1
Cisco IOS– Internetwork Operating System
Engenharia Informática ESTiG/IPB
Serviços de ComunicaçõesConfiguração de routers Cisco
2
IOS – Internetwork Operating System
● O IOS é um sistema operativo de rede proprietário, utilizado na maior parte dos Equipamentos de rede (Routers, Switches, Servidores de Acesso Remoto, etc) do fabricante Cisco Systems
● Apesar de proprietário, detém actualmente um estatuto de ''quase'' standard,
devido à enorme implantação mundial dos equipamentos que o incluem
● Trata-se de um SO de rede bastante poderoso e flexível, disponibilizando uma
linguagem de configuração própria
● Permite a configuração das principais famílias de protocolos existentes,
nomeadamente TCP/IP, IPX, AppleTalk, SNA, etc
Serviços de Comunicações
Engenharia Informática ESTiG/IPB
3
IOS – Componentes de um Router
● O software do Router é composto pelo IOS e por várias rotinas de arranque do sistema:
● POST (Power-On-Self-Test): rotina guardada em ROM, usada para verificar a
funcionalidade básica do hardware e detectar as suas interfaces aquando do
arranque do equipamento
● ROM monitor: rotina guardada em ROM, usada no fabrico, teste e depuração
de erros associados ao equipamento; permite recuperar de um estado de “crise”
● Mini-IOS: também conhecido por RXBOOT, é uma pequena imagem de IOS
guardada em ROM para activar as funcionalidades básicas de comunicação do
equipamento. Em geral, esta imagem é usada até que seja indicado ao
equipamento a localização de uma nova imagem IOS, a ser usada durante a
operação normal deste
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
4
IOS – Componentes de um Router
● Hardware do Router:
● Processador
● Vários tipos de memória
● Registo de configuração
● Portos e Interfaces
● etc
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
5
IOS – Componentes de um Router
● Memória do Router:
● RAM (Random Access Memory): função idêntica à da RAM dos computadores,
ou seja, armazenamento dos dados temporários e das instruções. Divide-se em:
● memória principal: contém cópia executável do IOS, uma cópia do ficheiro
de configuração (running configuration), tabelas de encaminhamento, tabela
de ARP e outras estruturas do IOS
● Memória partilhada (buffers): usada para armazenar temporariamente os
pacotes que atravessam o router
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
6
IOS – Componentes de um Router
● Memória do Router (cont.):
● ROM (Read-Only Memory): armazena o Mini-IOS (bootstrap) e o código POST
● Flash:
● memória implementada com uma variante de eeprom (Electrically Erasable
Programable ROM) ou com uma PCMCIA (PC Memory Card International
Association)
● Armazena as imagens IOS que o router usa
● NVRAM (Non-Volatile RAM): Memória RAM não volátil, usada para armazenar,
de forma permanente, o ficheiro de configuração do equipamento
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
7
IOS – Componentes de um Router
● Portos: Usados para acesso ao equipamento. Permitem configuração e gestão do router:
● Porto de Consola: normalmente acessível através de ligação RJ45, permite o
acesso local ao equipamento, a partir de um terminal ASCII ou de um computador
com emulador de terminal (p.e. Hyperterminal do Windows)
● Porto Auxiliar: pode também ser usado como porto de Consola. Permite a
configuração de comandos de modem e, como tal, permite a ligação de um
modem para acesso remoto ao equipamento com uma ligação dial-up a partir de
um terminal ASCII
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
8
IOS – Componentes de um Router
● Interfaces: Usados para comunicação com outros equipamentos. Alguns dos mais usados:
Tipo Descrição
Async São usadas para ligações modem de dial-in e dial-out
ATM Interfaces ATM
Serial Portos série, usados geralmente para ligações ponto-a-ponto
Ethernet Portos Ethernet
Fastethernet Portos Fast Ethernet
Gigabitethernet Portos Gigabit Ethernet
BRI
Tokenring Interfaces para redes Token Ring
Fddi
Hssi
Loopback Interface virtual do encaminhador
Null
Interface BRI (Basic Rate Interface) para ISDN
Interfaces para redes FDDI (Fiber Distributed Data Interconnect)
Interface série HSSI (High Speed Serial Interface)
Interface de descarte. Tudo o que é enviado para este interface é descartado
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
9
IOS – Componentes de um Router
● Registo de configuração: registo de 16 bits, guardado na NVRAM, que controla o modo como o equipamento realiza o processo de arranque
● Por defeito, indica ao processo de arranque para carregar o IOS guardado na
Flash e para carregar o ficheiro de configuração a partir da NVRAM
● Valor por defeito: 0x2102
● que corresponde à activação dos bits 1, 8 e 13
● Este valor indica que o equipamento deve procurar a sequência de arranque
na NVRAM, o break está inactivo e que deve carregar o software da ROM se
falhar o arranque de rede
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
10
IOS – Processo de arranque do router
Liga o router Executa POST
A flash tem uma
imagem IOS?Carrega imagem IOS da
ROMRouter em modo
de boot
Carrega a imagem
IOS da flash
A NVRAM está
vazia?
