Material de apoio comandos i os (1)

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 1 DE 20

Colocar sintaxe do ip route

Conteúdo 1. Iniciando a Configuração ........................................................................................................................... 1

Interagindo com a CLI do Roteador .............................................................................................................. 2 1.3. Modos de configuração ....................................................................................................................... 3

1.1.1 Modo Usuário (router>) ............................................................................................................... 3 1.1.2 Modo Privilegiado (router #) ....................................................................................................... 3 1.1.3 Modo Configuração Global (router (config)#) ............................................................................ 4 1.1.4 ENTRANDO NAS INTERFACES Ethernet, Fast Ethernet e Seriais ......................................... 5

2. Configurar banners ..................................................................................................................................... 6 3. Modificando o hostname ............................................................................................................................ 6 4. Configurar endereços IP ............................................................................................................................ 7 5. Descrições de interfaces ............................................................................................................................. 8 6. Configurando as senhas ............................................................................................................................. 9

6.1. Telnet ................................................................................................................................................... 9 6.2. Configurando senha de console ........................................................................................................... 9 6.3. Senha para modo enable .................................................................................................................... 10

7. Armazenando senhas de forma criptografada .......................................................................................... 10 8. Definindo timeouts ................................................................................................................................... 10 9. Salvar as configurações ............................................................................................................................ 11 10. Rotas estáticas ....................................................................................................................................... 11 11. Configurando Rota default .................................................................................................................... 11 12. Configurando DHCP ............................................................................................................................ 12 13. Rota dinâmica com RIP: ....................................................................................................................... 13 14. Rota dinâmica com OSPF: .................................................................................................................... 14 15. Configuração de switchs ....................................................................................................................... 14

1. Iniciando a Configuração Para iniciar esta configuração e ter acesso ao roteador é necessário usar a porta de console

disponível no roteador. Para isso você usará um cabo de console(rollover) o qual será ligado na porta serial do seu microcomputador (ou USB) e na porta de console do roteador. Porém a porta serial do computador precisa de um conversor, o qual terá um conector DB-9 ou DB-25 na ponta.

Para fazer a configuração inicial do roteador deverá ser utilizado o programa de emulação de terminal “Hyper Terminal” disponível no Windows.

A configuração do programa usa geralmente os seguintes parâmetros: Velocidade = 9600bps Bits de dados = 8 Paridade = nenhuma Bit de parada = 1 Sem controle de fluxo


Estando com o Hyper Terminal devidamente configurado, ligue o roteador, então ele executará o POST e como não será detectada uma configuração válida, o IOS inicia um diálogo interativo chamado System Configuration Dialog, no qual sera mostrado na tela do Hyper Terminal que você está usando para acessar a console.

Interagindo com a CLI do Roteador A Cisco usa o acrônimo CLI para referir-se à interface de linha de comando do terminal de usuário

para o IOS. O termo CLI significa que o usuário está digitando comandos em um terminal, em um emulador de terminal ou em uma conexão remota Telnet. Para acessar a CLI, usa-se um dos métodos, conforme a figura abaixo:

Figura – Formas de acesso à CLI

Independente do método de acesso utilizado, quando se configura o roteador é possível faze-lo de

vários modos. Os modos definem como esta configuração será feita. Vejamos os modos existentes:

User EXEC Mode (Modo Usuário) Privileged EXEC Mode (Modo Privilegiado) Global Configuration Mode (Modo de Configuração Global)

Observação: A CLI (Command Line Interface) dos roteadores Cisco tem uma grande vantagem quando se trata de digitação de comandos. Você poderá digitar as primeiras letras de um comando e já pressionar ENTER para que ele identifique e interprete o comando. Para alguns comandos basta digitar duas letras, mas para outros é necessário digitar mais. Isso varia pois, como existem diversos comandos cujas primeiras letras são idênticas, ele não saberá que comando deverá interpretar. Veja abaixo um exemplo dos comandos enable e disable.

Router> en Router # disa Router >


Note que no caso do “disable” foi necessário digitar as quatro primeiras letras, isso porque existe um comando chamado “disconnect” no modo privilegiado que se você digitar os três primeiros gerará conflito. Dica: Para otimizar o trabalho também é possível digitar os primeiros caracteres, pressionar a tecla TAB e será preenchido o comando completo para que você veja que comando foi digitado.

Estando no Modo Privilegiado é possível entrar no Modo Configuração Global onde os comandos e as configurações irão afetar o sistema como um todo.

