Redes(2) - HackMD

# Redes(2) ## **HouseKeeping** no ip domain-lookup (Disable DNS lookup) enable secret Ccn@3 (pass do enable) banner motd "Authorized users only!" (as " abrem e fecham) podia ser outro caracter qualquer. secret quanto menor o nr maior é a encriptação. username GRSI privilege secret grs1P@ss - (privilege 0 a 15) se não inserirmos o comando privilege - assume nivel maximo.(15) se usar password inves de secret, nao aparece encriptado. username GRSI privilege 15 secret grs1P@ss (exemplo) service password-ecnryption - encripta todas as passwords em plain text. line con 0 - linha de consola login auth (active directory - vai buscar a base de dados do sistema da empresa) login local - vai buscar passwords guardadas, inseridas anteriormente, guardadas na nvram do equipamento. exit # * ### configuração global de SSH ip domain-name ccna.atec **necessario para estabelecer uma ligação por ssh** gerar uma chave 1024 - crytpo key - zeroize (elimina o chave criada) crypto key generate rsa general-keys modulus 1024 (nao vai pedir pois ja estamos a inserir o tamanho) ip ssh version 2 - melhor que a 1 (boa pratica) Config vty para apenas SSH **(verificar quantas vtys estao abertas - show run ) default vem de 0 a 4** line vty 0 4 (pois apenas tem 5 ativas) ou line vty 0 15 transport - define protocolos para o acesso transport input ssh **acesso apenas por ssh** login local - vai buscar passwords ja criadas anteriormente guardadas na nvram. * **Login Block** login block-for 180(segundos) attempts 4(tentativas) within 120(segundos apos as 4 tentativas) ------------------------------------------------------------- ## Tipos de VLANS **Default VLAN** - tambem conhecida como vlan 1. Todas as portas do sao membros da vlan 1 por defeito. **DATA vlan** - sao criadas para grupos especificos de users ou dispositivos. eles transportam tráfego gerado pelo usuário **Native VLAN** - Esta é a VLAN que carrega tudo tráfego sem tag. Este é o tráfego que não originam-se de uma porta VLAN (por exemplo, tráfego STP BPDU trocados entre os comutadores habilitados para STP). o VLAN nativa é a VLAN 1 por padrão. **Management VLAN** - Esta é uma VLAN que é criado para transportar tráfego de gerenciamento de rede incluindo SSH, SNMP, Syslog e muito mais. VLAN 1 é a VLAN padrão usada para rede gestão. # Configuração dos Switches Configuração de vlans sw m t vlan por defeito e nativa devem sempre ser alterada sw trunk native 99 do sh int trunk -- quais as portas em modo trunk SWITCH ``` vlan 2 **associar vlan ao switch** name CASA int vlan 2 **apenas necessario para SVI** Description asdasd ip add 192.168.10.125 255.255.255.128 no shu int fa 0/1 switchport m access switchport access vlan 2 ``` ip default gateway .... Na interface vlan - configuramos e atribuimos um ip para entrarmos Remotamente. **para escolhermos mais que uma porta ** ``` int ra fa 3-24 ``` * Criação de Vlans: * Vlan **15** * name **clientes** * Criacação de SVI (para VLANS de acesso remoto apenas): * interface vlan **10** * ip address **192.168.10.10 255.255.255.0** * Ip default-gateway **192.168.10.254** * Indicar ao switch qual o default gateway > Quando existe varias vlans, utilizar o gateway da vlan de administração. * Associar Vlan a clientes: * int r fa **fa0/1 - 10** ou **f0/1** * switchport mode **access** * switchport **nonegotiate**(apenas se não existir trunk do outro lado, ambos os lados têm que estar em trunk) * switchport access **vlan 15** * Associar Vlan Nativa ao switch: * interface **g0/0** (ligação router) * switchport mode **trunk** * switchport trunk **native** vlan 45 (anunciar a mudança de native