E-book de comandos básicos de configuração de roteadores e switches Cisco IOS

A mente humana é limitada e como tal sempre defendi que quando se pretende estudar para uma certificação industrial, o melhor mesmo é procurar reter os conceitos, não comandos operacionais. Decorar comandos é o pior que um técnico deve tentar fazer, simplesmente porque não é necessário, porque quanto mais você pratica, mais você assimila, portanto não decora.

No entanto, não raro, acontecem situações de esquecimento de comandos, o que é absolutamente normal. O que é complicado, naturalmente é rapidamente relembrar a sintaxe do comando e a sua logica de execução. A não ser, claro, que você possua um e-book de consulta rápida. Existem uma amalgama deles em Inglês, uns melhores que os outros. Em Português e com qualidade, conheço um: O E-book Comandos Cisco IOS do Flyner Portugal (O nome é mesmo assim LOL) um velho amigo do nosso blog, ao qual temos muitas dividas a saldar. Basicamente o e-book possui comandos relevantes para quem se pretende certificar CCNA. Para usufruir deste banquete, basta visitar esta pagina, registar-se e irá receber o e-book gratuitamente por e-mail.

Anúncios

GNS3 e o problema da escalabilidade

Das melhores ferramentas de estudo, design e projecto de redes o GNS3 ocupa uma posição primordial, porque passamos do processo da simples simulação de redes para a emulação dos próprios encaminhadores (routers) em si. Ou seja você roda em cima do seu computador pessoal versões robustas de encaminhadores Cisco. Ferramentas de simulação como o Cisco Packet Tracer ou outras ajudam muito pouco quando você sobe de nível nas carreiras Cisco. Os comandos são limitados, os serviços são limitados, algumas configurações assumem um carácter básico, quando não são, etc, etc.

Eu não tenho nada contra ferramentas de simulação, pelo contrario, o meu Trabalho de Conclusão de Curso (TCC) foi baseado numa ferramenta desse gênero, ou seja se eu quisesse projectar uma rede metropolitana de Fibra Óptica eu recorreria ao OPNet, poderoso simulador, agora adquirido pela Riverbed.

O bom do GNS3 é que você pode ir adicionando maquinas virtuais e conectar a sua topologia a elas. O mau dele é que isso requer demasiado espaço em Memoria de Acesso Aleatório (RAM). Com 4 (quatro) encaminhadores a 512 MBytes você tem no minimo 2048 GBytes de RAM, e isso é muito para um computador pessoal meu caro. Situação: Você usa o GNS3 e não usa mais nada. Se apertar muito você pode nem o GNS3 conseguir usar mais.

Solução? Ter uma boa maquina com uns bons MB de RAM. Essa maquina pode ser um servidor, uma workstation ou mesmo um portentoso laptop. Depois disso você instala um gerenciador de maquinas visuais, ou seja, um Hypervisor que nada mais nada é, um servidor de maquinas virtuais. Depois de instalado, você pode acessar as suas maquinas virtuais a rodarem imagens de roteadores Cisco, via rede. Tao simples quanto isso, ou seja, você tem um Servidor/Hypervisor que roda os seus laboratórios Cisco, o que o deixa sem necessidade de se preocupar com a memoria RAM do seu computador pessoal. Se quiser escalar, aumenta a memoria RAM do Hypervisor e ponto final. Quer ‘brincar ‘mais? Experimente utilizar Drives de Estado Solido (SSD), placas de rede Gigabit Ethernet, mini clusters etc etc. Se quiser ‘piorar’ a brincadeira ‘ alugue um endereço IP fixo e mesmo quando você se viajar ou se ausentar você ainda poderá usar seu laboratório.

vmware esxi

Existem algumas dicas de como fazer isso disponíveis na net, não são muitas. A maior parte delas de pessoal com grau CCIE, porque a esse nível é exigível determinada topologia que ou está disponível fisicamente ou você emula ela por meio de computador, o que não é fácil dada a parca disponibilidade de memoria RAM. Deixo com vocês 3 (três) links bem interessantes de como configurar um laboratório Hypervisor de encaminhadores Cisco.

