Rede Ethernet e Design de Redes

Prévia do material em texto

Rede ethernet
Eng. Alessandro Coneglian Bianchini
2
Apresentação
� Alessandro Coneglian Bianchini exerce a função de 
engenheiro na NEC Brasil, atuando na elaboração de 
projetos e implantação de VoIP, Wireless, Redes e 
Segurança da informação; formado em engenharia elétrica 
com ênfase em telecomunicações pela Escola de 
Engenharia Mauá-SP, pós-graduado em segurança da 
informação pelo IBTA-SP e também pós-graduado em 
engenharia de rede e sistema de telecomunicações pelo 
INATEL-MG; Possui certificações de fabricantes como 
Cisco,Allied Telesyn, Fortinet e Vmware.
3
Certificações
� VCP 4– Vmware Certified Professional 4.0
� VCP 3– Vmware Certified Professional 3.0
� ITIL v3 Foundation
� CCNP - Cisco Certified Network Professional
� CCDP - Cisco Certified Design Professional
� CCVP - Cisco Certified Voice Professional
� CCSP - Cisco Certified Security Professional
� CCNA - Cisco Certified Network Associate
� CCDA - Cisco Certified Design Associate
� CAWDS – Cisco Advanced Wireless Design Specialist
� CAWFS – Cisco Advanced Wireless Field Specialist
� CISS - Cisco Information Security Specialist
� CIOSSS - Cisco IOS Security Specialist
� CFWS - Cisco Firewall Specialist
� CIPSS - Cisco IPS Specialist
� FCNSA- Fortinet Certified Network Security Administrator
� CAIR – Certified Allied installation Router
� CAIS – Certified Allied installation switch
� CASE – Certified Allied system engineer
� 4011 Recognition - CNSS (Committee on National Security Systems)
� 4013 Recognition – CNSS (Committee on National Security Systems)
4
�Design – Modelo Hierárquico Cisco
�Exemplos
�Configuração básica do Switch Cisco
�VLANs
�VTP
�SPANNING TREE
�Etherchannel
�Segurança em Redes Ethernet
�Gerenciamento
�QoS
AGENDAAGENDA
5
DESIGN REDE
• Alta Disponibilidade (5-9´s)
•Escalabilidade
6
MODELO HIERÁRQUICO CISCO
• Criação de topologia modular
• Cada camada tem função 
especifica
7
MODELO HIERÁRQUICO CISCO
• Switches que fazem conexão com 
dispositivos de rede (pcs, 
impressoras, etc)
• Camada onde são configuradas 
grande parte das funcionalidades 
rede (QoS, 802.1x, supressão 
broadcast,etc)
•Geralmente Switches Layer 2
CAMADA DE ACESSO
8
MODELO HIERÁRQUICO CISCO
• Agregam switches de acesso
• Prover disponibilidade, 
balanceamento, QoS
• Swiches Layer 2 ou 3
•HSRP/GLBP 
CAMADA DE DISTRIBUIÇÃO
9
MODELO HIERÁRQUICO CISCO
• Agregam switches de 
distribuição
• Poucas funcionalidades 
implementadas nesta camada
• Equipamentos de alto 
desempenho 
• Redundância, balanceamento e 
convergência rápida
• Switches Layer3
CORE
10
• Core – Core
• Core – Distribuição
• Por que usar:
- Rápida convergência 
- Contingência: construção de 
caminhos redundantes
- Eliminação de spanning-tree 
nestas camadas da rede
PROTOCOLO ROTEAMENTO
11
PROTOCOLO ROTEAMENTO
NÃO há tempo de recovergência 
da rede 
12
Acesso
Distribution
Core
Catalyst 6509 Catalyst 6509
Catalyst 3560G-24T
Server Farm
Catalyst 3560G-24T Catalyst 3560G-24T Catalyst 3560G-24T
1Gbps FO
multimodo
1Gbps UTP
Secretarias
Catalyst 2960-24TT
1Gbps UTP
1Gbps FO SX
LAYER 3
LAYER 2 ou 3
LAYER 2
EXEMPLO: TOPOLOGIA PROPOSTA LAN MACRO
13
REDUNDÂNCIA PREVISTA
� Switches Core
Redundância da placa supervisora e Fonte de Alimentação
� 2 pares de fibra em link agregation entre switches Core e Distribution 
� 2 pares de fibra para Interligação entre Swiches Core em placas 
supervisoras distintas
Tempo previsto de indisponibilidade da rede será igual ao tempo para que 
a placa supervisora back-up assuma o controle, que é de 
aproximadamente 3 segundos.
� Interligação entre switches Core e Distribution: HSRP ou protocolo 
roteamento Funcionamento da rede mesmo em caso de falha em um dos 
switches Core sem que haja 
intervenção manual.
