Baixe o app para aproveitar ainda mais
Prévia do material em texto
Samuel Henrique Bucke BritoSamuel Henrique Bucke Brito Novatec Laboratórios de TecnologiasLaboratórios de Tecnologias CiscoCisco em Infraestrutura de Redesem Infraestrutura de Redes 2 Edição2 Edição Copyright © 2012, 2014 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora. Editor: Rubens Prates Revisão gramatical: Marta Almeida de Sá Editoração eletrônica: Carolina KuwabataCapa: Karine Hermes ISBN: 978-85-7522-335-2 OG20140714 Histórico de impressões: Julho/2014 Segunda edição Abril/2013 Primeira reimpressão Setembro/2012 Primeira edição (ISBN: 978-85-7522-326-0) Novatec Editora Ltda. Rua Luís Antônio dos Santos 110 02460-000 – São Paulo, SP – Brasil Tel.: +55 11 2959-6529 E-mail: novatec@novatec.com.br Site: www.novatec.com.br Twitter: twitter.com/novateceditora Facebook: facebook.com/novatec LinkedIn: linkedin.com/in/novatec 3232 LABLAB 01 01 Configuração básica de Configuração básica de roteadoreroteadores Ciscos Cisco O cenário base desse laboratório está disponível para download no blog do livro na Internet e também pode ser diretamente acessado por meio do link: www.labcisco.com.br/labcisco-2ed/labcisco-2ed-lab01.pktwww.labcisco.com.br/labcisco-2ed/labcisco-2ed-lab01.pkt ApresentaçãoApresentação A presente atividade de laboratório traz os passos de como realizar as configurações básicas iniciais em roteadores Cisco. São apresentados os principais conceitos do sistema operacional IOS (Internetwork Operating System) que vem instalado na maioria dos roteadores e switches da Cisco e também é explicado como realizar as configurações iniciais de acesso local e remoto (senhas e segurança). O cenário para realização dos testes e comandos desse laboratório é o mais sim- ples possível, bastando ter um único roteador (Figura 1.1). Temos uma máquina conectada via cabo serial (console) para testar o acesso terminal (via console) que permite a administração do equipamento de maneira out-of-band, ou seja, sem que recursos da rede sejam utilizados. Figura 1.1 – Topologia do Laboratório 01. 3333Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco Também iremos configurar a interface f0/0 do roteador para inseri-lo na rede local 192.168.0.0/24 para que as máquinas conectadas a essa rede possam fazer o acesso remoto via telnet, uma forma de administração do equipamento chamada in-band, ou seja, utilizaremos os recursos da rede para gerenciar o roteador. O arquivoLab01.pktLab01.pkt já está devidamente configurado, por isso será necessário o leitor apagar as configurações iniciais para praticar os comandos básicos. Para ter acesso à linha de comando (CLI), basta clicar na imagem do roteador na topologia lógica que um menu será aberto na abaphysicalphysical (padrão). Clicando na abaCLICLI, o leitor terá acesso ao console para execução dos comandos. Por meio da linha de comando (CLI) do roteador, o usuário deve digitar os seguintes comandos para resetá-lo (vide roteiro 1.1): Roteiro 1.1 – Procedimento de reset do roteadorRoteiro 1.1 – Procedimento de reset do roteador ################################################################################################ Roteador -> Somente Acesso Autorizado!!!!!!!!!!Roteador -> Somente Acesso Autorizado!!!!!!!!!! ################################################################################################ Roteador> enableRoteador> enable Password: “Digite a senha SENHA”Password: “Digite a senha SENHA” Roteador# erase startup-congRoteador# erase startup-cong Erasing the nvram lesystem will remove all conguration les! Continue? [conrm] “DigiteErasing the nvram lesystem will remove all conguration les! Continue? [conrm] “Digite <ENTER>”<ENTER>” [OK][OK] Erase of nvram: completeErase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Roteador#Roteador# Feito isso, basta desligar fisicamente o roteador no botão e ligá-lo novamente que as configurações padrão de fábrica serão carregadas, conforme mostra a figura 1.2. Para ter acesso ao roteador físico, basta clicar na imagem do roteador na topologia lógica que o mesmo menu do roteiro 1.2 será aberto por padrão na abaphysicalphysical em que é exibido o equipamento. Figura 1.2 – Visão física do equipamento roteador. Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes3434 Ao ligar o roteador, será aberto um diálogo automático de configuração inicial. O leitor deverá sair desse processo, porque posteriormente faremos as configurações manualmente via linha de comando. Roteiro 1.2 – Menu de inicialização do Roteiro 1.2 – Menu de inicialização do roteadorroteador Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory. Processor board ID FTX0947Z18EProcessor board ID FTX0947Z18E M860 processor: part number 0, mask 49M860 processor: part number 0, mask 49 2 FastEthernet/IEEE 802.3 interface(s)2 FastEthernet/IEEE 802.3 interface(s) 191K bytes of NVRAM.191K bytes of NVRAM. 