rede ethernet

165
Rede ethernet Eng. Alessandro Coneglian Bianchini

Upload: vicente-eugenio

Post on 27-Oct-2014

104 views

Category:

Documents


16 download

TRANSCRIPT

Page 1: Rede Ethernet

Rede ethernetEng. Alessandro Coneglian Bianchini

Page 2: Rede Ethernet

2

Apresentação

� Alessandro Coneglian Bianchini exerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança da informação; formado em engenharia elétrica com ênfase em telecomunicações pela Escola de Engenharia Mauá-SP, pós-graduado em segurança da informação pelo IBTA-SP e também pós-graduado em engenharia de rede e sistema de telecomunicações pelo INATEL-MG; Possui certificações de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware.

Page 3: Rede Ethernet

3

Certificações

� VCP 4– Vmware Certified Professional 4.0� VCP 3– Vmware Certified Professional 3.0� ITIL v3 Foundation� CCNP - Cisco Certified Network Professional� CCDP - Cisco Certified Design Professional� CCVP - Cisco Certified Voice Professional� CCSP - Cisco Certified Security Professional� CCNA - Cisco Certified Network Associate� CCDA - Cisco Certified Design Associate� CAWDS – Cisco Advanced Wireless Design Specialist� CAWFS – Cisco Advanced Wireless Field Specialist� CISS - Cisco Information Security Specialist� CIOSSS - Cisco IOS Security Specialist� CFWS - Cisco Firewall Specialist� CIPSS - Cisco IPS Specialist� FCNSA- Fortinet Certified Network Security Administrator� CAIR – Certified Allied installation Router� CAIS – Certified Allied installation switch� CASE – Certified Allied system engineer� 4011 Recognition - CNSS (Committee on National Security Systems)� 4013 Recognition – CNSS (Committee on National Security Systems)

Page 4: Rede Ethernet

4

�Design – Modelo Hierárquico Cisco

�Exemplos

�Configuração básica do Switch Cisco

�VLANs

�VTP

�SPANNING TREE

�Etherchannel

�Segurança em Redes Ethernet

�Gerenciamento

�QoS

AGENDAAGENDA

Page 5: Rede Ethernet

5

DESIGN REDE

• Alta Disponibilidade (5-9´s)

•Escalabilidade

Page 6: Rede Ethernet

6

MODELO HIERÁRQUICO CISCO

• Criação de topologia modular

• Cada camada tem função especifica

Page 7: Rede Ethernet

7

MODELO HIERÁRQUICO CISCO

• Switches que fazem conexão com dispositivos de rede (pcs, impressoras, etc)

• Camada onde são configuradas grande parte das funcionalidades rede (QoS, 802.1x, supressão broadcast,etc)

•Geralmente Switches Layer 2

CAMADA DE ACESSO

Page 8: Rede Ethernet

8

MODELO HIERÁRQUICO CISCO

• Agregam switches de acesso

• Prover disponibilidade, balanceamento, QoS

• Swiches Layer 2 ou 3

•HSRP/GLBP

CAMADA DE DISTRIBUIÇÃO

Page 9: Rede Ethernet

9

MODELO HIERÁRQUICO CISCO

• Agregam switches de distribuição

• Poucas funcionalidades implementadas nesta camada

• Equipamentos de alto desempenho

• Redundância, balanceamento e convergência rápida

• Switches Layer3

CORE

Page 10: Rede Ethernet

10

• Core – Core

• Core – Distribuição

• Por que usar:

- Rápida convergência

- Contingência: construção de caminhos redundantes

- Eliminação de spanning-tree nestas camadas da rede

PROTOCOLO ROTEAMENTO

Page 11: Rede Ethernet

11

PROTOCOLO ROTEAMENTO

NÃO há tempo de recovergência da rede

Page 12: Rede Ethernet

12

Acesso

Distribution

Core

Catalyst 6509 Catalyst 6509

Catalyst 3560G-24T

Server Farm

Catalyst 3560G-24T Catalyst 3560G-24T Catalyst 3560G-24T

1Gbps FO

multimodo

1Gbps UTP

SecretariasCatalyst 2960-24TT

1Gbps UTP

1Gbps FO SX

LAYER 3

LAYER 2 ou 3

LAYER 2

EXEMPLO: TOPOLOGIA PROPOSTA LAN MACRO

Page 13: Rede Ethernet

13

REDUNDÂNCIA PREVISTA

� Switches CoreRedundância da placa supervisora e Fonte de Alimentação

� 2 pares de fibra em link agregation entre switches Core e Distribution

� 2 pares de fibra para Interligação entre Swiches Core em placas supervisoras distintasTempo previsto de indisponibilidade da rede será igual ao tempo para que a placa supervisora back-up assuma o controle, que é de aproximadamente 3 segundos.

� Interligação entre switches Core e Distribution: HSRP ou protocolo roteamento Funcionamento da rede mesmo em caso de falha em um dos switches Core sem que haja intervenção manual.

