Material de apoio comandos i os (1)

1,099 views
991 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,099
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
74
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Material de apoio comandos i os (1)

  1. 1. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 1DE 20Colocar  sintaxe  do  ip  route  Conteúdo  1.   Iniciando a Configuração...........................................................................................................................1  Interagindo com a CLI do Roteador ..............................................................................................................2  1.3.   Modos de configuração .......................................................................................................................3  1.1.1   Modo Usuário (router>)...............................................................................................................3  1.1.2   Modo Privilegiado (router #) .......................................................................................................3  1.1.3   Modo Configuração Global (router (config)#) ............................................................................4  1.1.4   ENTRANDO NAS INTERFACES Ethernet, Fast Ethernet e Seriais.........................................5  2.   Configurar banners.....................................................................................................................................6  3.   Modificando o hostname............................................................................................................................6  4.   Configurar endereços IP ............................................................................................................................7  5.   Descrições de interfaces.............................................................................................................................8  6.   Configurando as senhas .............................................................................................................................9  6.1.   Telnet...................................................................................................................................................9  6.2.   Configurando senha de console...........................................................................................................9  6.3.   Senha para modo enable....................................................................................................................10  7.   Armazenando senhas de forma criptografada..........................................................................................10  8.   Definindo timeouts...................................................................................................................................10  9.   Salvar as configurações............................................................................................................................11  10.   Rotas estáticas.......................................................................................................................................11  11.   Configurando Rota default....................................................................................................................11  12.   Configurando DHCP............................................................................................................................12  13.   Rota dinâmica com RIP: .......................................................................................................................13  14.   Rota dinâmica com OSPF:....................................................................................................................14  15.   Configuração de switchs.......................................................................................................................14  1. Iniciando a ConfiguraçãoPara iniciar esta configuração e ter acesso ao roteador é necessário usar a porta de consoledisponível no roteador. Para isso você usará um cabo de console(rollover) o qual será ligado na portaserial do seu microcomputador (ou USB) e na porta de console do roteador. Porém a porta serial docomputador precisa de um conversor, o qual terá um conector DB-9 ou DB-25 na ponta.Para fazer a configuração inicial do roteador deverá ser utilizado o programa de emulação determinal “Hyper Terminal” disponível no Windows.A configuração do programa usa geralmente os seguintes parâmetros:Velocidade = 9600bpsBits de dados = 8Paridade = nenhumaBit de parada = 1Sem controle de fluxo