14
INTERFACE CONFIGURAÇÃO 
DO SWITCH
15
INTERFACE DE CONFIGURAÇÃO
• Cisco IOS (CLI)
• Interface Web
16
CISCO IOS COMAND LINE INTERFACE 
• User EXEC: comandos monitoração
• Privileged EXEC: comandos configuração e 
gerenciamento
17
CISCO IOS COMAND LINE INTERFACE 
User EXEC Mode – Prompt (>)
Privileged (or Enabled) EXEC Mode – Prompt (#)
Entrar/sair modo privilegiado: 
hostname> enable
hostname# disable 
18
CISCO IOS COMAND LINE INTERFACE
CONFIGURATION MODE
Global Configuration Mode
Interface Configuration Mode
Configuração armazenada na runningrunning--config config (DRAM – Dynamic Random Access Memory) 
Para salvar configuração na startupstartup--configconfig (NVRAM – Non-Volatile Random Access Memory):
19
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO INICIAL 
Setup wizard
20
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
• Hostname do switch
• Endereço IP para switch
• Default-gateway
• Habilitar roteamento no switch (Catalyst 3750/3560)
HOSTNAME - EXEMPLO
21
22
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
• Banner EXEC
• Banner Login
banner exec ^C
Location: Centro Administrativo , 2AND - Datacenter
Hostname: $(hostname)
^C
banner login &
***************************************************************************************
* 
* AVISO 
* 
* ACESSO PERMITIDO SOMENTE A PESSOAS AUTORIZADAS. 
* TODAS AS CONEXOES ESTAO SENDO MONITORADAS. 
* A UTILIZACAO INAPROPRIADA E/OU NAO AUTORIZADA PODE 
* RESULTAR EM PENALIDADES PREVISTAS EM LEI. 
* 
***************************************************************************************
* Warning 
* 
* ACCESS PERMITTED ONLY TO AUTHORIZED PEOPLE. 
* ALL ACTIVITIES AND CONNECTIONS ARE BEEN MONITORED. 
* INAPPROPRIATE OR NOT AUTHORIZED ACCESS MAY RESULT IN 
* LAW PENALTIES. 
****************************************************************************************
&
23
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
•Banner MOTD
banner motd ^C
Manutencão preventiva sabado dia 10/10/2009
^C
motd login exec
$(hostname) YES YES YES 
$(domain) YES YES YES 
$(line) YES YES YES 
$(line-desc) YES YES YES 
•Variaveis
24
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
• Versão switch
25
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
• Mostrar configuração corrente do switch
26
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
• Mostrar estatísticas das interfaces
27
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
Senhas
� Senha de Enable
Switch(config)#enable password cisco
Switch(config)#enable secret cisco
� Senha de Console
Switch(config)#line console 0
Switch(config)#exec-timeout 5 0 
Switch(config-line)#password cisco
28
CISCO IOS COMAND LINE INTERFACE
CONFIGURAÇÃO BÁSICA
Senhas
� Senha de Telnet
Switch(config)#line vty 0 15
Switch(config-line)#password cisco
Switch(config-line)#exec-timeout 5 0
� Criptografa Senha
Router(config)#service password-encryption
AUTENTICAÇÂO CENTRALIZADA
29
EXEMPLO DE CONFIGURAÇÂO
30
username ADMIN password senha1234
radius-server host 192.168.1.2 auth-port 1812 key <senha>
radius-server host 192.168.1.3 auth-port 1812 key <senha>
Ou
tacacs-server host 192.168.1.4 single-connection key <senha>
tacacs-server host <acs2> single-connection key <senha>
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default group tacacs+ local
line con 0
exec-timeout 0 0
login authentication default
line vty 0 15
exec-timeout 3 0
login authentication default
31
Cisco DiscoveryProtocol (CDP)
�Protocolo Proprietário Cisco
�Coletar informações dos dispositivos diretamente conectados
�Informações Hardware
�Informações Protocolo
�Troubleshooting e Documentação da rede
�Habilitado por default
�Desabilitar o CDP em todo dispositivo:
Switch(config)#no cdp run
� Desabilitar o CDP em um única interface:
� Switch(config)# int fa0/1
� Switch(config)# no cdp enable
32
Cisco Discovery Protocol (CDP)
CDP Timers & Holdtime Information
� CDP Timer: frequencia que CDPs são transmitidos para todas as 
interfaces ativas
� CDP Holdtime: Tempo que o dispositivo irá manter os pacotes 
recebidos dos dispositivos vizinhos
Switch#sh cdp
Global CDP information
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Ajustando os paramentros
Switch#config t
Switch(config)#cdp timer 90
Switch(config)#cdp holdtime 240
33
Cisco Discovery Protocol (CDP)
Neighbor Information
�Mostra informações dos dispositivos 
diretamente conectados
�Pacotes CDP não passam através switches
Switch#show cdp neigbors
or
Switch#show cdp neighbor detail
�Detailed information; hostname, IP address, etc
34
Cisco Discovery Protocol (CDP)
Neighbor Information
35
Virtual LAN (VLAN)
36
Virtual LAN (VLAN)
� Agrupamento lógico de usuários da rede e 
recursos conectados no switch.