Page 14: Rede Ethernet

14

INTERFACE CONFIGURAÇÃO DO SWITCH

Page 15: Rede Ethernet

15

INTERFACE DE CONFIGURAÇÃO

• Cisco IOS (CLI)• Interface Web

Page 16: Rede Ethernet

16

CISCO IOS COMAND LINE INTERFACE

• User EXEC: comandos monitoração• Privileged EXEC: comandos configuração e gerenciamento

Page 17: Rede Ethernet

17

CISCO IOS COMAND LINE INTERFACE

User EXEC Mode – Prompt (>)

Privileged (or Enabled) EXEC Mode – Prompt (#)

Entrar/sair modo privilegiado: hostname> enablehostname# disable

Page 18: Rede Ethernet

18

CISCO IOS COMAND LINE INTERFACECONFIGURATION MODE

Global Configuration Mode

Interface Configuration Mode

Configuração armazenada na runningrunning--config config (DRAM – Dynamic Random Access Memory) Para salvar configuração na startupstartup--configconfig (NVRAM – Non-Volatile Random Access Memory):

Page 19: Rede Ethernet

19

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO INICIAL

Setup wizard

Page 20: Rede Ethernet

20

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

• Hostname do switch

• Endereço IP para switch

• Default-gateway

• Habilitar roteamento no switch (Catalyst 3750/3560)

Page 21: Rede Ethernet

HOSTNAME - EXEMPLO

21

Page 22: Rede Ethernet

22

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

• Banner EXEC

• Banner Login

banner exec ^CLocation: Centro Administrativo , 2AND - DatacenterHostname: $(hostname)^C

banner login &

***************************************************************************************

*

* AVISO

*

* ACESSO PERMITIDO SOMENTE A PESSOAS AUTORIZADAS.

* TODAS AS CONEXOES ESTAO SENDO MONITORADAS.

* A UTILIZACAO INAPROPRIADA E/OU NAO AUTORIZADA PODE

* RESULTAR EM PENALIDADES PREVISTAS EM LEI.

*

***************************************************************************************

* Warning

*

* ACCESS PERMITTED ONLY TO AUTHORIZED PEOPLE.

* ALL ACTIVITIES AND CONNECTIONS ARE BEEN MONITORED.

* INAPPROPRIATE OR NOT AUTHORIZED ACCESS MAY RESULT IN

* LAW PENALTIES.

****************************************************************************************

&

Page 23: Rede Ethernet

23

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

•Banner MOTD

banner motd ^CManutencão preventiva sabado dia 10/10/2009^C

motd login exec

$(hostname) YES YES YES

$(domain) YES YES YES

$(line) YES YES YES

$(line-desc) YES YES YES

•Variaveis

Page 24: Rede Ethernet

24

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

• Versão switch

Page 25: Rede Ethernet

25

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

• Mostrar configuração corrente do switch

Page 26: Rede Ethernet

26

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

• Mostrar estatísticas das interfaces

Page 27: Rede Ethernet

27

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

Senhas

� Senha de EnableSwitch(config)#enable password cisco

Switch(config)#enable secret cisco

� Senha de ConsoleSwitch(config)#line console 0

Switch(config)#exec-timeout 5 0

Switch(config-line)#password cisco

Page 28: Rede Ethernet

28

CISCO IOS COMAND LINE INTERFACECONFIGURAÇÃO BÁSICA

Senhas� Senha de Telnet

Switch(config)#line vty 0 15

Switch(config-line)#password cisco

Switch(config-line)#exec-timeout 5 0

� Criptografa SenhaRouter(config)#service password-encryption

Page 29: Rede Ethernet

AUTENTICAÇÂO CENTRALIZADA

29

Page 30: Rede Ethernet

EXEMPLO DE CONFIGURAÇÂO

30

username ADMIN password senha1234

radius-server host 192.168.1.2 auth-port 1812 key <senha>radius-server host 192.168.1.3 auth-port 1812 key <senha>Outacacs-server host 192.168.1.4 single-connection key <senha>tacacs-server host <acs2> single-connection key <senha>

aaa new-modelaaa authentication login default group tacacs+ localaaa authorization exec default group tacacs+ localaaa accounting exec default group tacacs+ local

line con 0exec-timeout 0 0login authentication default

line vty 0 15exec-timeout 3 0login authentication default

Page 31: Rede Ethernet

31

Cisco Discovery Protocol (CDP)

�Protocolo Proprietário Cisco�Coletar informações dos dispositivos diretamente conectados

�Informações Hardware�Informações Protocolo

�Troubleshooting e Documentação da rede�Habilitado por default

�Desabilitar o CDP em todo dispositivo:Switch(config)#no cdp run

� Desabilitar o CDP em um única interface:� Switch(config)# int fa0/1

� Switch(config)# no cdp enable

Page 32: Rede Ethernet

32

Cisco Discovery Protocol (CDP)CDP Timers & Holdtime Information

� CDP Timer: frequencia que CDPs são transmitidos para todas as interfaces ativas

� CDP Holdtime: Tempo que o dispositivo irá manter os pacotes recebidos dos dispositivos vizinhos

Switch#sh cdp

Global CDP information

Sending CDP packets every 60 seconds

Sending a holdtime value of 180 seconds

Ajustando os paramentros

Switch#config t

Switch(config)#cdp timer 90

Switch(config)#cdp holdtime 240

Page 33: Rede Ethernet

33

Cisco Discovery Protocol (CDP)

Neighbor Information

�Mostra informações dos dispositivos diretamente conectados�Pacotes CDP não passam através switches

Switch#show cdp neigbors

or

Switch#show cdp neighbor detail

�Detailed information; hostname, IP address, etc

Page 34: Rede Ethernet

34

Cisco Discovery Protocol (CDP)Neighbor Information

Page 35: Rede Ethernet

35

Virtual LAN (VLAN)

Page 36: Rede Ethernet

36

Virtual LAN (VLAN)

� Agrupamento lógico de usuários da rede e recursos conectados no switch.