  2. 2. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 2DE 20Estando com o Hyper Terminal devidamente configurado, ligue o roteador, então ele executará o POST ecomo não será detectada uma configuração válida, o IOS inicia um diálogo interativo chamado SystemConfiguration Dialog, no qual sera mostrado na tela do Hyper Terminal que você está usando para acessara console.Interagindo com a CLI do RoteadorA Cisco usa o acrônimo CLI para referir-se à interface de linha de comando do terminal de usuáriopara o IOS. O termo CLI significa que o usuário está digitando comandos em um terminal, em umemulador de terminal ou em uma conexão remota Telnet. Para acessar a CLI, usa-se um dos métodos,conforme a figura abaixo:Figura – Formas de acesso à CLIIndependente do método de acesso utilizado, quando se configura o roteador é possível faze-lo devários modos. Os modos definem como esta configuração será feita.Vejamos os modos existentes:User EXEC Mode (Modo Usuário)Privileged EXEC Mode (Modo Privilegiado)Global Configuration Mode (Modo de Configuração Global)Observação: A CLI (Command Line Interface) dos roteadores Cisco tem uma grande vantagem quando setrata de digitação de comandos. Você poderá digitar as primeiras letras de um comando e já pressionarENTER para que ele identifique e interprete o comando. Para alguns comandos basta digitar duas letras,mas para outros é necessário digitar mais. Isso varia pois, como existem diversos comandos cujasprimeiras letras são idênticas, ele não saberá que comando deverá interpretar. Veja abaixo um exemplodos comandos enable e disable.Router> enRouter # disaRouter >
  3. 3. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 3DE 20Note que no caso do “disable” foi necessário digitar as quatro primeiras letras, isso porque existeum comando chamado “disconnect” no modo privilegiado que se você digitar os três primeiros geraráconflito.Dica: Para otimizar o trabalho também é possível digitar os primeiros caracteres, pressionar a tecla TAB eserá preenchido o comando completo para que você veja que comando foi digitado.Estando no Modo Privilegiado é possível entrar no Modo Configuração Global onde os comandos eas configurações irão afetar o sistema como um todo.1.3. Modos de configuração1.1.1 Modo Usuário (router>)SÍMBOLO = “ > ”Comandos:Enable – acesso para o modo privilegiado – aceita comandos Show´senable acesso para o modo privilegiadodisable Turn off privileged commandsexit Exit from the EXEClogout Exit from the EXECping Send echo messagesshow Show running system informationtelnet Open a telnet connectiontraceroute Trace route to destination Reload – reinicia1.1.2 Modo Privilegiado (router #)SÍMBOLO = “ # ”show Show running system informationconfigure Enter configuration modecopy Copy from one file to anotherdisable Turn off privileged commandsdisconnect Disconnect an existing network connectionerase Erase a filesystemexit Exit from the EXEClogout Exit from the EXECping Send echo messagesreload Halt and perform a cold restartssh Open a secure shell client connectiontelnet Open a telnet connectiontraceroute Trace route to destinationvlan Configure VLAN parametersPrincipais comandos do MODO PRIVILEGIADOConfigure terminal - acesso para o modo configuração global (conf t)show running-config – exibe as configurações da memória RAM – (sh run)show startup-config – exibe as configurações que estão salva na NVRAM (configurações salvas) - (shstart)
  4. 4. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 4DE 20show ip interface brief - Relacionado a Configuração - Apresenta resumo da interface: endereço IP,status do link físico e lógico.show ip route – exibe as rotas apreendidas (cadastradas).show interface <interface> Relacionado a Hardware - Apresenta status do link, endereço IP, clock rate,MTU, e protocolos da camada física e de enlace rodando (ex: LCP, NCP no PPP).show ip interface <interface> Relacionado a Configuração - Apresenta dados como: status da conexãofísica e lógica, endereço IP, MTU, ACLs, NAT e diversos outros parâmetros.show protocols - Relacionado a Configuração - Apresenta status do link e endereço IP, deste.show ip protocols - Relacionado a Protocolos de Roteamento - Apresenta todas informações relevantesaos protocolos de roteamento em uso: parâmetros de configuração, rotas anunciadas, última atualização.show ip routeTabela de Roteamento à São as redes aprendidas (dinâmica ou estaticamente), [distânciaadministrativa/métrica], o IP e a interface vinculada para realizar as rotas.Show version – exibe informação sobre versão do IOS, interfaces, config-register etc – (sh ver)Show sessions – exibe as sessões de telnet abertas no momento – (sh sess)Show cdp nei – exibe os router´s vizinhos – (sh cdp nei)Show flash – exibe o conteúdo existente na memória flash – (sh flash)Show memory – exibe informações sobre a memória do router – (sh mem)Show history – mostra históricos dos comandos executados.Show arp – mostra a tabela ARPSalvando Configurações:Copy running-config startup-config – SALVA o conteúdo da RAM para NVRAMCopy running-config tftp – copia o conteúdo da RAM para um servidor de TFTP.Copy flash tftp – copia o conteúdo da flash para um servidor de TFTP.Copy tftp startup-config – copia o aruivo de configuração do TFTP para a NVRAM.Copy tftp flash – copia o IOS do servidor de TFTP para flash.Wr – salva as configuraçõesService password-encryption – deixa todas a senha criptografadas.1.1.3 Modo Configuração Global (router (config)#)SÍMBOLO = (CONFIG)#Hostname – seta um nome ao routerEnable secret – seta a principal senha do router (criptografada)Banner motd – montagem de um bannerInterface – entra na interface desejada (colocar o tipo da interface E0 ou S0)access-list Add an access list entrybanner Define a login bannercdp Global CDP configuration subcommandsclock Configure time-of-day clockconfig-register Define the configuration register
