laboratórios cisco roteadores - higuita · 2017. 5. 16. · sequência dos comandos - cli •...

Laboratórios 1, 2, 3, 4, 6, 9 e 10

Roteadores CISCOProf. Alexandre Beletti

Baseado no livro de Samuel Brito

Laboratório 1

Laboratório 1

Laboratório 1

• Abra o Lab01.pkt• Clique no roteador• Observe as guias Physical e CLI• Na Physical temos a simulação da

interface física de um roteador• Na CLI temos acesso ao software do

roteador

Physical X CLI

Sequência dos Comandos - CLI

• ENTER• Enable• p@ssw0rd• erase startup-config• ENTER• “Ao final desligue e ligue novamente

o roteador em Physical” e observe o diálogo MAS NÃO CONTINUE COM A CONFIGURAÇÃO!

Sistema Cisco/IOS

• IOS = Internetwork Operating System

• Todos os roteadores/switches da Cisco acompanham uma variante do IOS

• O sistema possui 2 modos de acesso:– Usuário– Privilegiado

• Além dos seguintes submodos...

Principais Modos do IOS

• Router> (modo usuário): somente é possível exibir informações básicas do equipamento

• Router# (modo privilegiado): acesso total• Router(config)# (submodo de conf. Geral):

configurações globais• Router(config-line)# (submodo de conf.

Linha): acessos local e remoto• Router(config-if)# (submodo de conf.

Interface):

Principais Modos do IOS

• Router(config-if)# (submodo de conf. Interface): configurações de interfaces

• Router(config-subif)# (submodo de conf. De subinterface): configurações de interfaces lógicas sobre interfaces físicas

• Router(config-router)# (conf. de roteamento): configuração de protocolos de roteamento de roteador

Comandos – Parte 1 de 3

Comando no IOS Descrição/Ação

Router> enable Entra no modo privilegiado

Router# configure terminal Modo de configuração geralDaqui pra frente estamos no modo terminal...

hostname Roteador Altera o nome do roteador

no ip domain-lookup Desativa a resolução de nomes

banner motd @ Msg. Personalizada de Login

enable secret SENHAHabilita a senha no modo privilegiado

service password-encryption Ativa criptografia de senhas

line vty 0 15 Modo de configuração remoto

Comandos – Parte 2 de 3

Daqui pra frente estamos no modo remoto...

password SENHA Habilita a senha no modo remoto

login Permite tentativa de acesso remoto

exec-timeout 0 0Restringe o tempo de acessor remoto (0 0 = infinito)

logging synchronous Desativa msg. Administrativas

exit Volta para o modo anterior

line console 0 Modo de acesso terminalDaqui pra frente estamos no modo terminal...

password SENHA Habilita a senha no modo terminal

exit Volta para o modo anterior

interface f 0/0 Modo de configuração da interface

Comandos – Parte 3 de 3Daqui pra frente estamos no modo interface...ip address 192.168.0.254 255.255.255.0 Configura um ip e máscara

no shut ativa a interface

end retorna ao modo privilegiado

copy run startcopia as configurações para a memória

show running-configexibe as configurações correntes

show startup-configexibe as configurações de inicialização

show ip interface briefexibe um resumo das interfaces de rede

show ip route exibe a tabela de rotas

Console

• Outra possibilidade é o micro com cabo de console abrir uma conexão via Terminal

• Essa conexão serial é o ideal para configuração de roteadores localmente

• Posteriormente podemos fazer o acesso via Telnet...

Telnet

• Desse ponto em diante qualquer máquina pode fazer um acesso nesse roteador via:

• telnet 192.168.0.254• Para finalizar o telnet digite:• exit

Laboratório 2

Roteamento Estático

Descrição

• Cenário: uma empresa com 1 matriz e 1 filial deseja interligar as duas redes

• A matriz possui 3 redes locais• A filial possui 2 redes locais• Observe que as redes locais possuem

máscara /24 enquanto a conexão entre os 2 roteadores possui máscara /30

Parte 1 - Configure os IP nos PCs

• Configure os IPs dos hosts baseando-se na imagem do cenário.