� Criação de Domínios de Broadcast� Organizado por:

�Localização�Função�Departamento�Aplicação ou protocolo

Page 37: Rede Ethernet

37

VLANs - BENEFÍCIOS

� Simplifica gerenciamento da rede� Provê um maior nível de segurança

em relalação à rede flat� Flexibilidade e Escalabilidade� Reduz dominio de Broadcast

Page 38: Rede Ethernet

38

VLAN – PORTAS DE ACESSO

Associado à uma única VLAN

Page 39: Rede Ethernet

39

CONFIGURAÇÃO DE VLANs – PORTA ACESSO

Page 40: Rede Ethernet

40

VERIFICANDO VLANs

•show interfaces

•show vlan

Nota: se a porta não esta associado a nenhuma VLAN é por que está Em TRUNK

Page 41: Rede Ethernet

41

VLAN – PORTA TRUNK

Várias vlans no mesmo linkIdentificador único em cada frame

Page 42: Rede Ethernet

42

VLAN: TRUNK 802.1Q e ISL

ISL: Proprietário Cisco, encapsulamento de frame802.1Q: Não-proprietário (Padrão IEEE), adiciona campo (tag) no cabeçalho do frame (exceto para vlan nativa)

Page 43: Rede Ethernet

43

TRUNK 802.1Q: VLAN NATIVA

Frames da vlan nativa trafegam no trunk sem tag

Page 44: Rede Ethernet

44

VLAN: RANGE

Page 45: Rede Ethernet

45

CONFIGURAÇÃO DE TRUNK

•Trunk pode ser configurado manualmente ou via DTP •(Dynamic Trunk Protocol)•DTP negocia trunk na porta

Page 46: Rede Ethernet

46

NEGOCIAÇÃO DE TRUNK (DTP)

• Negociação do trunk via DTP ocorre quando habilitado nas duas pontas da conexão

•show dtp interface

Para verificar negociação do trunk

Page 47: Rede Ethernet

47

CONFIGURAÇÃO DE TRUNK: 802.1Q

Page 48: Rede Ethernet

48

VERIFICANDO CONFIGURAÇÕES DE TRUNK 802.1Q: COMANDOS

Page 49: Rede Ethernet

49

VERIFICANDO CONFIGURAÇÕES DE DYNAMIC TRUNK 802.1Q (DTP): COMANDOS

Page 50: Rede Ethernet

50

CONFIGURAÇÃO DE TRUNK: ISL

Page 51: Rede Ethernet

51

VERIFICANDO CONFIGURAÇÕES DE TRUNK ISL: COMANDOS

Page 52: Rede Ethernet

52

TROUBLESHOOTING - TRUNK

- Configuração DTP inconsistente

- Encapsulamento do trunk (ISL, 802.1Q) diferentes

- Domínio de VTP diferentes

- Capacidade de hardware das portas

Page 53: Rede Ethernet

53

TROUBLESHOOTING – TRUNK (CONT.)

Para portas que não requerem trunk, DTP deve ser desabilitada

Para portas que requerem trunk, configurar trunk e nonnegociate

Page 54: Rede Ethernet

54

VLAN Trunk Protocol (VTP)

• Grupo de switches que trocam informações de VLAN • VLANs administrados centralmente por um determinado switch

Page 55: Rede Ethernet

55

PROTOCOLO VTP

• Anúncio com informação de configuração de VLAN• Mantêm consistência de configuração de VLAN no domínio VTP• Envia anúncios somente em portas trunk

Page 56: Rede Ethernet

56

SERVER (default)-Cria, modifica, apaga VLANs-Envia e encaminha anúncios VTP-Sincroniza configuração de VLANs-Salva configuração na NVRAM

MODOS DE OPERAÇÃO DO VTP

CLIENT- Não pode criar, modificar ou apagar VLANs- Encaminha anúncios VTP- Sincroniza configuração de VLANs- Não salva configuração na NVRAM

TRANSPARENT- Cria, modifica, apaga VLANs- Encaminha anúncios VTP- Não sincroniza configuração de VLANs- Salva configuração na NVRAM

Page 57: Rede Ethernet

57

VTP PRUNING

•VTP Pruning utiliza banda com maior eficiência•Flooding de broadcast é encaminhado somente para portas associadas àquela vlan.

Page 58: Rede Ethernet

58

OPERAÇÃO DO VTP

• Anúncio VTP enviado em multicast• VTP Server e Client são atualizados para o último revision number

• Anúncios VTP enviados a cada 5 minutos ou quando tiver alguma alteração

Page 59: Rede Ethernet

59

CONFIGURAÇÃO DE VTP

Configurando VTP:

•vtp mode

•vtp domain

•vtp password

Verificando VTP:

•show vtp status

•show vtp counters

Page 60: Rede Ethernet

60

CONFIGURANDO VTP

S1(config)#vtp mode server

S1(config)#vtp domain cisco

S1(config)#vtp password cisco

S2(config)#vtp mode client

S2(config)#vtp domain cisco

S2(config)#vtp password cisco

S3(config)#vtp mode transparent

S3(config)#vtp domain cisco

S3(config)#vtp password cisco

Page 61: Rede Ethernet

61

VERIFICANDO VTP

Page 62: Rede Ethernet

62

VERIFICANDO VTP (Cont.)

Page 63: Rede Ethernet

63

TROUBLESHOOTING – VTP

Problemas comuns:• Updates não recebidos- domínio de VTP e senha devem ser iguais- versão VTP deve ser compatível com outros switches do

domínio- deve haver pelo menos um VTP Server- checar se há conexão trunk com VTP Server

• VLANs faltando na configuração- configuração foi sobrescrita por outro switch - Vlan foi apagada do switch VTP Server- modelo do switch não “entende” vlan estendida (acima 1005)

• Muitas VLANs configuradas nos switches - Separar em domínios de VTP

Page 64: Rede Ethernet

64

ROTEAMENTO ENTRE VLANs

Page 65: Rede Ethernet

65

ROTEAMENTO ENTRE VLANs

CONFIGURAÇÃO:

•ip routing

•Interface vlan 10

- ip address 10.1.1.1 255.255.255.0

•Router eigrp 50

- network 10.0.0.0

Page 66: Rede Ethernet

66

ROTEAMENTO ENTRE VLANs

ip routing !Habilita roteamento no switch

interface vlan10

ip address 10.1.1.1 255.255.255.0

interface vlan20

ip address 10.2.2.1 255.255.255.0

interface fa0/1 !Routed Port

no switchport

ip address 10.3.3.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 200.200.200.1