  5. 5. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 5DE 20crypto Encryption moduledo To run exec commands in config modedot11 IEEE 802.11 config commandsenable Modify enable password parametersend Exit from configure modeexit Exit from configure modehostname Set systems network nameinterface Select an interface to configureip Global IP configuration subcommandsipv6 Global IPv6 configuration commandsline Configure a terminal linelogging Modify message logging facilitieslogin Enable secure login checkingmac-address-table Configure the MAC address tablespanning-tree Spanning Tree Subsystemlogin Enable secure login checkingmac-address-table Configure the MAC address tablerouter Enable a routing processsecure Secure image and configuration archival commandssecurity Infra Security CLIsservice Modify use of network based servicessnmp-server Modify SNMP engine parametersspanning-tree Spanning Tree Subsystem1.1.4 ENTRANDO NAS INTERFACES Ethernet, Fast Ethernet e SeriaisSÍMBOLO = “ (CONFIG-IF)# ”ETHERNET E FAST ETHERNETIp address – seta ip na interface (lembra de colocar o IP e máscara)Description – coloca uma descrição para a interface. Ex: LINK DO ROUTER SP COM RJ 100MbpsNo shutdown – restart na interface (comando dado toda vez que é setado um ip na interface)SERIAISIp address – seta ip na interface (lembra de colocar o IP e máscara)Encapsulation ppp – seta o protocolo de encapsulamento ppp, podendo ser HDCL, FrameRelay e ISDN.Clockrate – seta o sincronismo nos router´s (lembrando que quando utilizamos modems não énecessário)Description – coloca uma descrição para a interface. Ex: LINK DO R3 com R2No shutdown – restart na interface (comando dado toda vez que é setado um ip na interface)Bandwidth – seta a velocidade. Ex: bandwidth 1000 significa uma velocidade 1 Mbps.EXEMPLOS:CONFIGURANDO INTERFACE FAST-ETHERNETRouter> enableRouter#configure terminalRouter(config)hostname Router_A // atribui o nome Router_A ao routerRouter(config)#interface fastethernet 0/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#description DEPTO RH001Router(config-if)#no shutdownRouter(config-if)#exit
  6. 6. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 6DE 20CONFIGURANDO INTERFACE SERIALRouter(config)#interface serial 2/0Router(config-if)#ip address 10.10.2.1 255.255.255.0Router(config-if)#encapsulation pppRouter(config-if)#clock rate 64000Router(config-if)#description Interligacao com Filial_SPRouter(config-if)#bandwidth 1000Router(config-if)#no shutdownCTRL + ZRouter#copy running-config startup-config // copia configuração RAM para memória NVRAM2. Configurar bannersOs banners são mensagens exibidas para usuários quando eles tentam se conectar ao roteador pela rede.Através destas mensagens você pode avisá-los sobre manutenção, regras relacionadas ao uso, instruçõesde segurança, etc.Existem alguns tipos diferentes de banners que podem ser configurados no IOS:• exec: A mensagem do tipo exec é exibida quando uma sessão exec é iniciada;• incoming: Esta mensagem é exibida para usuários que se conectem ao roteador através doconsole ou linha auxiliar;• login: Este banner é apresentado depois do motd e antes de aparecer o prompt e é exibido emtodos os terminais conectados;• motd: O banner motd (message of the day, mensagem do dia) é o banner mais comum e utilizadoem dispositivos Cisco. A mensagem definida como motd, será exibida para todos os que tentaremse conectar ao seu roteador não importando a forma (Telnet, console, auxiliar, etc.).Como você já deve ter percebido, a diferença entre os tipos de banners é o momento em que eles sãoexibidos. Como o motd é o único que sempre é exibido, não importa o modo de conexão, geralmente é eleo mais usado.Para configurar o banner motd:Osiris(config)# banner <tipo do banner> <caracter delimitador da mensagem>Depois de definir o tipo do banner, você deve indicar qual caracter delimitará a mensagem que você vaidigitar, ou seja, o caracter indicado no comando irá definir o fim da mensagem do banner. Por exemplo:Osiris(config)# banner motd @ Acesso restrito somente a equipe de redes da empresa XYZ S/ASe nao esta autorizado recomendamos sua desconexao imediata.Este sistema é auditado permanentemente @No exemplo acima, a mensagem definida é “Acesso restrito somente a equipe ...”. O “@” não éconsiderado parte da mensagem. Vale lembar que o caracter que você escolher não pode aparecer notexto que você quer definir como sendo o conteúdo do banner.3. Modificando o hostnameO hostname que você configura direto no roteador tem relevância apenas localmente, ou seja, outrosroteadores na sua rede não poderão se referir ao seu roteador pelo nome que você definir através docomando “hostname”. Para que seja possível definir um nome com relevância global (permitindo que
