Lab GNS3 para estudantes de CCENT, CCNA

gns3

Esse é outro bom lab. Serve bem para quem está a estudar para o exame CCNA Routing and Switching Composite 640-802, ou 0s exames 640-816 e 640-822. As suas features sao:

1) Basic setup of all Cisco routers
2) Configure all Cisco routers for SSH support
3) Configure IP connectivity and RIP routing support for Cisco network
4) Configure SDM support on all routers

Anúncios

Lab com modelo hierarquico para testar no GNS3

cisco modelo hierarquico

Encontrei este lab agressivo (cuidado com a CPU) para o GNS3. Implementa o modelo hierarquico (acesso, distribuição e core). Download aqui, muito bom para quem estuda para o CCNP  e nao tem um lab físico para estudar.
Repare-se na redundancia entre a camada de acesso, distribuição e core. Muitas redes de algumas empresas em Luanda ainda nao conseguiram implementar isso e os problemas na transmissão de dados sao constantes (falo por experiencia propria). Ressaltar que é necessario um bom investimento também para se ter um modelo como esse implementado

Como disse o consumo de CPU é bastante agressivo.

Instalando Emulador Dynamips com Dynagen

O processo de instalação do Dynamips com o Dynagen no Windows é bastante simples. No Linux também não difere muito em termos de facilidade se compararmos.

Já sabemos que necessitaremos de uma imagem dum roteador para emular. A mais conhecida é a do poderoso 7200 que pode ser facilmente localizada.

O Dynamips

O Dynamips nao precisa de instalação. Trata-se dum ficheiro binario que necessita apenas de ser baixado e executado. Como uso uma maquina de 64 bits baixei o ficheiro dynamips-0.2.8-RC2-amd64.bin para o meu diretorio home.

O Dynagen

O Dynagen é o gerenciador do Dynamips responsavel por gerenciar os roteadores nos arquivos de configuração de roteadores .net. Na realidade o Dynamips até pode funcionar sem o Dynagen, mas fica muito mais complicado.

Baixe o Dynagen e descompacte no seu diretorio home:

[root@localhost alunoeng]# tar xzfv dynagen-0.11.0.tar.gz
dynagen-0.11.0/
dynagen-0.11.0/confConsole.py
dynagen-0.11.0/configobj.py
dynagen-0.11.0/configspec

A Imagem do router 7200

Crie uma pasta dentro do seu HOMEDIR chamada /imagensdynamips e copie a imagem do 7200 para lá:

[root@localhost mnt]# mkdir /home/alunoeng/imagensdynamips
[root@localhost mnt]# cp c7200-advipservicesk9-mz.124-11.T1.bin /home/alunoeng/imagensdynamips/
[root@localhost mnt]# cd /home/alunoeng

Descompacte a imagem com o unzip para assim diminuir o tempo de descompactação da imagem:

[root@localhost alunoeng]# cd imagensdynamips/
[root@localhost imagensdynamips]# ls
c7200-advipservicesk9-mz.124-11.T1.bin
[root@localhost imagensdynamips]# unzip -p c7200-advipservicesk9-mz.124-11.T1.bin > c7200-advipservicesk9-mz.124-11.T1.image
warning [c7200-advipservicesk9-mz.124-11.T1.bin]:  27936 extra bytes at beginning or within zipfile
(attempting to process anyway)
[root@localhost imagensdynamips]# ls
c7200-advipservicesk9-mz.124-11.T1.bin  c7200-advipservicesk9-mz.124-11.T1.image

O arquivo simple1.net

Este arquivo contem uma config de 2 routers apenas 1 com imagem. Basta modifica-lo e indicar a config correcta:

[root@localhost alunoeng]# vi  dynagen-0.11.0/sample_labs/simple1/simple1.net

# Simple lab

[localhost]

[[7200]]
image = /home/alunoeng/imagensdynampis/c7200-advipservicesk9 mz.124-11.T1.image
# On Linux / Unix use forward slashes:
# image = /opt/7200-images/c7200-jk9o3s-mz.124-7a.image
npe = npe-400
ram = 160

[[ROUTER R1]]
s1/0 = R2 s1/0

[[router R2]]
# No need to specify an adapter here, it is taken care of
# by the interface specification under Router R1

Depois de editado o ficheiro guarde. Realizadas as modificações basta apenas iniciar o o dynamips e o dynagem com os parametros correctos:

Dynamips

[root@localhost alunoeng]# killall dynamips
[root@localhost alunoeng]# ./dynamips -H 7200 &
[1] 5287
[root@localhost alunoeng]# Cisco Router Simulation Platform (version 0.2.8-RC2-amd64)
Copyright (c) 2005-2007 Christophe Fillot.
Build date: Oct 14 2007 10:46:52

ILT: loaded table “mips64j” from cache.
ILT: loaded table “mips64e” from cache.
ILT: loaded table “ppc32j” from cache.
ILT: loaded table “ppc32e” from cache.
Hypervisor TCP control server started (port 7200).

Dynagen

[root@localhost dynagen-0.11.0]# ./dynagen sample_labs/simple1/simple1.net
Reading configuration file…

*** Warning:  Starting R1 with no idle-pc value
*** Warning:  Starting R2 with no idle-pc value
Network successfully loaded

Dynagen management console for Dynamips and Pemuwrapper 0.11.0
Copyright (c) 2005-2007 Greg Anuzelli, contributions Pavel Skovajsa

=> list
Name       Type       State      Server          Console
R1         7200       running    localhost:7200  2000
R2         7200       running    localhost:7200  2001
=>help

Pode ver acima que existem 2 roteadores, essa é exatamente a config do arquivo simple1.net. o Router R2 nao possui qualquer imagem associada.