Carrega configuração da
NVRAM em RAM
Entrar em modo
setup?
Termina inicialização
do IOS
Modo setupCopia configuração para
NVRAM
Router funcional
s
n
n
n
s
s
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
11
IOS – Modos de acesso
● Interface da linha de comandos – CLI (Command Line Interface): interface que disponibiliza uma linha de comandos, em modo texto, através da qual se pode interagir com o IOS
● Existem dois modos de acesso:
● User EXEC Mode: Modo de acesso normal, sem permissões para alteração da
configuração. Estão acessíveis apenas alguns comandos gerais. Disponível por defeito,
após acesso ao Router (por telnet ou consola).
● Prompt do tipo: Router>
● Privileged Access Mode: Modo de acesso com permissões completas sobre o sistema.
Para aceder a este modo, digitar enable (introduzindo de seguida a password de acesso
total)
● Prompt do tipo: Router#
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
12
IOS – Categorias de comandos
● A configuração de Routers Cisco é dividida em diferentes níveis:
● Comandos Globais: afectam toda a configuração
● Comandos Principais:
● activam sub-comandos, para configurar determinados dispositivos
● Necessitam de sub-comandos adicionais para terem efeito
● Sub-Comandos: são utilizados após um comando principal, configurando
aspectos específicos de um dispositivo
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
13
IOS – Modos de configuração
Consola Aux Interface
Modo utilizador
Router>
Modo privilegiado
Router#
Modo configuração
Router(config)#
Modo configuração interface
Router(config-if)#
Modo configuração linha
Router(config-line)#
Modo configuração router
Router(config-router)#
enable
disable
configure
exit
interface
line
router
exit
exit
exit
ctrl+z ou end
ROUTER
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
14
IOS – Alguns Comandos globais...
●enable: entra em modo de acesso privilegiado
●disable: sai do modo de acesso privilegiado de volta ao modo de utilizador
●show version: lista a versão do IOS instalada
●show startup-config: lista a configuração que é usada no arranque do router
●show running-config: lista a configuração actual do router
●configure terminal: entra em modo de configuração e muda o ficheiro running-config
●hostname “nome”: define o nome do router
●show ip route: mostra a tabela de encaminhamento
●show protocolos: mostra os protocolos de encaminhamento e endereços de rede
configurados em cada interface
●show controllers: mostra o estado DTE ou DCE de uma interface
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
15
IOS – Alguns Comandos globais...
●ip route “network” “mask” “interface”: adiciona uma entrada manual na tabela de encaminhamento. Para ser atingida a rede especificada em network que possui a máscara especificada em mask os datagramas devem ser enviados para o interface interface
●no ip route “network” “interface”: remove uma entrada da tabela de encaminhamento
●write memory: grava a configuração actual na memória não volátil
●copy running-config startup-config: grava a configuração actual no ficheiro startup-config
●write erase: apaga a configuração corrente do router
●show interfaces: mostra a configuração de todos os interfaces do router
●show interface “interface”: mostra a configuração do interface especificado (p.e. Ethernet0, Ethernet1, Serial0, Serial1, BRI0, etc)
●ip domain-name “domínio”: define o domínio em que o router está incluído
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
16
IOS – Alguns Comandos globais...