  7. 7. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 7DE 20outros roteadores utilizem o nome escolhido para a comunicação com este roteador) você deve alterar azona correspondente no seu servidor DNS.Para configurar o hostname, você deve acessar o seu roteador (se você ainda não configurou a senhapara o telnet, você poderá apenas acessá-lo através do console. Mais adiante neste post você iráaprender a definir todas as senhas necessárias para acessar o dispositivo através da rede) e ir para omodo de configuração:Router> enableRouter# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#O comando “configure terminal” o levará para o modo de configuração global do IOS. Aqui você podealterar todas as configurações do sistema, por exemplo, definir os IP’s das interfaces, habilitar/desabilitarinterfaces, definir rotas, configurar protocolos de roteamento dinâmico (como RIPv2, OSPF, etc), definirbanners, etc.Estando no modo de configuração, execute o seguinte comando para definir o hostname:Router(config)# hostname NomeDesejadoPor exemplo,Router(config)# hostname OsirisOsiris(config)#Note que, logo após você modificar o hostname, ele já passa a ser utilizado no prompt. Porém, não seengane: se você reiniciar o roteador agora o nome “desaparecerá”. Para que o nome fique configuradopermanentemente no roteador, você deve salvar as configurações. Veremos como fazer isso mais adianteno post.4. Configurar endereços IPPor motivos óbvios, você precisa configurar endereços IP em todas as interfaces que estão sendoutilizadas pelo seu roteador.Este processo é bem simples, não leva nem 5 minutos. Para isso, você deve saber exatamente quaisinterfaces existem em seu roteador e quais delas você deseja configurar. Para isso, utilize o comando:Osiris# show interfacesAlém do nome, várias informações relacionadas às interfaces são exibidas. Guarde bem os nomes dasinterfaces que você deseja configurar e vá para o modo de configuração global:Osiris# configure terminalOsiris(config)#Uma vez no modo de configuração global, você precisa entrar no contexto da interface que você querconfigurar. Para isso, basta utilizar o comando “interface” seguido do nome dela:
  8. 8. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 8DE 20Osiris(config)# interface FastEthernet 0/0Osiris(config-if)#Neste modo, como você já viu, você poderá configurar todas as opções desta interface apenas. Paraconfigurar opções de outras placas, você deve entrar no contexto de configuração delas. Para configurar oendereço IP nesta interface faça o seguinte:Osiris(config-if)# ip address 192.168.1.1 255.255.255.0Este comando já define tanto o endereço IP que será utilizado nesta interface quanto a máscara de sub-rede.As interfaces de roteadores Cisco por padrão estão sempre desabilitadas. Depois que você fizer aconfiguração delas, você deve ativá-las se não, mesmo que tudo tenha sido configurado corretamente,você não será capaz de acessar a rede. Seguindo o padrão Cisco, basta você colocar um “no” na frente docomando “shutdown” no contexto de configuração da interface para que ela seja ativada:Osiris(config-if)# no shutdownComo você já deve ter deduzido, para desabilitar a interface você deve executar o comando “shutdown” nomodo de configuração da interface específica. O status de todas as interfaces do dispositivo pode servisualizado utilizando-se o comando “show interfaces” ou “show interfaces FastEthernet 0/0″ no modoenable. A seguinte linha:FastEthernet0/0 is administratively down, line protocol is downIndica uma interface desabilitada. Sempre que uma interface está parada por decisão do administrador dosistema, o status terá “administratively down”. Caso esta expressão não apareça, é muito provável quealgum outro problema está impedindo o correto funcionamento (um problema no cabo, por exemplo). Umainterface ativa mostraria uma linha parecida com:FastEthernet0/0 is up, line protocol is up5. Descrições de interfacesSe você configura muitos roteadores diferentes, pode acabar ficando meio difícil lembrar exatamente aqual rede uma determinada interface está conectada, ou qual o papel de uma determinada interface. Paraisso, o IOS permite que você adicione descrições sobre cada interface presente em seu roteador.Esta configuração também deve ser feita no contexto de configuração da interface em questão, utilizandoo comando “description”. Por exemplo:Osiris(config-if)# description Interface que liga o roteador a rede do provedor.Você pode definir uma configuração de no máximo 240 caracteres. Pode utilizar espaços, porém não ébom utilizar acentuação. A descrição que você utiliza com o comando “description” pode ser vista quandovocê digita o comando “show interfaces” no modo enable:Osiris# show interfacesFastEthernet0/0 is administratively down, line protocol is downHardware is AmdFE, address is c800.342d.0000 (bia c800.342d.0000)Description: Interface que liga o roteador a rede do provedorInternet address is 192.168.1.1/24…
