Cisco IOS– InternetworkOperating System - ipb.pthalestino/scom/cisco_ios.pdf · Cisco IOS–InternetworkOperating System Engenharia Informática ESTiG/IPB ... O software do Router

1

Cisco IOS– Internetwork Operating System

Engenharia Informática ESTiG/IPB

Serviços de ComunicaçõesConfiguração de routers Cisco

2

IOS – Internetwork Operating System

● O IOS é um sistema operativo de rede proprietário, utilizado na maior parte dos Equipamentos de rede (Routers, Switches, Servidores de Acesso Remoto, etc) do fabricante Cisco Systems

● Apesar de proprietário, detém actualmente um estatuto de ''quase'' standard,

devido à enorme implantação mundial dos equipamentos que o incluem

● Trata-se de um SO de rede bastante poderoso e flexível, disponibilizando uma

linguagem de configuração própria

● Permite a configuração das principais famílias de protocolos existentes,

nomeadamente TCP/IP, IPX, AppleTalk, SNA, etc

Serviços de Comunicações


3

IOS – Componentes de um Router

● O software do Router é composto pelo IOS e por várias rotinas de arranque do sistema:

● POST (Power-On-Self-Test): rotina guardada em ROM, usada para verificar a

funcionalidade básica do hardware e detectar as suas interfaces aquando do

arranque do equipamento

● ROM monitor: rotina guardada em ROM, usada no fabrico, teste e depuração

de erros associados ao equipamento; permite recuperar de um estado de “crise”

● Mini-IOS: também conhecido por RXBOOT, é uma pequena imagem de IOS

guardada em ROM para activar as funcionalidades básicas de comunicação do

equipamento. Em geral, esta imagem é usada até que seja indicado ao

equipamento a localização de uma nova imagem IOS, a ser usada durante a

operação normal deste



4


● Hardware do Router:

● Processador

● Vários tipos de memória

● Registo de configuração

● Portos e Interfaces

● etc



5


● Memória do Router:

● RAM (Random Access Memory): função idêntica à da RAM dos computadores,

ou seja, armazenamento dos dados temporários e das instruções. Divide-se em:

● memória principal: contém cópia executável do IOS, uma cópia do ficheiro

de configuração (running configuration), tabelas de encaminhamento, tabela

de ARP e outras estruturas do IOS

● Memória partilhada (buffers): usada para armazenar temporariamente os

pacotes que atravessam o router



6


● Memória do Router (cont.):

● ROM (Read-Only Memory): armazena o Mini-IOS (bootstrap) e o código POST

● Flash:

● memória implementada com uma variante de eeprom (Electrically Erasable

Programable ROM) ou com uma PCMCIA (PC Memory Card International

Association)

● Armazena as imagens IOS que o router usa

● NVRAM (Non-Volatile RAM): Memória RAM não volátil, usada para armazenar,

de forma permanente, o ficheiro de configuração do equipamento



7


● Portos: Usados para acesso ao equipamento. Permitem configuração e gestão do router:

● Porto de Consola: normalmente acessível através de ligação RJ45, permite o

acesso local ao equipamento, a partir de um terminal ASCII ou de um computador

com emulador de terminal (p.e. Hyperterminal do Windows)

● Porto Auxiliar: pode também ser usado como porto de Consola. Permite a

configuração de comandos de modem e, como tal, permite a ligação de um

modem para acesso remoto ao equipamento com uma ligação dial-up a partir de

um terminal ASCII



8


● Interfaces: Usados para comunicação com outros equipamentos. Alguns dos mais usados:

Tipo Descrição

Async São usadas para ligações modem de dial-in e dial-out

ATM Interfaces ATM

Serial Portos série, usados geralmente para ligações ponto-a-ponto

Ethernet Portos Ethernet

Fastethernet Portos Fast Ethernet

Gigabitethernet Portos Gigabit Ethernet

BRI

Tokenring Interfaces para redes Token Ring

Fddi

Hssi

Loopback Interface virtual do encaminhador

Null

Interface BRI (Basic Rate Interface) para ISDN

Interfaces para redes FDDI (Fiber Distributed Data Interconnect)

Interface série HSSI (High Speed Serial Interface)