63488K bytes of ATA CompactFlash (Read/Write)63488K bytes of ATA CompactFlash (Read/Write) Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASECisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupportTechnical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc.Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Wed 18-Jul-07 04:52 by pt_teamCompiled Wed 18-Jul-07 04:52 by pt_team --- --- System System Conguration Conguration Dialog Dialog ------ Continue with conguration dialog? [yes/no]: n <Enter>Continue with conguration dialog? [yes/no]: n <Enter> Sistema Cisco/IOSSistema Cisco/IOS Todo equipamento Cisco vem carregado com um sistema operacional específico para configurações de redes que foi desenvolvido pela própria empresa. No sistema IOS (Internetwork Operating System), as configurações são realizadas de forma padronizada por meio da interface de linha de comando (CLI), qualquer que seja o modelo ou a família de roteadores/switches. Embora a configuração pela CLI seja o método mais recomendado, documentado e preferido por aqueles que atuam com tecnologias Cisco no cotidiano, também é possível configurar a maioria dos equipamentos via interface web, com restrições. Ao trabalhar pela CLI é importante saber que todo comando inserido pelo ad- ministrador é imediatamente aplicado no equipamento e fica gravado em um arquivo de configuração corrente denominado running-congrunning-cong, armazenado em memória volátil que, portanto, se perde em caso de boot. 3535Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco O leitor deve ter muito cuidado em relação a esse detalhe porque toda a configu- ração armazenada na running-config é perdida com a reinicialização do roteador/ switch, por isso é extremamente importante lembrar-se de copiar o conteúdo da running-config para um arquivo externo armazenado na memória não volátil do equipamento. É fortemente recomendado que ao final de qualquer configuração seja utilizado o comando “copy running-cong startup-congcopy running-cong startup-cong”, instrução que faz com que o conteúdo da running-config seja replicado para um arquivo de inicialização denominado startup-congstartup-cong. Dessa forma, sempre que o roteador/switch for reiniciado, as con- figurações de inicialização da startup-config serão automaticamente aplicadas. O sistema possui dois modos de acesso (usuário e privilegiado) e vários submodos de configuração, conforme pode ser observado na tabela1.1: Tabela 1.1 – Principais modos de configuração do Cisco/IOS MMooddo o nno o IIOOSS DDeessccrriiççããoo Router>Router> Modo UsuárioModo Usuário: o caractere “>” no prompt identifica o modo usuário. Por meio desse modo, somente é possível exibir algumas informações básicas do sistema/equipamento (privilégio nível 7). Router#Router# Modo PrivilegiadoModo Privilegiado: o caractere “#” no prompt identifica o modo privilegiado. Por meio desse modo, o administrador possui acesso total ao equipamento (privilégio nível 15), podendo exibir todos os arquivos de configuração e fazer quaisquer alterações. É também por meio desse modo que o usuário pode realizar configurações no equipamento. Router(cong)#Router(cong)# Submodo de Configuração GlobalSubmodo de Configuração Global: nesse submodo são realizadas asconfigurações globais que se aplicam ao equipamento como um todo. Router(cong-line)#Router(cong-line)# Submodo de Configuração de LinhaSubmodo de Configuração de Linha: o submodo de configuração de linha configura os acessos local e remoto ao equipamento switch/roteador. Router(cong-if)#Router(cong-if)# Submodo de Configuração de InterfaceSubmodo de Configuração de Interface: nesse submodo são realizadas as configurações das interfaces de rede diretamente conectadas ao roteador. Router(cong-subif)#Router(cong-subif)# Submodo de Configuração de SubinterfaceSubmodo de Configuração de Subinterface: nesse submodo são realizadas as configurações de subinterfaces lógicas criadas a partir de uma única interface física. Router(cong-router)#Router(cong-router)# Submodo de Configuração de Submodo de Configuração de RoteamentoRoteamento: nesse submodo são realizadas as configurações dos protocolos de roteamento dinâmico no roteador. Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes3636 Obs.: há vários outros modos de configuração que não foram listados nessa tabela. A figura 1.3 traz uma visão mais didática da estrutura em árvore dos modos de execução (usuário e administrador) e principalmente dos submodos de configu- ração mais básicos que são possíveis de ser acessados pelo administrador. Figura 1.3 – Estrutura em árvore dos modos de configuração do Cisco/IOS. Configuração básica de roteadoresConfiguração básica de roteadores O roteiro 1.3 traz as configurações iniciais mais básicas que são comumente rea- lizadas em roteadores (e switches) e que o leitor deve seguir no laboratório para testar e observar os resultados, destacando que os números à esquerda são apenas índices para facilitar a referência. Na sequência, a tabela 1.2 traz uma relação desses comandos mais básicos com a descrição da sua ação. 3737Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco Roteiro 1.3 – Configurações básicas iniciaisRoteiro 1.3 – Configurações básicas iniciais 01. Router> enable01. Router> enable 02. Router# congure terminal02. Router# congure terminal 03. Router(cong)# hostname Roteador03. Router(cong)# hostname Roteador 04. Roteador(cong)# no ip domain lookup04. Roteador(cong)# no ip domain lookup 05. Roteador(cong)# banner motd @05. Roteador(cong)# banner motd @ Enter Enter TEXT TEXT message. message. End End with with character character ‘@’.‘@’. 06. #####################################06. ##################################### 07. Roteador -> Somente Acesso Autorizado07. Roteador -> Somente Acesso Autorizado 08. #####################################08. ##################################### 09. @09. @ 10. Roteador(cong)# enable secret SENHA10. Roteador(cong)# enable secret SENHA 11. Roteador(cong)# service password-encryption11. Roteador(cong)# service password-encryption 12. Roteador(cong)# line vty 0 412. Roteador(cong)# line vty 0 4 13. Roteador(cong-line)# password SENHA13. Roteador(cong-line)# password SENHA 14. Roteador(cong-line)# login14. Roteador(cong-line)# login 15. Roteador(cong-line)# exec-timeout 0 015. Roteador(cong-line)# exec-timeout 0 0 16. Roteador(cong-line)# logging synchronous16. Roteador(cong-line)# logging synchronous 17. Roteador(cong-line)# exit17. Roteador(cong-line)# exit 18. Roteador(cong)# line console 018. Roteador(cong)# line console 0 19. Roteador(cong-line)# password SENHA19. Roteador(cong-line)# password SENHA 20. Roteador(cong-line)# exit20. Roteador(cong-line)# exit 21. Roteador(cong)# interface f 0/021. Roteador(cong)# interface f 0/0 22. Roteador(cong-if)#22. Roteador(cong-if)# ip address 192.168.0.254 255.255.255.0ip address 192.168.0.254 255.255.255.0 23. Roteador(cong-if)# no shut23. Roteador(cong-if)# no shut 24. Roteador(cong)# end24. Roteador(cong)# end 25. Roteador# copy run start25. Roteador# copy run start Destination Destination lename lename [startup-cong]?[startup-cong]? Building conguration...Building conguration... [OK][OK] Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes3838 Tabela 1.2 – Comandos básicos do Cisco/IOS CCoommaannddoos s nno o IIOOSS DDeessccrriiççããoo//AAççããoo Router> enableRouter> enable Entra em modo privilegiado Router# congure terminalRouter# congure terminal Modo de configuração global Router(cong)# hostname NOMERouter(cong)# hostname NOME Altera o nome do equipamento Router(cong)# no ip domain-lookupRouter(cong)# no ip domain-lookup Desativa a resolução de nomes Router(cong)# banner motd @Router(cong)# banner motd @ Mensagem personalizada de login Enter TEXT message. End with character ‘@’.Enter TEXT message. End with character ‘@’. ########################################################################## Roteador -> Somente Acesso AutorizadoRoteador -> Somente Acesso Autorizado ########################################################################## @@ Router(cong)#enable secret SENHARouter(cong)#enable secret SENHA Habilita senha no modo privilegiado Router(cong)# service password-encryptionRouter(cong)# service password-encryption Ativa criptografia das senhas Router(cong)# line vty 0 4Router(cong)# line vty 0 4 Modo de configuração de acesso remoto Router(cong-line)# password SENHARouter(cong-line)# password SENHA Habilita senha para acesso remoto Router(cong-line)# loginRouter(cong-line)# login Permite tentativa de acesso remoto Router(cong-line)# exec-timeout 0 0Router(cong-line)# exec-timeout 0 0 Restringe o tempo da sessão remota (0 minuto e 0 segundo = infinito) Router(cong-line)# logging synchronousRouter(cong-line)# logging synchronous Desativa mensagens administrativas Router(cong-line)# exitRouter(cong-line)# exit Volta ao modo anterior de configuração Router(cong-line)# line console 0Router(cong-line)# line console 0 Modo de configuração de acesso terminal Router(cong-line)# password SENHARouter(cong-line)# password SENHA Habilita