Verificando tabela roteamento:•show ip route

Page 67: Rede Ethernet

EXEMPLO DE ENDEREÇAMENTO

67

10 . X . Y. Z

Octeto que representa a filial

Octeto que representa o VLAN ID

Octeto que representa o Host

Ex. 10 . 1 . 10. 30 – Filial 1, VLAN 1010 . 2 . 20. 30 – Filial 2, VLAN 20

Page 68: Rede Ethernet

EXEMPLO DE ENDEREÇAMENTO

68

Filial Rede Vlan

RIO DEJANEIRO

10.1.10.0/24 SERVIDOR

10.1.11.0/24 GERENCIA

10.1.12.0/24 RECEPCAO

10.1.13.0/24 TECNICO

10.1.14.0/24 ADMINISTRATIVO

10.1.15.0/24 VOIP

10.1.16.0/24 VIDEO

10.1.17.0/24 VISITANTE

FORTALEZA

10.2.10.0/24 SERVIDOR

10.2.11.0/24 GERENCIA

10.2.12.0/24 TECNICO

10.2.13.0/24 SELECAO

10.2.14.0/24 ADMINISTRATIVO

10.2.15.0/24 VOIP

10.2.16.0/24 VIDEO

10.2.17.0/24 VISITANTE

Page 69: Rede Ethernet

69

DHCP

Page 70: Rede Ethernet

70

DHCP SERVER

Switch(config)#ip dhcp excluded-address 10.254.253.1 10.254.253.9Switch(config)# ip dhcp pool DHCP-APSSwitch(dhcp-config)# network 10.254.253.0 255.255.255.0Switch(dhcp-config)# domain-name nec.com.brSwitch(dhcp-config)# default-router 10.254.253.1Switch(dhcp-config)# option 60 ascii "Cisco AP c1130"Switch(dhcp-config)# option 43 hex f108.0afe.fd04.0afe.fd06Switch(dhcp-config)# lease 1

DHCP RELAYSwitch(config)#interface vlan 10Switch(config-if)# ip address 192.168.1.0 255.255.255.0Switch(config-if)# ip helper-address 10.10.10.1

Page 71: Rede Ethernet

71

IP HELPER-ADDRESSServiço Porta

Time 37

TACACS 49

DNS 53

BOOTP/DHCP Server 67

BOOTP/DHCP Client 68

TFTP 69

NetBIOS name service 137

NetBIOS datagram service 138

ExemploRTA(config-if)#ip helper-address 192.168.1.254RTA(config-if)#exitRTA(config)#ip forward-protocol udp 517RTA(config)#no ip forward-protocol udp 37RTA(config)#no ip forward-protocol udp 49RTA(config)#no ip forward-protocol udp 137

RTA(config)#no ip forward-protocol udp 138

Page 72: Rede Ethernet

72

ETHERCHANNEL

Page 73: Rede Ethernet

73

ETHERCHANNEL

• Agregação lógica links

• Balanceamento

• Redundância

Page 74: Rede Ethernet

74

ETHERCHANNEL� Apenas portas com característicasidênticas podem ser agregadas.

Configuração:

� Automática:

� PAgP: Port Aggregation Protocol (Cisco)� LACP: Link Aggregation � Control Protocol (IEEE 802.3)

� Manual:

� On: sem protocolo de negociação� Usado apenas para compatibilidade entre switches que não

suportam os protocolos de negociação.

Page 75: Rede Ethernet

75

ETHERCHANNELPAgP – Port Aggregation Protocol

� Protocolo proprietário da cisco� Agrupa automaticamente portas com as mesmas

caracterísiticas:� Velocidade, modo duplex, native VLAN, VLAN range,

trunking status.� Porta Access devem pertencer a mesma VLAN� Portas Trunk devem pertencer a mesma native VLAN

� O grupo de portas é passado ao protocolo Spanning-Tree como sendo uma porta única.

� Permite agregar até 8 portas.

Page 76: Rede Ethernet

76

ETHERCHANNELLACP - Link Aggregation Protocol

� Padrão IEEE 802.3ad� Modos de operação:

� Passivo� Similar ao modo auto PAgP

� Ativo� Similar ao modo desirable PAgP

� Permite agregar até 16 portas, mas apenas 8 estão ativas num dado instante.

Page 77: Rede Ethernet

77

ETHERCHANNEL - CONFIGURAÇÃOinterface port-channel [channel-group-number]

channel-protocol [pagp | lacp]

channel-group 2 mode [active|auto|desirable|on|passive]

active Enable LACP unconditionally

auto Enable PAgP only if a PAgP device is detected

desirable Enable PAgP unconditionally

on Enable Etherchannel only

passive Enable LACP only if a LACP device is detected

Verificando Etherchannel:

•show interfaces fastethernet 0/1

•Show etherchannel 2 port-channel

•Show etherchannel 2 summary

Page 78: Rede Ethernet

78

ETHERCHANNEL (LAYER 2) CONFIGURAÇÃO

interface Port-channel2

switchport access vlan 10

switchport mode access

interface GigabitEthernet1/0

switchport access vlan 10

switchport mode access

channel-group 2 mode active

interface GigabitEthernet1/1

switchport access vlan 10

switchport mode access

channel-group 2 mode active

Page 79: Rede Ethernet

79

ETHERCHANNEL (LAYER 2) CONFIGURAÇÃO

interface Port-channel2

switchport mode trunk

interface GigabitEthernet1/0

switchport mode trunk

channel-group 2 mode active

interface GigabitEthernet1/1

switchport mode trunk

channel-group 2 mode active

Page 80: Rede Ethernet

80

ETHERCHANNEL (LAYER 3) CONFIGURAÇÃO

interface port-channel 5

no switchport

ip address 172.16.2.1 255.255.255.0

interface range gigabitethernet1/0

no ip address

no switchport

channel-group 5 mode active

interface range gigabitethernet1/0

no ip address

no switchport

channel-group 5 mode active

Page 81: Rede Ethernet

81

SPANNING TREE

Page 82: Rede Ethernet

82

SPANNING TREE (STP)Protocolo de camada 2 utilizado para prevenir ocorrência de loops

Princípio:

• Somente um caminho ativo pode existir entre 2 estações na rede

• Bloquear as portas que impliquem em loops

• Escolha de um switch como Root eConstrução de uma árvore como omenor caminho até o Root.