●ip name-server “IP”: define o endereço IP de um servidor de DNS
●ip http server: activa a possibilidade de acesso à configuração do router por HTTP
●ip subnet-zero: activa a possibilidade de utilização da primeira subnet, quando uma rede é dividida em sub-redes (activado por defeito a partir do IOS 12.0)
●ip classless: activação do reconhecimento de redes CIDR (sem a noção tradicional de classes)
●copy running-config tftp: copia a configuração actual para um servidor de tftp
●copy tftp running-config: copia a configuração de um servidor de tftp para o router
●copy flash tftp: copia a imagem do IOS da flash para um servidor de tftp
●copy tftp flash: copia a imagem do IOS do servidor de tftp para a flash do router
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
17
IOS – Alguns Comandos principais...
●interface “interface”: permite entrar em modo de configuração do interface especificado:
● interface fastethernet 0/0
● interface serial 0/1
●line “line”: entra em modo de configuração de um porto (console, auxiliar, vty, etc) para mudar ou activar a password
●router rip: activa o protocolo de encaminhamento RIP
●router ospf n: activa o protocolo de encaminhamento OSPF, com o nº de processo n
●enable password “password”: activa a password desencriptada
●enable secret “password”: activa a password encriptada
●ip access-list extended 100: activa a configuração da access list número 100
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
18
IOS – Alguns sub-comandos...
●ip address “IP” “netmask”: atribui o endereço IP e a máscara de rede especificados, ao interface que está a ser configurado
●description “text”: texto descritivo do interface que está a ser configurado
●shutdown: desliga administrativamente o interface
●no shutdown: activa administrativamente o interface
●network: activa o protocolo de encaminhamento que está a ser configurado na rede especificada, que está ligada ao router
●exit: termina a configuração de um comando, voltando um nível para trás
●end ou ctrl+z: termina a configuração de um comando, voltando à raiz da prompt
●encapsulation “type”: selecciona a forma de encapsulamento dos pacotes IP
●clockrate “frequência”: activa o sinal de sincronismo com a frequência especificada
●bandwidth: configura a largura de banda num interface série
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
19
IOS – Ajuda e remoção de configuração
● Ajuda:
● Em qualquer altura, é possível obter ajuda acerca dos comandos ou opções
disponíveis na posição actual, pressionando a tecla ?
● Remoção de partes da configuração:
● precede-se o comando que activou determinado parâmetro com a expressão
''no''.
● Exemplo: no ip address 10.0.0.1 255.255.255.0
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
20
Exemplos de comandos IOS
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
21
IOS – Rede de testes
Rede C172.16.3.0/24
Rede A172.16.1.0/24
Rede B172.16.2.0/24
Rede D172.16.4.0/30
Rede E172.16.4.4/30
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
22
Rede de testes – passos para a configuração
Rede C172.16.3.0/24
Rede A172.16.1.0/24
Rede B172.16.2.0/24
Rede D172.16.4.0/30
Rede E172.16.4.4/30
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
● Para cada router:
● Configurar hostname
● Activar password (encriptada)
● Configurar interfaces
● Atribuir endereço IP
● Descrição do interface
● Activação do interface
● Gravar configuração na NVRAM
● Verificar as configurações
● Running-config
● Interfaces
● Rotas
● Configuração de rotas explícitas ou por defeito (onde aplicável)
● Configuração do RIP
● Configuração do OSPF
● Verificar as configurações
● Gravar configuração na NVRAM
23
IOS – Protocolo CDP
● CDP – Cisco Discovery Protocol: protocolo proprietário da Cisco, usado pelos routers e switches para obter informação básica sobre equipamentos vizinhos, nomeadamente:
● Identificador do dispositivo: normalmente o nome do dispositivo
● Endereços: lógicos e físicos
● Funcionalidades do dispositivo
● Plataforma: modelo, sistema operativo, etc
● O CDP pode ser activado e desactivado globalmente e/ou por interface
● Activação: cdp run
● Desactivação: no cdp run
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
24
IOS – Protocolo CDP
● Funcionamento do CDP:
● o equipamento começa por enviar um broadcast para descobrir os vizinhos que têm este
protocolo activo
● Após determinar a lista dos equipamentos com CDP activo, começa a trocar pacotes
CDP com estes, a intervalos regulares
● Funcionamento controlado por duas variáveis:
● Temporizador de actualização: intervalo de tempo de transmissão de pacotes CDP
pelas interfaces com o protocolo activo (valor por defeito: 60 s)
● cdp timer valor
● Temporizador de espera: intervalo de tempo que o dispositivo retém a informação
CDP do vizinho antes de ser eliminada, no caso de não receber mais pacotes CDP
(valor por defeito: 100 segundos)
● cdp holdtime valor
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
25
IOS – Protocolo CDP
● Visualização de informação CDP:
● show cdp neighbor
● show cdp neighbor detail
● show cdp entry nome
● show cdp traffic
● show cdp interface
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
26
IOS – Configuração de ligações Frame Relay
● Frame Relay: tecnologia de comunicação usada em redes WAN baseada na comutação por pacotes, que permite acesso múltiplo, ou seja, permite a interligação de vários dispositivos, ao contrário das ligações dedicadas que apenas interligam dois dispositivos