1.3. Modos de configuração

1.1.1 Modo Usuário (router>) SÍMBOLO = “ > ” Comandos: Enable – acesso para o modo privilegiado – aceita comandos Show´s enable acesso para o modo privilegiado disable Turn off privileged commands exit Exit from the EXEC logout Exit from the EXEC ping Send echo messages show Show running system information telnet Open a telnet connection traceroute Trace route to destination Reload – reinicia

1.1.2 Modo Privilegiado (router #) SÍMBOLO = “ # ” show Show running system information configure Enter configuration mode copy Copy from one file to another disable Turn off privileged commands disconnect Disconnect an existing network connection erase Erase a filesystem exit Exit from the EXEC logout Exit from the EXEC ping Send echo messages reload Halt and perform a cold restart ssh Open a secure shell client connection telnet Open a telnet connection traceroute Trace route to destination vlan Configure VLAN parameters

Principais comandos do MODO PRIVILEGIADO Configure terminal - acesso para o modo configuração global (conf t) show running-config – exibe as configurações da memória RAM – (sh run) show startup-config – exibe as configurações que estão salva na NVRAM (configurações salvas) - (sh start)

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 4 DE 20 show ip interface brief - Relacionado a Configuração - Apresenta resumo da interface: endereço IP, status do link físico e lógico. show ip route – exibe as rotas apreendidas (cadastradas). show interface <interface> Relacionado a Hardware - Apresenta status do link, endereço IP, clock rate, MTU, e protocolos da camada física e de enlace rodando (ex: LCP, NCP no PPP). show ip interface <interface> Relacionado a Configuração - Apresenta dados como: status da conexão física e lógica, endereço IP, MTU, ACLs, NAT e diversos outros parâmetros. show protocols - Relacionado a Configuração - Apresenta status do link e endereço IP, deste. show ip protocols - Relacionado a Protocolos de Roteamento - Apresenta todas informações relevantes aos protocolos de roteamento em uso: parâmetros de configuração, rotas anunciadas, última atualização. show ip route

Tabela de Roteamento à São as redes aprendidas (dinâmica ou estaticamente), [distância administrativa/métrica], o IP e a interface vinculada para realizar as rotas.

Show version – exibe informação sobre versão do IOS, interfaces, config-register etc – (sh ver) Show sessions – exibe as sessões de telnet abertas no momento – (sh sess) Show cdp nei – exibe os router´s vizinhos – (sh cdp nei) Show flash – exibe o conteúdo existente na memória flash – (sh flash) Show memory – exibe informações sobre a memória do router – (sh mem) Show history – mostra históricos dos comandos executados. Show arp – mostra a tabela ARP Salvando Configurações: Copy running-config startup-config – SALVA o conteúdo da RAM para NVRAM Copy running-config tftp – copia o conteúdo da RAM para um servidor de TFTP. Copy flash tftp – copia o conteúdo da flash para um servidor de TFTP. Copy tftp startup-config – copia o aruivo de configuração do TFTP para a NVRAM. Copy tftp flash – copia o IOS do servidor de TFTP para flash. Wr – salva as configurações Service password-encryption – deixa todas a senha criptografadas.

1.1.3 Modo Configuração Global (router (config)#) SÍMBOLO = (CONFIG)# Hostname – seta um nome ao router Enable secret – seta a principal senha do router (criptografada) Banner motd – montagem de um banner Interface – entra na interface desejada (colocar o tipo da interface E0 ou S0) access-list Add an access list entry banner Define a login banner cdp Global CDP configuration subcommands clock Configure time-of-day clock config-register Define the configuration register


crypto Encryption module do To run exec commands in config mode dot11 IEEE 802.11 config commands enable Modify enable password parameters end Exit from configure mode exit Exit from configure mode hostname Set system's network name interface Select an interface to configure ip Global IP configuration subcommands ipv6 Global IPv6 configuration commands line Configure a terminal line logging Modify message logging facilities login Enable secure login checking mac-address-table Configure the MAC address table spanning-tree Spanning Tree Subsystem login Enable secure login checking mac-address-table Configure the MAC address table router Enable a routing process secure Secure image and configuration archival commands security Infra Security CLIs service Modify use of network based services snmp-server Modify SNMP engine parameters spanning-tree Spanning Tree Subsystem

1.1.4 ENTRANDO NAS INTERFACES Ethernet, Fast Ethernet e Seriais SÍMBOLO = “ (CONFIG-IF)# ” ETHERNET E FAST ETHERNET Ip address – seta ip na interface (lembra de colocar o IP e máscara) Description – coloca uma descrição para a interface. Ex: LINK DO ROUTER SP COM RJ 100 Mbps No shutdown – restart na interface (comando dado toda vez que é setado um ip na interface) SERIAIS Ip address – seta ip na interface (lembra de colocar o IP e máscara) Encapsulation ppp – seta o protocolo de encapsulamento ppp, podendo ser HDCL, Frame Relay e ISDN. Clockrate – seta o sincronismo nos router´s (lembrando que quando utilizamos modems não é necessário) Description – coloca uma descrição para a interface. Ex: LINK DO R3 com R2 No shutdown – restart na interface (comando dado toda vez que é setado um ip na interface) Bandwidth – seta a velocidade. Ex: bandwidth 1000 significa uma velocidade 1 Mbps. EXEMPLOS: CONFIGURANDO INTERFACE FAST-ETHERNET Router> enable Router#configure terminal Router(config)hostname Router_A // atribui o nome Router_A ao router Router(config)#interface fastethernet 0/0 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#description DEPTO RH001 Router(config-if)#no shutdown Router(config-if)#exit


