Baixe o app para aproveitar ainda mais
Prévia do material em texto
Rede ethernet Eng. Alessandro Coneglian Bianchini 2 Apresentação � Alessandro Coneglian Bianchini exerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança da informação; formado em engenharia elétrica com ênfase em telecomunicações pela Escola de Engenharia Mauá-SP, pós-graduado em segurança da informação pelo IBTA-SP e também pós-graduado em engenharia de rede e sistema de telecomunicações pelo INATEL-MG; Possui certificações de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware. 3 Certificações � VCP 4– Vmware Certified Professional 4.0 � VCP 3– Vmware Certified Professional 3.0 � ITIL v3 Foundation � CCNP - Cisco Certified Network Professional � CCDP - Cisco Certified Design Professional � CCVP - Cisco Certified Voice Professional � CCSP - Cisco Certified Security Professional � CCNA - Cisco Certified Network Associate � CCDA - Cisco Certified Design Associate � CAWDS – Cisco Advanced Wireless Design Specialist � CAWFS – Cisco Advanced Wireless Field Specialist � CISS - Cisco Information Security Specialist � CIOSSS - Cisco IOS Security Specialist � CFWS - Cisco Firewall Specialist � CIPSS - Cisco IPS Specialist � FCNSA- Fortinet Certified Network Security Administrator � CAIR – Certified Allied installation Router � CAIS – Certified Allied installation switch � CASE – Certified Allied system engineer � 4011 Recognition - CNSS (Committee on National Security Systems) � 4013 Recognition – CNSS (Committee on National Security Systems) 4 �Design – Modelo Hierárquico Cisco �Exemplos �Configuração básica do Switch Cisco �VLANs �VTP �SPANNING TREE �Etherchannel �Segurança em Redes Ethernet �Gerenciamento �QoS AGENDAAGENDA 5 DESIGN REDE • Alta Disponibilidade (5-9´s) •Escalabilidade 6 MODELO HIERÁRQUICO CISCO • Criação de topologia modular • Cada camada tem função especifica 7 MODELO HIERÁRQUICO CISCO • Switches que fazem conexão com dispositivos de rede (pcs, impressoras, etc) • Camada onde são configuradas grande parte das funcionalidades rede (QoS, 802.1x, supressão broadcast,etc) •Geralmente Switches Layer 2 CAMADA DE ACESSO 8 MODELO HIERÁRQUICO CISCO • Agregam switches de acesso • Prover disponibilidade, balanceamento, QoS • Swiches Layer 2 ou 3 •HSRP/GLBP CAMADA DE DISTRIBUIÇÃO 9 MODELO HIERÁRQUICO CISCO • Agregam switches de distribuição • Poucas funcionalidades implementadas nesta camada • Equipamentos de alto desempenho • Redundância, balanceamento e convergência rápida • Switches Layer3 CORE 10 • Core – Core • Core – Distribuição • Por que usar: - Rápida convergência - Contingência: construção de caminhos redundantes - Eliminação de spanning-tree nestas camadas da rede PROTOCOLO ROTEAMENTO 11 PROTOCOLO ROTEAMENTO NÃO há tempo de recovergência da rede 12 Acesso Distribution Core Catalyst 6509 Catalyst 6509 Catalyst 3560G-24T Server Farm Catalyst 3560G-24T Catalyst 3560G-24T Catalyst 3560G-24T 1Gbps FO multimodo 1Gbps UTP Secretarias Catalyst 2960-24TT 1Gbps UTP 1Gbps FO SX LAYER 3 LAYER 2 ou 3 LAYER 2 EXEMPLO: TOPOLOGIA PROPOSTA LAN MACRO 13 REDUNDÂNCIA PREVISTA � Switches Core Redundância da placa supervisora e Fonte de Alimentação � 2 pares de fibra em link agregation entre switches Core e Distribution � 2 pares de fibra para Interligação entre Swiches Core em placas supervisoras distintas Tempo previsto de indisponibilidade da rede será igual ao tempo para que a placa supervisora back-up assuma o controle, que é de aproximadamente 3 segundos. � Interligação entre switches Core e Distribution: HSRP ou protocolo roteamento Funcionamento da rede mesmo em caso de falha em um dos switches Core sem que haja intervenção manual. 