Interface de descarte. Tudo o que é enviado para este interface é descartado



9


● Registo de configuração: registo de 16 bits, guardado na NVRAM, que controla o modo como o equipamento realiza o processo de arranque

● Por defeito, indica ao processo de arranque para carregar o IOS guardado na

Flash e para carregar o ficheiro de configuração a partir da NVRAM

● Valor por defeito: 0x2102

● que corresponde à activação dos bits 1, 8 e 13

● Este valor indica que o equipamento deve procurar a sequência de arranque

na NVRAM, o break está inactivo e que deve carregar o software da ROM se

falhar o arranque de rede



10

IOS – Processo de arranque do router

Liga o router Executa POST

A flash tem uma

imagem IOS?Carrega imagem IOS da

ROMRouter em modo

de boot

Carrega a imagem

IOS da flash

A NVRAM está

vazia?

Carrega configuração da

NVRAM em RAM

Entrar em modo

setup?

Termina inicialização

do IOS

Modo setupCopia configuração para

NVRAM

Router funcional

s

n

n

n

s

s



11

IOS – Modos de acesso

● Interface da linha de comandos – CLI (Command Line Interface): interface que disponibiliza uma linha de comandos, em modo texto, através da qual se pode interagir com o IOS

● Existem dois modos de acesso:

● User EXEC Mode: Modo de acesso normal, sem permissões para alteração da

configuração. Estão acessíveis apenas alguns comandos gerais. Disponível por defeito,

após acesso ao Router (por telnet ou consola).

● Prompt do tipo: Router>

● Privileged Access Mode: Modo de acesso com permissões completas sobre o sistema.

Para aceder a este modo, digitar enable (introduzindo de seguida a password de acesso

total)

● Prompt do tipo: Router#



12

IOS – Categorias de comandos

● A configuração de Routers Cisco é dividida em diferentes níveis:

● Comandos Globais: afectam toda a configuração

● Comandos Principais:

● activam sub-comandos, para configurar determinados dispositivos

● Necessitam de sub-comandos adicionais para terem efeito

● Sub-Comandos: são utilizados após um comando principal, configurando

aspectos específicos de um dispositivo



13

IOS – Modos de configuração

Consola Aux Interface

Modo utilizador

Router>

Modo privilegiado

Router#

Modo configuração

Router(config)#

Modo configuração interface

Router(config-if)#

Modo configuração linha

Router(config-line)#

Modo configuração router

Router(config-router)#

enable

disable

configure

exit

interface

line

router

exit

exit

exit

ctrl+z ou end

ROUTER



14

IOS – Alguns Comandos globais...

●enable: entra em modo de acesso privilegiado

●disable: sai do modo de acesso privilegiado de volta ao modo de utilizador

●show version: lista a versão do IOS instalada

●show startup-config: lista a configuração que é usada no arranque do router

●show running-config: lista a configuração actual do router

●configure terminal: entra em modo de configuração e muda o ficheiro running-config

●hostname “nome”: define o nome do router

●show ip route: mostra a tabela de encaminhamento

●show protocolos: mostra os protocolos de encaminhamento e endereços de rede

configurados em cada interface

●show controllers: mostra o estado DTE ou DCE de uma interface



15


●ip route “network” “mask” “interface”: adiciona uma entrada manual na tabela de encaminhamento. Para ser atingida a rede especificada em network que possui a máscara especificada em mask os datagramas devem ser enviados para o interface interface

●no ip route “network” “interface”: remove uma entrada da tabela de encaminhamento

●write memory: grava a configuração actual na memória não volátil

●copy running-config startup-config: grava a configuração actual no ficheiro startup-config

●write erase: apaga a configuração corrente do router

●show interfaces: mostra a configuração de todos os interfaces do router

●show interface “interface”: mostra a configuração do interface especificado (p.e. Ethernet0, Ethernet1, Serial0, Serial1, BRI0, etc)

●ip domain-name “domínio”: define o domínio em que o router está incluído



16


●ip name-server “IP”: define o endereço IP de um servidor de DNS

●ip http server: activa a possibilidade de acesso à configuração do router por HTTP

●ip subnet-zero: activa a possibilidade de utilização da primeira subnet, quando uma rede é dividida em sub-redes (activado por defeito a partir do IOS 12.0)

●ip classless: activação do reconhecimento de redes CIDR (sem a noção tradicional de classes)

●copy running-config tftp: copia a configuração actual para um servidor de tftp

●copy tftp running-config: copia a configuração de um servidor de tftp para o router

●copy flash tftp: copia a imagem do IOS da flash para um servidor de tftp

●copy tftp flash: copia a imagem do IOS do servidor de tftp para a flash do router



17

IOS – Alguns Comandos principais...