● Uma rede Frame Relay é partilhada por vários clientes, baseando-se no pressuposto
de que os clientes não precisam de usar simultaneamente a rede a 100%
● A partilha de uma infra-estrutura de comunicações significa que os custos são
distribuídos pelos vários clientes, o que reduz custos de comunicação por cliente
● O Frame Relay actua nos níveis um e dois do modelo OSI
● DLCI (Data Link Connection Identifier): identificador de um circuito virtual Frame
Relay
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
27
IOS – Configuração de ligações Frame Relay
● Rede típica Frame Relay
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
28
IOS – Configuração de ligações Frame Relay
● Exemplo de configuração Frame Relay num interface:
● interface serial0/0
● no ip address
● encapsulation frame-relay [ietf]
● no keepalive
● interface serial0/0.1 point-to-point
● ip address 172.16.4.1 255.255.255.252
● frame-relay interface-dlci 101
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
29
IOS – Configuração do protocolo RIP
● Configuração do RIP (Routing Information Protocol):
● configure terminal
● router rip
● network xxx.xxx.xxx.xxx
● network yyy.yyy.yyy.yyy
● version [1 2]
● passive-interface “nome_interface”
● end
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
30
IOS – Configuração do protocolo RIP
● O comando network:
● permite especificar quais as redes a que o router está ligado e que pretende
anunciar aos vizinhos
● O endereço especificado é sempre classfull, mesmo que os endereços das
redes ligadas ao router não o sejam
● O router verifica quais das suas interfaces têm endereços IP com o mesmo
número de rede especificado no comando
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
31
IOS – Configuração do protocolo RIP
● O comando network (cont.):
● Todas as interfaces especificadas nesta condição passam a fazer parte do
processo de actualização do protocolo RIP, nomeadamente:
● O router envia pacotes RIP pela interface
● Os pacotes RIP recebidos pela interface são processados
● A rede directamente ligada a essa interface é anunciada nos pacotes RIP
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
32
IOS – Configuração do protocolo RIP
● O comando passive-interface:
● Desactiva o envio de pacotes RIP pela interface especificada
● No entanto, a interface continua a receber pacores RIP e a rede associada é
anunciada pelas restantes interfaces que não estejam impedidas de anunciar
pacotes RIP
● Há ainda situações em que os pacotes RIP podem não ser encaminhados por serem
pacotes de broadcast
● Nestes casos, pode-se indicar explicitamente o endereço do router vizinho, para que
os pacotes RIP sejam enviados directamente para este endereço
● neighboor endereço_router_vizinho
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
33
IOS – Configuração do protocolo RIP
● show ip route – lista a tabela de encaminhamento do router
● show ip protocols – mostra todos os protocolos de encaminhamento configurados no
router
● debug ip rip – permite observar a troca de pacotes RIP de um router em tempo real
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
34
IOS – Configuração do protocolo OSPF
● Configuração do OSPF:
● configure terminal
● router ospf “n_processo”
● network xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy area “area_id”
● xxx.xxx.xxx.xxx: end. da Rede a anunciar
● yyy.yyy.yyy.yyy: wildcard mask da rede a anunciar
● area_id: número da área a que percence a rede
● passive-interface “nome_interface”
● end
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
35
IOS – Configuração do protocolo OSPF
● Configuração de parâmetros OSPF nos Interfaces:
● ip ospf cost “custo”: define o custo de envio de um pacote no interface
● ip ospf retransmit-interval “segundos”: define o tempo entre retransmissões LSA
para adjacências
● ip ospf priority “número”: define o valor de prioridade para determinação do router
designado numa rede de acesso múltiplo
● ip ospf hello-interval “segundos”: especifica o intervalo de tempo entre envios de
pacotes hello
● Ip ospf dead-interval “segundos”: número de segundos após um router ser
detectado como desligado, a partir do qual o router deixa de enviar pacotes hello
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
36
IOS – Configuração do protocolo OSPF
● Configuração de parâmetros OSPF nos Interfaces (cont.):
● ip ospf authentication-key “chave”: define uma password para ser usada pelos
routers OSPF vizinhos num segmento de rede que use simple password
authentication
● ip ospf message-digest-key “n_chave” md5 “chave”: activa a autenticação MD5
● ip ospf authentication {message-digest | null}: define o tipo de autenticação para
um interface
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
37
IOS – Configuração do protocolo OSPF
● Configuração de parâmetros de uma Área OSPF:
● area “area_id” authentication: activa a autenticação numa área OSPF
● area “area_id” authentication message-digest: activa autenticação MD5 numa área
OSPF
● area “area_id” stub [no-summary]: define a área para ser uma área stub
● area “area_id” default-cost “custo”: define um custo por defeito para as rotas
sumarizadas usado na área stub
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
38
IOS – Configuração do protocolo OSPF
● Anúncio de uma rota por defeito para o interior de uma rede OSPF:
● No router de fronteira da rede:
● conf t
● router ospf “n_processo”
● network ...
