DocGo Net-Laboratórios de Tecnologias Cisco Em Infraestrutura de Redes 2a Edição Samuel Henrique Bucke Brito Novatec

Prévia do material em texto

Samuel Henrique Bucke BritoSamuel Henrique Bucke Brito
Novatec
Laboratórios de TecnologiasLaboratórios de Tecnologias
CiscoCisco
em Infraestrutura de Redesem Infraestrutura de Redes
2 Edição2 Edição
 
Copyright © 2012, 2014 da Novatec Editora Ltda.
Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra,
mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora.
Editor: Rubens Prates
Revisão gramatical: Marta Almeida de Sá
Editoração eletrônica: Carolina KuwabataCapa: Karine Hermes
ISBN: 978-85-7522-335-2 OG20140714
Histórico de impressões:
 Julho/2014 Segunda edição
Abril/2013 Primeira reimpressão
Setembro/2012 Primeira edição (ISBN: 978-85-7522-326-0)
Novatec Editora Ltda.
Rua Luís Antônio dos Santos 110
02460-000 – São Paulo, SP – Brasil
Tel.: +55 11 2959-6529
E-mail: novatec@novatec.com.br
Site: www.novatec.com.br
Twitter: twitter.com/novateceditora
Facebook: facebook.com/novatec
LinkedIn: linkedin.com/in/novatec
 
3232
LABLAB 01 01
Configuração básica de Configuração básica de roteadoreroteadores Ciscos Cisco
O cenário base desse laboratório está disponível para download no blog
do livro na Internet e também pode ser diretamente acessado por meio
do link: www.labcisco.com.br/labcisco-2ed/labcisco-2ed-lab01.pktwww.labcisco.com.br/labcisco-2ed/labcisco-2ed-lab01.pkt
ApresentaçãoApresentação
A presente atividade de laboratório traz os passos de como realizar as configurações
básicas iniciais em roteadores Cisco. São apresentados os principais conceitos do
sistema operacional IOS (Internetwork Operating System) que vem instalado na
maioria dos roteadores e switches da Cisco e também é explicado como realizar
as configurações iniciais de acesso local e remoto (senhas e segurança).
O cenário para realização dos testes e comandos desse laboratório é o mais sim-
ples possível, bastando ter um único roteador (Figura 1.1). Temos uma máquina
conectada via cabo serial (console) para testar o acesso terminal (via console) que
permite a administração do equipamento de maneira out-of-band, ou seja, sem
que recursos da rede sejam utilizados.
Figura 1.1 – Topologia do Laboratório 01.
 
3333Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco
Também iremos configurar a interface f0/0 do roteador para inseri-lo na rede
local 192.168.0.0/24 para que as máquinas conectadas a essa rede possam fazer o
acesso remoto via telnet, uma forma de administração do equipamento chamada
in-band, ou seja, utilizaremos os recursos da rede para gerenciar o roteador.
O arquivoLab01.pktLab01.pkt já está devidamente configurado, por isso será necessário o leitor
apagar as configurações iniciais para praticar os comandos básicos. Para ter acesso à
linha de comando (CLI), basta clicar na imagem do roteador na topologia lógica que
um menu será aberto na abaphysicalphysical (padrão). Clicando na abaCLICLI, o leitor terá acesso
ao console para execução dos comandos. Por meio da linha de comando (CLI) do
roteador, o usuário deve digitar os seguintes comandos para resetá-lo (vide roteiro 1.1):
Roteiro 1.1 – Procedimento de reset do roteadorRoteiro 1.1 – Procedimento de reset do roteador
################################################################################################
Roteador -> Somente Acesso Autorizado!!!!!!!!!!Roteador -> Somente Acesso Autorizado!!!!!!!!!!
################################################################################################
Roteador> enableRoteador> enable
Password: “Digite a senha SENHA”Password: “Digite a senha SENHA”
Roteador# erase startup-congRoteador# erase startup-cong
Erasing the nvram lesystem will remove all conguration les! Continue? [conrm] “DigiteErasing the nvram lesystem will remove all conguration les! Continue? [conrm] “Digite
<ENTER>”<ENTER>”
[OK][OK]
Erase of nvram: completeErase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Roteador#Roteador#
Feito isso, basta desligar fisicamente o roteador no botão e ligá-lo novamente que
as configurações padrão de fábrica serão carregadas, conforme mostra a figura 1.2.
Para ter acesso ao roteador físico, basta clicar na imagem do roteador na topologia
lógica que o mesmo menu do roteiro 1.2 será aberto por padrão na abaphysicalphysical em
que é exibido o equipamento.
Figura 1.2 – Visão física do equipamento roteador.
 
Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes3434
Ao ligar o roteador, será aberto um diálogo automático de configuração inicial. O
leitor deverá sair desse processo, porque posteriormente faremos as configurações
manualmente via linha de comando.
Roteiro 1.2 – Menu de inicialização do Roteiro 1.2 – Menu de inicialização do roteadorroteador
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.
Processor board ID FTX0947Z18EProcessor board ID FTX0947Z18E
M860 processor: part number 0, mask 49M860 processor: part number 0, mask 49
2 FastEthernet/IEEE 802.3 interface(s)2 FastEthernet/IEEE 802.3 interface(s)
191K bytes of NVRAM.191K bytes of NVRAM.
63488K bytes of ATA CompactFlash (Read/Write)63488K bytes of ATA CompactFlash (Read/Write)
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASECisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE
SOFTWARE (fc2)SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupportTechnical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_teamCompiled Wed 18-Jul-07 04:52 by pt_team
 --- --- System System Conguration Conguration Dialog Dialog ------
Continue with conguration dialog? [yes/no]: n <Enter>Continue with conguration dialog? [yes/no]: n <Enter>
Sistema Cisco/IOSSistema Cisco/IOS
Todo equipamento Cisco vem carregado com um sistema operacional específico
para configurações de redes que foi desenvolvido pela própria empresa. No sistema
IOS (Internetwork Operating System), as configurações são realizadas de forma
padronizada por meio da interface de linha de comando (CLI), qualquer que seja
o modelo ou a família de roteadores/switches.
Embora a configuração pela CLI seja o método mais recomendado, documentado
e preferido por aqueles que atuam com tecnologias Cisco no cotidiano, também é
possível configurar a maioria dos equipamentos via interface web, com restrições.
Ao trabalhar pela CLI é importante saber que todo comando inserido pelo ad-
ministrador é imediatamente aplicado no equipamento e fica gravado em um
arquivo de configuração corrente denominado running-congrunning-cong, armazenado em
memória volátil que, portanto, se perde em caso de boot.
 