VLAN) * Port Security (Utilizar em portas Access): * **switchport port-security** * **switchport port-security maximum** **2** (numero maximo de MACS) * **switchport port-security mac-address sticky** (associa MACS automaticamente) * **switchport port-security violation** **restrict** - dropa os packets e envia mensagem ( increments the security-violation count) **protect** - dropa os packets e não envia mensagem ( does not increment the security-violation count) **shutdown** - dá shut down na porta se houver security violation ``` shu no shu ``` **Switchport port-security mac-address sticky** -> Os MAC addresses que se ligam primeiro ficam gravados na RAM (*DICA:* depois de ligar os despositivos fazer um copy r s, ficaram gravados na startup configuration) * Desligar portas não utilizadas: * int r fa fa0/11 - 24 * shutdown * Colocar a porta em trunk (switch - router): * interface **g0/1** * switchport mode **trunk** ---- ## Configuração de Port Security 3 tipos de modo **Restrict - incrementar as vezes em que violaçoes acontecem** DATA de fontes desconhecidas de mac adresses sao descartadas, uma notificação de segurança é apresentada pelo switch, e a contagem de violação é aumentada. **Protect - bloqueia a porta após o numero de mac-address permitidos e nao incrementa** DATA de fontes desconhecidas de mac sao descartadas, e nao e apresentada uma notificação pelo switch. **Shutdown - desliga a porta após o numero de mac-address permitidos e nao incrementa** (DEFAULT MODE) interface becomes error-disabled and port LED turns off. The violation counter increments. Issues the shutdown and then the no shutdown command on the inferface to bring it out of the error-disabled state. **COMANDOS** interface numero interface // interface que queremos proteger ex: interface fa0/1 switchport mode access switchport port-security //Ligar port security switchport port-security maximum 10 //Restringir swtich para 10 mac address switchport port-security mac-address sticky //Aprende mac address araves de arp switchport port-security violation restrict // incrementar as vezes em que violaçoes acontecem show port-security interface // Truble Shooting show port-security address // Mostra como os mac address foram aprendidos ---- # Configuração dos Routers ROUTER ``` int g0/0 no shu int g0/0.2 encapsulation dot1Q 2 ip add 192.168.10.126 255.255.255.128 ``` Se apenas tiver um computador associada a giga ou uma vlan basta int g0/0 e darmos add do ip. ## Configuração da vlan nativa no router entra na interface da vlan native encapsulation dot1q **nr** vlan Native ----- # Configuração de rotas estaticas. ip route 192.168.11.0 255.255.255.128 10.0.0.2 "" 192.168.11.128 "" "" ip route 192.168.10.0 255.255.255.128 10.0.0.1 " " 192.168.10.128 "" "" ## **Rota estática com Next-hop** * Rota estática (IP ROUTE): * ip route **[IP REDE DESCOBRIR] [SUBNET DESSA REDE] [IP NEXT HOP]** R1 -> R2 **IP porta do R2** ``` ip route 192.168.1.0 255.255.255.0 172.16.2.2 ip route 192.168.1.0 255.255.255.0 172.16.2.2 **10** ``` ``` ipv6 route 2001:DB8:ACAD:4::/64 2001:DB8:ACAD:4::2 ``` ## **Static Default Route** * São configuradas para: - Ligar directamente a um ISP - Stub router (Um router com apenas um router vizinho) ``` ip route 0.0.0.0 0.0.0.0 (ip-adress | exit-int) ``` ``` ipv6 route ::/0 (ip-adress | exit-int) ``` --- # **Dynamic Routing** ## Teoria. ![](https://i.imgur.com/gjuqKmT.png) Usar o show interfaces para examinar os valores usados para Bandwith, reliability and load. Tal como a imagem indica. ![](https://i.imgur.com/pC1GeqS.png) Ter em atenção. ![](https://i.imgur.com/EvYlwRy.png) Se