●interface “interface”: permite entrar em modo de configuração do interface especificado:

● interface fastethernet 0/0

● interface serial 0/1

●line “line”: entra em modo de configuração de um porto (console, auxiliar, vty, etc) para mudar ou activar a password

●router rip: activa o protocolo de encaminhamento RIP

●router ospf n: activa o protocolo de encaminhamento OSPF, com o nº de processo n

●enable password “password”: activa a password desencriptada

●enable secret “password”: activa a password encriptada

●ip access-list extended 100: activa a configuração da access list número 100



18

IOS – Alguns sub-comandos...

●ip address “IP” “netmask”: atribui o endereço IP e a máscara de rede especificados, ao interface que está a ser configurado

●description “text”: texto descritivo do interface que está a ser configurado

●shutdown: desliga administrativamente o interface

●no shutdown: activa administrativamente o interface

●network: activa o protocolo de encaminhamento que está a ser configurado na rede especificada, que está ligada ao router

●exit: termina a configuração de um comando, voltando um nível para trás

●end ou ctrl+z: termina a configuração de um comando, voltando à raiz da prompt

●encapsulation “type”: selecciona a forma de encapsulamento dos pacotes IP

●clockrate “frequência”: activa o sinal de sincronismo com a frequência especificada

●bandwidth: configura a largura de banda num interface série



19

IOS – Ajuda e remoção de configuração

● Ajuda:

● Em qualquer altura, é possível obter ajuda acerca dos comandos ou opções

disponíveis na posição actual, pressionando a tecla ?

● Remoção de partes da configuração:

● precede-se o comando que activou determinado parâmetro com a expressão

''no''.

● Exemplo: no ip address 10.0.0.1 255.255.255.0



20

Exemplos de comandos IOS



21

IOS – Rede de testes

Rede C172.16.3.0/24

Rede A172.16.1.0/24

Rede B172.16.2.0/24

Rede D172.16.4.0/30

Rede E172.16.4.4/30



22

Rede de testes – passos para a configuração

Rede C172.16.3.0/24

Rede A172.16.1.0/24

Rede B172.16.2.0/24

Rede D172.16.4.0/30

Rede E172.16.4.4/30



● Para cada router:

● Configurar hostname

● Activar password (encriptada)

● Configurar interfaces

● Atribuir endereço IP

● Descrição do interface

● Activação do interface

● Gravar configuração na NVRAM

● Verificar as configurações

● Running-config

● Interfaces

● Rotas

● Configuração de rotas explícitas ou por defeito (onde aplicável)

● Configuração do RIP

● Configuração do OSPF

● Verificar as configurações

● Gravar configuração na NVRAM

23

IOS – Protocolo CDP

● CDP – Cisco Discovery Protocol: protocolo proprietário da Cisco, usado pelos routers e switches para obter informação básica sobre equipamentos vizinhos, nomeadamente:

● Identificador do dispositivo: normalmente o nome do dispositivo

● Endereços: lógicos e físicos

● Funcionalidades do dispositivo

● Plataforma: modelo, sistema operativo, etc

● O CDP pode ser activado e desactivado globalmente e/ou por interface

● Activação: cdp run

● Desactivação: no cdp run



24


● Funcionamento do CDP:

● o equipamento começa por enviar um broadcast para descobrir os vizinhos que têm este

protocolo activo

● Após determinar a lista dos equipamentos com CDP activo, começa a trocar pacotes

CDP com estes, a intervalos regulares

● Funcionamento controlado por duas variáveis:

● Temporizador de actualização: intervalo de tempo de transmissão de pacotes CDP

pelas interfaces com o protocolo activo (valor por defeito: 60 s)

