Configurao de roteadores CiscoPostado por: Pedro Pereira em:
Cisco, Redes Um roteador, ou router, nada mais que um computador
especializado em realizar uma tarefa especfica. Neste caso, o
roteador especializado em interconectar redes. Sejam redes a
quilmetros de distncia ou duas redes no mesmo prdio: o roteador
define como chegar de uma rede outra, define quais rotas o pacote
pode pegar e tambm faz um filtro de pacotes (atravs das ACLs)
bsico, para controlar o acesso. A Cisco Systems hoje a maior
fornecedora de equipamentos de rede do mundo. Fundada em 1984 por
Len Bosack e Sandy Lerner, a Cisco Systems produz diversos
equipamentos de rede para finalidades distintas: roteadores,
switches, telefones IP, etc., atendendo desde redes pequenas e bem
simples, at redes de grandes provedores e companhias telefnicas
(como a Telefnica, por exemplo). Atualmente, tambm est entrando no
mercado domstico atravs da aquisio da Linksys e das cmeras Flip.
Neste post vou te ensinar a fazer a configurao bsica de um roteador
Cisco. Coisas como definir hostname, descrio de uma determinada
interface, configurar endereos IPs, etc., que voc deve sempre saber
de cr e salteado. Alm disso, grande parte do que explico aqui tpico
na prova Cisco CCNA.
16 Oct
Como obter ajuda rapidamente no IOSEnquanto voc est executando
os comandos natural que dvidas em relao eles surjam: pode ser que
voc esquea qual parmetro realiza alguma tarefa, pode ser que voc
simplesmente esqueceu qual a sintaxe de um comando especfico. Ou
ento, voc quer saber quais os comandos disponveis em um determinado
contexto de configurao. Vou dar uma rpida descrio aqui de como se
virar nessas situaes. Para verificar quais comandos voc pode
executar em um determinado modo do IOS, basta pressionar a tecla ?
uma vez para que todos os comandos sejam listados junto com uma
breve descrio de sua funo: Osiris#? Exec commands: access-enable
Create a temporary Access-List entry access-profile Apply
user-profile to interface access-template Create a temporary
Access-List entry alps ALPS exec commands archive manage archive
files audio-prompt load ivr prompt bfe For manual emergency modes
setting call Load IVR call application cd Change current directory
clear Reset functions clock Manage the system clock configure Enter
configuration mode connect Open a terminal connection copy Copy
from one file to another debug Debugging functions (see also
undebug) delete Delete a file dir List files on a filesystem
disable Turn off privileged commands disconnect Disconnect an
existing network connection elog Event-logging control commands
enable Turn on privileged commands More Note o More no fim da
listagem. Isso indica que, por motivos de espao na tela, nem todos
os comandos foram listados ainda. Para continuar vendo as opes,
pressione a barra de espao. Semelhante aos comandos more e less do
Linux/UNIX.
Agora que voc j descobriu o comando que quer usar, como
verificar quais as opes que ele suporta? Basta digitar o comando,
um espao e a ? novamente. Por exemplo, o comando ip. Para verificar
quais as opes que ele suporta, voc faz o seguinte:
Osiris(config-if)# ip ? Interface IP configuration subcommands:
access-group Specify access control for packets accounting Enable
IP accounting on this interface address Set the IP address of an
interface audit Apply IDS audit name auth-proxy Apply authenticaton
proxy authentication authentication subcommands bandwidth-percent
Set EIGRP bandwidth limit bgp BGP interface commands
broadcast-address Set the broadcast address of an interface cef
Cisco Express Fowarding interface commands cgmp Enable/disable CGMP
directed-broadcast Enable forwarding of directed broadcasts dvmrp
DVMRP interface commands hello-interval Configures IP-EIGRP hello
interval helper-address Specify a destination address for UDP
broadcasts hold-time Configures IP-EIGRP hold time igmp IGMP
interface commands inspect Apply inspect name irdp ICMP Router
Discovery Protocol load-sharing Style of load sharing mask-reply
Enable sending ICMP Mask Reply messages More Novamente, note o More
no final da listagem. Ainda h mais opes do que as exibidas nesta
primeira listagem. Lembre-se sempre disso! Uma ltima dica o
auto-complete de comandos. Esta funcionalidade do IOS completa a
digitao de comandos automaticamente para voc, poupando um pouco de
digitao. Por exemplo, se voc digitar apenas: Osiris(config-if)# ip
add Ele ir completar a digitao para: Osiris(config-if)# ip address
E voc pode digitar apenas os parmetros que no podem ser completados
automaticamente. Vale lembrar que esta funcionalidade s pode ser
utilizada quando no h ambiguidade no nome dos comandos. Por
exemplo, se houverem dois comandos diferentes (dentro do mesmo
contexto) que comecem com a letra c, voc precisa digit-los at o
ponto em que eles so diferentes e a sim pressionar a tecla TAB para
que o auto-complete funcione corretamente.