quisermos alterar a BW, basta entrarmos na interface e inserir o comando **Bandwith 64** sendo 64 kilobits, ao alterarmos a BW podemos alterar e escolher o caminho que pretendemos com o dynamic routing. ## * **EIGRP** Exemplo de configurações router eigrp 1 eigrp router-id 1.1.1.1 // 255.255.255.255 show ip procotols cada router tem id unico, nao usar mais um eigrp no mesmo router (muito uso de recursos) Desabilitar o auto-sumary ROUTER EIGRP *x* 'x' ==> autonomous system (tem de ser igual em todos os router da mesma "area") router eigrp 1 network 172.16.0.0 network 192.168.10.0 (classfull) /16 // /24 wildcard mask = subnetmask - broadcast router eigrp 1 192.168.10.8 255.255.255.0 passive-interface g0/0 - anuncia a rede, no entanto nao envia updates no interface. dentro do config-router show ip eigrp neigburs - ver tablea vizinha que estabelece comunicação com a rede vizinha. Podemos inseir configurações a nivel classfull que aceita, mas não esquecer depois fazer o **no auto-summary** ### exemplo de configuração ``` router eigrp 1 eigrp router-id 1.1.1.1 passive-interface GigabitEthernet0/0 network 172.16.1.0 255.255.255.0 network 192.168.1.0 255.255.255.252 network 192.168.1.4 255.255.255.252 ! ! ``` Tem que ser sem wildcard? router id muda de router para router, cada router dá a conhecer as suas redes, e assim eles comunicam entre si. ### Configuração ipv6 ``` en ! conf t ! ! ipv6 unicast-routing ! ipv6 router eigrp 1 eigrp router-id 3.3.3.3 no shutdown passive-interface GigabitEthernet0/0 ! int g0/0 ipv6 eigrp 1 ! int s0/0/0 ipv6 eigrp 1 ! int s0/0/1 ipv6 eigrp 1 ! ``` **TroubleShooting** ``` show ipv6 eigrp neighbours show ipv6 route show ipv6 protocols - melhor show cdp neighbour ``` * # **Router Rip** é um protocol classfull ``` Router rip Version 2 network 192.168.10.0 ``` `Show ip protocols ` Verifica o RIPv2 que e configurado. usar o no auto-summary em router configuration mode para disabilitar a auto summarização. usar o passive-interface em router configuration para parar o roteamento updates para fora da interface, ainda permite que a rede seja reconhecida por outros routers. entrar nas interfaces que não e necessario o rip e e fazer passive-interface. **se houver sub interfaces, e apenas necessario fazer nas sub interfaces** no auto-summary que é para o rip apenas fazer o routing da network que queremos. ``` no auto-summary - faz rip nas classless inves da classfull passive-interface g0/1 passive-interface g0/0.5 - quando tem subinterfaces - para nao enviar updates as subinterfaces ``` **no auto-summary** -> Para passar as redes classless, ou seija dar advertize das subnets e não converte-las em redes classfull **passive-interface** -> Para não enviar informação de roteamento para interfaces de end user como **switch ou hosts**. **default-information originate** -> Using default-information originate will advertise a default route, if there is one in the routing table. By adding the **always** the default will be advertised even if there is no default route in the table. * ## **OSPF** ![](https://i.imgur.com/jTW6xv9.png) ## Single-Area OSPF 1. Todos os router contidos numa area 2. Chamado area backbone 3. Conhecido por area 0 4. Usado em redes menores com poucos routers. ![](https://i.imgur.com/FCjtD9u.png) ## Multiarea OSPF 1. Desenhado para usar um esquema hierarquico 2. Todas as areas ligam a area 0 3. Mais comuns vistos com numerosas areas a volta da are 0 4. Routers que ligam a area 0 para outra area sao conhecidos por Area Border Router (ABR) 5. Usado em redes maiores 6. Multiplas areas reduzem o processamento e memoria 7. uma falha numa area