� Criação de Domínios de Broadcast
� Organizado por:
�Localização
�Função
�Departamento
�Aplicação ou protocolo
37
VLANs - BENEFÍCIOS
� Simplifica gerenciamento da rede
� Provê um maior nível de segurança 
em relalação à rede flat
� Flexibilidade e Escalabilidade
� Reduz dominio de Broadcast
38
VLAN – PORTAS DE ACESSO
Associado à uma única VLAN 
39
CONFIGURAÇÃO DE VLANs – PORTA ACESSO
40
VERIFICANDO VLANs
•show interfaces
•show vlan
Nota: se a porta não esta associado a nenhuma VLAN é por que está 
Em TRUNK
41
VLAN – PORTA TRUNK
Várias vlans no mesmo link
Identificador único em cada frame
42
VLAN: TRUNK 802.1Q e ISL
ISL: Proprietário Cisco, encapsulamento de frame
802.1Q: Não-proprietário (Padrão IEEE), adiciona campo (tag) 
no cabeçalho do frame (exceto para vlan nativa)
43
TRUNK 802.1Q: VLAN NATIVA
Frames da vlan nativa trafegam no trunk sem tag
44
VLAN: RANGE
45
CONFIGURAÇÃO DE TRUNK
•Trunk pode ser configurado manualmente ou via DTP 
•(Dynamic Trunk Protocol)
•DTP negocia trunk na porta
46
NEGOCIAÇÃO DE TRUNK (DTP)
• Negociação do trunk via DTP ocorre quando habilitado nas 
duas pontas da conexão
•show dtp interface 
Para verificar negociação do trunk
47
CONFIGURAÇÃO DE TRUNK: 802.1Q
48
VERIFICANDO CONFIGURAÇÕES DE TRUNK 
802.1Q: COMANDOS
49
VERIFICANDO CONFIGURAÇÕES DE DYNAMIC 
TRUNK 802.1Q (DTP): COMANDOS
50
CONFIGURAÇÃO DE TRUNK: ISL
51
VERIFICANDO CONFIGURAÇÕES DE TRUNK 
ISL: COMANDOS
52
TROUBLESHOOTING - TRUNK
- Configuração DTP inconsistente
- Encapsulamento do trunk (ISL, 802.1Q) 
diferentes
- Domínio de VTP diferentes
- Capacidade de hardware das portas 
53
TROUBLESHOOTING – TRUNK (CONT.)
Para portas que não requerem trunk, DTP deve ser desabilitada
Para portas que requerem trunk, configurar trunk e 
nonnegociate
54
VLAN Trunk Protocol (VTP)
• Grupo de switches que trocam informações de VLAN 
• VLANs administrados centralmente por um determinado 
switch 
55
PROTOCOLO VTP
• Anúncio com informação de configuração de VLAN
• Mantêm consistência de configuração de VLAN no domínio VTP
• Envia anúncios somente em portas trunk
56
SERVER (default)
-Cria, modifica, apaga VLANs
-Envia e encaminha anúncios VTP
-Sincroniza configuração de VLANs
-Salva configuração na NVRAM
MODOS DE OPERAÇÃO DO VTP 
CLIENT
- Não pode criar, modificar ou apagar 
VLANs
- Encaminha anúncios VTP
- Sincroniza configuração de VLANs
- Não salva configuração na NVRAM
TRANSPARENT
- Cria, modifica, apaga VLANs
- Encaminha anúncios VTP
- Não sincroniza configuração de VLANs
- Salva configuração na NVRAM
57
VTP PRUNING
•VTP Pruning utiliza banda com maior eficiência
•Flooding de broadcast é encaminhado somente para portas 
associadas àquela vlan.
58
OPERAÇÃO DO VTP 
• Anúncio VTP enviado em multicast
• VTP Server e Client são atualizados para o último revision number
• Anúncios VTP enviados a cada 5 minutos ou quando tiver alguma alteração
59
CONFIGURAÇÃO DE VTP 
Configurando VTP:
•vtp mode
•vtp domain
•vtp password
Verificando VTP:
•show vtp status
•show vtp counters
60
CONFIGURANDO VTP
S1(config)#vtp mode server 
S1(config)#vtp domain cisco
S1(config)#vtp password cisco 
S2(config)#vtp mode client 
S2(config)#vtp domain cisco 
S2(config)#vtp password cisco 
S3(config)#vtp mode transparent 
S3(config)#vtp domain cisco 
S3(config)#vtp password cisco 
61
VERIFICANDO VTP
62
VERIFICANDO VTP (Cont.)