● default-information originate
● exit
● ip route 0.0.0.0 0.0.0.0 “gateway”
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
39
IOS – Configuração do protocolo OSPF
● show ip route
● show ip ospf
● show ip ospf database
● show ip ospf neighbor
● show ip ospf interface
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
40
IOS – Configuração do protocolo BGP
● Configuração do BGP:
● configure terminal
● router bgp “n_sistema_autonomo”
● network xxx.xxx.xxx.xxx mask yyy.yyy.yyy.yyy
● xxx.xxx.xxx.xxx: end. da Rede a anunciar
● yyy.yyy.yyy.yyy: máscara da rede a anunciar
● neighboor xxx.xxx.xxx.xxx remote-as “n_as_remoto”
● end
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
41
IOS - Listas de controlo de acesso
● Permitem filtrar tráfego (efectua testes aos pacotes de dados)
● Ex: nega ou permite em função do endereço ou tipo de tráfego
● Permite restringir a utilização da rede para certos serviços e/ou dispositivos
● Cada interface do router, pode ter duas listas de acesso por protocolo, uma para entrada e outra para saída de tráfego
● Não se pode apagar uma linha da ACL (apenas toda a lista)
REGRAS:
● É efectuado de uma forma sequencial: linha1, linha2, linha3, etc. (Colocar as linhas mais restritivas no topo da lista!)
● A procura é feita até que uma linha faça matching (as outras linhas serão ignoradas)
● Existe um “deny” implícito no fim de todas as listas de acesso (se não for efectuado matching até essa linha, então o pacote de dados será descartado)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
42
IOS – Tipos de ACLs
● Standard (1-99, 1300-1999)
- Usado para filtrar pacotes de uma dada origem (permite ou nega o tráfego a um conjunto de protocolos baseado no endereço de rede/subrede/máquina)
• Extended (100-199, 2000-2699)
- Usado para filtrar pacotes baseados na sua origem e destino
- Filtra pelo tipo de protocolo (Ex: IP, TCP, UDP, etc.) e pelo número da porta
Nota: Também podem ser utilizados nomes para fazer referência às listas (em “substituição” dos números)
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
43
IOS – Comandos para manuseamento de ACLs
● Standard- Acrescentar uma linha a uma lista:
access-list número-lista {permit | deny} endereço_origem {máscara}- Activar uma lista de acesso numa interface do router (para “entrada” ou “saída”):
ip access-group número-lista {in | out}• Extended- Acrescentar uma linha a uma lista:
access-list número-lista {permit | deny} protocolo endereço_origem {máscara} endereço-destino {máscara}- Activar uma lista de acesso numa interface do router (para “entrada” ou “saída”):
ip access-group número-lista {in | out}• Listas com nome
ip access-list standard|extended nome_lista(depois colocar as linhas necessárias para a lista)ip access-group nome-lista {in | out}
• Remoção de uma lista de acessono access-list número-listano ip access-group número-lista in|out (remove uma ACL de uma interface)
• Comandos para consulta de listasshow ip interfacesshow access-lists [número]show ip access-list [número]
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
44
IOS – Máscaras nas ACLs
● São utilizadas para identificar os intervalos de endereços IP. Funcionam de forma contrária às máscaras de subrede (Cada 0 deve fazer matching, cada 1 deve ser ignorado)● Para calcular a máscara da lista faz-se o seguinte:
- Identificar o valor decimal de cada byte da máscara de subrede- Subtrair a 255 o valor encontrado
● Exemplo: Obter a máscara utilizada numa lista para a máscara de subrede255.255.248.0
- Primeiro byte: 255-255=0- Segundo byte: 255-255=0- Terceiro byte: 255-248=7- Quarto byte: 255-0=255
● A máscara a utilizar na lista será: 0.0.7.255● Atente aos valores obtidos:
- Máscara da subrede (255.255.248.0): 11111111.11111111.11111000.00000000
- Máscara da lista (0.0.7.255): 00000000.00000000.00000111.11111111