CONFIGURANDO INTERFACE SERIAL Router(config)#interface serial 2/0 Router(config-if)#ip address 10.10.2.1 255.255.255.0 Router(config-if)#encapsulation ppp Router(config-if)#clock rate 64000 Router(config-if)#description Interligacao com Filial_SP Router(config-if)#bandwidth 1000 Router(config-if)#no shutdown CTRL + Z Router#copy running-config startup-config // copia configuração RAM para memória NVRAM

2. Configurar banners

Os banners são mensagens exibidas para usuários quando eles tentam se conectar ao roteador pela rede. Através destas mensagens você pode avisá-los sobre manutenção, regras relacionadas ao uso, instruções de segurança, etc.

Existem alguns tipos diferentes de banners que podem ser configurados no IOS:

• exec: A mensagem do tipo exec é exibida quando uma sessão exec é iniciada; • incoming: Esta mensagem é exibida para usuários que se conectem ao roteador através do

console ou linha auxiliar; • login: Este banner é apresentado depois do motd e antes de aparecer o prompt e é exibido em

todos os terminais conectados; • motd: O banner motd (message of the day, mensagem do dia) é o banner mais comum e utilizado

em dispositivos Cisco. A mensagem definida como motd, será exibida para todos os que tentarem se conectar ao seu roteador não importando a forma (Telnet, console, auxiliar, etc.).

Como você já deve ter percebido, a diferença entre os tipos de banners é o momento em que eles são exibidos. Como o motd é o único que sempre é exibido, não importa o modo de conexão, geralmente é ele o mais usado.

Para configurar o banner motd:

Osiris(config)# banner <tipo do banner> <caracter delimitador da mensagem>

Depois de definir o tipo do banner, você deve indicar qual caracter delimitará a mensagem que você vai digitar, ou seja, o caracter indicado no comando irá definir o fim da mensagem do banner. Por exemplo:

Osiris(config)# banner motd @ Acesso restrito somente a equipe de redes da empresa XYZ S/A Se nao esta autorizado recomendamos sua desconexao imediata. Este sistema é auditado permanentemente @

No exemplo acima, a mensagem definida é “Acesso restrito somente a equipe ...”. O “@” não é considerado parte da mensagem. Vale lembar que o caracter que você escolher não pode aparecer no texto que você quer definir como sendo o conteúdo do banner.

3. Modificando o hostname

O hostname que você configura direto no roteador tem relevância apenas localmente, ou seja, outros roteadores na sua rede não poderão se referir ao seu roteador pelo nome que você definir através do comando “hostname”. Para que seja possível definir um nome com relevância global (permitindo que

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 7 DE 20 outros roteadores utilizem o nome escolhido para a comunicação com este roteador) você deve alterar a zona correspondente no seu servidor DNS.

Para configurar o hostname, você deve acessar o seu roteador (se você ainda não configurou a senha para o telnet, você poderá apenas acessá-lo através do console. Mais adiante neste post você irá aprender a definir todas as senhas necessárias para acessar o dispositivo através da rede) e ir para o modo de configuração:

Router> enable

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#

O comando “configure terminal” o levará para o modo de configuração global do IOS. Aqui você pode alterar todas as configurações do sistema, por exemplo, definir os IP’s das interfaces, habilitar/desabilitar interfaces, definir rotas, configurar protocolos de roteamento dinâmico (como RIPv2, OSPF, etc), definir banners, etc.

Estando no modo de configuração, execute o seguinte comando para definir o hostname:

Router(config)# hostname NomeDesejado

Por exemplo,

Router(config)# hostname Osiris

Osiris(config)#

Note que, logo após você modificar o hostname, ele já passa a ser utilizado no prompt. Porém, não se engane: se você reiniciar o roteador agora o nome “desaparecerá”. Para que o nome fique configurado permanentemente no roteador, você deve salvar as configurações. Veremos como fazer isso mais adiante no post.

4. Configurar endereços IP

Por motivos óbvios, você precisa configurar endereços IP em todas as interfaces que estão sendo utilizadas pelo seu roteador.