63
TROUBLESHOOTING – VTP 
Problemas comuns:
• Updates não recebidos
- domínio de VTP e senha devem ser iguais
- versão VTP deve ser compatível com outros switches do 
domínio
- deve haver pelo menos um VTP Server
- checar se há conexão trunk com VTP Server
• VLANs faltando na configuração
- configuração foi sobrescrita por outro switch 
- Vlan foi apagada do switch VTP Server
- modelo do switch não “entende” vlan estendida (acima 1005)
• Muitas VLANs configuradas nos switches 
- Separar em domínios de VTP
64
ROTEAMENTO ENTRE VLANs
65
ROTEAMENTO ENTRE VLANs
CONFIGURAÇÃO:
•ip routing
•Interface vlan 10
- ip address 10.1.1.1 255.255.255.0
•Router eigrp 50
- network 10.0.0.0
66
ROTEAMENTO ENTRE VLANs
ip routing !Habilita roteamento no switch
interface vlan10
ip address 10.1.1.1 255.255.255.0
interface vlan20
ip address 10.2.2.1 255.255.255.0
interface fa0/1 !Routed Port
no switchport
ip address 10.3.3.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 200.200.200.1 
Verificando tabela roteamento:
•show ip route
EXEMPLO DE ENDEREÇAMENTO
67
10 . X . Y. Z
Octeto que 
representa a filial
Octeto que 
representa o 
VLAN ID
Octeto que 
representa o 
Host
Ex. 10 . 1 . 10. 30 – Filial 1, VLAN 10
10 . 2 . 20. 30 – Filial 2, VLAN 20
EXEMPLO DE ENDEREÇAMENTO
68
Filial Rede Vlan
RIO DEJANEIRO
10.1.10.0/24 SERVIDOR
10.1.11.0/24 GERENCIA
10.1.12.0/24 RECEPCAO
10.1.13.0/24 TECNICO
10.1.14.0/24 ADMINISTRATIVO
10.1.15.0/24 VOIP
10.1.16.0/24 VIDEO
10.1.17.0/24 VISITANTE
FORTALEZA
10.2.10.0/24 SERVIDOR
10.2.11.0/24 GERENCIA
10.2.12.0/24 TECNICO
10.2.13.0/24 SELECAO
10.2.14.0/24 ADMINISTRATIVO
10.2.15.0/24 VOIP
10.2.16.0/24 VIDEO
10.2.17.0/24 VISITANTE
69
DHCP 
70
DHCP SERVER
Switch(config)#ip dhcp excluded-address 10.254.253.1 10.254.253.9
Switch(config)# ip dhcp pool DHCP-APS
Switch(dhcp-config)# network 10.254.253.0 255.255.255.0
Switch(dhcp-config)# domain-name nec.com.br
Switch(dhcp-config)# default-router 10.254.253.1
Switch(dhcp-config)# option 60 ascii "Cisco AP c1130"
Switch(dhcp-config)# option 43 hex f108.0afe.fd04.0afe.fd06
Switch(dhcp-config)# lease 1
DHCP RELAY
Switch(config)#interface vlan 10
Switch(config-if)# ip address 192.168.1.0 255.255.255.0
Switch(config-if)# ip helper-address 10.10.10.1
71
IP HELPER-ADDRESS
Serviço Porta
Time 37
TACACS 49
DNS 53
BOOTP/DHCP Server 67
BOOTP/DHCP Client 68
TFTP 69
NetBIOS name service 137
NetBIOS datagram service 138
Exemplo
RTA(config-if)#ip helper-address 192.168.1.254
RTA(config-if)#exit
RTA(config)#ip forward-protocol udp 517
RTA(config)#no ip forward-protocol udp 37
RTA(config)#no ip forward-protocol udp 49
RTA(config)#no ip forward-protocol udp 137
RTA(config)#no ip forward-protocol udp 138
72
ETHERCHANNEL 
73
ETHERCHANNEL
• Agregação lógica links
• Balanceamento
• Redundância
74
ETHERCHANNEL
� Apenas portas com características
idênticas podem ser agregadas. 
Configuração:
� Automática:
� PAgP: Port Aggregation Protocol (Cisco)
� LACP: Link Aggregation 
� Control Protocol (IEEE 802.3)
� Manual:
� On: sem protocolo de negociação
� Usado apenas para compatibilidade entre switches que não 
suportam os protocolos de negociação.
75
ETHERCHANNELPAgP – Port Aggregation Protocol
� Protocolo proprietário da cisco
� Agrupa automaticamente portas com as mesmas 
caracterísiticas:
� Velocidade, modo duplex, native VLAN, VLAN range, 
trunking status.
� Porta Access devem pertencer a mesma VLAN
� Portas Trunk devem pertencer a mesma native VLAN
� O grupo de portas é passado ao protocolo Spanning-Tree como 
sendo uma porta única.
� Permite agregar até 8 portas.
76
ETHERCHANNEL
LACP - Link Aggregation Protocol
� Padrão IEEE 802.3ad
� Modos de operação:
� Passivo
� Similar ao modo auto PAgP
� Ativo
� Similar ao modo desirable PAgP
� Permite agregar até 16 portas, mas apenas 8 estão 
ativas num dado instante.