14 INTERFACE CONFIGURAÇÃO DO SWITCH 15 INTERFACE DE CONFIGURAÇÃO • Cisco IOS (CLI) • Interface Web 16 CISCO IOS COMAND LINE INTERFACE • User EXEC: comandos monitoração • Privileged EXEC: comandos configuração e gerenciamento 17 CISCO IOS COMAND LINE INTERFACE User EXEC Mode – Prompt (>) Privileged (or Enabled) EXEC Mode – Prompt (#) Entrar/sair modo privilegiado: hostname> enable hostname# disable 18 CISCO IOS COMAND LINE INTERFACE CONFIGURATION MODE Global Configuration Mode Interface Configuration Mode Configuração armazenada na runningrunning--config config (DRAM – Dynamic Random Access Memory) Para salvar configuração na startupstartup--configconfig (NVRAM – Non-Volatile Random Access Memory): 19 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO INICIAL Setup wizard 20 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA • Hostname do switch • Endereço IP para switch • Default-gateway • Habilitar roteamento no switch (Catalyst 3750/3560) HOSTNAME - EXEMPLO 21 22 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA • Banner EXEC • Banner Login banner exec ^C Location: Centro Administrativo , 2AND - Datacenter Hostname: $(hostname) ^C banner login & *************************************************************************************** * * AVISO * * ACESSO PERMITIDO SOMENTE A PESSOAS AUTORIZADAS. * TODAS AS CONEXOES ESTAO SENDO MONITORADAS. * A UTILIZACAO INAPROPRIADA E/OU NAO AUTORIZADA PODE * RESULTAR EM PENALIDADES PREVISTAS EM LEI. * *************************************************************************************** * Warning * * ACCESS PERMITTED ONLY TO AUTHORIZED PEOPLE. * ALL ACTIVITIES AND CONNECTIONS ARE BEEN MONITORED. * INAPPROPRIATE OR NOT AUTHORIZED ACCESS MAY RESULT IN * LAW PENALTIES. **************************************************************************************** & 23 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA •Banner MOTD banner motd ^C Manutencão preventiva sabado dia 10/10/2009 ^C motd login exec $(hostname) YES YES YES $(domain) YES YES YES $(line) YES YES YES $(line-desc) YES YES YES •Variaveis 24 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA • Versão switch 25 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA • Mostrar configuração corrente do switch 26 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA • Mostrar estatísticas das interfaces 27 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA Senhas � Senha de Enable Switch(config)#enable password cisco Switch(config)#enable secret cisco � Senha de Console Switch(config)#line console 0 Switch(config)#exec-timeout 5 0 Switch(config-line)#password cisco 28 CISCO IOS COMAND LINE INTERFACE CONFIGURAÇÃO BÁSICA Senhas � Senha de Telnet Switch(config)#line vty 0 15 Switch(config-line)#password cisco Switch(config-line)#exec-timeout 5 0 � Criptografa Senha Router(config)#service password-encryption AUTENTICAÇÂO CENTRALIZADA 29 EXEMPLO DE CONFIGURAÇÂO 30 username ADMIN password senha1234 radius-server host 192.168.1.2 auth-port 1812 key <senha> radius-server host 192.168.1.3 auth-port 1812 key <senha> Ou tacacs-server host 192.168.1.4 single-connection key <senha> tacacs-server host <acs2> single-connection key <senha> aaa new-model aaa authentication login default group tacacs+ local aaa authorization exec default group tacacs+ local aaa accounting exec default group tacacs+ local line con 0 exec-timeout 0 0 login authentication default line vty 0 15 exec-timeout 3 0 login authentication default 31 Cisco DiscoveryProtocol (CDP) �Protocolo Proprietário Cisco �Coletar informações dos dispositivos diretamente conectados �Informações Hardware �Informações Protocolo �Troubleshooting e Documentação da rede �Habilitado por default �Desabilitar o CDP em todo dispositivo: Switch(config)#no cdp run � Desabilitar o CDP em um única interface: � Switch(config)# int fa0/1 � Switch(config)# no cdp enable 32 Cisco Discovery Protocol (CDP) CDP Timers & Holdtime Information � CDP Timer: frequencia que CDPs são transmitidos para todas as interfaces ativas � CDP Holdtime: Tempo que o dispositivo irá manter os pacotes recebidos dos dispositivos vizinhos Switch#sh cdp Global CDP information Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Ajustando os paramentros Switch#config t Switch(config)#cdp timer 90 Switch(config)#cdp holdtime 240 33 Cisco Discovery Protocol (CDP) Neighbor Information �Mostra informações dos dispositivos diretamente conectados �Pacotes CDP não passam através switches Switch#show cdp neigbors or Switch#show cdp neighbor detail �Detailed information; hostname, IP address, etc 34 Cisco Discovery