nao afeta outra area ![](https://i.imgur.com/67oXHtT.png) O ID do router é usado para identificar unicamente um router OSPF Maneiras de um router ganhar um router ID 1. Se um roteador IF não estiver configurado, a interface de loopback configurada mais alta será usada 2. Configurado usando o comando do modo de configuração do roteador OSPF router-id rid 3. Se não houver interfaces de loopback configuradas, o endereço ipv4 ativo mais alto será usado (não é recomendado porque, se a interface com o endereço ipv4 mais alto ficar inativa, o processo de seleção do ID do roteador será reiniciado) ![](https://i.imgur.com/IvKfP8U.png) ### Configuração ``` Router ospf 10 - sendo 10 process ID ``` ``` router ospf 10 router-id 1.1.1.1 - router id ``` show ip protocols ![](https://i.imgur.com/CUIwb7n.png) Moficar um router ID Clear ip opsf process depois de mudar o router id para fazer a mudança efetiva. (conf global)router ospf x (config-router) **network** x.x.x.x wildcard_mask **area** area-id #### Network command **metodo 1 tradicional method network number and wildcard mask** router ospf 10 network 172.16.1.0 0.0.0.255 area 0 network 172.16.3.0 0.0.0.3 area 0 network 192.168.10.4 0.0.0.3 area 0 **metodo 2 interface ip address and 0.0.0.0** router ospf 10 network 172.16.1.1 0.0.0.0 area 0 network 172.16.3.1 0.0.0.0 area 0 network 192.168.10.5 0.0.0.0 area 0 ##### Passive Interface ![](https://i.imgur.com/mJjgLBA.png) ##### Configuração da passive interface ``` router opsf 10 passive-interface g0/0 ``` show ip protocols mostra as interfaces que estao em passive interfaces. ![](https://i.imgur.com/PjA192M.png) ***OSPF METRIC = COST*** * OSPF usa o custo metrico para determinar qual o melhor caminho. * cost = reference bandwith / interface bandwidth * Quanto menor o custo melhor é o caminho. * a banda larga da interface incluencia o custo assinalado. * uma inerface com menor banda larga tem um custo maior. ![](https://i.imgur.com/1Odiw4s.png) ***OPSF ACUMULA CUSTOS*** * o custo de uma rede de destino é um acúmulo de todos os valores de custo da origem até o destino * a métrica de custo pode ser vista na tabela de roteamento como o segundo número entre parênteses ![](https://i.imgur.com/DMUTuFL.png) ***Ajustar a referencia de banda larga*** * alterar a banda de referência do OSPF afeta apenas o cálculo do OSPF usado para determinar a métrica, não a largura de banda da interface. * use o comando **auto cost reference-bandwitdth** para alterar a largura de banda de referência do OSPF * A largura de banda de referência padrão é de 100 Mbps Para ajustar entre 100 Mbos ethernet e gigabit ethernet, usar o commando **auto-cost reference-bandwidth 1000 / 10000 ** configurar sempre o maximo que tivermos acesso a, se tivermos acesso a bandwith de 10000 usar o mesmo. usa-se o comando dentro da configuração do protocolo. ``` **show ip ospf interface** brief ``` se precisarmos de alterar configurações de ospf, **clear ipv6 ospf process** (vai interromper o processo) e assim depois podemos fazer as alterações ![](https://i.imgur.com/OUNo6MA.png) --- # Configuração do DHCP ip dhcp excluded-address 192.168.10.10 192.168.10.30 (para excluir multiplos ips) ip dhcp excluded-address 192.168.10.10 (excluir apenas um) ip dhcp pool vlan2 (nome da pool) network 192.168.10.0 255.255.255.224 //extensao de rede default-router 192.168.10.30 dns-server 8.8.8.8 ip helper-address 192.168.10.96 // é o ip da porta do router que vai dar o dhcp. // ou ip do servidor que vai atribuir o DHCP ---- # Configuração do VTP **Passos para configurar o VTP 1 - Configure o VTP server 2 - Configurar o VTP domain nome e password. 