• Matriz– Rede1: 192.168.1.0 / 24– Rede2: 192.168.2.0 / 24– Rede3: 192.168.3.0 / 24

• Filial– Rede1: 192.168.8.0 / 24– Rede2: 192.168.9.0 / 24

Roteadores

• Nas redes que formos configurar durante as aulas, sempre que cabível, adote o IP da interface do roteador como sendo o último endereço válido da rede a qual ele pertente

• Exemplo:• Rede: 192.168.1.0 / 24• Último IP: 192.168.1.254

Rede dos Roteadores

• A rede que conecta os dois roteadores é:192.168.0.0 / 30

• Temos somente 2 endereços válidos:192.168.0.249 -> Roteador A192.168.0.250 -> Roteador B

• Agora vamos configurar os 2 roteadores...

Roteador ARede Interface Endereço IP

192.168.0.248 S 0/0 192.168.0.249

192.168.1.0 F 0/0 192.168.1.254

192.168.2.0 F 0/1 192.168.2.254

192.168.3.0 F 0/2 192.168.3.254

Roteador BRede Interface Endereço IP

192.168.0.248 S 0/0 192.168.0.250

192.168.8.0 F 0/0 192.168.8.254

192.168.9.0 F 0/1 192.168.9.254

Roteador A – Parte 1 de 2enableconfigure terminalhostname Roteador-Ainterface s 0/0

ip address 192.168.0.249 255.255.255.252clock rate 64000no shutinterface f 0/0

ip address 192.168.1.254 255.255.255.0no shut

Roteador A – Parte 2 de 2interface f 0/1ip address 192.168.2.254 255.255.255.0no shutinterface f 1/0ip address 192.168.3.254 255.255.255.0no shutexit

ip route 192.168.8.0 255.255.255.0 192.168.0.250

ip route 192.168.9.0 255.255.255.0 192.168.0.250end

Roteador B – Parte 1 de 2enableconfigure terminalhostname Roteador-Binterface s 0/0

ip address 192.168.0.250 255.255.255.252clock rate 64000no shutinterface f 0/0

ip address 192.168.8.254 255.255.255.0no shut

Roteador B – Parte 2 de 2

interface f 0/1ip address 192.168.9.254 255.255.255.0no shutexit

ip route 192.168.1.0 255.255.255.0 192.168.0.249

ip route 192.168.2.0 255.255.255.0 192.168.0.249

ip route 192.168.3.0 255.255.255.0 192.168.0.249end

Exercício Lab2 – Análise das Saídas

• Digite os 2 comandos (nos 2 roteadores):show ip interface briefshow ip route

• Análise e saída de dados...

Laboratório 3

Roteamento Dinâmico

Descrição

• Cenário: uma empresa com 3 unidades:

Rio de JaneiroSão PauloMinas Gerais• Cada unidade possui 2 redes locais• Observe que as redes locais e as

redes dos roteadores possuem máscara /24

Parte 1 - Configure os IP nos PCs

• Configure os IPs dos hosts• Rio de Janeiro

– Rede1: 172.16.10.0 / 24– Rede2: 172.16.20.0 / 24

• São Paulo– Rede1: 172.16.30.0 / 24– Rede2: 172.16.40.0 / 24

• Minas Gerais– Rede1: 172.16.50.0 / 24– Rede2: 172.16.60.0 / 24

Roteador SPRede Interface Endereço IP

172.16.100.0 S 0/0 172.16.100.2

172.16.200.0 S 0/1 172.16.200.1

172.16.30.0 F 0/0 172.16.30.254

172.16.40.0 F 0/1 172.16.40.254

Roteador RJRede Inte

rface

Endereço IP

172.16.100.0

S 0/0 172.16.100.1

172.16.10.0

F 0/0 172.16.10.254

172.16.20.0

F 0/1 172.16.20.254

Roteador MGRede Interface Endereço IP

172.16.200.0 S 0/0 172.16.200.2

172.16.50.0 F 0/0 172.16.50.254

172.16.60.0 F 0/1 172.16.60.254

Roteador RJ

enableconfigure terminalhostname Roteador-RJinterface s 0/0ip address 172.16.100.1 255.255.255.0no shutinterface f 0/0ip address 172.16.10.254 255.255.255.0no shutinterface f 0/1ip address 172.16.20.254 255.255.255.0no shutend