Protocol (CDP) Neighbor Information 35 Virtual LAN (VLAN) 36 Virtual LAN (VLAN) � Agrupamento lógico de usuários da rede e recursos conectados no switch. � Criação de Domínios de Broadcast � Organizado por: �Localização �Função �Departamento �Aplicação ou protocolo 37 VLANs - BENEFÍCIOS � Simplifica gerenciamento da rede � Provê um maior nível de segurança em relalação à rede flat � Flexibilidade e Escalabilidade � Reduz dominio de Broadcast 38 VLAN – PORTAS DE ACESSO Associado à uma única VLAN 39 CONFIGURAÇÃO DE VLANs – PORTA ACESSO 40 VERIFICANDO VLANs •show interfaces •show vlan Nota: se a porta não esta associado a nenhuma VLAN é por que está Em TRUNK 41 VLAN – PORTA TRUNK Várias vlans no mesmo link Identificador único em cada frame 42 VLAN: TRUNK 802.1Q e ISL ISL: Proprietário Cisco, encapsulamento de frame 802.1Q: Não-proprietário (Padrão IEEE), adiciona campo (tag) no cabeçalho do frame (exceto para vlan nativa) 43 TRUNK 802.1Q: VLAN NATIVA Frames da vlan nativa trafegam no trunk sem tag 44 VLAN: RANGE 45 CONFIGURAÇÃO DE TRUNK •Trunk pode ser configurado manualmente ou via DTP •(Dynamic Trunk Protocol) •DTP negocia trunk na porta 46 NEGOCIAÇÃO DE TRUNK (DTP) • Negociação do trunk via DTP ocorre quando habilitado nas duas pontas da conexão •show dtp interface Para verificar negociação do trunk 47 CONFIGURAÇÃO DE TRUNK: 802.1Q 48 VERIFICANDO CONFIGURAÇÕES DE TRUNK 802.1Q: COMANDOS 49 VERIFICANDO CONFIGURAÇÕES DE DYNAMIC TRUNK 802.1Q (DTP): COMANDOS 50 CONFIGURAÇÃO DE TRUNK: ISL 51 VERIFICANDO CONFIGURAÇÕES DE TRUNK ISL: COMANDOS 52 TROUBLESHOOTING - TRUNK - Configuração DTP inconsistente - Encapsulamento do trunk (ISL, 802.1Q) diferentes - Domínio de VTP diferentes - Capacidade de hardware das portas 53 TROUBLESHOOTING – TRUNK (CONT.) Para portas que não requerem trunk, DTP deve ser desabilitada Para portas que requerem trunk, configurar trunk e nonnegociate 54 VLAN Trunk Protocol (VTP) • Grupo de switches que trocam informações de VLAN • VLANs administrados centralmente por um determinado switch 55 PROTOCOLO VTP • Anúncio com informação de configuração de VLAN • Mantêm consistência de configuração de VLAN no domínio VTP • Envia anúncios somente em portas trunk 56 SERVER (default) -Cria, modifica, apaga VLANs -Envia e encaminha anúncios VTP -Sincroniza configuração de VLANs -Salva configuração na NVRAM MODOS DE OPERAÇÃO DO VTP CLIENT - Não pode criar, modificar ou apagar VLANs - Encaminha anúncios VTP - Sincroniza configuração de VLANs - Não salva configuração na NVRAM TRANSPARENT - Cria, modifica, apaga VLANs - Encaminha anúncios VTP - Não sincroniza configuração de VLANs - Salva configuração na NVRAM 57 VTP PRUNING •VTP Pruning utiliza banda com maior eficiência •Flooding de broadcast é encaminhado somente para portas associadas àquela vlan. 58 OPERAÇÃO DO VTP • Anúncio VTP enviado em multicast • VTP Server e Client são atualizados para o último revision number • Anúncios VTP enviados a cada 5 minutos ou quando tiver alguma alteração 59 CONFIGURAÇÃO DE VTP Configurando VTP: •vtp mode •vtp domain •vtp password Verificando VTP: •show vtp status •show vtp counters 60 CONFIGURANDO VTP S1(config)#vtp mode server S1(config)#vtp domain cisco S1(config)#vtp password cisco S2(config)#vtp mode client S2(config)#vtp domain cisco S2(config)#vtp password cisco S3(config)#vtp mode transparent S3(config)#vtp domain cisco S3(config)#vtp password cisco 61 VERIFICANDO VTP 62 VERIFICANDO VTP (Cont.) 63 TROUBLESHOOTING – VTP Problemas comuns: • Updates não recebidos - domínio de VTP e senha devem ser iguais - versão VTP deve ser compatível com outros switches do domínio - deve haver pelo menos um VTP Server - checar se há conexão trunk com VTP Server • VLANs faltando na configuração - configuração foi sobrescrita por outro switch - Vlan foi apagada do switch VTP Server - modelo do switch não “entende” vlan estendida (acima 1005) • Muitas VLANs configuradas nos switches - Separar em domínios de VTP 64 ROTEAMENTO ENTRE VLANs 65 ROTEAMENTO ENTRE VLANs CONFIGURAÇÃO: •ip routing •Interface vlan 10 - ip address 10.1.1.1 255.255.255.0 •Router eigrp 50 - network 10.0.0.0 66 ROTEAMENTO ENTRE VLANs ip routing !Habilita roteamento no switch interface vlan10 ip address 10.1.1.1 255.255.255.0 interface vlan20 ip address 10.2.2.1 255.255.255.0 interface fa0/1 !Routed Port no switchport ip address 10.3.3.