3 - configurar os VTPS clientes. 4 - configurar as vlans no vtp server 5 - verificar se o vtp clientes receberam a informação.** nao esquecer de criar as vlans antes. **modo configuração geral.** vtp domain - nome vtp password - pass **modo en** show vtp password shows password ``` int g0/1 (porta que esta ligada ao switch) sw m t sw trunk allowed vlan 1-250(numero de vlan que podem se transmitir) ex atribuir porta vtp domain adeus (dar nome ao dominio) ``` **Configuraçao dos clientes** vtp mode client vtp domain - domain (mesmo do server) vtp password - pass (mesma do vtp server) Apos config do server **show vlan brief** verifica se o cliente recebeu nova informaçao de vlan **show vtp status** para verificar o status do vtp do cliente nos clientes, verificar a vlan, a porta que esta associada a vlan, e atribuir a essa porta essa vlan. **Configuraçaõ dos servers** ``` Exemplo: vlan 10 name (departamento) vlan 20 name (departamento) end ``` **show vlan brief** para verificar as vlans **show vtp status** para verificar o status do vtp do server ---- # ACCESS-LISTS **Exemplos de comandos:** access-list 1 permit 0.0.0.0 255.255.255.255 // é a msma coisa que : access-list 1 permit E access-list 1 permit 192.168.10.10 0.0.0.0 // é a mesma coisa que : access-list 1 permit host 192.168.10.10 ## ACL BEST PRACTICES ![](https://i.imgur.com/oEyH24v.png) ## SYNTAX de Standard ipv4 ACL enumerada ![](https://i.imgur.com/9EIcHAd.png) **Exemplo de uma acl que permite trafico de uma especifica subnet mas nega o trafico de um especifico Host** no access-list 1 - deleta todos as versoes anteriores de ACL 1 ``` access-list 1 deny host 192.168.10.10 - negar o trafico deste host access-list 1 permit 192.168.1.0 0.0.0.255 - permite o trafego de toda esta subnet interface s0/0/0 ip access-group 1 out ``` ## Syntax de standards nomeadas ipv4 acl Identificando uma ACL com um nome em vez do que com um número torna mais fácil entender sua função. **Exemplo de como configurar uma standard acl nomeada** ip access-list standard NO_ACCESS - utilizar este comando para criar uma ACL com nome. os nomes sao case sensitive e tem que ser unicas. ``` deny host 192.168.11.10 - nega o trafego deste host permit any - permite todo o trafego exit interface g0/0 ip access-group NO_ACCESS out ``` Para uma ACL ja criada o comando show running-config para mostrar. **é importante tomar nota que ao usar o no access-list command, diferentes softwares de IOS agem de forma diferente.** Se a ACL que foi apagado ainda esta aplicada na interface, algumas versoes de IOS agem como se nenhuma ACL esta a proteger a sua rede enquanto outras negam todo o trafego. ### Criar acl Ir ao interface onde quero a acl e fazer comando abaixo referido **CRIAR DA MAIS ESPECIFICA PARA A MAIS GERAL** ip access-list standard nome //criar acl ex:ip access-list standard Secure Syntax do comando ip access-list standard nome access-list accesslist-number { deny | permit | remark} source [ source-wildcard ] ex: access-list Secure deny host 192.168.10.10 //Bloquear host especifico ex: access-list Secure deny 192.168.10.0 0.0.0.255 //Bloquear rede ex: access-list Secure permit 192.168.10.0 0.0.0.255 //Permitir rede se fizer deny tenho permit para o resto/implicito se fizer permit tenho deny para o resto/implicito permit any / deny any // permitir/bloquear o resto ### **Exemplos de Configuração** ``` ex: access-list Secure deny host 192.168.10.10 Meter acl na interface: ip access-group nome/numero out/in ex: ip access-group tiago out // acl tiago em outbond ex: ip access-group tiago in // acl tiago em inbond ``` `show access-lists // ver acls` ``` ip access-list Secure (criar o nome) permit host 10.2.3.4 deny any ``` Permiti um host, e neguei o resto. ### Securing VTY ports with a Standard Ipv4 ACL * permitir o ip desjeado e bloqeuar o resto ex: access-list Secure permit 192.168.10.0 0.0.0.255 access-list Secure deny any //Dentro da configuraçao do ssh access-class access-list-number {in [vrf-also ] | out } //Syntax access-class Secure in // criar/juntar ssh a acl Secure Standard - colocar no L3 mais proximo do destino(bloqueia se a origem) Outbound - trafego a sair do router. Inbound - Trafego a entrar no router. ACL - do mais expecifico para o mais geral. ------------- # NAT ## Configuração do NAT (Estatico) ip nat inside source static 192.168.11.99 209.165.201.15 interface s0/0/0 (**inside** interface) ip address 10.1.1.2 255.255.255.252 ip nat inside exit interface s0/1/0 (**outside** interface) ip address 209.165.200.1 255.255.255.252 ip nat outside exit Problemas a nivel de NAT clear ip nat statistics RESET (limpar todas as estatisticas) e voltar a configurar. ## NAT dinamico. Pool de endereços publicos e privados. ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224 access-list 1 permit 192.168.0.0 0.0.255.255 ip nat inside source list 1 pool NAT-POOL1 interface s0/0/0 ip nat inside int s0/1/0 ip nat ouside clear ip nat translation (limpa todo a tradução de endereço dinamico da tabela de traduçao NAT) clear ip nat translation inside global-ip local-ip outside local-ip global-ip (clear a simple dynamic translation entry containing an inside translation or both inside and outside translation) clear ip net translation protocol inside global-ip global-port local-ip local-port outside local-ip local port global-ip global-port (clears an extended dynamic translation entry) # PAT Configurar : criar pool: ip nat pool nome ip ou range de ips netmask mascara de rede ex: ip nat pool Secure 89.52.2.3 89.52.2.5 netmask 255.255.255.224 // ip nat pool e para inserir o ip publico // mais que um ip publico defenir address que podem ser traduzidos //ou seja que podem ir para a rede wan: access-list Secure permit 192.168.0.0 0.0.255.255 // rede que vai reencmainhar clocar a pool nat Secure na acl Secure: ip nat inside source list Secure pool Secure overload //PAT Selecionar e atribuir as interfaces locais e a inteface com ligaçao a WAN: supondo que g0/1 é WAN e fa0/1 é LOCAL interface g0/1 ip nat outside //Rede WAN interface fa0/1 ip nat inside // Rede LOCAL show ip nat statistics // ver nat statistics clear ip nat statistics // limpar nat statistics show ip nat translations ## Access lists. Exemplo de configuração: ![](https://i.imgur.com/gLDcbgt.png) ![](https://i.imgur.com/1eesId2.png) ![](https://i.imgur.com/kSRONcK.png) ![](https://i.imgur.com/mc3v7rC.png) ### ipv6 acc lists Exemplo de construção de access-list. ![](https://i.imgur.com/qqRjx43.png) Exemplos de configuração: ![](https://i.imgur.com/oqAZk8V.png) ![](https://i.imgur.com/gqi2K6c.png) ---- # CDP & LLDP CDP - cisco discovery protocol LLDP - Link layer discovery protocol Um tipo de NMAP a equipamentos com estes protocolos ativados. ``` show cdp //cdp inforamtion int g0/0 cdp enable // hablitar cdp na porta g0/0 show cdp neighbors // ver dispositivos ligados ao dispositivo cdp run // habilita para todas as interfaces do dispositivo ``` ---- # NTP NTP - setting the system clock os equipamentos precisam de estar com um accurate timestamping. Pode se configurar a data e o hora de 2 formas. Manualmente. Configurar network time protocol (NTP) usa porta 123 UDP NTP clients obtain time and date from a single source ntp server (ip externo) vai buscar a servidor externo de tempo. end show ntp associations Dentro da Rede, como o router ta configurado para receber do exterior, digo para o SW ir buscar ao router. configuração EX ntp server 192.168.2.10 do sh ntp ass - verifica as configs de ntp ------------------ # syslog protocolo de notitificação, routers, sws, servers, firewalls suportam o syslog. habilidade de juntar informação de logs para monitorização e troubleshooting habilidade de escolher o tipo de logs a informação que e capturada. habilidade de especificar destinos de syslog capturadas. para ver o syslog msg, e necessario ter um syslog server num PC. (TFTPD) tambem e servidor de FTP e DHCP. Podemos definir para onde enviar as syslog msgs. **Comandos.** ``` Show logging logging ip interno logging trap 4 (importancia) logging source-interface g0/0 interface loopback 0 armazenado em ficheiro txt ``` logging ip do server //ex: logging 192.168.1.3 logging trap 4 // manda mensganes so de grau 4 para baixo, 0.1.2.3.4 logging source-interface g0/0 //vai mandar com ip source do ip da interface g0/0 loggin trap debug - ---------- # Password Recovery 1 - Enter the ROMMON mode. (tirando a flash do equipamento) ? With console access, a user can access the ROMMON mode by using a break sequence during the boot up process or removing the external flash memory when the device is powered off. 2 - Change the configuration register to 0x2142 to ignore the startup config file. ? Use the confreg 0x2142 command ? Type reset at the prompt to restart the device 3 - Make necessary changes to the original startup config file. ? Copy the startup config to the running config ? Configure all necessary passwords ? Change the configuration register back to 0X2102 4 - Save the new configuration. ## Exemplo de configuração PASSWORD RECOVERY 15 S MODE esq do swithc entra em password recovery switch: flash_init 7 ficheiros e 1 directioria switch: dir flash: mostra as diretorias da flash. (config.text.renamed ficheiro de password recovery) switch: rename flash:configr.text.renamed flash:config.text (rename) ! switch: rename flash:config.text flash:config.text.old a partida se reniciar o switch ja nao vai ter configuração switch:boot --- inicializa o switch. ---------- # OSPF Single-area ipv6 # HSRP (VIRTUAL ROUTER) Cada vlan tem que ter um stanby group diferente de forma a identificar. No router que vai passar primeiro é necessario fazer a seguinte config: as configurações sao feitas nas interfaces standby 20 ip 10.3.1.1 //ip virtual (20 identifica o grupo da vlan) standby 20 priority 150 //quanto maior o nr maior a prioridade standby 20 preempt //identifica quem vai ser "presidente" no router que vai passar segundo e necessario fazer a seguinte config: standby 20 ip 10.3.0.1 //ip virtual ## Exemplos de Configuração ``` central_2 int g0/1 no shu int g0/1.20 encapsulation dot1q 20 ip add 10.3.1.2 255.255.255.0 standby 20 ip 10.3.1.1 standby 20 priority 150 standby 20 preempt ! int g0/1.30 encapsulation dot1q 30 ip add 10.3.2.2 255.255.255.0 standby 30 ip 10.3.2.1 standby 30 priority 150 standby 30 preempt ! int g0/1.99 encapsulation dot1q 99 ip add 10.3.4.2 255.255.255.0 standby 99 ip 10.3.4.1 ! ! int g0/1.10 encapsulation dot1q 10 ip add 10.3.0.2 255.255.255.0 standby 10 ip 10.3.0.1 ``` ``` MAIN int g0/1 no shu int g0/1.20 encapsulation dot1q 20 ip add 10.3.1.3 255.255.255.0 standby 20 ip 10.3.0.1 ! int g0/1.30 encapsulation dot1q 30 ip add 10.3.2.3 255.255.255.0 standby 30 ip 10.3.0.1 ! int g0/1.99 encapsulation dot1q 99 ip add 10.3.4.3 255.255.255.0 standby 99 ip 10.3.1.1 standby 99 priority 150 standby 99 