77
ETHERCHANNEL - CONFIGURAÇÃO
interface port-channel [channel-group-number]
channel-protocol [pagp | lacp]
channel-group 2 mode [active|auto|desirable|on|passive]
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
Verificando Etherchannel:
•show interfaces fastethernet 0/1
•Show etherchannel 2 port-channel
•Show etherchannel 2 summary
78
ETHERCHANNEL (LAYER 2) 
CONFIGURAÇÃO
interface Port-channel2
switchport access vlan 10
switchport mode access
interface GigabitEthernet1/0
switchport access vlan 10
switchport mode access
channel-group 2 mode active
interface GigabitEthernet1/1
switchport access vlan 10
switchport mode access
channel-group 2 mode active
79
ETHERCHANNEL (LAYER 2) 
CONFIGURAÇÃO
interface Port-channel2
switchport mode trunk
interface GigabitEthernet1/0
switchport mode trunk
channel-group 2 mode active
interface GigabitEthernet1/1
switchport mode trunk
channel-group 2 mode active
80
ETHERCHANNEL (LAYER 3) 
CONFIGURAÇÃO
interface port-channel 5 
no switchport 
ip address 172.16.2.1 255.255.255.0
interface range gigabitethernet1/0
no ip address 
no switchport 
channel-group 5 mode active
interface range gigabitethernet1/0
no ip address 
no switchport 
channel-group 5 mode active
81
SPANNING TREE 
82
SPANNING TREE (STP)
Protocolo de camada 2 utilizado para prevenir ocorrência de loops
Princípio:
• Somente um caminho ativo pode existir entre 2 estações 
na rede
• Bloquear as portas que impliquem em loops
• Escolha de um switch como Root e
Construção de uma árvore como o
menor caminho até o Root.
83
BRIDGE PROTOCOL DATA UNIT (BPDU)
O STP utiliza um protocolo chamado BPDU para troca
informações entre switches
84
SPANNING TREE – Estado das Portas
85
SPANNING TREE - Operação
� Selecionando Root Bridge – bridge ID
� Selecionando Designated Port
86
SPANNING TREE - Operação
� 1 Root Bridge por rede
� 1 Root Port por nonroot bridge
� 1 Designated Port por segmento
� Nondesignated Port em Blocking
87
SPANNING TREE – Exemplo
88
Força o switch a ser root 
Força o switch a ser root secundário 
SPANNING TREE – Comandos
ou 
Configura manualmente a priority
SPANNING-TREE
89
EXEMPLO DE CONFIGURAÇÃO – 802.1S
90
Core2
spanning-tree mode mst
spanning-tree extend system-id
spanning-tree mst configuration
name Exemplo
revision 1
instance 1 vlan 2, 10, 14
instance 2 vlan 12, 16,20
instance 3 vlan 13,15,17
instance 4 vlan 19,21,23
spanning-tree mst 0-2 root primary
spanning-tree mst 3-4 root secondary
Core1
spanning-tree mode mst
spanning-tree extend system-id
spanning-tree mst configuration
name Exemplo
revision 1
instance 1 vlan 2, 10, 14
instance 2 vlan 12, 16,20
instance 3 vlan 13,15,17
instance 4 vlan 19,21,23
spanning-tree mst 0-2 root secondary
spanning-tree mst 3-4 root primary
91
SPANNING TREE – PORTFAST
Habilita portfast em uma interface:
Habilita portfast em todas as interfaces que não sejam trunk
Verificando configuração:
92
SEGURANÇA EM REDES 
ETHERNET
93
S2
� Ataque MAC Address Flooding
� Ferramentas de Hackers: macof (parte do dsniff)
� Gera uma série de endereços MAC falsos
� Quando a tabela CAM lota (32K entradas), o tráfego é enviado para 
todas as portas 
� DHCP Starvation
� Ferramentas de Hackers : gobbler
� Utiliza todo range de endereços do servidor DHCP 
� Ataque Falso Servidor DHCP 
� Ferramentas de Hackers : gobbler ou um servidor de DHCP falso
� Possibilita ataques tipo Man in the middle usando o Default Gateway
� ARP Spoofing
� Ferramentas de Hackers : ettercap, dsniff, arpspoof
� Possibilita ataques tipo Man in the middle em Layer 2
Ameaças à segurança da LAN
SEGURANÇA NA LAN
94
S2
Ameaças à segurança da LANPORT SECURITY
Port Security restringe porta de acesso do switch por MAC address
95
S2
PORT SECURITY - CONFIGURAÇÃO
� Habilitar Port security
� Configurar limite mac-address aprendidas para àquela porta
� Especificar Mac Address permitido
- mac address configurado manualmente
- mac address configurado dinamicamente (Stick mac address)
� Definir ação em caso de violação 
- shutdown: porta desabilitada e log e SNMP trap gerados
- restrict: frames descartados e log e SNMP trap gerados
- protect: frames descartados, sem log
96
S2
Ameaças à segurança da LANPORT SECURITY – CONFIGURAÇÃO (Cont.)
Verificando Port Security:
97
S2
Ameaças à segurança da LANPORT SECURITY – CONFIGURAÇÃO (Cont.)