  9. 9. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 9DE 20Como já disse, isso é opcional mas pode ajudar muito você ou quem for administrar o roteador e ainda nãoo conheça.6. Configurando as senhasAntes de você configurar qualquer senha no roteador, o IOS não permite qualquer tipo de conexão remotaa ele: apenas o console permite que você se conecte a ele para que você consiga configurar o roteador.Então, para permitir que você utilize o Telnet para administrar o roteador daqui para frente, vou te mostraraqui como configurar as senhas para esse serviço.6.1. TelnetNo IOS, você deve referir-se ao Telnet como linhas VTY. A quantidade de linhas VTY varia de modelo paramodelo, não há uma quantidade fixa. Para descobrir quantas linhas o seu roteador disponibiliza para você,faça o seguinte. No modo de configuração global:Osiris(config)# line vty ?<0-4> First Line numberNo dispositivo que estou usando, existem 5 linhas numeradas de 0 a 4. Para definir a senha:Osiris(config)# line vty 0 4Osiris(config-line)# loginOsiris(config-line)# password senhaAgora, quando você tentar se conectar ao seu roteador através do Telnet basta fornecer a senha que vocêespecificou no comando “password”, não importa qual o número da linha à qual você está se conectando.Se você quiser permitir que logins sejam feitos através de Telnet mesmo que uma senha não tenha sidoconfigurada (o que não é nada recomendado), basta negar o comando “login” no contexto de configuraçãoda linha:Osiris(config-line)# no loginE você poderá se logar no roteador sem precisar de uma senha.Embora o Telnet seja o padrão para administração remota de roteadores e switches Cisco, ele não é nadaseguro. Todo o tráfego trocado entre cliente e servidor é transmitido em texto claro, permitindo que alguémsniffe a conexão e consiga descobrir o seu usuário e senha. Para mitigar este problema, o maisrecomendado atualmente é configurar o SSH no dispositivo e utilizá-lo ao invés de usar o Telnet. Jáexpliquei como funciona este processo em outro post.6.2. Configurando senha de consoleSe você se conectar ao roteador através da porta de console, o padrão é não ter senha para que vocêconsiga configurar o switch assim que ele sai da caixa. Porém, é uma boa prática proteger esta conexãocom uma senha.No caso do console, a linha utilizada se chama console e geralmente existe apenas 1: a porta 0. Paraconfigurá-la, você deve fazer o seguinte:Osiris(config)# line console 0Osiris(config-line)# password senha
  10. 10. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 10DE 20Agora, sempre que você se conectar ao console você deverá digitar a senha informada ao comando“password” como descrito acima.6.3. Senha para modo enableAlém de senhas para as linhas, também é possível definir uma senha para proteger o modo enable, quedá mais poderes ao usuário.Para definir esta senha, acesse o modo de configuração global e utilize o comando “enable secret”:Osiris(config)# enable secret senhaIsso irá criar uma senha criptografada que será utilizada sempre que você tentar acessar o modo enabledo roteador, não importa a forma pela qual você se conecte ao dispositivo. Você também pode criar umasenha não-criptografada utilizando o comando “enable password”:Osiris(config)# enable password senhaSe você definir tanto a secret quanto a password, a senha secret sempre terá preferência e é ela a quesempre será utilizada. Embora você tenha a opção de utilizar uma senha não-criptografada, érecomendado que você utilize apenas a senha criptografada com o comando “enable secret”.7. Armazenando senhas de forma criptografadaPor padrão, a única senha criptografada no IOS é a senha definida pelo comando “enable secret”. Todasas outras são exibidas em texto claro através do comando “show running-config”. Para impedir que issoaconteça, você deve ativar o serviço de criptografia de senhas. É muito importante que você ative esteserviço, já que ele é praticamente a sua única proteção para as senhas armazenadas na memória doroteador.Habilitar o serviço é muito simples. No modo de configuração global, execute o seguinte comando:Osiris(config)# service password-encryptionE pronto, agora sempre que as suas senhas forem ser exibidas, apenas o hash da criptografia aparecerámelhorando um pouco mais a segurança do sistema.8. Definindo timeoutsComo medida de segurança, não apenas no IOS mas também em qualquer outro sistema que vocêacesse remotamente, é interessante que você defina timeouts para fazer com que sessões ociosas sejamterminadas automaticamente depois de um determinado tempo. Esses timeouts são configurados paracada linha, ou seja, o timeout do console pode ser diferente do timeout da VTY.Como a configuração pode ser diferente para cada linha, você deve estar no contexto de configuração dalinha para poder modificar o parâmetro. Uma vez no contexto correto, basta utilizar o comando “exec-timeout”:Osiris(config)# line vty 0 4Osiris(config-line)# exec-timeout <MINUTOS> <SEGUNDOS>Por exemplo, para definir o timeout em 1:30s você deveria executar o comando:Osiris(config-line)# exec-timeout 1 30