Roteador SP – Parte 1 de 2enableconfigure terminalhostname Roteador-SPinterface s 0/0ip address 172.16.100.2 255.255.255.0clock rate 500000no shutinterface s 0/1ip address 172.16.200.1 255.255.255.0clock rate 500000no shut

Roteador SP – Parte 2 de 2

interface f 0/0ip address 172.16.30.254 255.255.255.0no shutinterface f 0/1ip address 172.16.40.254 255.255.255.0no shutend

Rot.MG

enable

configure terminal

hostname Roteador-MG

interface s 0/0

ip address 172.16.200.2 255.255.255.0

no shut

interface f 0/0

ip address 172.16.50.254 255.255.255.0

no shut

interface f 0/1

ip address 172.16.60.254 255.255.255.0

no shut

end

Roteamento Dinâmico

• Faremos uso de 3 protocolos distintos para a configuração do roteamento dinâmico:

RIPEIGRPOSPF• Lembre-se de salvar seu trabalho até

este ponto, pois teremos 3 configurações distintas de roteadores

RIP

• No roteamento dinâmico basta o administrador informar quais redes estão diretamente conectadas e devem ser anunciadas aos roteadores vizinhos

• Fizemos uso de um plano de endereçamento sumarizado na nossa inter-rede, de forma que todas as sub-redes fazem parte da rede sumarizada 172.16.0.0 / 16.

RIP

• Com o procedimento anterior não precisamos anunciar cada uma das redes /24, anunciamos apenas a rede sumarizada /16

• Simplificamos a configuração, mas nossos roteadores estão agora usando máscara /24

• O RIPv1 não suporta utilização de máscara de tamanho variável (VLSM) e assim as sub-redes precisam utilizar a mesma máscara

RIP - Roteadores: RJ, SP e MG

enable

configure terminalrouter rip

network 172.16.0.0end

EIGRP

• Simples e similar ao RIP• Deve ser informado o administrador do

sistema autônomo (AS)• O “AS” deve ser o mesmo em todos os

roteadores que irão estabelecer a vizinhança

• Possui um dos melhores desempenhos• Suporta máscaras de tamanho variável

VSLM• Faremos uso de autosumarização, como no

RIP

EIGRP - Roteadores: RJ, SP e MG

enable

configure terminalrouter eigrp 90

network 172.16.0.0end

OSPF

• Protocolo aberto• Grandes redes• Rígida estrutura hierárquica• Divisão da inter-rede (sub-redes)• Pode se tornar uma configuração

complexa

OSPF

• Esse protocolo exige pelo menos uma área principal de backbone (área 0)

• Precisamos informar o número de processo, que só é relevante no contexto local e pode ser diferente nos roteadores

• Não realiza auto sumarização por padrão

• As redes são informadas com sua respectiva wildcard (“mask. coringa”)

OSPF - Roteadores

Roteador RJenableconfigure terminalrouter ospf 64network 172.16.10.0 0.0.0.255 area 0network 172.16.20.0 0.0.0.255 area 0network 172.16.100.0 0.0.0.255 area 0end

Roteador SPenableconfigure terminalrouter ospf 65network 172.16.30.0 0.0.0.255 area 0network 172.16.40.0 0.0.0.255 area 0network 172.16.100.0 0.0.0.255 area 0network 172.16.200.0 0.0.0.255 area 0end

Roteador MGenableconfigure terminalrouter ospf 66network 172.16.50.0 0.0.0.255 area 0network 172.16.60.0 0.0.0.255 area 0network 172.16.200.0 0.0.0.255 area 0end

Exercício Lab3 – Análise das Saídas

show ip interface briefshow ip protocolsshow ip routeshow ip eigrp neighborshow ip eigrp topologyshow ip ospf neighborshow ip ospf databaseshow ip interface brief

• Digite os comandos nos roteadores:• Obs: Alguns comandos apresentam saída

somente nos roteadores que fizeram uso do protcolo.