senha para acesso terminal Router(cong-line)# exitRouter(cong-line)# exit Sai do atual modo de configuração Router(cong)# interface f 0/0Router(cong)# interface f 0/0 Modo de configuração da interface f 0/0 Router(cong-if)#ip address IP MASKRouter(cong-if)#ip address IP MASK Atribui endereço à interface f 0/0 Router(cong-if)# no shutRouter(cong-if)# no shut Ativa a interface f 0/0 Router(cong)# endRouter(cong)# end Retorna diretamente ao modo privilegiado Router# copy run startRouter# copy run start Destination lename [startup-cong]?Destination lename [startup-cong]? Building conguration...Building conguration... [OK][OK] Copia as configurações para outro arquivo ou na memória não volátil. Pressione <ENTER> para confirmar ou insira um nome para o arquivo de backup. O comando writewrite não pede confirmação Router# show running-congRouter# show running-cong Exibe as configurações correntes Router# show startup-congRouter# show startup-cong Exibe as configurações de inicialização Router# show ip interface briefRouter# showip interface brief Exibe um resumo das interfaces de rede Router# show ip routeRouter# show ip route Exibe a tabela de rotas 3939Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco Obs.: para testar o acesso remoto ao roteador por meio das máquinas na rede, basta entrar no prompt de comandos da máquina desejada e digitar telnet 192.168.0.254telnet 192.168.0.254. Para sair, é só digitar exitexit. Nas linhas de 12 a 14 do roteiro 1.3 foram configuradas as linhas vty para acesso remoto ao roteador que, por padrão, utiliza o protocolo Telnet (porta 23). Acon- tece que atualmente esse protocolo não é considerado seguro porque trafega as mensagens “em claro” pela rede, incluindo todos os comandos e senhas digitados pelo usuário, o que quer dizer que seu conteúdo pode ser facilmente interceptado por terceiros. Para mitigar esse risco de segurança é recomendado que o acesso remoto seja rea- lizado por meio do protocolo SSH (porta 22), já que assim a comunicação para o roteador é criptografada e a interceptação do seu conteúdo seria ilegível. O roteiro 1.4 apresenta ao leitor quais seriam as configurações necessárias para habilitar o SSH no acesso remoto (linhas vty), no entanto não tente executar esses comandos no laboratório porque o simulador Packet Tracer não suporta essa configuração! Roteiro 1.4 – Configuração do Roteiro 1.4 – Configuração do protocolo SSH no acesso remotoprotocolo SSH no acesso remoto 01. Router(cong)# username admin privilege 15 secret SENHA01. Router(cong)# username admin privilege 15 secret SENHA 02. Router(cong)# ip domain-name labcisco.com.br02. Router(cong)# ip domain-name labcisco.com.br 03. Router(cong)# aaa new model03. Router(cong)# aaa new model 04. Router(cong)# crypto key generate rsa04. Router(cong)# crypto key generate rsa 05. Router(cong)# ip ssh version 205. Router(cong)# ip ssh version 2 06. Router(cong)# no ip ssh version 106. Router(cong)# no ip ssh version 1 07. Router(cong)# ip ssh time-out 3007. Router(cong)# ip ssh time-out 30 08. Router(cong)# ip ssh authentication retries 308. Router(cong)# ip ssh authentication retries 3 09. Router(cong)# line vty 0 409. Router(cong)# line vty 0 4 10. Router(cong-line)# transport input SSH10. Router(cong-line)# transport input SSH 11. Router(cong-line)# login local11. Router(cong-line)# login local 12. Router(cong-line)# end12. Router(cong-line)# end Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes4040 Em relação ao roteiro 1.4, na linha 1, criamos um usuário local no roteador com privilégio total (nível 15). A linha 2 informa um nome de domínio que poste- riormente será utilizado para gerar a chave criptográfica do SSH. Na linha 3 informamos para o roteador utilizar o novo método de autenticação e na linha 4 é gerada a chave RSA para codificação/decodificação dos dados. Nas linhas de 5 a 8 apenas estamos configurando alguns parâmetros comumente utilizados, como por exemplo habilitar o SSHv2 (e desabilitar o SSHv1), limitar o tempo da sessão e a quantidade de tentativas de conexão. Por fim, entramos no submodo de configuração das linhas vty (acesso remoto via rede) e configuramos o roteador para utilizar o SSH no transporte dos dados e autenticar com base nos usuários localmente adicionados no roteador (o que fize- mos na primeira linha). Você pode utilizar o comando “show ip ssh” para verificar o funcionamento do SSH no roteador e para saber qual versão está utilizando. Pronto!!! O SSHv2 está ativado no seu roteador, lembre-se de configurar o cliente terminal para que o acesso remoto seja feito via SSH na porta 22, não mais viaTelnet na porta 23. AnotaçõesAnotações
Compartilhar