  11. 11. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 11DE 20Para desabilitar o timeout, basta informar “0 0″ para minutos e segundos.9. Salvar as configuraçõesTodas as configurações que você acabou de fazer não são salvas automaticamente. Você precisa instruiro IOS a salvá-las para que você não perca tudo caso o roteador reinicie por algum motivo.Para fazer essa cópia, você deve utilizar o seguinte comando (no modo enable):Osiris# copy running-config startup-configDestination filename [startup-config]?Ele irá te perguntar qual será o nome do arquivo que será criado com as configurações. O padrão, quegeralmente é o aceito, é startup-config. Para aceitar o padrão basta pressionar a tecla enter. A seguintemensagem irá confirmar que a operação foi efetuada com sucesso:Router#copy running-config startup-configDestination filename [startup-config]?Building configuration…[OK]OBS: pode usar o comando WR também10.Rotas estáticasRouter(config)#ip route 192.168.200.0 255.255.255.0 10.10.10.2 // insere uma rota estática indicandoqual o próximo salto.Router(config)# ip route 192.168.200.0 255.255.255.0 s2/0 // insere uma rota estática indicando paraqual interface o router deve encaminhar.Router(config)# no ip route 192.168.200.0 255.255.255.0 10.10.10.2 // deleta rota estática.Router(config)# ip route 192.168.200.0 255.255.255.0 10.10.10.2 10 // insere uma métrica(peso) arota estática, por default a métrica é 1.OBS: sempre a menor métrica é a preferida.11.Configurando Rota defaultPara criar uma rota "default", use a sintaxe:roteador(config)# ip default-network 192.168.76.1 ouroteador(config)# ip route 0.0.0.0 0.0.0.0 192.168.76.1Uma rota padrão (Default Route), também conhecidacomo “gateway de último recurso”, é a rota de redeutilizada por um roteador quando não há nenhumaoutra rota conhecida existente para o endereço dedestino de um pacote IP. Todos os pacotes paradestinos desconhecidos pela tabela do roteador sãoenviados para o endereço de rota padrão. Esta rotageralmente direciona para outro roteador, que trata opacote da mesma forma: Se a rota é conhecida, o pacote será direcionado para a rota conhecida. Se não,o pacote é direcionado para o “default route” desse roteador que geralmente direciona a outro roteador. Eassim sucessivamente.Comando: ip route 0.0.0.0 0.0.0.0 serial0/0
  12. 12. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 12DE 2012.Configurando DHCPA máquina pergunta na rede quem é o servidor DHCP, o serviço se identifica e fornece um IP paramáquina ou host solicitante. O DHCP pode ser um computador, um modem ou um roteador.Comandos:Router(config)#ip dhcp pool MEU_DHCP_SERVERRouter(dhcp-config)#network 192.168.0.0 255.255.255.0Router(dhcp-config)#default-router 192.168.0.1Router(config)#ip dhcp excluded-address 192.168.0.1DHCP- COMANDOS RESUMIDOSRouter(config)#ip dhcp pool DHCP_SERVERRouter(dhcp-config)#net 192.168.0.0 255.255.255.0Router(dhcp-config)#default 192.168.0.1Router(dhcp-config)#dns-server 192.168.0.12 (se tiver presente)Router(dhcp-config)#exitRouter(config)#ip dhcp exc 192.168.0.1Embora existam diversas soluções de mercado para serviços DHCP bem mais robustas, o serviço DHCPembutido no Cisco IOS pode ser bastante útil em ambientes “SOHO” (Small Office Home Office), termo quesignifica "pequeno escritório ou escritório montado em casa", e em redes de pequeno porte, que dependamsomente de um único roteador.O papel do DHCP na rede é atribuir endereços IP automaticamente às estações de trabalho (ou outrosdispositivos). Além de atribuir dinamicamente endereços IP, o DHCP pode também configurar uma gama deparâmetros TCP/IP nestas estações, como os endereços dos servidores DNS, endereço do default gateway darede, dentre outros. A configuração de um roteador Cisco para que ele funcione como um servidor DHCP ébastante simples e é ilustrada a seguir.Passo 1: Certifique-se que a porta que se conecta à rede local (LAN) esteja devidamente configurada eativada e ative o serviço DHCP no roteador:Router(config)# interface ethernet0/0Router(config-if)# ip address 192.168.10.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# service dhcpPasso 2: Crie o “pool” onde será especificado os endereços IP que você deseja distribuir para os hosts emsua rede:Router(config)# ip dhcp pool meupooldeenderecosPasso 3: Especifique os endereços que serão disponibilizados para os hosts:Router(dhcp-config)# network 192.168.10.0 255.255.255.0Passo 4: Especifique o domínio a ser configurado nos hosts:Router(dhcp-config)#domain-name nomedodominio.com
  13. 13. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 13DE 20Passo 5: Especifique os servidores DNS (até 8 endereços podem ser configurados):Router(dhcp-config)#dns-server 192.168.10.2 192.168.10.3Passo 6: Especifique o endereço do default gateway da rede (até 8 endereços podem ser configurados):Router(dhcp-config)#default-router 192.168.10.1 (endereço IP do próprio roteador, no caso)Passo 7: Especifique o tempo de duração do lease, ou seja, quanto tempo o host pode ficar com o endereçoantes de re-checar com o DHCP:Router(dhcp-config)#lease 7 (tempo em dias, no exemplo)OBS: Em relação ao lease, por default, a configuração é de 1 dia.Passo 8: Exclua os endereços IP que não devem ser oferecidos aos hosts. No exemplo abaixo, os IPs192.168.10.1 até 192.168.10.10 não serão oferecidos aos hosts pelo DHCP.Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10Pronto! Seu roteador agora responderá às solicitações DHCP de hosts na rede, e estes hosts receberão umendereço IP dentro do intervalo de 192.168.10.11 a 192.168.10.254.Monitorando o serviço DHCPOs seguintes comandos possibilitam o gerenciamento do serviço DHCP em um roteador Cisco:• “show ip dhcp binding”: Lista os IPs já fornecidos para as estações de trabalho.• “show ip dhcp conflict”: Lista eventuais conflitos de endereços IP.• “show ip dhcp database”: Lista o DHCP database.• “show ip dhcp pool”: Lista todo o conteúdo dos pools configurados.• “show ip dhcp relay information trusted-sources”: Lista as informações sobre o relay DHCP.• “show ip dhcp server statistics”: Mostra as estatísticas do tráfego DHCP.Em caso de problemas, as seguintes opções para debugging estão disponíveis:• “debug ip dhcp server events”: Muito útil para mostrar os “empréstimos” e “expirations” dosendereços IP.• “debug ip dhcp server linkage”: Server para diagnosticar eventos em situações onde existem relaçõesentre dois ou mais servidores DHCP (esquema “parent/child”, tais como radix tree).• “debug ip dhcp server packet”: Mostra o tráfego DHCP em tempo real.13.Rota dinâmica com RIP:roteador(config)#route riproteador(config-router)#network 192.168.30.0roteador(config-router)#network 192.168.40.0roteador(config-router)#passive-interface fastethernet 0 à essa interface não envia atualizações RIProteador(config-router)#version 2 à passa para a versão 2
  14. 14. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 14DE 20roteador(config-router)#no auto-summary à não faz sumarização das rotas – usado qdo temos apresença de subredes .Sendo que a rede 192.168.30.0 e 192.168.40.0 que são as redes ligadas nas interfaces do ROUTER vãoser agora compartilhada com os outros roteadores.*A configuração de todos os outros protocolos de roteamento são parecidas. Por exemplo, para configuraro IGRP (router igrp 10; network 192.168.30.0) ou o OSPF (router ospf 10; network 10.0.0.0 0.255.255.255area 0), todos seguem mais ou menos a mesma sintaxe.Depurando problemas no roteamento:debug ip ripno debug ripno debug all14.Rota dinâmica com OSPF:roteador(config)#router ospf 1roteador(config-router)#network 192.168.0.0 0.0.0.255 area 01. Habilitar o processo OSPF no router via comando “router ospf {ID do processo OSPF}”2. Associar areas OSPF às interfaces, via comando “network {rede ou endereço IP} {wildcard} {area}”O ID do processo OSPF não precisa ser o mesmo em roteadores distintos, e o mais interessante,vários processos OSPF podem ser executados em um mesmo router. Este procedimento não érecomendado, entretanto, já que cada instância consome grandes porções de CPU e memória. Em suma,um bom design não utilizaria mais de um processo OSPF em um mesmo router.O parâmetro “network”, diferentemente do que ocorre na configuração de outros protocolos deroteamento, serve, no OSPF, para indicar quais interfaces participarão do processo, e quais as áreasOSPF a que pertencem. Esta é uma particularidade do protocolo.O parâmetro “area”, no comando acima o protocolo irá procurar a rede 192.168.0.0 e colocará todas asque encontrar dentro da área 0. Outro ponto é que o valor pode ser numérico quanto em formato IP0.0.0.0.Verificando as configurações:Show ip routeShow ip ospf15. Configuração de switchs1- Entrar no modo privilegiadoswitch>enableswitch#2- Configurar senhasswitch(config)#enable secret ****** digite a senhaswitch(config)#exitswitch(config)#line vty 0 15switch(config)# loginswitch(config)# password ****** digite a senha
  15. 15. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 15DE 20switch(config)#line console 0switch(config)# loginswitch(config)# password ****** digite a senhaswitch(config)#service password-encryption habilita a criptografia3- Configurar um nome para o Switch.switch(config)#hostname NOMEswitch(config)#exit4- Configurar velocidade e modo de comunicação da porta.Switch 2950:switch(config)#interface fastEthernet 0/1switch(config-if)#speed auto à modo automatic (100 ou 1000 Mbps)switch(config-if)#duplex auto à modo automatic (full duplex ou half duplex)5- Configurar o endereço IP/Máscara/Gateway nos Switchs. (para acesso externo)switch(config)#interface vlan 1switch(config-if)#ip address X.X.X.X Y.Y.Y.Y onde X é o endereço IP e Y a máscara de redeswitch(config-if)#exitswitch(config)#ip default-gateway X.X.X.X onde X é o endereço IP do default-gatewayswitch(config)#exit6- Criar VLANs nos Switchs.switch#config tswitch(config)#vlan 2switch(config-vlan)#name SW_2347_filialVLANUma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente.Várias VLANs podem co-existir em um mesmo comutador (switch), de forma a dividir uma rede local(física) em mais de uma rede (virtual), criando domínios de broadcast separados. Uma VLAN tambémtorna possível colocar em um mesmo domínio de broadcast, hosts com localizações físicas distintas eligados a switches diferentes. Um outro propósito de uma rede virtual é restringir acesso a recursos derede sem considerar a topologia da rede, porém este método é questionável.Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente éconfigurada para mapear diretamente uma rede ou sub-rede IP, o que dá a impressão que a camada 3está envolvida.