Este processo é bem simples, não leva nem 5 minutos. Para isso, você deve saber exatamente quais interfaces existem em seu roteador e quais delas você deseja configurar. Para isso, utilize o comando:

Osiris# show interfaces

Além do nome, várias informações relacionadas às interfaces são exibidas. Guarde bem os nomes das interfaces que você deseja configurar e vá para o modo de configuração global:

Osiris# configure terminal Osiris(config)#

Uma vez no modo de configuração global, você precisa entrar no contexto da interface que você quer configurar. Para isso, basta utilizar o comando “interface” seguido do nome dela:

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 8 DE 20 Osiris(config)# interface FastEthernet 0/0 Osiris(config-if)#

Neste modo, como você já viu, você poderá configurar todas as opções desta interface apenas. Para configurar opções de outras placas, você deve entrar no contexto de configuração delas. Para configurar o endereço IP nesta interface faça o seguinte:

Osiris(config-if)# ip address 192.168.1.1 255.255.255.0

Este comando já define tanto o endereço IP que será utilizado nesta interface quanto a máscara de sub-rede.

As interfaces de roteadores Cisco por padrão estão sempre desabilitadas. Depois que você fizer a configuração delas, você deve ativá-las se não, mesmo que tudo tenha sido configurado corretamente, você não será capaz de acessar a rede. Seguindo o padrão Cisco, basta você colocar um “no” na frente do comando “shutdown” no contexto de configuração da interface para que ela seja ativada:

Osiris(config-if)# no shutdown

Como você já deve ter deduzido, para desabilitar a interface você deve executar o comando “shutdown” no modo de configuração da interface específica. O status de todas as interfaces do dispositivo pode ser visualizado utilizando-se o comando “show interfaces” ou “show interfaces FastEthernet 0/0″ no modo enable. A seguinte linha:

FastEthernet0/0 is administratively down, line protocol is down

Indica uma interface desabilitada. Sempre que uma interface está parada por decisão do administrador do sistema, o status terá “administratively down”. Caso esta expressão não apareça, é muito provável que algum outro problema está impedindo o correto funcionamento (um problema no cabo, por exemplo). Uma interface ativa mostraria uma linha parecida com:

FastEthernet0/0 is up, line protocol is up

5. Descrições de interfaces

Se você configura muitos roteadores diferentes, pode acabar ficando meio difícil lembrar exatamente a qual rede uma determinada interface está conectada, ou qual o papel de uma determinada interface. Para isso, o IOS permite que você adicione descrições sobre cada interface presente em seu roteador.

Esta configuração também deve ser feita no contexto de configuração da interface em questão, utilizando o comando “description”. Por exemplo:

Osiris(config-if)# description Interface que liga o roteador a rede do provedor.

Você pode definir uma configuração de no máximo 240 caracteres. Pode utilizar espaços, porém não é bom utilizar acentuação. A descrição que você utiliza com o comando “description” pode ser vista quando você digita o comando “show interfaces” no modo enable:

Osiris# show interfaces FastEthernet0/0 is administratively down, line protocol is down Hardware is AmdFE, address is c800.342d.0000 (bia c800.342d.0000) Description: Interface que liga o roteador a rede do provedor Internet address is 192.168.1.1/24 …

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 9 DE 20 Como já disse, isso é opcional mas pode ajudar muito você ou quem for administrar o roteador e ainda não o conheça.

6. Configurando as senhas

Antes de você configurar qualquer senha no roteador, o IOS não permite qualquer tipo de conexão remota a ele: apenas o console permite que você se conecte a ele para que você consiga configurar o roteador. Então, para permitir que você utilize o Telnet para administrar o roteador daqui para frente, vou te mostrar aqui como configurar as senhas para esse serviço.

6.1. Telnet

No IOS, você deve referir-se ao Telnet como linhas VTY. A quantidade de linhas VTY varia de modelo para modelo, não há uma quantidade fixa. Para descobrir quantas linhas o seu roteador disponibiliza para você, faça o seguinte. No modo de configuração global:

Osiris(config)# line vty ? <0-4> First Line number

No dispositivo que estou usando, existem 5 linhas numeradas de 0 a 4. Para definir a senha:

Osiris(config)# line vty 0 4 Osiris(config-line)# login Osiris(config-line)# password senha

Agora, quando você tentar se conectar ao seu roteador através do Telnet basta fornecer a senha que você especificou no comando “password”, não importa qual o número da linha à qual você está se conectando. Se você quiser permitir que logins sejam feitos através de Telnet mesmo que uma senha não tenha sido configurada (o que não é nada recomendado), basta negar o comando “login” no contexto de configuração da linha:

Osiris(config-line)# no login

E você poderá se logar no roteador sem precisar de uma senha.

Embora o Telnet seja o padrão para administração remota de roteadores e switches Cisco, ele não é nada seguro. Todo o tráfego trocado entre cliente e servidor é transmitido em texto claro, permitindo que alguém sniffe a conexão e consiga descobrir o seu usuário e senha. Para mitigar este problema, o mais recomendado atualmente é configurar o SSH no dispositivo e utilizá-lo ao invés de usar o Telnet. Já expliquei como funciona este processo em outro post.