Laboratório 4

Conf. Redistribuição de Rotas

Introdução

• Considere uma empresa com 2 domínios administrativos distintos (círculo azul e amarelo)

• A propagação de rotas em um deles é realizada via EIGRP

• No outro domínio a propagação é realizada via OSPF

• A função do roteador intermediário é viabilizar a comunicação entre os 2 roteadores

Detalhes

• Cada protocolo de roteamento dinâmico possui suas características (algoritmo, métricas, etc)

• Não é possível fazer vizinhança entre dois roteadores com protocolos distintos

• Porém existe a possibilidade de inserção de um roteador intermediário

Roteador Intermediário

• O roteador intermediário passará a conhecer em sua tabela de roteamento todas as rotas anunciadas em ambos os protocolos

• Podemos configurar a redistribuição de rotas em cada um dos protocolos, de forma que as rotas OSPF sejam redistribuídas no domínio EIGRP

• Tal procedimento fará com que os demais roteadores desse domínio recebam as rotas OSPF como sendo externas

Roteador EIGRPenableconfigure terminalhostname Router-EIGRPinterface f 0/0

ip address 192.168.3.254 255.255.255.0no shutinterface f 0/1

ip address 192.168.4.254 255.255.255.0no shutinterfacce s0/3/0

ip address 10.1.0.2 255.255.255.252no shutexitrouter eigrp 65000network 192.168.3.0network 192.168.4.0network 10.1.0.0 0.0.0.3end

Roteador OSPFenableconfigure terminalhostname Router-OSPFinterface f 0/0

ip address 192.168.1.254 255.255.255.0no shutinterface f 0/1

ip address 192.168.2.254 255.255.255.0no shutinterfacce s0/3/1ip address 10.2.0.2 255.255.255.252no shutexitrouter ospf 64

network 192.168.1.0 0.0.0.255 area 0

network 192.168.2.0 0.0.0.255 area 0network 10.2.0.0 0.0.0.3 area 0end

Roteador Redistribute

enableconfigure terminalhostname Redistributeinterface serial 0/3/0ip address 10.1.0.1 255.255.255.252clock rate 64000no shutinterface serial 0/3/1ip address 10.2.0.1 255.255.255.252clock rate 64000no shutexitrouter eigrp 65000network 10.1.0.0 0.0.0.3redistribute ospf 64 metric 100 33 255 1 1500exitrouter ospf 64network 10.2.0.0 0.0.0.3 area 0redistribute eigrp 65000 subnetsend

Exercício Lab4 – Análise das Saídas

• Digite o comando (nos 3 roteadores):show ip route

• Análise e saída de dados...

Laboratório 6

Conf. de switches e VLANs

Conf. de switches e VLANs

• 2 switches CISCO interligados com redundância (dois cabos) em um cenário que requer a utilização de VLANs (redes virtuais)

• No cenário proposto, serão configurados:

VLANs; Roteamento Inter-VLANs (802.1q) e;VTP (Virtual Trunk Protocolo).

Detalhes

• Existe redundância entre os 2 switches

• Os modelos da CISCO fazem isso automaticamente via STP

• STP = Spanning Tree Protocol• Esse protocolo bloqueia uma das

portas redundantes para evitar a ocorrência de loops

Configuração nos PCs das sub-redes

• O fato das máquinas estarem fisicamente conectadas aos mesmos switches não é suficiente para garantir a comunicação entre os computadores que estejam logicamente configurados em sub-redes distintas

• Não existe comunicação na camada de REDE, porém o domínio de broadcast na camda de ENLACE ainda é único para todo o switch...

Continua...

Configuração nos PCs das sub-redes

• ... dessa forma, quadros podem ser capturados e o desempenho da rede ficará comprometido

• Para contornar essa limitação, faremos uso de VLANs associadas às sub-redes para quebrar o domínio de broadcast (segurança e desempenho)

VLANs

• Uma instância virtualizada de um swtich lógico dentro de um switch físico

• Por exemplo, se criarmos 4 VLANs num switch físico equivale a 4 switches lógicos

