IOS permite a configuração de um router Cisco como Servidor DHCP Engenharia Informática ESTiG/IPB Serviços de Comunicações
  27. 27. 53 IOS – Configuração de um Servidor DHCP ● Exemplo de configuração: ip dhcp excluded-address 172.20.1.1 ip dhcp excluded-address 172.20.1.254 ip dhcp pool teste network 172.20.1.0 255.255.255.0 domain-name teste.ipb.pt dns-server 172.20.1.1 default-router 172.20.1.254 lease 0 0 30 update arp // para protecção contra IP Spoofing Engenharia Informática ESTiG/IPB Serviços de Comunicações 54 IOS – Configuração de um Servidor DHCP ● Comandos de monitorização do serviço: ● show ip dhcp binding ● show ip dhcp conflict ● show ip dhcp database ● show ip dhcp pool ● show ip dhcp server statistics Engenharia Informática ESTiG/IPB Serviços de Comunicações
  28. 28. 55 NAT (Network Address Translation) ● Permite ligar uma rede privada à Internet ● Não necessita de um endereço IP “público” para cada máquina ● O Router transforma o endereço privado num endereço público e vice-versa Engenharia Informática ESTiG/IPB Serviços de Comunicações 56 IOS – Tipos de NAT ● Endereços privados - Classe A: 10.0.0.0 - 10.255.255.255 - Classe B: 172.16.0.0 - 172.31.255.255 - Classe C: 192.168.0.0 - 192.168.255.255 Tipos de NAT: ● Estático: Cada ip interno é associado a um ip público. O mapeamento é manual ● Dinâmico: O mapeamento é automático. O router tem uma pool de endereços para efectuar o mapeamento ● Overload with PAT (Port Address Translation): Um único endereço público pode estar associado a vários endereços privados. A “separação” é feita através da utilização de uma porta para cada host Engenharia Informática ESTiG/IPB Serviços de Comunicações
  29. 29. 57 IOS – NAT estático Router(config)# ip nat inside source static Endereço_Interno Endereço_público Router(config)# ip nat outside source static Endereço_público Endereço_interno Definir as interfaces “inside” e “outside”: Router(config)# interface type [slot_#/]port_# Router(config-if)# ip nat inside|outside Exemplo Router(config)# ip nat inside source static 192.168.1.2 200.200.200.1 Router(config)# interface FastEthernet 0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface Serial2/0 Router(config-if)# ip nat outside Engenharia Informática ESTiG/IPB Serviços de Comunicações 58 IOS – NAT dinâmico 1-Definir os endereços internos que usarão NAT: Router(config)# ip nat inside source list número_lista_standard(ACL) pool nome_da_pool 2- Criar a pool de endereços públicos a usar: Router(config)# ip nat pool nome_da_pool Endereço_público_inicial Endereço_público_final netmask máscara_subrede Engenharia Informática ESTiG/IPB Serviços de Comunicações
  30. 30. 59 IOS – NAT dinâmico Exemplo (Configuração de NAT dinâmico para os dois PCs) Router(config)# ip nat inside source list 1 pool minha-pool Router(config)# access-list 1 permit 192.168.1.12 0.0.0.0 Router(config)# access-list 1 permit 192.168.1.14 0.0.0.0 Router(config)# ip nat pool minha-pool 200.200.200.2 200.200.200.3 netmask 255.255.255.0 Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface Serial2/0 Router(config-if)# ip nat outside Engenharia Informática ESTiG/IPB Serviços de Comunicações 60 IOS – Redireccionamento de portas ● Utiliza PAT estático ● Um “servidor virtual” é usado para aceder a vários servidores/serviços (que podem estar na mesma máquina e/ou em máquinas diferentes) ● Cada servidor/serviço utiliza uma porta diferente Exemplo: Router(config)# ip nat inside source static tcp 192.168.1.6 80 200.200.200.1 80 Router(config)# ip nat inside source static tcp 192.168.1.7 21 200.200.200.1 21 Router(config)# ip nat inside source static tcp 192.168.1.7 20 200.200.200.1 20 Router(config)# ip nat inside source static tcp 192.168.1.5 25 200.200.200.1 25 Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface Serial2/0 Router(config-if)# ip nat outside Engenharia Informática ESTiG/IPB Serviços de Comunicações

×