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 200.200.200.1 Verificando tabela roteamento: •show ip route EXEMPLO DE ENDEREÇAMENTO 67 10 . X . Y. Z Octeto que representa a filial Octeto que representa o VLAN ID Octeto que representa o Host Ex. 10 . 1 . 10. 30 – Filial 1, VLAN 10 10 . 2 . 20. 30 – Filial 2, VLAN 20 EXEMPLO DE ENDEREÇAMENTO 68 Filial Rede Vlan RIO DEJANEIRO 10.1.10.0/24 SERVIDOR 10.1.11.0/24 GERENCIA 10.1.12.0/24 RECEPCAO 10.1.13.0/24 TECNICO 10.1.14.0/24 ADMINISTRATIVO 10.1.15.0/24 VOIP 10.1.16.0/24 VIDEO 10.1.17.0/24 VISITANTE FORTALEZA 10.2.10.0/24 SERVIDOR 10.2.11.0/24 GERENCIA 10.2.12.0/24 TECNICO 10.2.13.0/24 SELECAO 10.2.14.0/24 ADMINISTRATIVO 10.2.15.0/24 VOIP 10.2.16.0/24 VIDEO 10.2.17.0/24 VISITANTE 69 DHCP 70 DHCP SERVER Switch(config)#ip dhcp excluded-address 10.254.253.1 10.254.253.9 Switch(config)# ip dhcp pool DHCP-APS Switch(dhcp-config)# network 10.254.253.0 255.255.255.0 Switch(dhcp-config)# domain-name nec.com.br Switch(dhcp-config)# default-router 10.254.253.1 Switch(dhcp-config)# option 60 ascii "Cisco AP c1130" Switch(dhcp-config)# option 43 hex f108.0afe.fd04.0afe.fd06 Switch(dhcp-config)# lease 1 DHCP RELAY Switch(config)#interface vlan 10 Switch(config-if)# ip address 192.168.1.0 255.255.255.0 Switch(config-if)# ip helper-address 10.10.10.1 71 IP HELPER-ADDRESS Serviço Porta Time 37 TACACS 49 DNS 53 BOOTP/DHCP Server 67 BOOTP/DHCP Client 68 TFTP 69 NetBIOS name service 137 NetBIOS datagram service 138 Exemplo RTA(config-if)#ip helper-address 192.168.1.254 RTA(config-if)#exit RTA(config)#ip forward-protocol udp 517 RTA(config)#no ip forward-protocol udp 37 RTA(config)#no ip forward-protocol udp 49 RTA(config)#no ip forward-protocol udp 137 RTA(config)#no ip forward-protocol udp 138 72 ETHERCHANNEL 73 ETHERCHANNEL • Agregação lógica links • Balanceamento • Redundância 74 ETHERCHANNEL � Apenas portas com características idênticas podem ser agregadas. Configuração: � Automática: � PAgP: Port Aggregation Protocol (Cisco) � LACP: Link Aggregation � Control Protocol (IEEE 802.3) � Manual: � On: sem protocolo de negociação � Usado apenas para compatibilidade entre switches que não suportam os protocolos de negociação. 75 ETHERCHANNELPAgP – Port Aggregation Protocol � Protocolo proprietário da cisco � Agrupa automaticamente portas com as mesmas caracterísiticas: � Velocidade, modo duplex, native VLAN, VLAN range, trunking status. � Porta Access devem pertencer a mesma VLAN � Portas Trunk devem pertencer a mesma native VLAN � O grupo de portas é passado ao protocolo Spanning-Tree como sendo uma porta única. � Permite agregar até 8 portas. 76 ETHERCHANNEL LACP - Link Aggregation Protocol � Padrão IEEE 802.3ad � Modos de operação: � Passivo � Similar ao modo auto PAgP � Ativo � Similar ao modo desirable PAgP � Permite agregar até 16 portas, mas apenas 8 estão ativas num dado instante. 77 ETHERCHANNEL - CONFIGURAÇÃO interface port-channel [channel-group-number] channel-protocol [pagp | lacp] channel-group 2 mode [active|auto|desirable|on|passive] active Enable LACP unconditionally auto Enable PAgP only if a PAgP device is detected desirable Enable PAgP unconditionally on Enable Etherchannel only passive Enable LACP only if a LACP device is detected Verificando Etherchannel: •show interfaces fastethernet 0/1 •Show etherchannel 2 port-channel •Show etherchannel 2 summary 78 ETHERCHANNEL (LAYER 2) CONFIGURAÇÃO interface Port-channel2 switchport access vlan 10 switchport mode access interface GigabitEthernet1/0 switchport access vlan 10 switchport mode access channel-group 2 mode active interface GigabitEthernet1/1 switchport access vlan 10 switchport mode access channel-group 2 mode active 79 ETHERCHANNEL (LAYER 2) CONFIGURAÇÃO interface Port-channel2 switchport mode trunk interface GigabitEthernet1/0 switchport mode trunk channel-group 2 mode active interface GigabitEthernet1/1 switchport mode trunk