6.2. Configurando senha de console

Se você se conectar ao roteador através da porta de console, o padrão é não ter senha para que você consiga configurar o switch assim que ele sai da caixa. Porém, é uma boa prática proteger esta conexão com uma senha.

No caso do console, a linha utilizada se chama console e geralmente existe apenas 1: a porta 0. Para configurá-la, você deve fazer o seguinte:

Osiris(config)# line console 0 Osiris(config-line)# password senha

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 10 DE 20 Agora, sempre que você se conectar ao console você deverá digitar a senha informada ao comando “password” como descrito acima.

6.3. Senha para modo enable

Além de senhas para as linhas, também é possível definir uma senha para proteger o modo enable, que dá mais poderes ao usuário.

Para definir esta senha, acesse o modo de configuração global e utilize o comando “enable secret”:

Osiris(config)# enable secret senha Isso irá criar uma senha criptografada que será utilizada sempre que você tentar acessar o modo enable do roteador, não importa a forma pela qual você se conecte ao dispositivo. Você também pode criar uma senha não-criptografada utilizando o comando “enable password”:

Osiris(config)# enable password senha

Se você definir tanto a secret quanto a password, a senha secret sempre terá preferência e é ela a que sempre será utilizada. Embora você tenha a opção de utilizar uma senha não-criptografada, é recomendado que você utilize apenas a senha criptografada com o comando “enable secret”.

7. Armazenando senhas de forma criptografada

Por padrão, a única senha criptografada no IOS é a senha definida pelo comando “enable secret”. Todas as outras são exibidas em texto claro através do comando “show running-config”. Para impedir que isso aconteça, você deve ativar o serviço de criptografia de senhas. É muito importante que você ative este serviço, já que ele é praticamente a sua única proteção para as senhas armazenadas na memória do roteador.

Habilitar o serviço é muito simples. No modo de configuração global, execute o seguinte comando:

Osiris(config)# service password-encryption

E pronto, agora sempre que as suas senhas forem ser exibidas, apenas o hash da criptografia aparecerá melhorando um pouco mais a segurança do sistema.

8. Definindo timeouts

Como medida de segurança, não apenas no IOS mas também em qualquer outro sistema que você acesse remotamente, é interessante que você defina timeouts para fazer com que sessões ociosas sejam terminadas automaticamente depois de um determinado tempo. Esses timeouts são configurados para cada linha, ou seja, o timeout do console pode ser diferente do timeout da VTY.

Como a configuração pode ser diferente para cada linha, você deve estar no contexto de configuração da linha para poder modificar o parâmetro. Uma vez no contexto correto, basta utilizar o comando “exec-timeout”:

Osiris(config)# line vty 0 4 Osiris(config-line)# exec-timeout <MINUTOS> <SEGUNDOS>

Por exemplo, para definir o timeout em 1:30s você deveria executar o comando:

Osiris(config-line)# exec-timeout 1 30

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 11 DE 20 Para desabilitar o timeout, basta informar “0 0″ para minutos e segundos.

9. Salvar as configurações

Todas as configurações que você acabou de fazer não são salvas automaticamente. Você precisa instruir o IOS a salvá-las para que você não perca tudo caso o roteador reinicie por algum motivo.

Para fazer essa cópia, você deve utilizar o seguinte comando (no modo enable): Osiris# copy running-config startup-config Destination filename [startup-config]?

Ele irá te perguntar qual será o nome do arquivo que será criado com as configurações. O padrão, que geralmente é o aceito, é startup-config. Para aceitar o padrão basta pressionar a tecla enter. A seguinte mensagem irá confirmar que a operação foi efetuada com sucesso: Router#copy running-config startup-config Destination filename [startup-config]? Building configuration… [OK]

OBS: pode usar o comando WR também

10. Rotas estáticas Router(config)#ip route 192.168.200.0 255.255.255.0 10.10.10.2 // insere uma rota estática indicando qual o próximo salto. Router(config)# ip route 192.168.200.0 255.255.255.0 s2/0 // insere uma rota estática indicando para qual interface o router deve encaminhar. Router(config)# no ip route 192.168.200.0 255.255.255.0 10.10.10.2 // deleta rota estática. Router(config)# ip route 192.168.200.0 255.255.255.0 10.10.10.2 10 // insere uma métrica(peso) a rota estática, por default a métrica é 1. OBS: sempre a menor métrica é a preferida.