Verificando Port Security:
98
Funcionamento do DHCP 
DHCP Client
DHCP Server
DHCP Discover (Broadcast)
DHCP Offer (Unicast)
DHCP Request (Broadcast)
DHCP Ack (Unicast)
99
Ataque DHCP Starvation
DHCP Client DHCP Server
DHCP Discover (Broadcast) x (Tamanho do pool DHCP)
DHCP Offer (Unicast) x (Tamanho do pool DHCP)
DHCP Request (Broadcast) x (Tamanho do pool DHCP)
DHCP Ack (Unicast) x (Tamanho do pool DHCP)
Gobbler
100
Ataque DHCP - MiM
DHCP Client DHCP Server
DHCP Discover (Broadcast)
DHCP Offer (Unicast) Do servidor falso
DHCP Request (Broadcast)
DHCP Ack (Unicast) Do servidor falso, com Def GW alterado
Servidor Falso
101
DHCP SNOOPING
� DHCP Snooping: Trust e Untrusted ports
� Untrusted Ports: Não respondem às 
Requisições do DHCP
� Configurar DHCP snooping nos Uplinks 
com Servidor DHCP
� Não configurar DHCP snooping 
em portas de usuários
102
DHCP SNOOPING - CONFIGURAÇÃO
Habilita DHCP Snooping globalmente
Habilita DHCP Snooping em uma ou mais vlan
Permite inserção do DHCP option 82
Configura um interface como trusted
Limita número pacotes por segundo na porta (OPCIONAL)
103
DHCP SNOOPING – CONFIGURAÇÃO (Cont.)
104
DHCP SNOOPING – CONFIGURAÇÃO (Cont.)
Verificando DHCP Snooping:
105
ARP INSPECTION
106
ARP INSPECTION
Switch(config)# ip arp inspection vlan 1 
Switch(config)# interface Gigabitethernet1/0/1 
Switch(config-if)# ip arp inspection trust
107
PROTEGENDO OPERAÇÃO STP
BPDU GUARD
Evita que switches sejam conectados
em portas configuradas em PortFast.
� BPDU Guard gera log ou 
desabilita porta (porta entra no 
modo ErrDisable)
� BPDU Filter: ação a ser tomada 
quando BPDU é recebido. 
108
PROTEGENDO OPERAÇÃO STP
BPDU GUARD - CONFIGURAÇÃO
Habilita BPDU Guard
Mostra configuração BPDU Guard
109
PROTEGENDO OPERAÇÃO STP
BPDU FILTERING - CONFIGURAÇÃO
Habilita BPDU Filtering
Mostra informações de configuração BPDU Filtering
110
PROTEGENDO OPERAÇÃO STP
UDLD – Unidirectional Link Failure
111
PROTEGENDO OPERAÇÃO STP
SEM LOOP GUARD
112
PROTEGENDO OPERAÇÃO STP
COM LOOP GUARD
113
PROTEGENDO OPERAÇÃO STP
UDLD e LOOP GUARD - CONFIGURAÇÃO
Configurando UDLD:
Configurando Loop Guard:
114
PROTEGENDO OPERAÇÃO STP
UDLD - CONFIGURAÇÃO
Habilita UDLD globalmente em todas interfaces de fibra-optica
Habilita UDLD na interface
Reseta todas as interfaces que foram desabilitadas pelo UDLD
Mostra informações de UDLD de determinada interface
115
PROTEGENDO OPERAÇÃO STP
LOOP GUARD - CONFIGURAÇÃO
HSRP -
116
EXEMPLO DE CONFIGURAÇÂO
117
Core-2
interface vlan 10
description ADMINISTRACAO
ip address 10.10.10.2 255.255.255.0
standby 1 ip 10.10.10.1
standby 1 priority 140
standby 1 preempt
no shutdown
interfacevlan 11
description TECNICO
ip address 10.10.11.2 255.255.255.0
standby 1 ip 10.10.11.1
standby 1 priority 150
standby 1 preempt
no shutdown
Core-1
interface vlan 10
description ADMINISTRACAO
ip address 10.10.10.3 255.255.255.0
standby 1 ip 10.10.10.1
standby 1 priority 150
standby 1 preempt
no shutdown
interface vlan 11
description TECNICO
ip address 10.10.11.3 255.255.255.0
standby 1 ip 10.10.11.1
standby 1 priority 140
standby 1 preempt
no shutdown
118
Serviços de Identificação
802.1x Switched
LAN
Requires
802.1x Clients
Wiring Closet
RADIUS
Identity Based Networking 
Services (IBNS)
Através de extensões ao protocolo 802.1x, 
IBNS possibilita uma nova geração de 
controle de acesso à rede, em que serviços 
inteligentes são aplicados dinamicamente à 
porta do Switch, aumentando a segurança, 
mobilidade e produtividade. 
User ok. Assign 
VLAN3 and 
ACL14 to port5. 
802.1x
Protege o acesso à rede através 
da autenticação do usuário via 
servidor de RADIUS, habilitando 
ou impedindo o acesso à rede 
User ok?
119
IBSN – Como Funciona
Login Request
Credenciais
Verifica Usuário no DBLogin Válido!
Aplicar políticas
SERVIDOR RADIUS
Este é o Zé Mané!
Ele vai para VLAN 5
Agora o usuário 
tem acesso à rede, 
na sua própria 
VLAN
Configurar porta para 
VLAN 5
Aplica políticas e habilita 
a porta do Switch
120
802.1x
Rede Cabeada
Rede sem fio
121
802.1x (Cont.)