O assistente de configurao inicialSe esta a primeira vez que voc
est ligando o roteador, ou se voc ainda no tem uma configurao salva
(mesmo que j tenha utilizado o dispositivo anteriormente) o IOS ir
perguntar se voc deseja utilizar o assistente de configurao
(chamado por ele de initial configuration dialog). Particularmente,
no sou muito f deste assistente no. Ele um pouco complexo e deixa
de oferecer vrias opes interessantes de configurao. Recomendo que
voc responda que no quer utilizar o assistente para configurar o
roteador (respondendo no na pergunta e pressionando enter): %
Please answer yes or no. Would you like to enter the initial
configuration dialog? [yes/no]: no Depois s teclar enter mais uma
vez e voc entrar no modo usurio e j pode comear a configurao do
roteador.
Modificando o hostnameO hostname que voc configura direto no
roteador tem relevncia apenas localmente, ou seja, outros
roteadores na sua rede no podero se referir ao seu roteador pelo
nome que voc definir atravs do comando hostname. Para que seja
possvel definir um nome com relevncia global (permitindo que outros
roteadores utilizem o nome escolhido para a comunicao com este
roteador) voc deve alterar a zona correspondente no seu servidor
DNS. Para configurar o hostname, voc deve acessar o seu roteador
(se voc ainda no configurou a senha para o telnet, voc poder apenas
acess-lo atravs do console. Mais adiante neste post voc ir aprender
a definir todas as senhas necessrias para acessar o dispositivo
atravs da rede) e ir para o modo de configurao: Router> enable
Router# configure terminal Enter configuration commands, one per
line. End with CNTL/Z. Router(config)# O comando configure terminal
o levar para o modo de configurao global do IOS. Aqui voc pode
alterar todas as configuraes do sistema, por exemplo, definir os
IPs das interfaces, habilitar/desabilitar interfaces, definir
rotas, configurar protocolos de roteamento dinmico (como RIPv2,
OSPF, etc), definir banners, etc. Estando no modo de configurao,
execute o seguinte comando para definir o hostname: Router(config)#
hostname NomeDesejado Por exemplo, Router(config)# hostname Osiris
Osiris(config)# Note que, logo aps voc modificar o hostname, ele j
passa a ser utilizado no prompt. Porm, no se engane: se voc
reiniciar o roteador agora o nome desaparecer. Para que o nome
fique configurado permanentemente no roteador, voc deve salvar as
configuraes. Veremos como fazer isso mais adiante no post.
Configurando o servidor DNSNo IOS, voc pode utilizar servidores
DNS para que o roteador seja capaz de resolver nomes de domnio.
Essa configurao simples, porm muito importante e pode ser de grande
ajuda quando voc est realizando testes de conectividade. Como em
qualquer sistema operacional moderno, voc poder especificar um ou
mais servidores DNS que sero consultados pelo roteador. Para fazer
a configurao, voc ir utilizar o comando ip name-server no modo de
configurao global: Osiris(config)# ip name-server 8.8.8.8 Se voc
deseja configurar mais de um IP: Osiris(config)# ip name-server
8.8.8.8 8.8.4.4 1.2.3.4 5.6.7.8 E pronto! Servidores DNS
configurados.
Configurar bannersOs banners so mensagens exibidas para usurios
quando eles tentam se conectar ao roteador pela rede. Atravs destas
mensagens voc pode avis-los sobre manuteno, regras relacionadas ao
uso, instrues de segurana, etc. Existem alguns tipos diferentes de
banners que podem ser configurados no IOS:
exec: A mensagem do tipo exec exibida quando uma sesso exec
iniciada; incoming: Esta mensagem exibida para usurios que se
conectem ao roteador atravsdo console ou linha auxiliar;
login: Este banner apresentado depois do motd e antes de
aparecer o prompt e exibido em todos os terminais conectados; motd:
O banner motd (message of the day, mensagem do dia) o banner mais
comum e utilizado em dispositivos Cisco. A mensagem definida como
motd, ser exibida para todos os que tentarem se conectar ao seu
roteador no importando a forma (Telnet, console, auxiliar, etc.).