channel-group 2 mode active 80 ETHERCHANNEL (LAYER 3) CONFIGURAÇÃO interface port-channel 5 no switchport ip address 172.16.2.1 255.255.255.0 interface range gigabitethernet1/0 no ip address no switchport channel-group 5 mode active interface range gigabitethernet1/0 no ip address no switchport channel-group 5 mode active 81 SPANNING TREE 82 SPANNING TREE (STP) Protocolo de camada 2 utilizado para prevenir ocorrência de loops Princípio: • Somente um caminho ativo pode existir entre 2 estações na rede • Bloquear as portas que impliquem em loops • Escolha de um switch como Root e Construção de uma árvore como o menor caminho até o Root. 83 BRIDGE PROTOCOL DATA UNIT (BPDU) O STP utiliza um protocolo chamado BPDU para troca informações entre switches 84 SPANNING TREE – Estado das Portas 85 SPANNING TREE - Operação � Selecionando Root Bridge – bridge ID � Selecionando Designated Port 86 SPANNING TREE - Operação � 1 Root Bridge por rede � 1 Root Port por nonroot bridge � 1 Designated Port por segmento � Nondesignated Port em Blocking 87 SPANNING TREE – Exemplo 88 Força o switch a ser root Força o switch a ser root secundário SPANNING TREE – Comandos ou Configura manualmente a priority SPANNING-TREE 89 EXEMPLO DE CONFIGURAÇÃO – 802.1S 90 Core2 spanning-tree mode mst spanning-tree extend system-id spanning-tree mst configuration name Exemplo revision 1 instance 1 vlan 2, 10, 14 instance 2 vlan 12, 16,20 instance 3 vlan 13,15,17 instance 4 vlan 19,21,23 spanning-tree mst 0-2 root primary spanning-tree mst 3-4 root secondary Core1 spanning-tree mode mst spanning-tree extend system-id spanning-tree mst configuration name Exemplo revision 1 instance 1 vlan 2, 10, 14 instance 2 vlan 12, 16,20 instance 3 vlan 13,15,17 instance 4 vlan 19,21,23 spanning-tree mst 0-2 root secondary spanning-tree mst 3-4 root primary 91 SPANNING TREE – PORTFAST Habilita portfast em uma interface: Habilita portfast em todas as interfaces que não sejam trunk Verificando configuração: 92 SEGURANÇA EM REDES ETHERNET 93 S2 � Ataque MAC Address Flooding � Ferramentas de Hackers: macof (parte do dsniff) � Gera uma série de endereços MAC falsos � Quando a tabela CAM lota (32K entradas), o tráfego é enviado para todas as portas � DHCP Starvation � Ferramentas de Hackers : gobbler � Utiliza todo range de endereços do servidor DHCP � Ataque Falso Servidor DHCP � Ferramentas de Hackers : gobbler ou um servidor de DHCP falso � Possibilita ataques tipo Man in the middle usando o Default Gateway � ARP Spoofing � Ferramentas de Hackers : ettercap, dsniff, arpspoof � Possibilita ataques tipo Man in the middle em Layer 2 Ameaças à segurança da LAN SEGURANÇA NA LAN 94 S2 Ameaças à segurança da LANPORT SECURITY Port Security restringe porta de acesso do switch por MAC address 95 S2 PORT SECURITY - CONFIGURAÇÃO � Habilitar Port security � Configurar limite mac-address aprendidas para àquela porta � Especificar Mac Address permitido - mac address configurado manualmente - mac address configurado dinamicamente (Stick mac address) � Definir ação em caso de violação - shutdown: porta desabilitada e log e SNMP trap gerados - restrict: frames descartados e log e SNMP trap gerados - protect: frames descartados, sem log 96 S2 Ameaças à segurança da LANPORT SECURITY – CONFIGURAÇÃO (Cont.) Verificando Port Security: 97 S2 Ameaças à segurança da LANPORT SECURITY – CONFIGURAÇÃO (Cont.) Verificando Port Security: 98 Funcionamento do DHCP DHCP Client DHCP Server DHCP Discover (Broadcast) DHCP Offer (Unicast) DHCP Request (Broadcast) DHCP Ack (Unicast) 99 Ataque DHCP Starvation DHCP Client DHCP Server DHCP Discover (Broadcast) x (Tamanho do pool DHCP) DHCP Offer (Unicast) x (Tamanho do pool DHCP) DHCP Request (Broadcast) x (Tamanho do pool DHCP) DHCP Ack (Unicast) x (Tamanho do pool DHCP) Gobbler 100 Ataque DHCP - MiM DHCP Client DHCP Server DHCP Discover (Broadcast) DHCP Offer (Unicast) Do servidor falso DHCP Request (Broadcast) DHCP Ack (Unicast) Do servidor falso, com Def GW alterado Servidor Falso 101 DHCP SNOOPING � DHCP Snooping: Trust e Untrusted ports � Untrusted Ports: Não respondem às Requisições do DHCP � Configurar DHCP