The “Perfect” virtual Lab (será?)
How to build CCIE v5 Lab with Cisco CSR 1000v Routers
VMs Running In My ESXi Networking Lab as of 23-Dec-2014

 

 

Configurando serviço DHCPv6 Stateless

Similar ao protocolo DHCP, o protocolo DHCPv6 também faz uso do protocolo Internet Control Message Protocol, mas na sua versão 6, o ICMPv6, que por seu lado recorre a outro protocolo, o Neighbor Discovery (ND), que vem assim substituir o protocolo de descoberta e resolução ARP pertencente ao protocolo IP.

Ao contrario do serviço DHCPv6 Stateful, o serviço DHCPv6 Stateless não conserva o estado dos dispositivos a que ele atribui endereços. Geralmente o esquema é composto pela atribuição simples ao cliente do endereço DNSv6 e do Domain Name (DN) e do prefixo bem como seu tamanho.

O endereço IPv6 é obtido pela combinação do prefixo (64 bits) e do endereço MAC do dispositivo que sao 48 bits. Como o endereço IPv6 é composto por 128 bits isso significa que ainda restam (64-48)bits = 16 bits. Esses bits sao completados com a inserção da assinatura FFFE (onde o bit 70 é complementado) na metade dos 48 bits ou seja depois do bit 24 do MAC Address. A este tipo de técnica, denomina-se StateLess Address AutoConfiguration (SLAAC) e o formato do de endereço denomina-se EUI-64.

Os comandos ipv6 address autoconfig e ipv6 nd other-config-flag em modo de interface, habilitam a configuração automática do endereço IPv6 e a obtenção do outras configurações enviadas pelas mensagens RA (já falaremos disto parágrafo abaixo) dos servidores-encaminhadores (DHCPv6 Routers).

Aquando da obtenção da informação DHCPv6 o cliente e o servidor trocam mensagens ND. Geralmente um cliente envia uma mensagem Multicast Router Solicitation (RS) a todos agentes DHCPv6 que podem ser servidores-encaminhadores ou servidores de reencaminhamento (relay servers) ao endereço Multicast FF02::1:2 com escopo local, a solicitar uma mensagem Unicast Router Advertisement (RA) do servidor-encaminhador, que, por sua vez responde com o tal RA que também indica o seu tipo de configuração DHCPv6 (stateful ou stateless). O Default Router do cliente é o endereço de link local do servidor-encaminhador.

Geralmente configura-se o servidor-encaminhador para gerar e enviar Unicast RA’s com o comando ipv6 unicast-routing. Dessa forma, ele não irá proceder a geração e envio de mensagens RS.

A topologia abaixo é bastante elucidativa. Temos dois encaminhadores, nomeadamente R2, que faz o papel de servidor-encaminhador, e R3 que faz o papel de cliente. R2 é configurado como servidor DHCPv6 Stateless de modo que envia RA’s com informações sobre o seu prefixo, o seu tamanho, o endereco DNSv6 e o Domain Name.
o cliente R3 na sua interface fastethernet 0/0 por seu lado obtêm de R2 apenas o prefixo, de modo que estando configurado para autoconfiguração ela gera o seu endereço IPv6 por meio do método EUI-64 e obtêm de R2 apenas o DNSv6 e o Domain Name.