Como voc j deve ter percebido, a diferena entre os tipos de banners
o momento em que eles so exibidos. Como o motd o nico que sempre
exibido, no importa o modo de conexo, geralmente ele quem eu uso. A
no ser que voc tenha que exibir mensagens diferenciadas para cada
tipo de usurio, recomendo que faa o mesmo. Para configurar o banner
motd: Osiris(config)# banner Depois de definir o tipo do banner,
voc deve indicar qual caracter delimitar a mensagem que voc vai
digitar, ou seja, o caracter indicado no comando ir definir o fim
da mensagem do banner. Por exemplo: Osiris(config)# banner motd @
Enter TEXT message. End with the character @. Banner de teste do
roteador Cisco!@ No exemplo acima, a mensagem definida Banner de
teste do roteador Cisco!. O @ no considerado parte da mensagem.
Vale lembar que o caracter que voc escolher no pode aparecer no
texto que voc quer definir como sendo o contedo do banner. Todos os
outros tipos de banners seguem a mesma lgica. Para verificar todos
os tipos de banners suportados pela sua verso de IOS digite o
comando: Osiris(config)# banner ? Esse comando ir exibir a lista de
opes aceitas pelo comando.
Configurar o CDPO CDP (Cisco Discovery Protocol) um protocolo
proprietrio da Cisco, ou seja, apenas dispositivos Cisco o
suportam. Ele um protocolo de camada 2 (camada de Enlace de Dados)
que no depende de qualquer outro protocolo. Quando o CDP est
habilitado, o dispositivo envia, a cada 60 segundos (por padro),
pacotes para o endereo multicast 01-00-0c-cc-cc-cc (este mesmo
endereo tambm usado pelo protocolo VTP, por exemplo) para que seus
vizinhos consigam encontr-lo na rede. Como este pacote de camada 2,
ou seja, no tem informaes sobre rede, ele no um protocolo rotevel
(por exemplo, as informaes que ele envia no podem ir para outras
redes). As informaes fornecidas pelo protocolo podem ser utilizadas
em aplicaes que entendem SNMP (basta fazer com que ela acesse o MIB
do CDP para que as informaes passem a ser monitoradas pelo
software. As interfaces pelas quais o CDP envia informaes devem,
obrigatoriamente, suportar cabealhos SNAP (Subnetwork Access
Protocol). Exemplos de interfaces suportadas so Ethernet, Frame
Relay e ATM (Asynchronous Transfer Mode). Informaes recebidas de
outros dispositivos CDP podem ser visualizadas no modo enable:
Osiris# show cdp neighbors Este comando ir identificar o tipo do
dispositivo (roteador, switch, bridge) e todas as outras informaes
que tenham sido aprendidas atravs do CDP. Como voc j deve ter
deduzido, a finalidade dele obter e enviar informaes sobre os
dispositivos que esto diretamente conectados a ele (isto , na mesma
rede. O CDP no um protocolo rotevel) atravs da rede para facilitar
a administrao. Algumas informaes que ele consegue monitorar so:
Nomes de dispositivos (configurados atravs do comando hostname,
explicadoanteriormente); Verso do sistema operacional; Todos os
endereos de todos os protocolos em interfaces que suportam o CDP;
Modelo do dispositivo;
Domnio VTP (caso seja um switch); VLAN nativa; E mais algumas
outras.Como voc viu, o CDP oferece muita informao sem qualquer tipo
de autenticao. Por isso, muito importante que voc habilite este
protocolo apenas em interfaces que faam parte da sua rede interna.