Muita coisa se pode explorar com o Dynamips e o Dynagen. A razão de usar eles dentro do Linux e nao com GNS3 é o grande poder de processamento e flexibilidade no manejamento de memoria que oferece o Linux. Existe a possibilidade de se modelar o uso de CPU pelos roteadores conhecido como IDLE PC. Cabe a vc investigar mais ou esperar por proximos posts meus.

Referencias:

http://www.ipflow.utc.fr/index.php/Cisco_7200_Simulator
http://dynagen.org/tutorial.htm

Checklists para proteger sua rede de ataques DDoS

Nada deve dar mais medo a um administrador de redes do que ataques distribuidos de negação de serviço. Nao muito tempo atrás ferramentas como o Tribe Flood Network do Mixter deram trabalho a administradores de redes que sofreram na mão de miúdos do estilo do Mafia Boy, lembro que um provedor Inglês foi mesmo encerrado depois de sucessivos ataques .

Hoje a situação mudou, os sistemas operativos e dispositivos de rede foram melhorados. A Cisco como nao podia deixar de ser possui também varias soluções. Vou deixar aqui 2 documentos que recomendo para administradores de rede preocupados com o risco de ataques desse genero:

Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks
Characterizing and Tracing Packet Floods Using Cisco Routers

Falha de segurança deixa roteadores Linksys vulneráveis a invasão

Fiquei espantado como hoje em dia ainda é possivel haver uma falha de segurança com tanta facilidade de ser explorada. Roteadores da Lynksys que usam o firmware DD-WRT (e quantos deles não usam?) se não forem já “patcheados” podem muito brevemente serem invadidos porque como eu disse a facilidade de se exploitar o bug para executar comandos com privilegios de root é grande com o agravante de que pode ser realizado por meio de qualquer browser.

O protocolo CDP

O CDP (Cisco Discovery Protocol) é um protocolo proprietario que serve para obter informações sobre dispositivos directamente conectados. Ele opera na camada 2 do modelo OSI e recebe informações da camada 1 (a física) que repassa depois as informações para camadas superiores.

Por ser um protocolo que opera na camada 2 ele pode passar informações até em dispositivos que na camada de rede suportam diferentes protocolos (IP, IPX).

Algumas das informações que ele pode obter sao as seguintes: Hostnames ou ID, endereço de rede, interface id locais e remotas, plataforma do dispositivo.

Mao na massa

Obs: Necessita da ferramenta Packet Tracer

Pegue o pacotão de exercicios (se nao tiver) e descompacte ou abra o mesmo e entre na seguinte pasta:

CCNA2 Lab 4.1.6 Using CDP Commands.pka

Abra o file 4.1.6_UsingCDPCommamds_Start.pkt

cdp

Abra o terminal do roteador GAD:

Verifiquemos primeiro a conexão de GAD a BHM:

GAD>
GAD>en
GAD#ping 192.168.16.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.16.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/9/22 ms

Existe conexão. Em seguida o comando show cdp interface que mostra informação sobre a frequencia de envio de pacotes cdp, o holdtime que é o tempo em segundos que o dispositivo mantem informações sobre o pacote cdp antes de descarta-lo isto no dispositivo local:

GAD#sh cdp interface
FastEthernet0/0 is up, line protocol is up
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0/0 is up, line protocol is up
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0/1 is administratively down, line protocol is down
Sending CDP packets every 60 seconds
Holdtime is 180 seconds

O comando show cdp mostra informações nao por interface mas de forma global ao roteador:

GAD#sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled

Para demonstrar as informações CDP que recebemos do dispositivo directamente conectado a nós (BHM) usamos o comando show cdp neighbors:

GAD#sh cdp neighbors
Capability Codes: R – Router, T – Trans Bridge, B – Source Route Bridge
S – Switch, H – Host, I – IGMP, r – Repeater, P – Phone
Device ID    Local Intrfce   Holdtme    Capability   Platform    Port ID
BHM                   Ser 0/0             151                 R               C2600       Ser 0/0

Uma informação mais detalhada por ser obtida com o comando show cdp neighbors detail:

GAD#sh cdp neighbors detail

Device ID: BHM
Entry address(es):
IP address : 192.168.15.2
Platform: cisco C2600, Capabilities: Router
Interface: Serial0/0, Port ID (outgoing port): Serial0/0
Holdtime: 176

Version :
Cisco Internetwork Operating System Software
IOS ™ C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 27-Apr-04 19:01 by miwang

advertisement version: 2
Duplex: full

Existem comandos como o show cdp traffic que não são suportados pelo Packet.

Para desabilitar o CDP no modo global digite:

GAD#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
GAD(config)#no cdp run

Para desabilitar o CDP no modo de interface aceda a interface e digite:

GAD#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
GAD(config)#interface serial 0/0
GAD(config-if)#no cdp enable

Existem muitas outras opções a explorar usando os pacotes CDP. Com estas informações em mão é possivel construir uma topologia lógica a até fisica da rede, um mapa detalhado dos dispositivos e necessidades actuais e futuras da rede.