 

DHCPv6 Stateless
R2 Configuration

hostname R2

ipv6 unicast-routing

ipv6 dhcp pool SEQEUELE
address prefix 3111:1111:2222:3333::/64 lifetime infinite infinite
dns-server 2001:4860:4860::8888
domain-name http://www.snnangola.co.ao

interface FastEthernet0/0
no ip address
speed auto
duplex auto
ipv6 address 3111:1111:2222:3333::1/64
ipv6 dhcp server SEQEUELE rapid-commit
!
ip forward-protocol nd
!
no cdp advertise-v2

R3 Configuration

hostname Router

interface FastEthernet0/0
ipv6 address autoconfig
ipv6 nd other-config-flag
ipv6 dhcp client pd SEQEUELE rapid-commit

ip forward-protocol nd
!
no cdp log mismatch duplex

Testes

Interfaces associadas em R2

R2#sh ipv6 dhcp int
FastEthernet0/0 is in server mode
Using pool: SEQEUELE
Preference value: 0
Hint from client: ignored
Rapid-Commit: enabled

Confirmação da ausência de estado em R2

R2#sh ipv6 dhcp binding
R2#sh ipv6 dhcp database

Nao retorna qualquer informação de associação. Mas…

Interfaces associadas em R3

#sh ipv6 dhcp interface
FastEthernet0/0 is in client mode
State is SOLICIT
List of known servers:
Reachable via address: 3111:1111:2222:3333::1
DUID: 00030001CA0210EC0000
Preference: 0
Configuration parameters:
IA PD: IA ID 0x00040001, T1 60, T2 120
DNS server: 2001:4860:4860::8888
Domain name: http://www.snnangola.co.ao
Prefix name: SEQEUELE
Rapid-Commit: enabled

 

Configuração de Virtual Route and Forwarding (VRF) Lite em roteadores Cisco

A tecnologia de virtualização Cisco VRF é um recurso avançado de segmentação geralmente aplicado em ambientes de provedoria de serviços associado ao MPLS. Sei que é um contra senso falar de segmentação, e ao mesmo tempo da camada 3, mas é a forma mais simples de explicar a utilidade do VRF.

Trata-se da aplicação de algo parecido ao comportamento de VLAN’s, mas ao nível da camada 3 (três). Até agora temos visto técnicas de segmentação ao nível da camada 2 (dois) e até da camada 1 (um). Com a aplicação do VRF cria-se tabelas de encaminhamento (roteamento) para cada instancia (processo) VRF. No fundo isso significa criar encaminhadores (roteadores) virtuais em cima de encaminhadores físicos.

Com essa possibilidade o trafego é separado a nível da camada 3, facilitando o processo de troubleshotting, melhoria da segurança de dados e facilitação da aplicação de politicas de gestão de débito binário.

Apesar de ser um recurso disponível com recursos totais em poderosos roteadores, em alguns roteadores como o Cisco 891 é possível encontrar uma versão Lite da tecnologia VRF.

O Harris Andrea escreveu um artigo prático bastante elucidativo da aplicação básica desta tecnologia:

http://www.networkstraining.com/cisco-vrf-lite-configuration/

Cisco Reference:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/15-02SG/configuration/guide/config/vrf.html

Cisco One Platform Kit (onePK) a resposta da cisco a mobilidade e SDN

Uma das coisas que sempre deixou-me um tanto perplexo em relação aos produtos da Cisco era a sua incapacidade em deixar os administradores de rede e desenvolvedores de sistemas, acederem aos dados dos seus dispositivos de forma flexível. Isso significa que muitas das vezes tínhamos de depender de ferramentas demasiado caras e não tão moveis.

Com a diminuição dos dispositivos de acesso a informação tais como Smartphones e Tablets, foi somente visível que a Cisco teria de se adaptar a este novo paradigma. O problema, sempre foi, pois claro, depender da burocracia dos grandes players do software de gestão de redes, os únicos então com capacidade tecnológica para se inter-comunicarem com dispositivos cisco como encaminhadores, comutadores, concentradores, enfim.

Mas é que este paradigma da mobilidade traz de facto em voga um novo tópico: As Application Stores, isto é, os Marketplaces onde podemos encontrar um conjunto de ferramentas, freeware ou shareware para administração e gestão de redes. E a Cisco obviamente tinha de aproveitar esta oportunidade.