snooping nos Uplinks com Servidor DHCP � Não configurar DHCP snooping em portas de usuários 102 DHCP SNOOPING - CONFIGURAÇÃO Habilita DHCP Snooping globalmente Habilita DHCP Snooping em uma ou mais vlan Permite inserção do DHCP option 82 Configura um interface como trusted Limita número pacotes por segundo na porta (OPCIONAL) 103 DHCP SNOOPING – CONFIGURAÇÃO (Cont.) 104 DHCP SNOOPING – CONFIGURAÇÃO (Cont.) Verificando DHCP Snooping: 105 ARP INSPECTION 106 ARP INSPECTION Switch(config)# ip arp inspection vlan 1 Switch(config)# interface Gigabitethernet1/0/1 Switch(config-if)# ip arp inspection trust 107 PROTEGENDO OPERAÇÃO STP BPDU GUARD Evita que switches sejam conectados em portas configuradas em PortFast. � BPDU Guard gera log ou desabilita porta (porta entra no modo ErrDisable) � BPDU Filter: ação a ser tomada quando BPDU é recebido. 108 PROTEGENDO OPERAÇÃO STP BPDU GUARD - CONFIGURAÇÃO Habilita BPDU Guard Mostra configuração BPDU Guard 109 PROTEGENDO OPERAÇÃO STP BPDU FILTERING - CONFIGURAÇÃO Habilita BPDU Filtering Mostra informações de configuração BPDU Filtering 110 PROTEGENDO OPERAÇÃO STP UDLD – Unidirectional Link Failure 111 PROTEGENDO OPERAÇÃO STP SEM LOOP GUARD 112 PROTEGENDO OPERAÇÃO STP COM LOOP GUARD 113 PROTEGENDO OPERAÇÃO STP UDLD e LOOP GUARD - CONFIGURAÇÃO Configurando UDLD: Configurando Loop Guard: 114 PROTEGENDO OPERAÇÃO STP UDLD - CONFIGURAÇÃO Habilita UDLD globalmente em todas interfaces de fibra-optica Habilita UDLD na interface Reseta todas as interfaces que foram desabilitadas pelo UDLD Mostra informações de UDLD de determinada interface 115 PROTEGENDO OPERAÇÃO STP LOOP GUARD - CONFIGURAÇÃO HSRP - 116 EXEMPLO DE CONFIGURAÇÂO 117 Core-2 interface vlan 10 description ADMINISTRACAO ip address 10.10.10.2 255.255.255.0 standby 1 ip 10.10.10.1 standby 1 priority 140 standby 1 preempt no shutdown interfacevlan 11 description TECNICO ip address 10.10.11.2 255.255.255.0 standby 1 ip 10.10.11.1 standby 1 priority 150 standby 1 preempt no shutdown Core-1 interface vlan 10 description ADMINISTRACAO ip address 10.10.10.3 255.255.255.0 standby 1 ip 10.10.10.1 standby 1 priority 150 standby 1 preempt no shutdown interface vlan 11 description TECNICO ip address 10.10.11.3 255.255.255.0 standby 1 ip 10.10.11.1 standby 1 priority 140 standby 1 preempt no shutdown 118 Serviços de Identificação 802.1x Switched LAN Requires 802.1x Clients Wiring Closet RADIUS Identity Based Networking Services (IBNS) Através de extensões ao protocolo 802.1x, IBNS possibilita uma nova geração de controle de acesso à rede, em que serviços inteligentes são aplicados dinamicamente à porta do Switch, aumentando a segurança, mobilidade e produtividade. User ok. Assign VLAN3 and ACL14 to port5. 802.1x Protege o acesso à rede através da autenticação do usuário via servidor de RADIUS, habilitando ou impedindo o acesso à rede User ok? 119 IBSN – Como Funciona Login Request Credenciais Verifica Usuário no DBLogin Válido! Aplicar políticas SERVIDOR RADIUS Este é o Zé Mané! Ele vai para VLAN 5 Agora o usuário tem acesso à rede, na sua própria VLAN Configurar porta para VLAN 5 Aplica políticas e habilita a porta do Switch 120 802.1x Rede Cabeada Rede sem fio 121 802.1x (Cont.) � Suplicante: a entidade que quer ter acesso � Autenticador: a entidade que controla o acesso � Servidor de autenticação: a entidade que autoriza ou nega o acesso 122 TIPOS DE EAP � EAP-MD5 � EAP-TLS � EAP-PEAP � EAP-LEAP � EAP-TTLS � EAP-FAST 123 Fluxo das mensagens EAP 124 802.1x – CONFIGURAÇÃO Exemplo: 802.1x com associação de Vlan dinâmica 1- Habilitar AAA authorization Switch(config)#usarname admin privilege 15 password cisco Switch(config)#aaa new-model Switch(config)#aaa authentication dot1x default group radius Switch(config)#aaa authorization dot1x default group radius Switch(config)#radius-server host 10.1.1.1 key cisco 125 802.1x – CONFIGURAÇÃO (Cont.) 2- Habilitar 802.1x Switch(config)# dot1x system-auth-control 3- Configurar atributos no servidor RADIUS. Servidor RADIUS deverá retornar os seguintes atributos para o switch: � [64] Tunnel-Type=VLAN � [65] Tunnel-Medium-Type=IEEE 802 � [81] Tunnel-Private-Group-ID= VLAN