Plano de IPs por VLAN

HOST IP MASK GW

VLAN10-PC1 192.168.10.1 /24 192.168.10.254

VLAN10-PC1 192.168.10.2 /24 192.168.10.254

VLAN20-PC1 192.168.20.1 /24 192.168.20.254

VLAN20-PC2 192.168.20.2 /24 192.168.20.254

VLAN30-PC1 192.168.30.1 /24 192.168.30.254

VLAN30-PC2 192.168.30.2 /24 192.168.30.254

VLAN40-PC1 192.168.40.1 /24 192.168.40.254

VLAN40-PC1 192.168.40.2 /24 192.168.40.254

Configuração dos switches e VLANs

• Faremos a ativação do VTP (Virtual Trunk Protocolo) para que todas as configurações de VLAN de um switch operando em modo SERVIDOR sejam automaticamente propagadas para todos os demais switches CLIENTES da rede

• Teremos um domínio de switches chamado de NOME

Modos de um Switch

• SERVIDOR: adicionam, alteram e removem VLANs e propagam as alterações

• CLIENTE: recebem as configurações do switch servidor

• TRANSPARENTE: membro do domínio, mas não aplica as configurações de VLANs para ele mesmo, somente no seu contexto local, não propagando para os demais

Switch SERVIDOR – Parte 1 de 2

enableconfigure terminalhostname Switch1vtp mode servervtp domain NOMEvlan 10name VLAN-10vlan 20name VLAN-20vlan 30name VLAN-30vlan 40name VLAN-40end

Switch SERVIDOR – Parte 2 de 2

configure terminalinterface f 0/1switchport access vlan 10interface f 0/2switchport access vlan 20interface f 0/3switchport access vlan 30interface f 0/4switchport access vlan 40interface f 0/24switchport mode trunkinterface range g 1/1 - 2switchport mode trunkend

Switch CLIENTE

enableconfigure terminalhostname Switch2vtp mode clientvtp domain NOMEendconfigure terminalinterface f 0/1

switchport access vlan 10interface f 0/2

switchport access vlan 20interface f 0/3

switchport access vlan 30interface f 0/4

switchport access vlan 40

interface range g 1/1 - 2switchport mode trunkend

Roteador

• Temos agora 4 redes distintas conectadas em 2 switch fazendo uso de VLANs

• Essas redes não se comunicam entre si, mas um roteador pode realizar tal procedimento

• Em tese precisaríamos de 4 interfaces físicas no roteador para ligar cada uma das 4 redes, o que não é interessante ($$$)

• Fazemos uso então do modo trunk (com encapusulamento dot1q)

Roteador

enableconfigure terminalinterface f 0/0no shutdowninterface f 0/0.10encapsulation dot1Q 10

ip address 192.168.10.254 255.255.255.0interface f 0/0.20encapsulation dot1Q 20

ip address 192.168.20.254 255.255.255.0interface f 0/0.30encapsulation dot1Q 30

ip address 192.168.30.254 255.255.255.0interface f 0/0.40encapsulation dot1Q 40

ip address 192.168.40.254 255.255.255.0end

Exercício Lab6 – Análise das Saídas

• Digite o comando (nos 2 switches):show mac-address-tableshow vlanshow interface trunkshow vtp status

• Análise e saída de dados...

Laboratório 9

Lista de Controle de Acesso - ACL

ACLs

• ACL = Lista de Controle de Acesso• Pode transformar um roteador em

firewall• Podemos criar regras de acesso

específico• OBS: Futuramente criaremos um

firewall dentro do Linux, utilizando o IPTABLES

Explicação

• Somente a máquina 172.16.10.1 poderá obter acesso remoto ao roteador

• As máquinas da rede 192.168.10.0/24 deverão ser impedidas de acessar o servidor 172.16.10.1/24

• As máquinas da rede 172.16.100.0/24 não podem acessar o servidor 192.168.10.1/24

Entendendo as ACLs – CISCO

• Lembre-se que o roteador não consegue tratar máquinas da mesma rede, isso ocorre no switch ou ainda diretamente no servidor

• Podemos aplicar até 2 listas de acesso por porta de um roteador (in e out)

• Toda lista deve ter ao menos uma linha de permissão (permit), para não ocorrer o bloqueio total na interface (toda lista tem em seu final uma regra implícita que nega tudo que não foi previamente liberado)