� Suplicante: a entidade que quer ter 
acesso
� Autenticador: a entidade que controla o 
acesso
� Servidor de autenticação: a entidade 
que autoriza ou nega o acesso
122
TIPOS DE EAP
� EAP-MD5
� EAP-TLS
� EAP-PEAP
� EAP-LEAP
� EAP-TTLS
� EAP-FAST
123
Fluxo das mensagens EAP
124
802.1x – CONFIGURAÇÃO 
Exemplo:
802.1x com associação de Vlan dinâmica 
1- Habilitar AAA authorization
Switch(config)#usarname admin privilege 15 password cisco
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#aaa authorization dot1x default group radius
Switch(config)#radius-server host 10.1.1.1 key cisco
125
802.1x – CONFIGURAÇÃO (Cont.)
2- Habilitar 802.1x
Switch(config)# dot1x system-auth-control
3- Configurar atributos no servidor RADIUS.
Servidor RADIUS deverá retornar os seguintes atributos para o switch:
� [64] Tunnel-Type=VLAN
� [65] Tunnel-Medium-Type=IEEE 802
� [81] Tunnel-Private-Group-ID= VLAN name ou VLAN ID
126
802.1x – CONFIGURAÇÃO (Cont.)
127
802.1x – CONFIGURAÇÃO (Cont.)
4- Habilitar 802.1x nas interfaces
Switch(config)#interface range FastEthernet1/0/1-24
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x guest-vlan 20
Switch(config-if)# dot1x auth-fail vlan 30
128
802.1x – CONFIGURAÇÃO (Cont.)
Verificando 802.1x:
Mostra status do 802.1x
Mostra status do 802.1x para todas as interfaces ou um interfaces especifica
129
SSH
Switch(config)# ip domain-name nec.com.br 
Switch(config)# access-list 10 permit host 10.254.254.254
Switch(config)# crypto key generate rsa
NEC_BRASIL
1024
Switch(config)# ip ssh version 2
Switch(config)# ip ssh time-out 60
Switch(config)# ip ssh authentication-retries 2
Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh
Switch(config-line)# access-class 10 in 
130
Gerenciamento
131
SNMP
•SNMP V1 e V2c
Switch(config)#access-list 90 permit 10.254.254.254
Switch(config)# access-list 90 remark CISCO-WORKS
Switch(config)# snmp-server community snmpRW RW 90
Switch(config)# snmp-server community snmpRO RO 90
Switch(config)# snmp-server ifindex persist
Switch(config)# snmp-server contact ramal 
Switch(config)# snmp-server location Cispro
Switch(config)# snmp-server trap link ietf
Switch(config)# snmp-server trap-source Vlan600
•SNMP V3 autenticado
Switch(config)# snmp-server group admsw v3 auth 
Switch(config)# snmp-server user admin admsw v3 auth md5 admpass 
SNMP V3 autenticado e criptografado
Switch(config)# snmp-server group admsw v3 auth 
Switch(config)# snmp-server user admin admsw v3 auth md5 admpass 
priv des56 admpass 
SINCRONISMO DE DATA/HORA
132
133
NTP
Switch(config)#clock timezone GMT-3
Switch(config)# clock summer-time GMT-2 date Oct 19 
2009 0:00 Feb 27 2010 0:00
ntp server 10.254.254.254
� Com autenticação
Switch(config)# ntp server 10.254.254.254 key 5
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 5 md5 1000
CENTRALIZAÇÂO DOS LOGs
134
135
SYSLOG
switch(config)# logging 10.254.254.254 
136
QoS –
Qualidade de Serviço 
137
QoS – Qualidade de Serviço
CONCEITO
138
QoS – MODELO OSI
139
QoS – MARCAÇÃO CAMADA 2
• Bits de prioridade dos TAGs IEEE 802.1Q
• Campo CoS: Class of Service (IEEE 
802.1p)
140
QoS – MARCAÇÃO CAMADA 3
Campo ToS (Type of Service)
• Campos TOS
141
MECANISMO DE QoS 
142
PERFIL DE TRÁFEGO X REQUISITOS DE QoS 
143
QoS – Switches 2960/3560/3750
2 FILAS ENTRADA POR 
PORTA
4 FILAS SAÍDA POR 
PORTA
INGRESS EGRESS
• 4Q3T or 1P3Q3T
• Fila 1 pode ser configurada como Priority-Queue
144
QoS – Switches 2960/3560/3750
HABILITAR QoS
Habilitar qos no switch;
Switch(config)# mls qos
Switch(config)# show mls qos
OBS: Alterar tabela de mapeamento cos-dscp se necessário (mapeamento 
default do switch converte cos=5 para dscp=40)
Switch#sh mls qos maps cos-dscp
Cos-dscp map:
cos: 0 1 2 3 4 5 6 7
--------------------------------
dscp: 0 8 16 24 32 40 48 56
Switch(config)# mls qos map 0 8 16 26 32 46 48 56
145
QoS – Switches 2960/3560/3750
CLASSIFICAÇÃO E MARCAÇÃO PACOTES
- Switches Catalyst: QoS em hardware (ASIC) 
- Marcação dos pacotes devem ser feitos o mais próximo da 
camada de acesso
- Interconexão dos switches: Confiar na marcação (“trust”) 
para não perder a marcação QoS
- Criar ACLs para classificar e marcar os pacotes 
146
QoS – Marcação de pacotes
147
QoS – Switches 2960/3560/3750
CLASSIFICAÇÃO E MARCAÇÃO PACOTES
Exemplo
1) Classificar tráfegos:
• Voz � classe Voz
• Sinalização de voz � classe Sinalização