O SDN (Software Defined Networking) como o nome mesmo diz é um novo paradigma em voga que está em conformidade com a aposta forte na virtualização e a necessidade de se configurarem dispositivos de rede sem necessidade de se ter acesso físico a maquina (appliance).

Foi neste contexto que finalmente decidiram lançar a  Cisco onePK (Cisco One Platform Kit) um SDK (Software Development Kit) que permite programar praticamente toda família de appliances Cisco, conforme demonstra a figura abaixo:

 cisco one pk arch
 
 

Na figura acima notamos de  facto que o código escrito numa determinada linguagem de programação (C, Java e outras) servirá plenamente para qualquer família de appliances do mesmo sistema operacional, por exemplo todos sistemas que suportem o IOS, ou todos os sistemas que suportem o XR. Na minha opinião foi uma grande jogada da Cisco. O local onde as apps irão correr, também é outro ponto interessante. Para já, existirá um canal de comunicação seguro que impedirá acessos não autorizados, e dependendo do tipo de aplicação, estas poderão correr numa appliance em modo normal (Process Hosting), num servidor Cisco Blade ou num servidor externo.

 

Existem um conjunto de serviços que estarão a disposição por meio do Kit de Desenvolvimento. A tabela abaixo lista estes serviços:

 cisco one pk services
 
 

Existem aqui, um conjunto de oportunidades, agora acessíveis de forma mais ‘soft‘, para os interessados desenvolverem apps responsivas que sejam visualmente atraentes, mas que realizem tarefas complexas. Por exemplo, pode ser desenvolvida uma app que usa o serviço Utilities para atribuir níveis de acesso a determinados usuários do Active Directory/LDAP, usando o seu Smartphone ou o seu Tablet.

É de facto um avanço em frente por parte da Cisco. Os novos paradigmas que abarcam desafios como Cloud Computing e Mobilidade terão muito a ganhar com este recurso. Novas, melhores e mais apps irão surgir. Novos empregos serão gerados e novos serviços serão prestados.

Voce conhece as macros Auto SmartPort do Catalyst 3750?

Basicamente esta é uma função que configura uma interface do comutador Catalyst da serie 3750 consoante o tipo de dispositivo a ela conectada. Por exemplo se você ligar a uma de suas interfaces um telefone VoIP ele automaticamente identifica que um telefone VoIP foi conectado a ele. O Catalyst 3750 consegue fazer isso por trocas de mensagens CDP com o dispositivo conectado a sua interface. No caso de ser um telefone VoIP ele aplica automaticamente uma macro, a macro CISCO_PHONE_AUTO_SMARTPORT.

Isso é duma utilidade que vocês não imaginam. No caso da macro acima ela imediatamente configura a interface para suporte a Qualidade de Serviço, segurança e atribui a mesma a uma VLAN de voz (que pode ser configurada para corresponder a uma VLAN de voz que você já tenha configurado). Se termos em conta que as vezes as interfaces podem se tornar escassas, esta também é uma boa solução para este problema.

Mais informações, bem como um exemplo de configuração podem ser encontrados aqui.

Guia da Cisco para segurança de dispositivos

A Cisco pensa que as funções de um dispositivo de rede podem ser categorizadas dentro de 3 planos de rede: Plano de gestão, controlo e dados.

  • Plano de gestão — O plano de gestão gere o tráfego que é enviado a um dispositivo Cisco e é baseado em aplicações e protocolos tal como SSH e SNMP.
  • Plano de controlo — O plano de controlo processa o tráfego prioritário e necessário para manter a infraestrutura da rede. Este plano consiste de protocolos EGPs e IGPs.
  • Plano de dados — O plano de dados apenas se ocupa em encaminhar tráfego através dum dispositivo de rede. Tráfego que vem de fora não pertence a seu escopo.

Tendo em contra estes planos a Cisco desenvolveu um guia que traduz importantes recomendações de segurança para os dispositivos de rede. Naturalmente existem tópicos mais avançados, mas este é claramente um ponto de partida.