● cdp timer valor

● Temporizador de espera: intervalo de tempo que o dispositivo retém a informação

CDP do vizinho antes de ser eliminada, no caso de não receber mais pacotes CDP

(valor por defeito: 100 segundos)

● cdp holdtime valor



25


● Visualização de informação CDP:

● show cdp neighbor

● show cdp neighbor detail

● show cdp entry nome

● show cdp traffic

● show cdp interface



26

IOS – Configuração de ligações Frame Relay

● Frame Relay: tecnologia de comunicação usada em redes WAN baseada na comutação por pacotes, que permite acesso múltiplo, ou seja, permite a interligação de vários dispositivos, ao contrário das ligações dedicadas que apenas interligam dois dispositivos

● Uma rede Frame Relay é partilhada por vários clientes, baseando-se no pressuposto

de que os clientes não precisam de usar simultaneamente a rede a 100%

● A partilha de uma infra-estrutura de comunicações significa que os custos são

distribuídos pelos vários clientes, o que reduz custos de comunicação por cliente

● O Frame Relay actua nos níveis um e dois do modelo OSI

● DLCI (Data Link Connection Identifier): identificador de um circuito virtual Frame

Relay



27


● Rede típica Frame Relay



28


● Exemplo de configuração Frame Relay num interface:

● interface serial0/0

● no ip address

● encapsulation frame-relay [ietf]

● no keepalive

● interface serial0/0.1 point-to-point

● ip address 172.16.4.1 255.255.255.252

● frame-relay interface-dlci 101



29

IOS – Configuração do protocolo RIP

● Configuração do RIP (Routing Information Protocol):

● configure terminal

● router rip

● network xxx.xxx.xxx.xxx

● network yyy.yyy.yyy.yyy

● version [1 2]

● passive-interface “nome_interface”

● end



30


● O comando network:

● permite especificar quais as redes a que o router está ligado e que pretende

anunciar aos vizinhos

● O endereço especificado é sempre classfull, mesmo que os endereços das

redes ligadas ao router não o sejam

● O router verifica quais das suas interfaces têm endereços IP com o mesmo

número de rede especificado no comando



31


● O comando network (cont.):

● Todas as interfaces especificadas nesta condição passam a fazer parte do

processo de actualização do protocolo RIP, nomeadamente:

● O router envia pacotes RIP pela interface

● Os pacotes RIP recebidos pela interface são processados

● A rede directamente ligada a essa interface é anunciada nos pacotes RIP



32


● O comando passive-interface:

● Desactiva o envio de pacotes RIP pela interface especificada

● No entanto, a interface continua a receber pacores RIP e a rede associada é

anunciada pelas restantes interfaces que não estejam impedidas de anunciar

pacotes RIP

● Há ainda situações em que os pacotes RIP podem não ser encaminhados por serem

pacotes de broadcast

● Nestes casos, pode-se indicar explicitamente o endereço do router vizinho, para que

os pacotes RIP sejam enviados directamente para este endereço

● neighboor endereço_router_vizinho



33


● show ip route – lista a tabela de encaminhamento do router

● show ip protocols – mostra todos os protocolos de encaminhamento configurados no

router

● debug ip rip – permite observar a troca de pacotes RIP de um router em tempo real



34

IOS – Configuração do protocolo OSPF

● Configuração do OSPF:


● router ospf “n_processo”

● network xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy area “area_id”

● xxx.xxx.xxx.xxx: end. da Rede a anunciar

● yyy.yyy.yyy.yyy: wildcard mask da rede a anunciar

● area_id: número da área a que percence a rede

● passive-interface “nome_interface”

● end



35


● Configuração de parâmetros OSPF nos Interfaces:

● ip ospf cost “custo”: define o custo de envio de um pacote no interface

● ip ospf retransmit-interval “segundos”: define o tempo entre retransmissões LSA

para adjacências

● ip ospf priority “número”: define o valor de prioridade para determinação do router

designado numa rede de acesso múltiplo

● ip ospf hello-interval “segundos”: especifica o intervalo de tempo entre envios de

pacotes hello

● Ip ospf dead-interval “segundos”: número de segundos após um router ser

detectado como desligado, a partir do qual o router deixa de enviar pacotes hello