Tipos de ACL

• Padrão: somente trabalha com endereços de origem e destino. São aplicadas o mais próximo possível do destino. (NEGATIVO)

• Estendida: trabalha na camada de transporte, portanto consegue identificar o tipo de aplicação, baseado no protocolo de uso. Recomenda-se aplicar as regras o mais próximo da origem possível. (POSITIVO)

Sintaxe – Lista Padrãoaccess-list <número> [permit/deny]

[IP origem]

Regra 1 - Lista Padrãoenableconfigure terminal

access-list 10 permit 172.16.10.1line vty 0 15access-class 10 in

Sintaxe – Lista Estendida

• access-list <número> [permit/deny] [protocolo] [IP de origem] [IP de destino] [número da porta ou nome do protocolo]

Obs: Protocolo de Rede ou Transp.: ip, udp ou tcp

Regras – Lista EstendidaRegra 2 - Lista Estendida

access-list 100 deny ip 192.168.10.0 0.0.0.255 host 172.16.10.1

access-list 100 permit ip any anyinterface f 0/1ip access-group 100 inRegra 3 - Lista Estendida

access-list 110 deny ip 172.16.10.0 0.0.0.255 host 192.168.10.1

access-list 110 permit ip any anyinterface f 0/0ip access-group 110 in

Exercício Lab9 – Análise das Saídas

• Digite o comando (no roteador):show runshow ip access-listshow ip interface f 0/0show ip interface f 0/1

• Análise e saída de dados...

Laboratório 10

NAT

NAT

• Faremos tradução de endereços privados (frios) para um endereço público (quente) fornecido pelo provedor de Internet (ISP)

• Temos a rede local 172.22.0.0/16 que passará por um roteador que irá fazer a tradução dos endereços (NAT)

Config. do Rot. do Provedorenableconfigure terminalno ip domain lookuphostname Router-ISPinterface f 0/0ip address 9.0.0.1 255.0.0.0no shutinterface s 0/0ip address 100.1.1.1 255.255.255.252clock rate 500000no shutend

IPs dos PCs e do Servidor

Hostname Rede Interface Gateway

PC-PT1 172.22.11.101 S 0/0 172.22.11.1

PC-PT2 172.22.11.102 F 0/0 172.22.11.1

SERVIDOR 9.1.1.1 F 0/1 9.0.0.1

Roteador da Empresa

• A interface fast-ethernet do roteador receberá um IP para se comunicar com a rede interna

• A interface serial estará conectada a WAN e receberá um IP fixo do provedor de Internet

• Teremos também um rota default, cuja saída apontará para a interface serial conectada ao provedor de Internet

• Toda rede de destino que não for encontrada na tabela de rotas será encaminhada para a interface serial (ex: Internet).

Conf. Roteador Empresaenableconfigure terminalno ip domain lookuphostname Router-NAT

ip route 0.0.0.0 0.0.0.0 serial 0/0interface f 0/0

ip address 172.22.11.1 255.255.0.0no shutinteface s 0/0ip address 100.1.1.2 255.255.255.252no shutend

Definição das zonas “inside” e “outside”

• Nos roteadores da CISCO precisamos informar ao NAT qual interface representa a rede local (nat inside) e qual interface representa a conexão com a Internet (nat outside)...

Conf. Zonas – Rot. Empresa

enable

configure terminalinterface f 0/0ip nat insideinterface s 0/0ip nat outsideend

ACL e NAT

• Antes de ativar o NAT precisamos criar uma ACL informando quais hosts poderão participar do processo de tradução e acesso a Internet

• Depois de criar a ACL, basta aplicá-la em conjunto com o comando que ativa a tradução de endereços...

Conf. NAT – Rot. Empresa

enableconfigure terminal

access-list 1 permit 172.22.11.0 0.0.255.255

ip nat inside source list 1 interface s0/0 overloadend

Exercício Lab10 – Análise das Saídas

• Digite o comando (no roteador da empresa):

show runshow ip nat statisticsshow ip nat translations

• Análise e saída de dados...

Bibliografia

• Brito, S.H.B., Laboratório de Tecnologias CISCO em Infraestrutura de Redes. São Paulo, Novatec, 2012.