11. Configurando Rota default Para criar uma rota "default", use a sintaxe:

roteador(config)# ip default-network 192.168.76.1 ou roteador(config)# ip route 0.0.0.0 0.0.0.0 192.168.76.1

Uma rota padrão (Default Route), também conhecida como “gateway de último recurso”, é a rota de rede utilizada por um roteador quando não há nenhuma outra rota conhecida existente para o endereço de destino de um pacote IP. Todos os pacotes para destinos desconhecidos pela tabela do roteador são enviados para o endereço de rota padrão. Esta rota geralmente direciona para outro roteador, que trata o

pacote da mesma forma: Se a rota é conhecida, o pacote será direcionado para a rota conhecida. Se não, o pacote é direcionado para o “default route” desse roteador que geralmente direciona a outro roteador. E assim sucessivamente. Comando: ip route 0.0.0.0 0.0.0.0 serial0/0


12. Configurando DHCP A máquina pergunta na rede quem é o servidor DHCP, o serviço se identifica e fornece um IP para

máquina ou host solicitante. O DHCP pode ser um computador, um modem ou um roteador. Comandos: Router(config)#ip dhcp pool MEU_DHCP_SERVER Router(dhcp-config)#network 192.168.0.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.0.1 Router(config)#ip dhcp excluded-address 192.168.0.1 DHCP- COMANDOS RESUMIDOS Router(config)#ip dhcp pool DHCP_SERVER Router(dhcp-config)#net 192.168.0.0 255.255.255.0 Router(dhcp-config)#default 192.168.0.1 Router(dhcp-config)#dns-server 192.168.0.12 (se tiver presente) Router(dhcp-config)#exit Router(config)#ip dhcp exc 192.168.0.1

Embora existam diversas soluções de mercado para serviços DHCP bem mais robustas, o serviço DHCP embutido no Cisco IOS pode ser bastante útil em ambientes “SOHO” (Small Office Home Office), termo que significa "pequeno escritório ou escritório montado em casa", e em redes de pequeno porte, que dependam somente de um único roteador.

O papel do DHCP na rede é atribuir endereços IP automaticamente às estações de trabalho (ou outros dispositivos). Além de atribuir dinamicamente endereços IP, o DHCP pode também configurar uma gama de parâmetros TCP/IP nestas estações, como os endereços dos servidores DNS, endereço do default gateway da rede, dentre outros. A configuração de um roteador Cisco para que ele funcione como um servidor DHCP é bastante simples e é ilustrada a seguir.

Passo 1: Certifique-se que a porta que se conecta à rede local (LAN) esteja devidamente configurada e ativada e ative o serviço DHCP no roteador:

Router(config)# interface ethernet0/0 Router(config-if)# ip address 192.168.10.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# service dhcp

Passo 2: Crie o “pool” onde será especificado os endereços IP que você deseja distribuir para os hosts em sua rede:

Router(config)# ip dhcp pool meupooldeenderecos

Passo 3: Especifique os endereços que serão disponibilizados para os hosts:

Router(dhcp-config)# network 192.168.10.0 255.255.255.0

Passo 4: Especifique o domínio a ser configurado nos hosts:

Router(dhcp-config)#domain-name nomedodominio.com

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 13 DE 20 Passo 5: Especifique os servidores DNS (até 8 endereços podem ser configurados):

Router(dhcp-config)#dns-server 192.168.10.2 192.168.10.3

Passo 6: Especifique o endereço do default gateway da rede (até 8 endereços podem ser configurados):

Router(dhcp-config)#default-router 192.168.10.1 (endereço IP do próprio roteador, no caso)

Passo 7: Especifique o tempo de duração do lease, ou seja, quanto tempo o host pode ficar com o endereço antes de re-checar com o DHCP:

Router(dhcp-config)#lease 7 (tempo em dias, no exemplo)

OBS: Em relação ao lease, por default, a configuração é de 1 dia.

Passo 8: Exclua os endereços IP que não devem ser oferecidos aos hosts. No exemplo abaixo, os IPs 192.168.10.1 até 192.168.10.10 não serão oferecidos aos hosts pelo DHCP.

Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10

Pronto! Seu roteador agora responderá às solicitações DHCP de hosts na rede, e estes hosts receberão um endereço IP dentro do intervalo de 192.168.10.11 a 192.168.10.254.

Monitorando o serviço DHCP

Os seguintes comandos possibilitam o gerenciamento do serviço DHCP em um roteador Cisco:

• “show ip dhcp binding”: Lista os IPs já fornecidos para as estações de trabalho. • “show ip dhcp conflict”: Lista eventuais conflitos de endereços IP. • “show ip dhcp database”: Lista o DHCP database. • “show ip dhcp pool”: Lista todo o conteúdo dos pools configurados. • “show ip dhcp relay information trusted-sources”: Lista as informações sobre o relay DHCP. • “show ip dhcp server statistics”: Mostra as estatísticas do tráfego DHCP.

Em caso de problemas, as seguintes opções para debugging estão disponíveis:

• “debug ip dhcp server events”: Muito útil para mostrar os “empréstimos” e “expirations” dos endereços IP.

• “debug ip dhcp server linkage”: Server para diagnosticar eventos em situações onde existem relações entre dois ou mais servidores DHCP (esquema “parent/child”, tais como radix tree).