Preste muita ateno se estas informaes no esto sendo enviadas por
uma interface conectada Internet ou uma DMZ! Por padro o CDP j vem
habilitado em todos os dispositivos Cisco. Se voc no quiser
utiliz-lo: Osiris(config)# no cdp run Este comando ir parar
completamente o servio e nenhuma informao sobre o dispositivo em
questo ser enviado pela rede. Para ativ-lo novamente:
Osiris(config)# cdp run Agora, vamos ver algumas configuraes
interessantes que podem ser feitas no CDP para que ele se adeque
melhor sua rede. Para utilizar a verso 2 do protocolo:
Osiris(config)# cdp advertise-v2 Para especificar o intervalo (em
segundos) em que seu dispositivo dever enviar os pacotes com
informaes: Osiris(config)# cdp timer 120 Se a sua rede raramente
muda, interessante colocar um valor mais alto nesta opo para que
voc no fique ocupando a rede toa. O padro 60 segundos. Voc tambm
pode definir por quanto tempo as informaes recebidas de vizinhos so
vlidas e devem ser mantidas em memria. Para isso o seguinte
comando: Osiris(config)# cdp holdtime 240 Isso far com que as
informaes recebidas tenham uma validade de 240 segundos. Para
desabilitar o CDP em uma interface especfica, voc precisa entrar no
modo de configurao desta interface e desabilitar o protocolo:
Osiris(config)# interface FastEthernet 0/0 Osiris(config-if)# no
cdp enable Para habilitar o protocolo, entre no modo de configurao
da interface e: Osiris(config-if)# cdp enable Pronto! Com isso voc
j tem uma configurao melhor para o CDP :)
Configurar endereos IPPor motivos bvios, voc precisa configurar
endereos IP em todas as interfaces que esto sendo utilizadas pelo
seu roteador. Este processo bem simples, no leva nem 5 minutos.
Para isso, voc deve saber exatamente quais interfaces existem em
seu roteador e quais delas voc deseja configurar. Para isso,
utilize o comando: Osiris# show interfaces Alm do nome, vrias
informaes relacionadas s interfaces so exibidas. Guarde bem os
nomes das interfaces que voc deseja configurar e v para o modo de
configurao global: Osiris# configure terminal Osiris(config)# Uma
vez no modo de configurao global, voc precisa entrar no contexto da
interface que voc quer configurar. Para isso, basta utilizar o
comando interface seguido do nome dela: Osiris(config)# interface
FastEthernet 0/0 Osiris(config-if)# Neste modo, como voc j viu, voc
poder configurar todas as opes desta interface apenas. Para
configurar opes de outras placas, voc deve entrar no contexto de
configurao delas. Para configurar o endereo IP nesta interface faa
o seguinte: Osiris(config-if)# ip address 192.168.1.1
255.255.255.0
Este comando j define tanto o endereo IP que ser utilizado nesta
interface quanto a mscara de subrede. No obrigatrio, mas
interessante que voc configure o endereo de broadcast tambm:
Osiris(config-if)# ip broadcast-address 192.168.1.255 As interfaces
de roteadores Cisco por padro esto sempre desabilitadas. Depois que
voc fizer a configurao delas, voc deve ativ-las se no, mesmo que
tudo tenha sido configurado corretamente, voc no ser capaz de
acessar a rede. Seguindo o padro Cisco, basta voc colocar um no na
frente do comando shutdown no contexto de configurao da interface
para que ela seja ativada: Osiris(config-if)# no shutdown Como voc
j deve ter deduzido, para desabilitar a interface voc deve executar
o comando shutdown no modo de configurao da interface especfica. O
status de todas as interfaces do dispositivo pode ser visualizado
utilizando-se o comando show interfaces ou show interfaces
FastEthernet 0/0 no modo enable. A seguinte linha: FastEthernet0/0
is administratively down, line protocol is down Indica uma
interface desabilitada. Sempre que uma interface est parada por
deciso do administrador do sistema, o status ter administratively
down. Caso esta expresso no aparea, muito provvel que algum outro
problema est impedindo o correto funcionamento (um problema no
cabo, por exemplo). Uma interface ativa mostraria uma linha
parecida com: FastEthernet0/0 is up, line protocol is up
Descries de interfacesSe voc configura muitos roteadores
diferentes, pode acabar ficando meio difcil lembrar exatamente a
qual rede uma determinada interface est conectada, ou qual o papel
de uma determinada interface. Para isso, o IOS permite que voc
adicione descries sobre cada interface presente em seu roteador.
Esta configurao tambm deve ser feita no contexto de configurao da
interface em questo, utilizando o comando description. Por exemplo:
Osiris(config-if)# description Interface que liga o roteador a rede
do provedor. Voc pode definir uma configurao de no mximo 240
caracteres. Pode utilizar espaos, porm no bom utilizar acentuao. A
descrio que voc utiliza com o comando description pode ser vista
quando voc digita o comando show interfaces no modo enable: Osiris#
show interfaces FastEthernet0/0 is administratively down, line
protocol is down Hardware is AmdFE, address is c800.342d.0000 (bia
c800.342d.0000) Description: Interface que liga o roteador a rede
do provedor Internet address is 192.168.1.1/24 Como j disse, isso
opcional mas pode ajudar muito voc ou quem for administrar o
roteador e ainda no o conhea.