Page 83: Rede Ethernet

83

BRIDGE PROTOCOL DATA UNIT (BPDU)

O STP utiliza um protocolo chamado BPDU para trocainformações entre switches

Page 84: Rede Ethernet

84

SPANNING TREE – Estado das Portas

Page 85: Rede Ethernet

85

SPANNING TREE - Operação

� Selecionando Root Bridge – bridge ID� Selecionando Designated Port

Page 86: Rede Ethernet

86

SPANNING TREE - Operação� 1 Root Bridge por rede� 1 Root Port por nonroot bridge� 1 Designated Port por segmento� Nondesignated Port em Blocking

Page 87: Rede Ethernet

87

SPANNING TREE – Exemplo

Page 88: Rede Ethernet

88

Força o switch a ser root

Força o switch a ser root secundário

SPANNING TREE – Comandos

ou

Configura manualmente a priority

Page 89: Rede Ethernet

SPANNING-TREE

89

Page 90: Rede Ethernet

EXEMPLO DE CONFIGURAÇÃO – 802.1S

90

Core2spanning-tree mode mstspanning-tree extend system-idspanning-tree mst configurationname Exemplorevision 1instance 1 vlan 2, 10, 14instance 2 vlan 12, 16,20instance 3 vlan 13,15,17instance 4 vlan 19,21,23spanning-tree mst 0-2 root primaryspanning-tree mst 3-4 root secondary

Core1spanning-tree mode mstspanning-tree extend system-idspanning-tree mst configurationname Exemplorevision 1instance 1 vlan 2, 10, 14instance 2 vlan 12, 16,20instance 3 vlan 13,15,17instance 4 vlan 19,21,23spanning-tree mst 0-2 root secondaryspanning-tree mst 3-4 root primary

Page 91: Rede Ethernet

91

SPANNING TREE – PORTFAST

Habilita portfast em uma interface:

Habilita portfast em todas as interfaces que não sejam trunk

Verificando configuração:

Page 92: Rede Ethernet

92

SEGURANÇA EM REDES ETHERNET

Page 93: Rede Ethernet

93

S2

� Ataque MAC Address Flooding� Ferramentas de Hackers: macof (parte do dsniff)

� Gera uma série de endereços MAC falsos� Quando a tabela CAM lota (32K entradas), o tráfego é enviado para

todas as portas

� DHCP Starvation� Ferramentas de Hackers : gobbler

� Utiliza todo range de endereços do servidor DHCP

� Ataque Falso Servidor DHCP � Ferramentas de Hackers : gobbler ou um servidor de DHCP falso

� Possibilita ataques tipo Man in the middle usando o Default Gateway

� ARP Spoofing� Ferramentas de Hackers : ettercap, dsniff, arpspoof

� Possibilita ataques tipo Man in the middle em Layer 2

Ameaças à segurança da LANSEGURANÇA NA LAN

Page 94: Rede Ethernet

94

S2

Ameaças à segurança da LANPORT SECURITY

Port Security restringe porta de acesso do switch por MAC address

Page 95: Rede Ethernet

95

S2

PORT SECURITY - CONFIGURAÇÃO� Habilitar Port security� Configurar limite mac-address aprendidas para àquela porta� Especificar Mac Address permitido

- mac address configurado manualmente- mac address configurado dinamicamente (Stick mac address)

� Definir ação em caso de violação - shutdown: porta desabilitada e log e SNMP trap gerados- restrict: frames descartados e log e SNMP trap gerados- protect: frames descartados, sem log

Page 96: Rede Ethernet

96

S2

Ameaças à segurança da LANPORT SECURITY – CONFIGURAÇÃO (Cont.)

Verificando Port Security:

Page 97: Rede Ethernet

97

S2

Ameaças à segurança da LANPORT SECURITY – CONFIGURAÇÃO (Cont.)

Verificando Port Security:

Page 98: Rede Ethernet

98

Funcionamento do DHCP

DHCP ClientDHCP Server

DHCP Discover (Broadcast)

DHCP Offer (Unicast)

DHCP Request (Broadcast)

DHCP Ack (Unicast)

Page 99: Rede Ethernet

99

Ataque DHCP Starvation

DHCP Client DHCP Server

DHCP Discover (Broadcast) x (Tamanho do pool DHCP)

DHCP Offer (Unicast) x (Tamanho do pool DHCP)

DHCP Request (Broadcast) x (Tamanho do pool DHCP)

DHCP Ack (Unicast) x (Tamanho do pool DHCP)

Gobbler

Page 100: Rede Ethernet

100

Ataque DHCP - MiM

DHCP Client DHCP Server

DHCP Discover (Broadcast)

DHCP Offer (Unicast) Do servidor falso

DHCP Request (Broadcast)

DHCP Ack (Unicast) Do servidor falso, com Def GW alterado

Servidor Falso

Page 101: Rede Ethernet

101

DHCP SNOOPING

� DHCP Snooping: Trust e Untrusted ports� Untrusted Ports: Não respondem às Requisições do DHCP

� Configurar DHCP snooping nos Uplinks com Servidor DHCP

� Não configurar DHCP snooping em portas de usuários

Page 102: Rede Ethernet

102

DHCP SNOOPING - CONFIGURAÇÃOHabilita DHCP Snooping globalmente

Habilita DHCP Snooping em uma ou mais vlan

Permite inserção do DHCP option 82

Configura um interface como trusted

Limita número pacotes por segundo na porta (OPCIONAL)

Page 103: Rede Ethernet

103

DHCP SNOOPING – CONFIGURAÇÃO (Cont.)