36


● Configuração de parâmetros OSPF nos Interfaces (cont.):

● ip ospf authentication-key “chave”: define uma password para ser usada pelos

routers OSPF vizinhos num segmento de rede que use simple password

authentication

● ip ospf message-digest-key “n_chave” md5 “chave”: activa a autenticação MD5

● ip ospf authentication {message-digest | null}: define o tipo de autenticação para

um interface



37


● Configuração de parâmetros de uma Área OSPF:

● area “area_id” authentication: activa a autenticação numa área OSPF

● area “area_id” authentication message-digest: activa autenticação MD5 numa área

OSPF

● area “area_id” stub [no-summary]: define a área para ser uma área stub

● area “area_id” default-cost “custo”: define um custo por defeito para as rotas

sumarizadas usado na área stub



38


● Anúncio de uma rota por defeito para o interior de uma rede OSPF:

● No router de fronteira da rede:

● conf t

● router ospf “n_processo”

● network ...

● default-information originate

● exit

● ip route 0.0.0.0 0.0.0.0 “gateway”



39


● show ip route

● show ip ospf

● show ip ospf database

● show ip ospf neighbor

● show ip ospf interface



40

IOS – Configuração do protocolo BGP

● Configuração do BGP:


● router bgp “n_sistema_autonomo”

● network xxx.xxx.xxx.xxx mask yyy.yyy.yyy.yyy

● xxx.xxx.xxx.xxx: end. da Rede a anunciar

● yyy.yyy.yyy.yyy: máscara da rede a anunciar

● neighboor xxx.xxx.xxx.xxx remote-as “n_as_remoto”

● end



41

IOS - Listas de controlo de acesso

● Permitem filtrar tráfego (efectua testes aos pacotes de dados)

● Ex: nega ou permite em função do endereço ou tipo de tráfego

● Permite restringir a utilização da rede para certos serviços e/ou dispositivos

● Cada interface do router, pode ter duas listas de acesso por protocolo, uma para entrada e outra para saída de tráfego

● Não se pode apagar uma linha da ACL (apenas toda a lista)

REGRAS:

● É efectuado de uma forma sequencial: linha1, linha2, linha3, etc. (Colocar as linhas mais restritivas no topo da lista!)

● A procura é feita até que uma linha faça matching (as outras linhas serão ignoradas)

● Existe um “deny” implícito no fim de todas as listas de acesso (se não for efectuado matching até essa linha, então o pacote de dados será descartado)



42

IOS – Tipos de ACLs

● Standard (1-99, 1300-1999)

- Usado para filtrar pacotes de uma dada origem (permite ou nega o tráfego a um conjunto de protocolos baseado no endereço de rede/subrede/máquina)

• Extended (100-199, 2000-2699)

- Usado para filtrar pacotes baseados na sua origem e destino

- Filtra pelo tipo de protocolo (Ex: IP, TCP, UDP, etc.) e pelo número da porta

Nota: Também podem ser utilizados nomes para fazer referência às listas (em “substituição” dos números)



43

IOS – Comandos para manuseamento de ACLs

● Standard- Acrescentar uma linha a uma lista:

access-list número-lista {permit | deny} endereço_origem {máscara}- Activar uma lista de acesso numa interface do router (para “entrada” ou “saída”):

ip access-group número-lista {in | out}• Extended- Acrescentar uma linha a uma lista:

access-list número-lista {permit | deny} protocolo endereço_origem {máscara} endereço-destino {máscara}- Activar uma lista de acesso numa interface do router (para “entrada” ou “saída”):

ip access-group número-lista {in | out}• Listas com nome

ip access-list standard|extended nome_lista(depois colocar as linhas necessárias para a lista)ip access-group nome-lista {in | out}

• Remoção de uma lista de acessono access-list número-listano ip access-group número-lista in|out (remove uma ACL de uma interface)

• Comandos para consulta de listasshow ip interfacesshow access-lists [número]show ip access-list [número]



44

IOS – Máscaras nas ACLs

● São utilizadas para identificar os intervalos de endereços IP. Funcionam de forma contrária às máscaras de subrede (Cada 0 deve fazer matching, cada 1 deve ser ignorado)● Para calcular a máscara da lista faz-se o seguinte:

- Identificar o valor decimal de cada byte da máscara de subrede- Subtrair a 255 o valor encontrado

● Exemplo: Obter a máscara utilizada numa lista para a máscara de subrede255.255.248.0

- Primeiro byte: 255-255=0- Segundo byte: 255-255=0- Terceiro byte: 255-248=7- Quarto byte: 255-0=255

● A máscara a utilizar na lista será: 0.0.7.255● Atente aos valores obtidos:

- Máscara da subrede (255.255.248.0): 11111111.11111111.11111000.00000000

- Máscara da lista (0.0.7.255): 00000000.00000000.00000111.11111111



45

IOS – Exemplos de ACL Standard

Exemplo 1: Cria uma lista de acesso que permite todo o tráfego excepto da rede 10.0.0.0. A lista é aplicada à interface Ethernet 0/0:

Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255Router(config)#access-list 1 permit anyRouter(config)#interface Ethernet 0/0Router(config-if)#ip access-group 1 out

Exemplo 2: Rejeita todo o tráfego excepto da máquina 10.12.12.14 e aplica a lista àinterface Serial 0/0

Router(config)#access-list 2 permit host 10.12.12.14(Router(config)#access-list 2 deny any)Router(config)#interface serial 0/0Router(config-if)#ip access-group 2 in



46

IOS – Exemplos de ACL Extendend

● Exemplo 1: Não encaminha tráfego TCP de qualquer host da rede 10.0.0.0 para a rede 11.12.0.0. Aplica a lista à interface Serial 0/0

Router(config)#access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255Router(config)#access-list 111 permit ip any any

Router(config)#interface serial 0/0Router(config-if)#ip access-group 111 in

• Exemplo 2: Esta lista impede todos os telnets do host 192.168.1.25Router(config)# access-list 102 deny tcp host 192.168.1.25 any eq 23Router(config)# access-list 102 permit tcp any any

• Exemplo 3: Estas listas permitem a ligação a servidores Web na internet e impedem a ligação de qualquer máquina da internet à rede interna

Rede interna: 63.36.9.0Access-list 101: aplicada ao tráfego que sai da rede interna (outbound)Access-list 102: aplicada ao tráfego que entra na rede interna (inbound)

Router(config)# access-list 101 permit tcp 63.36.9.0 0.0.0.255 any eq 80Router(config)# access-list 102 permit tcp any 63.36.9.0 0.0.0.255 established

Router(config)# interface serial 0/0Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 102 in



47

IOS – Exemplos de ACL com nome

Router(config)# ip access-list extended fica_de_foraRouter(config-ext-acl)# permit tcp any 172.16.0.0 0.0.255.255 establishedRouter(config-ext-acl)# permit udp any host 172.16.1.1 eq dnsRouter(config-ext-acl)# permit tcp 172.17.0.0 0.0.255.255 host 176.16.1.2 eq telnetRouter(config-ext-acl)# permit icmp any 176.16.0.0 0.0.255.255 echo-replyRouter(config-ext-acl)# deny ip any anyRouter(config-ext-acl)# exitRouter(config)# interface Ethernet0Router(config-if)# ip access-group fica_de_fora {in|out}



48

IOS – Exercícios de ACLs

Considere que está a utilizar a ACL 15. Efectue a configuração da lista, de modo a permitir o acesso do tráfego com origem em:

• 192.168.1.0/20• 220.11.199.64/27• 10.64.0.0/13• 130.15.128.0/17• 76.240.96.0/19• 214.122.95.128/26



49

IOS – Exercícios de ACLs (2)

a) Configure uma ACL que permita todo o tráfego excepto tráfego com origem em:

• máquina 12.15.77.122• máquina 188.15.99.75• rede 177.15.0.0/16• rede 200.12.199.0/24

b) Aplique a ACL à interface Serial0 do router (tráfego de “entrada”)c) Consulte todas as ACLs que existem no routerd) Consulte a lista que acabou de definire) Consulta as listas configuradas na interface serial 0/0f) Remova a ACL da interface serial 0/0g) Remova a ACL do router