  16. 16. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 16DE 207- Atribuir portas as VLANs. à Portas 3, 4 e 5 – VLAN 2switch(config)#interface fastEthernet 0/3switch(config-if)#switchport access vlan 2switch(config-if)#exitswitch(config)#interface fastEthernet 0/4switch(config-if)#switchport access vlan 2switch(config-if)#exitswitch(config)#interface fastEthernet 0/5switch(config-if)#switchport access vlan 2switch(config-if)#exitswitch(config)#exitswitch#show vlanConfigurar várias portas ao mesmo tempo use o comando RANGEswitch(config)#interface range fastEthernet 0/3-108- Configurar TRUNK.Switch 2950:switch#config tswitch(config)#interface fastEthernet 0/1switch(config-if)#switchport mode trunkswitch(config-if)#exit9– Criptografar as senhas console e telnet (configure terminal).switch(config)# service password-encryption
  17. 17. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 17DE 2010 - Configurando PORT SECURITY NOS SWITCHSTodos sabemos que a configuração de port security nos switchs Cisco é muito utilizada para não autorizarmáquinas estranhas à rede corporativa, sem que haja prévia avaliação da equipe responsável, isso éfundamental para que uma rede tenha os requisitos mínimos de segurança.Comandos do Switch CTBA:Switch(config)#interface f0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security mac-address sticky -> guardar o mac-address automaticamenteSwitch(config-if)#switchport port-security maximum 1 -> número máximo de violaçãoSwitch(config-if)#switchport port-security violation shutdown -> se violado a inferface ficará desabilitadaSwitch(config-if)#switchport port-security -> habilita o port-securityGere tráfego (com ping PC0 para PC1)Switch# sh port-securitySwitch#sh port-security interface f0/1Port Security : EnabledPort Status : Secure-upViolation Mode : ShutdownAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 1Total MAC Addresses : 1Configured MAC Addresses : 0Sticky MAC Addresses : 1Last Source Address:Vlan : 000C.CF35.4439:1 --> mostra ultimo MAC AddressSecurity Violation Count : 0Retire a ligação da FastEthernet 0/1 (ligada ao PC0)e ligue no NOTEBOOK do estagiário que pretendeacessar a rede com seu ativo de rede. A interface ficará UP, mas quando gerar tráfego ela ficará DOWN.
  18. 18. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 18DE 2011 - Listas de AcessoACL - PADRÃO#configure terminal(config)#access-list 50 deny 192.168.31.0 0.0.0.255;(config)#access-list 50 deny 10.21.32.254 0.0.0.0 //ou// (config)#access-list 50 deny host 10.21.32.254;(config)#access-list 50 permit 10.21.0.0 0.0.255.255;REMOÇÃO DE ACL#No access-list 50APLICANDO A UMA INTERFACE(config)#int fastEthernet 0/0 // sintaxe = int fast[#/#](config-if)# ip access-group 50 in // sintaxe = ip access-group [#ACL] [in / out]CONTROLE DE ACESSO VIA VTY (TELNET)Pode-se filtrar usuários que tentam acessar o router via Telnet através de ACLs padrão.– Cria a ACL padrão– Aplique diretamente às portas VTY através do comando access-classCRIANDO A LISTA(config)#access-list 50 permit 172.16.10.3APLICANDO NO ACESSO VTY (TELNET)(config-line)#line vty 0 4(config-line)#access-class 50 inACL - ESTENDIDAFiltra por protocolo;Filtra por número de porta;Permite acesso de usuários a determinada Lan, porém negando acesso a serviços específicos.
  19. 19. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 19DE 20CRIANDO A LISTARouter(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 logA linha de comando acima bloqueia o acesso do host 172.16.30.2 para o serviço de telnet apenas.APLICANDO A UMA INTERFACE(config)#int fastEthernet 0/0 // sintaxe = int fast[#/#](config-if)# ip access-group 110 in // sintaxe = ip access-group [#ACL] [in / out]LISTAS NOMEADASCRIANDO A LISTARouter(config)#ip access-list standard BLOCK-SALESRouter(config-std-acl)#deny 172.16.40.0 0.0.0.255Router(config-std-acl)#permit anyRouter(config-std-acl)#exitAPLICANDO A UMA INTERFACERouter(config)#int f 0/0Ip access-group BLOCK-SALES out12 – Roteamento DinâmicoRIPRouter(config)#router ripRouter(config-router)#network 1.0.0.0Router(config-router)#network 2.0.0.0Router(config-router)#network 5.0.0.0Router(config-router)#network 10.0.0.0Router(config-router)#version 2Router(config-router)#no auto-summaryRouter(config-router)#passive-interface f0/0Router(config-router)#exit
  20. 20. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 20DE 20Router(config)#hostname R_CuritibaR_Curitiba(config)#exitR_Curitiba# show ip routeOSPFR_Curitiba(config)#router ospf 1R_Curitiba(config-router)#network 10.0.0.0 0.255.255.255 area 0R_Curitiba(config-router)#network 1.0.0.0 0.255.255.255 area 0R_Curitiba(config-router)#network 2.0.0.0 0.255.255.255 area 0R_Curitiba(config-router)#network 5.0.0.0 0.255.255.255 area 0EIGRPR_Curitiba(config)#router eigrp 1R_Curitiba(config-router)#network 1.0.0.0 0.255.255.255R_Curitiba(config-router)#network 2.0.0.0 0.255.255.255R_Curitiba(config-router)#network 5.0.0.0 0.255.255.255R_Curitiba(config-router)#network 10.0.0.0 0.255.255.255R_Curitiba(config-router)#passive-interface f0/0

×