Page 104: Rede Ethernet

104

DHCP SNOOPING – CONFIGURAÇÃO (Cont.)

Verificando DHCP Snooping:

Page 105: Rede Ethernet

105

ARP INSPECTION

Page 106: Rede Ethernet

106

ARP INSPECTION

Switch(config)# ip arp inspection vlan 1

Switch(config)# interface Gigabitethernet1/0/1

Switch(config-if)# ip arp inspection trust

Page 107: Rede Ethernet

107

PROTEGENDO OPERAÇÃO STP

BPDU GUARD

Evita que switches sejam conectadosem portas configuradas em PortFast.

� BPDU Guard gera log ou desabilita porta (porta entra no modo ErrDisable)� BPDU Filter: ação a ser tomada quando BPDU é recebido.

Page 108: Rede Ethernet

108

PROTEGENDO OPERAÇÃO STP

BPDU GUARD - CONFIGURAÇÃO

Habilita BPDU Guard

Mostra configuração BPDU Guard

Page 109: Rede Ethernet

109

PROTEGENDO OPERAÇÃO STP

BPDU FILTERING - CONFIGURAÇÃO

Habilita BPDU Filtering

Mostra informações de configuração BPDU Filtering

Page 110: Rede Ethernet

110

PROTEGENDO OPERAÇÃO STP

UDLD – Unidirectional Link Failure

Page 111: Rede Ethernet

111

PROTEGENDO OPERAÇÃO STP

SEM LOOP GUARD

Page 112: Rede Ethernet

112

PROTEGENDO OPERAÇÃO STP

COM LOOP GUARD

Page 113: Rede Ethernet

113

PROTEGENDO OPERAÇÃO STP

UDLD e LOOP GUARD - CONFIGURAÇÃO

Configurando UDLD:

Configurando Loop Guard:

Page 114: Rede Ethernet

114

PROTEGENDO OPERAÇÃO STP

UDLD - CONFIGURAÇÃO

Habilita UDLD globalmente em todas interfaces de fibra-optica

Habilita UDLD na interface

Reseta todas as interfaces que foram desabilitadas pelo UDLD

Mostra informações de UDLD de determinada interface

Page 115: Rede Ethernet

115

PROTEGENDO OPERAÇÃO STP

LOOP GUARD - CONFIGURAÇÃO

Page 116: Rede Ethernet

HSRP -

116

Page 117: Rede Ethernet

EXEMPLO DE CONFIGURAÇÂO

117

Core-2interface vlan 10description ADMINISTRACAOip address 10.10.10.2 255.255.255.0standby 1 ip 10.10.10.1standby 1 priority 140standby 1 preemptno shutdown

interface vlan 11description TECNICOip address 10.10.11.2 255.255.255.0standby 1 ip 10.10.11.1standby 1 priority 150standby 1 preemptno shutdown

Core-1interface vlan 10description ADMINISTRACAOip address 10.10.10.3 255.255.255.0standby 1 ip 10.10.10.1standby 1 priority 150standby 1 preemptno shutdown

interface vlan 11description TECNICOip address 10.10.11.3 255.255.255.0standby 1 ip 10.10.11.1standby 1 priority 140standby 1 preemptno shutdown

Page 118: Rede Ethernet

118

Serviços de Identificação

802.1x SwitchedLAN

Requires802.1x Clients

Wiring Closet

RADIUS

Identity Based Networking Services (IBNS)

Através de extensões ao protocolo 802.1x, IBNS possibilita uma nova geração de controle de acesso à rede, em que serviços inteligentes são aplicados dinamicamente à porta do Switch, aumentando a segurança, mobilidade e produtividade.

User ok. Assign VLAN3 and ACL14 to port5.

802.1xProtege o acesso à rede através da autenticação do usuário via servidor de RADIUS, habilitando ou impedindo o acesso à rede

User ok?

Page 119: Rede Ethernet

119

IBSN – Como Funciona

Login Request

Credenciais

Verifica Usuário no DBLogin Válido!Aplicar políticas

SERVIDOR RADIUSEste é o Zé Mané!

Ele vai para VLAN 5

Agora o usuário tem acesso à rede,

na sua própria VLAN

Configurar porta para VLAN 5

Aplica políticas e habilita a porta do Switch

Page 120: Rede Ethernet

120

802.1xRede Cabeada

Rede sem fio

Page 121: Rede Ethernet

121

802.1x (Cont.)

� Suplicante: a entidade que quer ter acesso

� Autenticador: a entidade que controla o acesso

� Servidor de autenticação: a entidade que autoriza ou nega o acesso

Page 122: Rede Ethernet

122

TIPOS DE EAP

� EAP-MD5� EAP-TLS� EAP-PEAP� EAP-LEAP� EAP-TTLS� EAP-FAST

Page 123: Rede Ethernet

123

Fluxo das mensagens EAP

Page 124: Rede Ethernet

124

802.1x – CONFIGURAÇÃO Exemplo:802.1x com associação de Vlan dinâmica

1- Habilitar AAA authorizationSwitch(config)#usarname admin privilege 15 password cisco

Switch(config)#aaa new-model

Switch(config)#aaa authentication dot1x default group radius

Switch(config)#aaa authorization dot1x default group radius

Switch(config)#radius-server host 10.1.1.1 key cisco

Page 125: Rede Ethernet

125

802.1x – CONFIGURAÇÃO (Cont.)