3535Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco
O leitor deve ter muito cuidado em relação a esse detalhe porque toda a configu-
ração armazenada na running-config é perdida com a reinicialização do roteador/
switch, por isso é extremamente importante lembrar-se de copiar o conteúdo da
running-config para um arquivo externo armazenado na memória não volátil
do equipamento.
É fortemente recomendado que ao final de qualquer configuração seja utilizado o
comando “copy running-cong startup-congcopy running-cong startup-cong”, instrução que faz com que o conteúdo
da running-config seja replicado para um arquivo de inicialização denominado
startup-congstartup-cong. Dessa forma, sempre que o roteador/switch for reiniciado, as con-
figurações de inicialização da startup-config serão automaticamente aplicadas.
O sistema possui dois modos de acesso (usuário e privilegiado) e vários submodos
de configuração, conforme pode ser observado na tabela1.1:
Tabela 1.1 – Principais modos de configuração do Cisco/IOS
MMooddo o nno o IIOOSS DDeessccrriiççããoo
Router>Router>
Modo UsuárioModo Usuário: o caractere “>” no prompt identifica o modo
usuário. Por meio desse modo, somente é possível exibir
algumas informações básicas do sistema/equipamento
(privilégio nível 7).
Router#Router#
Modo PrivilegiadoModo Privilegiado: o caractere “#” no prompt identifica o modo
privilegiado. Por meio desse modo, o administrador possui
acesso total ao equipamento (privilégio nível 15), podendo
exibir todos os arquivos de configuração e fazer quaisquer
alterações. É também por meio desse modo que o usuário
pode realizar configurações no equipamento.
Router(cong)#Router(cong)#
Submodo de Configuração GlobalSubmodo de Configuração Global: nesse submodo são realizadas asconfigurações globais que se aplicam ao equipamento como
um todo.
Router(cong-line)#Router(cong-line)#
Submodo de Configuração de LinhaSubmodo de Configuração de Linha: o submodo de configuração de
linha configura os acessos local e remoto ao equipamento
switch/roteador.
Router(cong-if)#Router(cong-if)#
Submodo de Configuração de InterfaceSubmodo de Configuração de Interface: nesse submodo são realizadas
as configurações das interfaces de rede diretamente conectadas
ao roteador.
Router(cong-subif)#Router(cong-subif)#
Submodo de Configuração de SubinterfaceSubmodo de Configuração de Subinterface: nesse submodo são
realizadas as configurações de subinterfaces lógicas criadas a
partir de uma única interface física.
Router(cong-router)#Router(cong-router)#
Submodo de Configuração de Submodo de Configuração de RoteamentoRoteamento: nesse submodo são
realizadas as configurações dos protocolos de roteamento
dinâmico no roteador.
 
Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes3636
Obs.: há vários outros modos de configuração que não foram
listados nessa tabela.
A figura 1.3 traz uma visão mais didática da estrutura em árvore dos modos de
execução (usuário e administrador) e principalmente dos submodos de configu-
ração mais básicos que são possíveis de ser acessados pelo administrador.
Figura 1.3 – Estrutura em árvore dos modos de configuração do Cisco/IOS.
Configuração básica de roteadoresConfiguração básica de roteadores
O roteiro 1.3 traz as configurações iniciais mais básicas que são comumente rea-
lizadas em roteadores (e switches) e que o leitor deve seguir no laboratório para
testar e observar os resultados, destacando que os números à esquerda são apenas
índices para facilitar a referência. Na sequência, a tabela 1.2 traz uma relação desses
comandos mais básicos com a descrição da sua ação.
 
3737Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco
Roteiro 1.3 – Configurações básicas iniciaisRoteiro 1.3 – Configurações básicas iniciais
01. Router> enable01. Router> enable
02. Router# congure terminal02. Router# congure terminal
03. Router(cong)# hostname Roteador03. Router(cong)# hostname Roteador
04. Roteador(cong)# no ip domain lookup04. Roteador(cong)# no ip domain lookup
05. Roteador(cong)# banner motd @05. Roteador(cong)# banner motd @
 Enter Enter TEXT TEXT message. message. End End with with character character ‘@’.‘@’.
06. #####################################06. #####################################
07. Roteador -> Somente Acesso Autorizado07. Roteador -> Somente Acesso Autorizado
08. #####################################08. #####################################
09. @09. @
10. Roteador(cong)# enable secret SENHA10. Roteador(cong)# enable secret SENHA
11. Roteador(cong)# service password-encryption11. Roteador(cong)# service password-encryption
12. Roteador(cong)# line vty 0 412. Roteador(cong)# line vty 0 4
13. Roteador(cong-line)# password SENHA13. Roteador(cong-line)# password SENHA
14. Roteador(cong-line)# login14. Roteador(cong-line)# login
15. Roteador(cong-line)# exec-timeout 0 015. Roteador(cong-line)# exec-timeout 0 0
16. Roteador(cong-line)# logging synchronous16. Roteador(cong-line)# logging synchronous
17. Roteador(cong-line)# exit17. Roteador(cong-line)# exit
18. Roteador(cong)# line console 018. Roteador(cong)# line console 0
19. Roteador(cong-line)# password SENHA19. Roteador(cong-line)# password SENHA
20. Roteador(cong-line)# exit20. Roteador(cong-line)# exit
21. Roteador(cong)# interface f 0/021. Roteador(cong)# interface f 0/0
22. Roteador(cong-if)#22. Roteador(cong-if)# ip address 192.168.0.254 255.255.255.0ip address 192.168.0.254 255.255.255.0
23. Roteador(cong-if)# no shut23. Roteador(cong-if)# no shut
24. Roteador(cong)# end24. Roteador(cong)# end
25. Roteador# copy run start25. Roteador# copy run start
 Destination Destination lename lename [startup-cong]?[startup-cong]?
Building conguration...Building conguration...
[OK][OK]
 
Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes3838
Tabela 1.2 – Comandos básicos do Cisco/IOS
CCoommaannddoos s nno o IIOOSS DDeessccrriiççããoo//AAççããoo
Router> enableRouter> enable Entra em modo privilegiado
Router# congure terminalRouter# congure terminal Modo de configuração global
Router(cong)# hostname NOMERouter(cong)# hostname NOME Altera o nome do equipamento
Router(cong)# no ip domain-lookupRouter(cong)# no ip domain-lookup Desativa a resolução de nomes
Router(cong)# banner motd @Router(cong)# banner motd @ Mensagem personalizada de login
Enter TEXT message. End with character ‘@’.Enter TEXT message. End with character ‘@’.
##########################################################################
Roteador -> Somente Acesso AutorizadoRoteador -> Somente Acesso Autorizado
##########################################################################
@@
Router(cong)#enable secret SENHARouter(cong)#enable secret SENHA Habilita senha no modo privilegiado
Router(cong)# service password-encryptionRouter(cong)# service password-encryption Ativa criptografia das senhas
Router(cong)# line vty 0 4Router(cong)# line vty 0 4 Modo de configuração de acesso remoto
Router(cong-line)# password SENHARouter(cong-line)# password SENHA Habilita senha para acesso remoto
Router(cong-line)# loginRouter(cong-line)# login Permite tentativa de acesso remoto
Router(cong-line)# exec-timeout 0 0Router(cong-line)# exec-timeout 0 0
Restringe o tempo da sessão remota (0
minuto e 0 segundo = infinito)
Router(cong-line)# logging synchronousRouter(cong-line)# logging synchronous Desativa mensagens administrativas
Router(cong-line)# exitRouter(cong-line)# exit Volta ao modo anterior de configuração
Router(cong-line)# line console 0Router(cong-line)# line console 0 Modo de configuração de acesso terminal
Router(cong-line)# password SENHARouter(cong-line)# password SENHA Habilita senha para acesso terminal
Router(cong-line)# exitRouter(cong-line)# exit Sai do atual modo de configuração
Router(cong)# interface f 0/0Router(cong)# interface f 0/0 Modo de configuração da interface f 0/0
Router(cong-if)#ip address IP MASKRouter(cong-if)#ip address IP MASK Atribui endereço à interface f 0/0
Router(cong-if)# no shutRouter(cong-if)# no shut Ativa a interface f 0/0
Router(cong)# endRouter(cong)# end Retorna diretamente ao modo privilegiado
Router# copy run startRouter# copy run start
Destination lename [startup-cong]?Destination lename [startup-cong]?
Building conguration...Building conguration...
[OK][OK]
Copia as configurações para outro arquivo
ou na memória não volátil. Pressione
<ENTER> para confirmar ou insira
um nome para o arquivo de backup. O
comando writewrite não pede confirmação
Router# show running-congRouter# show running-cong Exibe as configurações correntes
Router# show startup-congRouter# show startup-cong Exibe as configurações de inicialização
Router# show ip interface briefRouter# showip interface brief Exibe um resumo das interfaces de rede
Router# show ip routeRouter# show ip route Exibe a tabela de rotas
 