50

IOS – Rede de testes no Packet Tracer



51

IOS – Rede de testes no Packet Tracer

● A rede D não aceita “pings” do exterior● A rede C não aceita tráfego da rede B● A rede B acede ao servidor http ● Na rede C apenas a máquina 172.16.3.1 acede ao servidor http● Na rede D apenas a máquina 172.16.4.2 não acede ao servidor http● A impressora apenas pode ser utilizada por máquinas que se encontrem na rede B, rede C e pela máquina 172.16.4.2



52

IOS – Configuração de um Servidor DHCP

● O IOS permite a configuração de um router Cisco como Servidor DHCP



53


● Exemplo de configuração:

ip dhcp excluded-address 172.20.1.1

ip dhcp excluded-address 172.20.1.254

ip dhcp pool teste

network 172.20.1.0 255.255.255.0

domain-name teste.ipb.pt

dns-server 172.20.1.1

default-router 172.20.1.254

lease 0 0 30

update arp // para protecção contra IP Spoofing



54


● Comandos de monitorização do serviço:

● show ip dhcp binding

● show ip dhcp conflict

● show ip dhcp database

● show ip dhcp pool

● show ip dhcp server statistics



55

NAT (Network Address Translation)

● Permite ligar uma rede privada à Internet● Não necessita de um endereço IP “público” para cada máquina

● O Router transforma o endereço privado num endereço público e vice-versa



56

IOS – Tipos de NAT

● Endereços privados- Classe A: 10.0.0.0 - 10.255.255.255- Classe B: 172.16.0.0 - 172.31.255.255- Classe C: 192.168.0.0 - 192.168.255.255

Tipos de NAT:

● Estático: Cada ip interno é associado a um ip público. O mapeamento é manual● Dinâmico: O mapeamento é automático. O router tem uma pool de endereços para efectuar o mapeamento● Overload with PAT (Port Address Translation): Um único endereço público pode estar associado a vários endereços privados. A “separação” é feita através da utilização de uma porta para cada host



57

IOS – NAT estático

Router(config)# ip nat inside source static Endereço_Interno Endereço_públicoRouter(config)# ip nat outside source static Endereço_público Endereço_interno

Definir as interfaces “inside” e “outside”:

Router(config)# interface type [slot_#/]port_#

Router(config-if)# ip nat inside|outside

Exemplo

Router(config)# ip nat inside source static 192.168.1.2 200.200.200.1Router(config)# interface FastEthernet 0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface Serial2/0Router(config-if)# ip nat outside



58

IOS – NAT dinâmico

1-Definir os endereços internos que usarão NAT:

Router(config)# ip nat inside sourcelist número_lista_standard(ACL)pool nome_da_pool

2- Criar a pool de endereços públicos a usar:

Router(config)# ip nat pool nome_da_poolEndereço_público_inicialEndereço_público_finalnetmask máscara_subrede



59

IOS – NAT dinâmico

Exemplo (Configuração de NAT dinâmico para os dois PCs)

Router(config)# ip nat inside source list 1 pool minha-poolRouter(config)# access-list 1 permit 192.168.1.12 0.0.0.0Router(config)# access-list 1 permit 192.168.1.14 0.0.0.0Router(config)# ip nat pool minha-pool

200.200.200.2200.200.200.3 netmask 255.255.255.0

Router(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface Serial2/0Router(config-if)# ip nat outside



60

IOS – Redireccionamento de portas

● Utiliza PAT estático● Um “servidor virtual” é usado para aceder a vários servidores/serviços (que podem estar na mesma máquina e/ou em máquinas diferentes)● Cada servidor/serviço utiliza uma porta diferente

Exemplo:Router(config)# ip nat inside source static tcp 192.168.1.6 80 200.200.200.1 80Router(config)# ip nat inside source static tcp 192.168.1.7 21 200.200.200.1 21Router(config)# ip nat inside source static tcp 192.168.1.7 20 200.200.200.1 20Router(config)# ip nat inside source static tcp 192.168.1.5 25 200.200.200.1 25Router(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface Serial2/0Router(config-if)# ip nat outside



Documents

Cisco IOS– InternetworkOperating System - ipb.pthalestino/scom/cisco_ios.pdf · Cisco IOS–InternetworkOperating System Engenharia Informática ESTiG/IPB ... O software do Router