2- Habilitar 802.1x

Switch(config)# dot1x system-auth-control

3- Configurar atributos no servidor RADIUS.Servidor RADIUS deverá retornar os seguintes atributos para o switch:

� [64] Tunnel-Type=VLAN� [65] Tunnel-Medium-Type=IEEE 802� [81] Tunnel-Private-Group-ID= VLAN name ou VLAN ID

Page 126: Rede Ethernet

126

802.1x – CONFIGURAÇÃO (Cont.)

Page 127: Rede Ethernet

127

802.1x – CONFIGURAÇÃO (Cont.)

4- Habilitar 802.1x nas interfaces

Switch(config)#interface range FastEthernet1/0/1-24

Switch(config-if)# dot1x port-control auto

Switch(config-if)# dot1x guest-vlan 20

Switch(config-if)# dot1x auth-fail vlan 30

Page 128: Rede Ethernet

128

802.1x – CONFIGURAÇÃO (Cont.)

Verificando 802.1x:

Mostra status do 802.1x

Mostra status do 802.1x para todas as interfaces ou um interfaces especifica

Page 129: Rede Ethernet

129

SSH

Switch(config)# ip domain-name nec.com.br Switch(config)# access-list 10 permit host 10.254.254.254Switch(config)# crypto key generate rsaNEC_BRASIL1024Switch(config)# ip ssh version 2Switch(config)# ip ssh time-out 60Switch(config)# ip ssh authentication-retries 2

Switch(config)# line vty 0 15Switch(config-line)# transport input sshSwitch(config-line)# access-class 10 in

Page 130: Rede Ethernet

130

Gerenciamento

Page 131: Rede Ethernet

131

SNMP•SNMP V1 e V2cSwitch(config)#access-list 90 permit 10.254.254.254Switch(config)# access-list 90 remark CISCO-WORKSSwitch(config)# snmp-server community snmpRW RW 90Switch(config)# snmp-server community snmpRO RO 90Switch(config)# snmp-server ifindex persistSwitch(config)# snmp-server contact ramal Switch(config)# snmp-server location CisproSwitch(config)# snmp-server trap link ietfSwitch(config)# snmp-server trap-source Vlan600

•SNMP V3 autenticadoSwitch(config)# snmp-server group admsw v3 auth

Switch(config)# snmp-server user admin admsw v3 auth md5 admpass

SNMP V3 autenticado e criptografadoSwitch(config)# snmp-server group admsw v3 auth

Switch(config)# snmp-server user admin admsw v3 auth md5 admpass

priv des56 admpass

Page 132: Rede Ethernet

SINCRONISMO DE DATA/HORA

132

Page 133: Rede Ethernet

133

NTP

Switch(config)#clock timezone GMT-3

Switch(config)# clock summer-time GMT-2 date Oct 19

2009 0:00 Feb 27 2010 0:00

ntp server 10.254.254.254

� Com autenticação

Switch(config)# ntp server 10.254.254.254 key 5

Switch(config)# ntp authenticate

Switch(config)# ntp authentication-key 5 md5 1000

Page 134: Rede Ethernet

CENTRALIZAÇÂO DOS LOGs

134

Page 135: Rede Ethernet

135

SYSLOG

switch(config)# logging 10.254.254.254

Page 136: Rede Ethernet

136

QoS –Qualidade de Serviço

Page 137: Rede Ethernet

137

QoS – Qualidade de ServiçoCONCEITO

Page 138: Rede Ethernet

138

QoS – MODELO OSI

Page 139: Rede Ethernet

139

QoS – MARCAÇÃO CAMADA 2

• Bits de prioridade dos TAGs IEEE 802.1Q

• Campo CoS: Class of Service (IEEE 802.1p)

Page 140: Rede Ethernet

140

QoS – MARCAÇÃO CAMADA 3

Campo ToS (Type of Service)

• Campos TOS

Page 141: Rede Ethernet

141

MECANISMO DE QoS

Page 142: Rede Ethernet

142

PERFIL DE TRÁFEGO X REQUISITOS DE QoS

Page 143: Rede Ethernet

143

QoS – Switches 2960/3560/3750

2 FILAS ENTRADA POR PORTA

4 FILAS SAÍDA POR PORTA

INGRESS EGRESS

• 4Q3T or 1P3Q3T• Fila 1 pode ser configurada como Priority-Queue

Page 144: Rede Ethernet

144

QoS – Switches 2960/3560/3750HABILITAR QoS

Habilitar qos no switch;

Switch(config)# mls qos

Switch(config)# show mls qos

OBS: Alterar tabela de mapeamento cos-dscp se necessário (mapeamento default do switch converte cos=5 para dscp=40)

Switch#sh mls qos maps cos-dscp

Cos-dscp map:

cos: 0 1 2 3 4 5 6 7

--------------------------------

dscp: 0 8 16 24 32 40 48 56

Switch(config)# mls qos map 0 8 16 26 32 46 48 56

Page 145: Rede Ethernet

145

QoS – Switches 2960/3560/3750

CLASSIFICAÇÃO E MARCAÇÃO PACOTES

- Switches Catalyst: QoS em hardware (ASIC) - Marcação dos pacotes devem ser feitos o mais próximo da camada de acesso- Interconexão dos switches: Confiar na marcação (“trust”) para não perder a marcação QoS- Criar ACLs para classificar e marcar os pacotes

Page 146: Rede Ethernet

146

QoS – Marcação de pacotes

Page 147: Rede Ethernet

147

QoS – Switches 2960/3560/3750CLASSIFICAÇÃO E MARCAÇÃO PACOTESExemplo

1) Classificar tráfegos:

• Voz � classe Voz• Sinalização de voz � classe Sinalização• Banco de Dados � classe BcoDados

2) Marcar Pacotes:

• Voz � Já marcado pelo PABX (ef), confiar na marcação• Sinalização de Voz � Já marcado pelo PABX (CS3), confiar na marcação• Banco de Dados � Marcar como af21

Page 148: Rede Ethernet

148

QoS – Switches 2960/3560/3750

ip access-list extended Bco_Dados permit ip any any eq 1521

permit ip any any eq 1810

permit ip any any eq 2481

permit ip any any eq 7778

class-map Voz

match ip dscp ef ! Classifica tráfego Voz class-map Sinalizacao

match ip dscp cs3 ! Classifica tráfego Sinalizaçao Vozclass-map BancoDados

match access-group name Bco_Dados ! Classifica tráfego Banco Dados

policy-map Exemplo_QoS

class Voz

trust dscp ! Confia na marcaçãoclass Sinalizacao

trust dscp ! Confia na marcação class BancoDados

set dscp af21 ! Marca tráfego Banco Dados para af21

Interface gigabitethernet 1/0

service-policy input Exemplo_QoS ! Aplica politica Exemplo_QoS criada na interface

CLASSIFICAÇÃO E MARCAÇÃO PACOTES

Page 149: Rede Ethernet

149

QoS – Switches 2960/3560/3750POLICING

Permite adequar o tráfego em torno de uma taxa média, com rajadas de intensidade controlada

Ação:- Descartar excedente (exceed action drop)- Marcar com prioridade menor (exceed action dscp)

EXEMPLO: Policiar tráfego de Dados em 10Mbps com DSCP AF11. Descartar excedente

policy-map Exemplo_QoS

class Dados

set ip dscp af11

police 10000000 8192 exceed-action drop

Page 150: Rede Ethernet

150

QoS – Switches 2960/3560/3750QUEUING

Configuração Default para as Filas de Entrada e Saída

Page 151: Rede Ethernet

151

QoS – Switches 2960/3560/3750QUEUING

mls qos srr-queue output cos-map queue 1 threshold 3 5

mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7

mls qos srr-queue output cos-map queue 3 threshold 3 2 4

mls qos srr-queue output cos-map queue 4 threshold 2 1

mls qos srr-queue output cos-map queue 4 threshold 3 0

mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47

mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31

mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55

mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63

mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23

mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39

mls qos srr-queue output dscp-map queue 4 threshold 1 8

mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15

mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7

cos

fila

dscp

Page 152: Rede Ethernet

152

QoS – Switches 2960/3560/3750Shaped Round-Robin (SRR)

Controla a taxa no qual os quadros são retirados das filas

SRR pode ser configurado como:SHAPED MODE:

• Cada fila de saída possui uma quantidade de banda limitada• Mesmo que a banda de outras filas não esteja sendo utilizada, a banda de uma fila nunca é excedida.• Suportado somente na fila de saída.

SHARED MODE:• Garante um mínimo de banda para cada fila (em porcentagem) mas permite uma maior utilização caso as outras filas estejam ociosas. • Suportado nas filas de entrada e saída

Shaper (Especifica Banda MAXIMA)

Shared (especifica Banda MINIMA)

Page 153: Rede Ethernet

153

QoS – Switches 2960/3560/3750

Shaped Round-Robin (SRR)

SHAPED MODE:

Filas 1 e 2 � Shaped Mode- Fila 1 pode usar no máximo 1/8 da banda (12,5%) - Fila 2 pode usar no máximo 1/4 da banda (25%)

Filas 3 e 4 � Shared Mode

Page 154: Rede Ethernet

154

QoS – Switches 2960/3560/3750

Shaped Round-Robin (SRR)

SHARED MODE:

Filas 1, 2, 3, 4 � Shared Mode- Fila 1 pode usar no mínimo 10% da banda - Fila 2 pode usar no mínimo 20% da banda- Fila 3 pode usar no mínimo 30% da banda- Fila 4 pode usar no mínimo 40% da banda

OBS: Shape tem precedência sobre Sharesrr-queue bandwidth share 20 10 60 10

srr-queue bandwidth shape 20 0 0 10

Page 155: Rede Ethernet

155

QoS – Switches 2960/3560/3750SHAPING X POLICING

Page 156: Rede Ethernet

156

QoS – Switches 2960/3560/3750

Shaped Round-Robin (SRR)

As 4 Filas participam do SRR, a menos que seja habilitada Priority Queue (Fila 1).

Os pacotes do Priority Queue são encaminhados antes das outras filas até esvaziamento do buffer.

interface gi 1/0/1

priority-queue out

Page 157: Rede Ethernet

157

QoS – Switches 2960/3560/3750

WTD – WEIGHTED TAIL DROP� WTD: as filas utilizam um algoritmo de

descarte ponderado, baseado na classificação dos quadros:

Novos quadros com Cos 4-5 são

descartados quando a fila atinge 60% da

taxa de ocupação

Page 158: Rede Ethernet

158

QoS – Switches 2960/3560/3750

• Configuração de QoS para VOZ• Habilita QoS• “Trust” em cisco-phone, cisco-softphone and cos• Altera tabela COS-DSCP• Configuração filas

AUTOQoS

Page 159: Rede Ethernet

159

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip trust”

Page 160: Rede Ethernet

160

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip trust”

Page 161: Rede Ethernet

161

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip cisco-softphone”

Page 162: Rede Ethernet

162

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip cisco-softphone”

Page 163: Rede Ethernet

163

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip cisco-softphone”

Page 164: Rede Ethernet

164

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip cisco-softphone”

Page 165: Rede Ethernet

165

QoS – Switches 2960/3560/3750

AUTOQoS

• Com “voip cisco-phone”