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
45
IOS – Exemplos de ACL Standard
Exemplo 1: Cria uma lista de acesso que permite todo o tráfego excepto da rede 10.0.0.0. A lista é aplicada à interface Ethernet 0/0:
Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255Router(config)#access-list 1 permit anyRouter(config)#interface Ethernet 0/0Router(config-if)#ip access-group 1 out
Exemplo 2: Rejeita todo o tráfego excepto da máquina 10.12.12.14 e aplica a lista àinterface Serial 0/0
Router(config)#access-list 2 permit host 10.12.12.14(Router(config)#access-list 2 deny any)Router(config)#interface serial 0/0Router(config-if)#ip access-group 2 in
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
46
IOS – Exemplos de ACL Extendend
● Exemplo 1: Não encaminha tráfego TCP de qualquer host da rede 10.0.0.0 para a rede 11.12.0.0. Aplica a lista à interface Serial 0/0
Router(config)#access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255Router(config)#access-list 111 permit ip any any
Router(config)#interface serial 0/0Router(config-if)#ip access-group 111 in
• Exemplo 2: Esta lista impede todos os telnets do host 192.168.1.25Router(config)# access-list 102 deny tcp host 192.168.1.25 any eq 23Router(config)# access-list 102 permit tcp any any
• Exemplo 3: Estas listas permitem a ligação a servidores Web na internet e impedem a ligação de qualquer máquina da internet à rede interna
Rede interna: 63.36.9.0Access-list 101: aplicada ao tráfego que sai da rede interna (outbound)Access-list 102: aplicada ao tráfego que entra na rede interna (inbound)
Router(config)# access-list 101 permit tcp 63.36.9.0 0.0.0.255 any eq 80Router(config)# access-list 102 permit tcp any 63.36.9.0 0.0.0.255 established
Router(config)# interface serial 0/0Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 102 in
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
47
IOS – Exemplos de ACL com nome
Router(config)# ip access-list extended fica_de_foraRouter(config-ext-acl)# permit tcp any 172.16.0.0 0.0.255.255 establishedRouter(config-ext-acl)# permit udp any host 172.16.1.1 eq dnsRouter(config-ext-acl)# permit tcp 172.17.0.0 0.0.255.255 host 176.16.1.2 eq telnetRouter(config-ext-acl)# permit icmp any 176.16.0.0 0.0.255.255 echo-replyRouter(config-ext-acl)# deny ip any anyRouter(config-ext-acl)# exitRouter(config)# interface Ethernet0Router(config-if)# ip access-group fica_de_fora {in|out}
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
48
IOS – Exercícios de ACLs
Considere que está a utilizar a ACL 15. Efectue a configuração da lista, de modo a permitir o acesso do tráfego com origem em:
• 192.168.1.0/20• 220.11.199.64/27• 10.64.0.0/13• 130.15.128.0/17• 76.240.96.0/19• 214.122.95.128/26
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
49
IOS – Exercícios de ACLs (2)
a) Configure uma ACL que permita todo o tráfego excepto tráfego com origem em:
• máquina 12.15.77.122• máquina 188.15.99.75• rede 177.15.0.0/16• rede 200.12.199.0/24
b) Aplique a ACL à interface Serial0 do router (tráfego de “entrada”)c) Consulte todas as ACLs que existem no routerd) Consulte a lista que acabou de definire) Consulta as listas configuradas na interface serial 0/0f) Remova a ACL da interface serial 0/0g) Remova a ACL do router
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
50
IOS – Rede de testes no Packet Tracer
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
51
IOS – Rede de testes no Packet Tracer
● A rede D não aceita “pings” do exterior● A rede C não aceita tráfego da rede B● A rede B acede ao servidor http ● Na rede C apenas a máquina 172.16.3.1 acede ao servidor http● Na rede D apenas a máquina 172.16.4.2 não acede ao servidor http● A impressora apenas pode ser utilizada por máquinas que se encontrem na rede B, rede C e pela máquina 172.16.4.2
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
52