name ou VLAN ID 126 802.1x – CONFIGURAÇÃO (Cont.) 127 802.1x – CONFIGURAÇÃO (Cont.) 4- Habilitar 802.1x nas interfaces Switch(config)#interface range FastEthernet1/0/1-24 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x guest-vlan 20 Switch(config-if)# dot1x auth-fail vlan 30 128 802.1x – CONFIGURAÇÃO (Cont.) Verificando 802.1x: Mostra status do 802.1x Mostra status do 802.1x para todas as interfaces ou um interfaces especifica 129 SSH Switch(config)# ip domain-name nec.com.br Switch(config)# access-list 10 permit host 10.254.254.254 Switch(config)# crypto key generate rsa NEC_BRASIL 1024 Switch(config)# ip ssh version 2 Switch(config)# ip ssh time-out 60 Switch(config)# ip ssh authentication-retries 2 Switch(config)# line vty 0 15 Switch(config-line)# transport input ssh Switch(config-line)# access-class 10 in 130 Gerenciamento 131 SNMP •SNMP V1 e V2c Switch(config)#access-list 90 permit 10.254.254.254 Switch(config)# access-list 90 remark CISCO-WORKS Switch(config)# snmp-server community snmpRW RW 90 Switch(config)# snmp-server community snmpRO RO 90 Switch(config)# snmp-server ifindex persist Switch(config)# snmp-server contact ramal Switch(config)# snmp-server location Cispro Switch(config)# snmp-server trap link ietf Switch(config)# snmp-server trap-source Vlan600 •SNMP V3 autenticado Switch(config)# snmp-server group admsw v3 auth Switch(config)# snmp-server user admin admsw v3 auth md5 admpass SNMP V3 autenticado e criptografado Switch(config)# snmp-server group admsw v3 auth Switch(config)# snmp-server user admin admsw v3 auth md5 admpass priv des56 admpass SINCRONISMO DE DATA/HORA 132 133 NTP Switch(config)#clock timezone GMT-3 Switch(config)# clock summer-time GMT-2 date Oct 19 2009 0:00 Feb 27 2010 0:00 ntp server 10.254.254.254 � Com autenticação Switch(config)# ntp server 10.254.254.254 key 5 Switch(config)# ntp authenticate Switch(config)# ntp authentication-key 5 md5 1000 CENTRALIZAÇÂO DOS LOGs 134 135 SYSLOG switch(config)# logging 10.254.254.254 136 QoS – Qualidade de Serviço 137 QoS – Qualidade de Serviço CONCEITO 138 QoS – MODELO OSI 139 QoS – MARCAÇÃO CAMADA 2 • Bits de prioridade dos TAGs IEEE 802.1Q • Campo CoS: Class of Service (IEEE 802.1p) 140 QoS – MARCAÇÃO CAMADA 3 Campo ToS (Type of Service) • Campos TOS 141 MECANISMO DE QoS 142 PERFIL DE TRÁFEGO X REQUISITOS DE QoS 143 QoS – Switches 2960/3560/3750 2 FILAS ENTRADA POR PORTA 4 FILAS SAÍDA POR PORTA INGRESS EGRESS • 4Q3T or 1P3Q3T • Fila 1 pode ser configurada como Priority-Queue 144 QoS – Switches 2960/3560/3750 HABILITAR QoS Habilitar qos no switch; Switch(config)# mls qos Switch(config)# show mls qos OBS: Alterar tabela de mapeamento cos-dscp se necessário (mapeamento default do switch converte cos=5 para dscp=40) Switch#sh mls qos maps cos-dscp Cos-dscp map: cos: 0 1 2 3 4 5 6 7 -------------------------------- dscp: 0 8 16 24 32 40 48 56 Switch(config)# mls qos map 0 8 16 26 32 46 48 56 145 QoS – Switches 2960/3560/3750 CLASSIFICAÇÃO E MARCAÇÃO PACOTES - Switches Catalyst: QoS em hardware (ASIC) - Marcação dos pacotes devem ser feitos o mais próximo da camada de acesso - Interconexão dos switches: Confiar na marcação (“trust”) para não perder a marcação QoS - Criar ACLs para classificar e marcar os pacotes 146 QoS – Marcação de pacotes 147 QoS – Switches 2960/3560/3750 CLASSIFICAÇÃO E MARCAÇÃO PACOTES Exemplo 1) Classificar tráfegos: • Voz � classe Voz • Sinalização de voz � classe Sinalização • Banco de Dados � classe BcoDados 2) Marcar Pacotes: • Voz � Já marcado pelo PABX (ef), confiar na marcação • Sinalização de Voz � Já marcado pelo PABX (CS3), confiar na marcação • Banco de Dados � Marcar como af21 148 QoS – Switches 2960/3560/3750 ip access-list extended Bco_Dados permit ip any any eq 1521 permit ip any any eq 1810 permit ip any any eq 2481 permit ip any any eq 7778 class-map Voz match ip dscp ef ! Classifica tráfego Voz class-map Sinalizacao match ip dscp cs3 ! Classifica tráfego Sinalizaçao Voz class-map BancoDados match access-group name Bco_Dados ! Classifica tráfego Banco Dados policy-map Exemplo_QoS class Voz trust dscp ! Confia na marcação class