• Banco de Dados � classe BcoDados
2) Marcar Pacotes:
• Voz � Já marcado pelo PABX (ef), confiar na marcação
• Sinalização de Voz � Já marcado pelo PABX (CS3), confiar na marcação
• Banco de Dados � Marcar como af21
148
QoS – Switches 2960/3560/3750
ip access-list extended Bco_Dados permit ip any any eq 1521
permit ip any any eq 1810
permit ip any any eq 2481
permit ip any any eq 7778
class-map Voz
match ip dscp ef ! Classifica tráfego Voz 
class-map Sinalizacao
match ip dscp cs3 ! Classifica tráfego Sinalizaçao Voz
class-map BancoDados
match access-group name Bco_Dados ! Classifica tráfego Banco Dados
policy-map Exemplo_QoS
class Voz
trust dscp ! Confia na marcação
class Sinalizacao
trust dscp ! Confia na marcação 
class BancoDados
set dscp af21 ! Marca tráfego Banco Dados para af21
Interface gigabitethernet 1/0
service-policy input Exemplo_QoS ! Aplica politica Exemplo_QoS criada na interface
CLASSIFICAÇÃO E MARCAÇÃO PACOTES
149
QoS – Switches 2960/3560/3750
POLICING
Permite adequar o tráfego em torno de uma taxa média, com rajadas de 
intensidade controlada
Ação:
- Descartar excedente (exceed action drop)
- Marcar com prioridade menor (exceed action dscp) 
EXEMPLO: Policiar tráfego de Dados em 10Mbps com DSCP AF11. Descartar 
excedente
policy-map Exemplo_QoS
class Dados
set ip dscp af11
police 10000000 8192 exceed-action drop
150
QoS – Switches 2960/3560/3750
QUEUING
Configuração Default para as Filas de Entrada e Saída 
151
QoS – Switches 2960/3560/3750
QUEUING
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 2 4
mls qos srr-queue output cos-map queue 4 threshold 2 1
mls qos srr-queue output cos-map queue 4 threshold 3 0
mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue outputdscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
cos
fila
dscp
152
QoS – Switches 2960/3560/3750
Shaped Round-Robin (SRR)
Controla a taxa no qual os quadros são retirados das filas
SRR pode ser configurado como:
SHAPED MODE:
• Cada fila de saída possui uma quantidade de banda limitada
• Mesmo que a banda de outras filas não esteja sendo utilizada, a banda 
de uma fila nunca é excedida.
• Suportado somente na fila de saída.
SHARED MODE:
• Garante um mínimo de banda para cada fila (em porcentagem) mas 
permite uma maior utilização caso as outras filas estejam ociosas. 
• Suportado nas filas de entrada e saída
Shaper (Especifica Banda MAXIMA)
Shared (especifica Banda MINIMA)
153
QoS – Switches 2960/3560/3750
Shaped Round-Robin (SRR)
SHAPED MODE:
Filas 1 e 2 � Shaped Mode
- Fila 1 pode usar no máximo 1/8 da banda (12,5%) 
- Fila 2 pode usar no máximo 1/4 da banda (25%) 
Filas 3 e 4 � Shared Mode 
154
QoS – Switches 2960/3560/3750
Shaped Round-Robin (SRR)
SHARED MODE:
Filas 1, 2, 3, 4 � Shared Mode
- Fila 1 pode usar no mínimo 10% da banda 
- Fila 2 pode usar no mínimo 20% da banda
- Fila 3 pode usar no mínimo 30% da banda
- Fila 4 pode usar no mínimo 40% da banda
OBS: Shape tem precedência sobre Share
srr-queue bandwidth share 20 10 60 10
srr-queue bandwidth shape 20 0 0 10
155
QoS – Switches 2960/3560/3750
SHAPING X POLICING
156
QoS – Switches 2960/3560/3750
Shaped Round-Robin (SRR)
As 4 Filas participam do SRR, a menos que seja 
habilitada Priority Queue (Fila 1).
Os pacotes do Priority Queue são encaminhados 
antes das outras filas até esvaziamento do buffer.
interface gi 1/0/1 
priority-queue out 
157
QoS – Switches 2960/3560/3750
WTD – WEIGHTED TAIL DROP
� WTD: as filas utilizam um algoritmo de 
descarte ponderado, baseado na 
classificação dos quadros:
Novos quadros 
com Cos 4-5 são 
descartados 
quando a fila 
atinge 60% da 
taxa de ocupação
158
QoS – Switches 2960/3560/3750
• Configuração de QoS para VOZ
• Habilita QoS
• “Trust” em cisco-phone, cisco-softphone and cos
• Altera tabela COS-DSCP
• Configuração filas
AUTOQoS 
159
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip trust”
160
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip trust”
161
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip cisco-softphone”
162
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip cisco-softphone”
163
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip cisco-softphone”
164
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip cisco-softphone”
165
QoS – Switches 2960/3560/3750
AUTOQoS 
• Com “voip cisco-phone”