• “debug ip dhcp server packet”: Mostra o tráfego DHCP em tempo real.

13. Rota dinâmica com RIP: roteador(config)#route rip roteador(config-router)#network 192.168.30.0 roteador(config-router)#network 192.168.40.0 roteador(config-router)#passive-interface fastethernet 0 à essa interface não envia atualizações RIP roteador(config-router)#version 2 à passa para a versão 2

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 14 DE 20 roteador(config-router)#no auto-summary à não faz sumarização das rotas – usado qdo temos a presença de subredes . Sendo que a rede 192.168.30.0 e 192.168.40.0 que são as redes ligadas nas interfaces do ROUTER vão ser agora compartilhada com os outros roteadores. *A configuração de todos os outros protocolos de roteamento são parecidas. Por exemplo, para configurar o IGRP (router igrp 10; network 192.168.30.0) ou o OSPF (router ospf 10; network 10.0.0.0 0.255.255.255 area 0), todos seguem mais ou menos a mesma sintaxe. Depurando problemas no roteamento: debug ip rip no debug rip no debug all

14. Rota dinâmica com OSPF: roteador(config)#router ospf 1 roteador(config-router)#network 192.168.0.0 0.0.0.255 area 0

1. Habilitar o processo OSPF no router via comando “router ospf {ID do processo OSPF}” 2. Associar areas OSPF às interfaces, via comando “network {rede ou endereço IP} {wildcard} {area}”

O ID do processo OSPF não precisa ser o mesmo em roteadores distintos, e o mais interessante, vários processos OSPF podem ser executados em um mesmo router. Este procedimento não é recomendado, entretanto, já que cada instância consome grandes porções de CPU e memória. Em suma, um bom design não utilizaria mais de um processo OSPF em um mesmo router.

O parâmetro “network”, diferentemente do que ocorre na configuração de outros protocolos de roteamento, serve, no OSPF, para indicar quais interfaces participarão do processo, e quais as áreas OSPF a que pertencem. Esta é uma particularidade do protocolo.

O parâmetro “area”, no comando acima o protocolo irá procurar a rede 192.168.0.0 e colocará todas as que encontrar dentro da área 0. Outro ponto é que o valor pode ser numérico quanto em formato IP 0.0.0.0.

Verificando as configurações: Show ip route Show ip ospf

15. Configuração de switchs 1- Entrar no modo privilegiado switch>enable switch# 2- Configurar senhas switch(config)#enable secret ****** digite a senha switch(config)#exit switch(config)#line vty 0 15 switch(config)# login switch(config)# password ****** digite a senha

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 15 DE 20 switch(config)#line console 0 switch(config)# login switch(config)# password ****** digite a senha switch(config)#service password-encryption habilita a criptografia 3- Configurar um nome para o Switch. switch(config)#hostname NOME switch(config)#exit 4- Configurar velocidade e modo de comunicação da porta. Switch 2950: switch(config)#interface fastEthernet 0/1 switch(config-if)#speed auto à modo automatic (100 ou 1000 Mbps) switch(config-if)#duplex auto à modo automatic (full duplex ou half duplex) 5- Configurar o endereço IP/Máscara/Gateway nos Switchs. (para acesso externo) switch(config)#interface vlan 1 switch(config-if)#ip address X.X.X.X Y.Y.Y.Y onde X é o endereço IP e Y a máscara de rede switch(config-if)#exit switch(config)#ip default-gateway X.X.X.X onde X é o endereço IP do default-gateway switch(config)#exit 6- Criar VLANs nos Switchs. switch#config t switch(config)#vlan 2 switch(config-vlan)#name SW_2347_filial VLAN

Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente. Várias VLAN's podem co-existir em um mesmo comutador (switch), de forma a dividir uma rede local (física) em mais de uma rede (virtual), criando domínios de broadcast separados. Uma VLAN também torna possível colocar em um mesmo domínio de broadcast, hosts com localizações físicas distintas e ligados a switches diferentes. Um outro propósito de uma rede virtual é restringir acesso a recursos de rede sem considerar a topologia da rede, porém este método é questionável.

Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente é configurada para mapear diretamente uma rede ou sub-rede IP, o que dá a impressão que a camada 3 está envolvida.