Sinalizacao trust dscp ! Confia na marcação class BancoDados set dscp af21 ! Marca tráfego Banco Dados para af21 Interface gigabitethernet 1/0 service-policy input Exemplo_QoS ! Aplica politica Exemplo_QoS criada na interface CLASSIFICAÇÃO E MARCAÇÃO PACOTES 149 QoS – Switches 2960/3560/3750 POLICING Permite adequar o tráfego em torno de uma taxa média, com rajadas de intensidade controlada Ação: - Descartar excedente (exceed action drop) - Marcar com prioridade menor (exceed action dscp) EXEMPLO: Policiar tráfego de Dados em 10Mbps com DSCP AF11. Descartar excedente policy-map Exemplo_QoS class Dados set ip dscp af11 police 10000000 8192 exceed-action drop 150 QoS – Switches 2960/3560/3750 QUEUING Configuração Default para as Filas de Entrada e Saída 151 QoS – Switches 2960/3560/3750 QUEUING mls qos srr-queue output cos-map queue 1 threshold 3 5 mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7 mls qos srr-queue output cos-map queue 3 threshold 3 2 4 mls qos srr-queue output cos-map queue 4 threshold 2 1 mls qos srr-queue output cos-map queue 4 threshold 3 0 mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47 mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31 mls qos srr-queue outputdscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55 mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63 mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23 mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39 mls qos srr-queue output dscp-map queue 4 threshold 1 8 mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15 mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7 cos fila dscp 152 QoS – Switches 2960/3560/3750 Shaped Round-Robin (SRR) Controla a taxa no qual os quadros são retirados das filas SRR pode ser configurado como: SHAPED MODE: • Cada fila de saída possui uma quantidade de banda limitada • Mesmo que a banda de outras filas não esteja sendo utilizada, a banda de uma fila nunca é excedida. • Suportado somente na fila de saída. SHARED MODE: • Garante um mínimo de banda para cada fila (em porcentagem) mas permite uma maior utilização caso as outras filas estejam ociosas. • Suportado nas filas de entrada e saída Shaper (Especifica Banda MAXIMA) Shared (especifica Banda MINIMA) 153 QoS – Switches 2960/3560/3750 Shaped Round-Robin (SRR) SHAPED MODE: Filas 1 e 2 � Shaped Mode - Fila 1 pode usar no máximo 1/8 da banda (12,5%) - Fila 2 pode usar no máximo 1/4 da banda (25%) Filas 3 e 4 � Shared Mode 154 QoS – Switches 2960/3560/3750 Shaped Round-Robin (SRR) SHARED MODE: Filas 1, 2, 3, 4 � Shared Mode - Fila 1 pode usar no mínimo 10% da banda - Fila 2 pode usar no mínimo 20% da banda - Fila 3 pode usar no mínimo 30% da banda - Fila 4 pode usar no mínimo 40% da banda OBS: Shape tem precedência sobre Share srr-queue bandwidth share 20 10 60 10 srr-queue bandwidth shape 20 0 0 10 155 QoS – Switches 2960/3560/3750 SHAPING X POLICING 156 QoS – Switches 2960/3560/3750 Shaped Round-Robin (SRR) As 4 Filas participam do SRR, a menos que seja habilitada Priority Queue (Fila 1). Os pacotes do Priority Queue são encaminhados antes das outras filas até esvaziamento do buffer. interface gi 1/0/1 priority-queue out 157 QoS – Switches 2960/3560/3750 WTD – WEIGHTED TAIL DROP � WTD: as filas utilizam um algoritmo de descarte ponderado, baseado na classificação dos quadros: Novos quadros com Cos 4-5 são descartados quando a fila atinge 60% da taxa de ocupação 158 QoS – Switches 2960/3560/3750 • Configuração de QoS para VOZ • Habilita QoS • “Trust” em cisco-phone, cisco-softphone and cos • Altera tabela COS-DSCP • Configuração filas AUTOQoS 159 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip trust” 160 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip trust” 161 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip cisco-softphone” 162 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip cisco-softphone” 163 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip cisco-softphone” 164 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip cisco-softphone” 165 QoS – Switches 2960/3560/3750 AUTOQoS • Com “voip cisco-phone”
Compartilhar