IOS – Configuração de um Servidor DHCP
● O IOS permite a configuração de um router Cisco como Servidor DHCP
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
53
IOS – Configuração de um Servidor DHCP
● Exemplo de configuração:
ip dhcp excluded-address 172.20.1.1
ip dhcp excluded-address 172.20.1.254
ip dhcp pool teste
network 172.20.1.0 255.255.255.0
domain-name teste.ipb.pt
dns-server 172.20.1.1
default-router 172.20.1.254
lease 0 0 30
update arp // para protecção contra IP Spoofing
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
54
IOS – Configuração de um Servidor DHCP
● Comandos de monitorização do serviço:
● show ip dhcp binding
● show ip dhcp conflict
● show ip dhcp database
● show ip dhcp pool
● show ip dhcp server statistics
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
55
NAT (Network Address Translation)
● Permite ligar uma rede privada à Internet● Não necessita de um endereço IP “público” para cada máquina
● O Router transforma o endereço privado num endereço público e vice-versa
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
56
IOS – Tipos de NAT
● Endereços privados- Classe A: 10.0.0.0 - 10.255.255.255- Classe B: 172.16.0.0 - 172.31.255.255- Classe C: 192.168.0.0 - 192.168.255.255
Tipos de NAT:
● Estático: Cada ip interno é associado a um ip público. O mapeamento é manual● Dinâmico: O mapeamento é automático. O router tem uma pool de endereços para efectuar o mapeamento● Overload with PAT (Port Address Translation): Um único endereço público pode estar associado a vários endereços privados. A “separação” é feita através da utilização de uma porta para cada host
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
57
IOS – NAT estático
Router(config)# ip nat inside source static Endereço_Interno Endereço_públicoRouter(config)# ip nat outside source static Endereço_público Endereço_interno
Definir as interfaces “inside” e “outside”:
Router(config)# interface type [slot_#/]port_#
Router(config-if)# ip nat inside|outside
Exemplo
Router(config)# ip nat inside source static 192.168.1.2 200.200.200.1Router(config)# interface FastEthernet 0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface Serial2/0Router(config-if)# ip nat outside
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
58
IOS – NAT dinâmico
1-Definir os endereços internos que usarão NAT:
Router(config)# ip nat inside sourcelist número_lista_standard(ACL)pool nome_da_pool
2- Criar a pool de endereços públicos a usar:
Router(config)# ip nat pool nome_da_poolEndereço_público_inicialEndereço_público_finalnetmask máscara_subrede
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
59
IOS – NAT dinâmico
Exemplo (Configuração de NAT dinâmico para os dois PCs)
Router(config)# ip nat inside source list 1 pool minha-poolRouter(config)# access-list 1 permit 192.168.1.12 0.0.0.0Router(config)# access-list 1 permit 192.168.1.14 0.0.0.0Router(config)# ip nat pool minha-pool
200.200.200.2200.200.200.3 netmask 255.255.255.0
Router(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface Serial2/0Router(config-if)# ip nat outside
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
60
IOS – Redireccionamento de portas
● Utiliza PAT estático● Um “servidor virtual” é usado para aceder a vários servidores/serviços (que podem estar na mesma máquina e/ou em máquinas diferentes)● Cada servidor/serviço utiliza uma porta diferente
Exemplo:Router(config)# ip nat inside source static tcp 192.168.1.6 80 200.200.200.1 80Router(config)# ip nat inside source static tcp 192.168.1.7 21 200.200.200.1 21Router(config)# ip nat inside source static tcp 192.168.1.7 20 200.200.200.1 20Router(config)# ip nat inside source static tcp 192.168.1.5 25 200.200.200.1 25Router(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface Serial2/0Router(config-if)# ip nat outside
Engenharia Informática ESTiG/IPB
Serviços de Comunicações
Top Related