3939Lab 01Lab 01 ■ Configuração básica de roteadores Cisco Configuração básica de roteadores Cisco
Obs.: para testar o acesso remoto ao roteador por meio das máquinas
na rede, basta entrar no prompt de comandos da máquina desejada
e digitar telnet 192.168.0.254telnet 192.168.0.254. Para sair, é só digitar exitexit.
Nas linhas de 12 a 14 do roteiro 1.3 foram configuradas as linhas vty para acesso
remoto ao roteador que, por padrão, utiliza o protocolo Telnet (porta 23). Acon-
tece que atualmente esse protocolo não é considerado seguro porque trafega as
mensagens “em claro” pela rede, incluindo todos os comandos e senhas digitados
pelo usuário, o que quer dizer que seu conteúdo pode ser facilmente interceptado
por terceiros.
Para mitigar esse risco de segurança é recomendado que o acesso remoto seja rea-
lizado por meio do protocolo SSH (porta 22), já que assim a comunicação para o
roteador é criptografada e a interceptação do seu conteúdo seria ilegível. O roteiro
1.4 apresenta ao leitor quais seriam as configurações necessárias para habilitar o
SSH no acesso remoto (linhas vty), no entanto não tente executar esses comandos
no laboratório porque o simulador Packet Tracer não suporta essa configuração!
Roteiro 1.4 – Configuração do Roteiro 1.4 – Configuração do protocolo SSH no acesso remotoprotocolo SSH no acesso remoto
01. Router(cong)# username admin privilege 15 secret SENHA01. Router(cong)# username admin privilege 15 secret SENHA
02. Router(cong)# ip domain-name labcisco.com.br02. Router(cong)# ip domain-name labcisco.com.br
03. Router(cong)# aaa new model03. Router(cong)# aaa new model
04. Router(cong)# crypto key generate rsa04. Router(cong)# crypto key generate rsa
05. Router(cong)# ip ssh version 205. Router(cong)# ip ssh version 2
06. Router(cong)# no ip ssh version 106. Router(cong)# no ip ssh version 1
07. Router(cong)# ip ssh time-out 3007. Router(cong)# ip ssh time-out 30
08. Router(cong)# ip ssh authentication retries 308. Router(cong)# ip ssh authentication retries 3
09. Router(cong)# line vty 0 409. Router(cong)# line vty 0 4
10. Router(cong-line)# transport input SSH10. Router(cong-line)# transport input SSH
11. Router(cong-line)# login local11. Router(cong-line)# login local
12. Router(cong-line)# end12. Router(cong-line)# end
 
Laboratórios de TeLaboratórios de Tecnologias Cisco cnologias Cisco em Infraestrutura de em Infraestrutura de RedesRedes4040
Em relação ao roteiro 1.4, na linha 1, criamos um usuário local no roteador com
privilégio total (nível 15). A linha 2 informa um nome de domínio que poste-
riormente será utilizado para gerar a chave criptográfica do SSH. Na linha 3
informamos para o roteador utilizar o novo método de autenticação e na linha
4 é gerada a chave RSA para codificação/decodificação dos dados. Nas linhas de
5 a 8 apenas estamos configurando alguns parâmetros comumente utilizados,
como por exemplo habilitar o SSHv2 (e desabilitar o SSHv1), limitar o tempo da
sessão e a quantidade de tentativas de conexão.
Por fim, entramos no submodo de configuração das linhas vty (acesso remoto via
rede) e configuramos o roteador para utilizar o SSH no transporte dos dados e
autenticar com base nos usuários localmente adicionados no roteador (o que fize-
mos na primeira linha). Você pode utilizar o comando “show ip ssh” para verificar
o funcionamento do SSH no roteador e para saber qual versão está utilizando.
Pronto!!! O SSHv2 está ativado no seu roteador, lembre-se de configurar o cliente
terminal para que o acesso remoto seja feito via SSH na porta 22, não mais viaTelnet na porta 23.
AnotaçõesAnotações