7- Atribuir portas as VLANs. à Portas 3, 4 e 5 – VLAN 2 switch(config)#interface fastEthernet 0/3 switch(config-if)#switchport access vlan 2 switch(config-if)#exit switch(config)#interface fastEthernet 0/4 switch(config-if)#switchport access vlan 2 switch(config-if)#exit switch(config)#interface fastEthernet 0/5 switch(config-if)#switchport access vlan 2 switch(config-if)#exit switch(config)#exit switch#show vlan Configurar várias portas ao mesmo tempo use o comando RANGE switch(config)#interface range fastEthernet 0/3-10 8- Configurar TRUNK. Switch 2950: switch#config t switch(config)#interface fastEthernet 0/1 switch(config-if)#switchport mode trunk switch(config-if)#exit 9– Criptografar as senhas console e telnet (configure terminal).

switch(config)# service password-encryption


10 - Configurando PORT SECURITY NOS SWITCHS

Todos sabemos que a configuração de port security nos switchs Cisco é muito utilizada para não autorizar máquinas estranhas à rede corporativa, sem que haja prévia avaliação da equipe responsável, isso é fundamental para que uma rede tenha os requisitos mínimos de segurança. Comandos do Switch CTBA: Switch(config)#interface f0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security mac-address sticky -> guardar o mac-address automaticamente Switch(config-if)#switchport port-security maximum 1 -> número máximo de violação Switch(config-if)#switchport port-security violation shutdown -> se violado a inferface ficará desabilitada Switch(config-if)#switchport port-security -> habilita o port-security Gere tráfego (com ping PC0 para PC1) Switch# sh port-security Switch#sh port-security interface f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : 000C.CF35.4439:1 --> mostra ultimo MAC Address Security Violation Count : 0 Retire a ligação da FastEthernet 0/1 (ligada ao PC0)e ligue no NOTEBOOK do estagiário que pretende acessar a rede com seu ativo de rede. A interface ficará UP, mas quando gerar tráfego ela ficará DOWN.

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 18 DE 20 11 - Listas de Acesso

ACL - PADRÃO

#configure terminal

(config)#access-list 50 deny 192.168.31.0 0.0.0.255;

(config)#access-list 50 deny 10.21.32.254 0.0.0.0 //ou// (config)#access-list 50 deny host 10.21.32.254;

(config)#access-list 50 permit 10.21.0.0 0.0.255.255;

REMOÇÃO DE ACL

#No access-list 50

APLICANDO A UMA INTERFACE

(config)#int fastEthernet 0/0 // sintaxe = int fast[#/#]

(config-if)# ip access-group 50 in // sintaxe = ip access-group [#ACL] [in / out]

CONTROLE DE ACESSO VIA VTY (TELNET)

Pode-se filtrar usuários que tentam acessar o router via Telnet através de ACLs padrão.

– Cria a ACL padrão – Aplique diretamente às portas VTY através do comando access-class

CRIANDO A LISTA

(config)#access-list 50 permit 172.16.10.3

APLICANDO NO ACESSO VTY (TELNET)

(config-line)#line vty 0 4

(config-line)#access-class 50 in

ACL - ESTENDIDA

Filtra por protocolo;

Filtra por número de porta;

Permite acesso de usuários a determinada Lan, porém negando acesso a serviços específicos.


CRIANDO A LISTA

Router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log

A linha de comando acima bloqueia o acesso do host 172.16.30.2 para o serviço de telnet apenas.


(config)#int fastEthernet 0/0 // sintaxe = int fast[#/#]

(config-if)# ip access-group 110 in // sintaxe = ip access-group [#ACL] [in / out]

LISTAS NOMEADAS

CRIANDO A LISTA

Router(config)#ip access-list standard BLOCK-SALES

Router(config-std-acl)#deny 172.16.40.0 0.0.0.255

Router(config-std-acl)#permit any

Router(config-std-acl)#exit


Router(config)#int f 0/0

Ip access-group BLOCK-SALES out

12 – Roteamento Dinâmico RIP Router(config)#router rip Router(config-router)#network 1.0.0.0 Router(config-router)#network 2.0.0.0 Router(config-router)#network 5.0.0.0 Router(config-router)#network 10.0.0.0 Router(config-router)#version 2 Router(config-router)#no auto-summary Router(config-router)#passive-interface f0/0 Router(config-router)#exit

MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 20 DE 20 Router(config)#hostname R_Curitiba R_Curitiba(config)#exit R_Curitiba# show ip route OSPF R_Curitiba(config)#router ospf 1 R_Curitiba(config-router)#network 10.0.0.0 0.255.255.255 area 0 R_Curitiba(config-router)#network 1.0.0.0 0.255.255.255 area 0 R_Curitiba(config-router)#network 2.0.0.0 0.255.255.255 area 0 R_Curitiba(config-router)#network 5.0.0.0 0.255.255.255 area 0 EIGRP R_Curitiba(config)#router eigrp 1 R_Curitiba(config-router)#network 1.0.0.0 0.255.255.255 R_Curitiba(config-router)#network 2.0.0.0 0.255.255.255 R_Curitiba(config-router)#network 5.0.0.0 0.255.255.255 R_Curitiba(config-router)#network 10.0.0.0 0.255.255.255 R_Curitiba(config-router)#passive-interface f0/0

Material de apoio comandos i os (1)

Documents

Transcript of Material de apoio comandos i os (1)