preempt ! ! int g0/1.10 encapsulation dot1q 10 ip add 10.3.0.3 255.255.255.0 standby 10 ip 10.3.1.1 standby 10 priority 150 standby 10 preempt ! ``` --------------------------------------------- # Etherchannel * todas as portas têm que tar em **Full-Duplex** e **Trunk** (g/0 - g/0 e f/0- f/0) * Fazer VTP primeiro (todos os switches têm que conheçer todas as VLANS) ``` int r fa f0/1-2 channel-group 1 mode on (1- Numero do grupo de agregação de links) exit int port-channel 1 sw mode trunk sw trunk allow all (ou espicificar as VLANS todas - mais seguro) ``` # Spanning tree (PVST+) * Todas as portas acess ligadas a host ``` int f0/1 spanning-tree bpduguard enable ``` * Apenas a portas acess ligas a um **single host** ``` int f0/2 spanning-tree bpduguard enable spanning-tree portfast ``` ![](https://i.imgur.com/NAbb8BP.jpg) # VOIP **Router onde está ligado o tele VOIP:** ``` int g0/2 int g0/2.10 desc DATA ip add 192.168.1.1 255.255.255.0 ``` **Encapsular a VOICE VLAN** ``` int g/0.20 desc VOICE enc dot 20 ip add 192.168.10.1 255.255.255.0 ``` **Criar DHCP** ``` ip dhcp pool VOICE net 172.16.2.0 default-router 172.16.1.1 option 150 ip 1.1.1.1 (criar um loop address) ``` **No switch** **sw trunk enc dot1q (se for witch layer 3)** ``` Vlan 10 Name DATA int f0/1 sw mode acc sw acc vlan 10 ``` ``` vlan 20 name VOICE int f0/1 sw voice vlan 20 ``` **no router** ``` license boot module c2900 technology-package uck9 (para habilitar VOIP) reload telephony-service max-dn 1 (numero maximo de extensoes) max-eph 1 (numero maximo de teles) exit ephone 1 mac 0001.97E7.2AA1 (mac da vlan 1 do SW) type 7960 (modelo do tele) but 1:1 (depois do eph-dn 1) ephone-dn 1 number 400001 name GRSI (alguns nao da) exit telephony-service ip source-address 2.2.2.2 (ip do loopback no Router) port 2000 (porta para registar o tele) create CNF files (criar ficheiors de config para download) ``` * ROUTER ``` dial-peer voice 410 VOIP destination-patter 410... ( as extensoes que queremos descobrir - ligar) session target ipv4:10.3.255.1 ``` ## **NETFLOW** ``` interface FastEthernet0/0 (ou nas sub-interfaces) ip flow ingress ip address 192.168.10.1 255.255.255.0 ``` * Ingress (porta que vai escutar - ligadas a hosts ou switches) ``` ip flow-export destination 192.168.20.2 9996 ip flow-export version 9 ``` --- ## EXEMPLO CONFIGURAÇAO PAP R1(config)# username R3 secret class R1(config)# interface s0/0/0 R1(config-if)# ppp authentication pap R1(config-if)# ppp pap sent-username R1 password cisco R3(config)# username R1 secret cisco R3(config)# interface s0/0/0 R3(config-if)# ppp authentication pap R3(config-if)# ppp pap sent-username R3 password class dentro da serial, inserir o proprio username e a propria pass fora da interface e em configuração global, estabelecemos com quem queremos comunicar Exemplo: Estando no R2 (configglobal) username R3 secret cisco int s0/0/0 (ligada ao R3) ppp pap sent-username R2 password class Aqui ele vai enviar as proprias informações ao R3 ### Point-to-Point Protocol (CHAP) No CHAP, é uma forma de autenticação encriptada. O Hostname num router tem que igualar o username no outro que tem configuração chap. As password também têm que ser iguais. **RTOP** ``` Hostname RTOP username RMID password cisco ! interface s0/0/1 ip address 10.3.254.2 255.255.255.252 encapsulation ppp ppp authentication chap ``` **RMID** ``` Hostname RMID username RTOP password cisco ! interface s0/0/1 ip address 10.3.254.1 255.255.255.252 encapsulation ppp ppp authentication chap ``` ## troubleshooting debug ppp authentication # Lan Security ## **Tipos de ataques** ![](https://i.imgur.com/fMRIUfn.png)