Configurando as senhas para acesso remotoAntes de voc configurar
qualquer senha no roteador, o IOS no permite qualquer tipo de
conexo remota a ele: apenas o console permite que voc se conecte a
ele para que voc consiga configurar o roteador. Ento, para permitir
que voc utilize o Telnet para administrar o roteador daqui para
frente, vou te mostrar aqui como configurar as senhas para esse
servio. No IOS, voc deve referir-se ao Telnet como linhas VTY. A
quantidade de linhas VTY varia de modelo para modelo, no h uma
quantidade fixa. Para descobrir quantas linhas o seu roteador
disponibiliza para voc, faa o seguinte. No modo de configurao
global: Osiris(config)# line vty ? First Line number No dispositivo
que estou usando, existem 5 linhas numeradas de 0 a 4. Para definir
a senha: Osiris(config)# line vty 0 4 Osiris(config-line)# login
Osiris(config-line)# password senha
Agora, quando voc tentar se conectar ao seu roteador atravs do
Telnet basta fornecer a senha que voc especificou no comando
password, no importa qual o nmero da linha qual voc est se
conectando. Se voc quiser permitir que logins sejam feitos atravs
de Telnet mesmo que uma senha no tenha sido configurada (o que no
nada recomendado), basta negar o comando login no contexto de
configurao da linha: Osiris(config-line)# no login E voc poder se
logar no roteador sem precisar de uma senha. Embora o Telnet seja o
padro para administrao remota de roteadores e switches Cisco, ele
no nada seguro. Todo o trfego trocado entre cliente e servidor
transmitido em texto claro, permitindo que algum sniffe a conexo e
consiga descobrir o seu usurio e senha. Para mitigar este problema,
o mais recomendado atualmente configurar o SSH no dispositivo e
utiliz-lo ao invs de usar o Telnet. J expliquei como funciona este
processo em outro post. Clique aqui e aprenda a configurar o SSH em
um roteador Cisco.
Configurando senha de consoleSe voc se conectar ao roteador
atravs da porta de console, o padro no ter senha para que voc
consiga configurar o switch assim que ele sai da caixa. Porm, uma
boa prtica proteger esta conexo com uma senha. No caso do console,
a linha utilizada se chama console e geralmente existe apenas 1: a
porta 0. Para configur-la, voc deve fazer o seguinte:
Osiris(config)# line console 0 Osiris(config-line)# password senha
Agora, sempre que voc se conectar ao console voc dever digitar a
senha informada ao comando password como descrito acima.
Senha para modo enableAlm de senhas para as linhas, tambm
possvel definir uma senha para proteger o modo enable, que d mais
poderes ao usurio. Para definir esta senha, acesse o modo de
configurao global e utilize o comando enable secret:
Osiris(config)# enable secret senha Isso ir criar uma senha
criptografada que ser utilizada sempre que voc tentar acessar o
modo enable do roteador, no importa a forma pela qual voc se
conecte ao dispositivo. Voc tambm pode criar uma senha
no-criptografada utilizando o comando enable password:
Osiris(config)# enable password senha Se voc definir tanto a secret
quanto a password, a senha secret sempre ter preferncia e ela a que
sempre ser utilizada. Embora voc tenha a opo de utilizar uma senha
no-criptografada, recomendado que voc utilize apenas a senha
criptografada com o comando enable secret.
Armazenando senhas de forma criptografadaPor padro, a nica senha
criptografada no IOS a senha definida pelo comando enable secret.
Todas as outras so exibidas em texto claro atravs do comando show
running-config. Para impedir que isso acontea, voc deve ativar o
servio de criptografia de senhas. muito importante que voc ative
este servio, j que ele praticamente a sua nica proteo para as
senhas armazenadas na memria do roteador. Habilitar o servio muito
simples. No modo de configurao global, execute o seguinte comando:
Osiris(config)# service password-encryption E pronto, agora sempre
que as suas senhas forem ser exibidas, apenas o hash da
criptografia aparecer melhorando um pouco mais a segurana do
sistema.
Definindo timeoutsComo medida de segurana, no apenas no IOS mas
tambm em qualquer outro sistema que voc acesse remotamente,
interessante que voc defina timeouts para fazer com que sesses
ociosas sejam terminadas automaticamente depois de um determinado
tempo. Esses timeouts so configurados para cada linha, ou seja, o
timeout do console pode ser diferente do timeout da VTY. Como a
configurao pode ser diferente para cada linha, voc deve estar no
contexto de configurao da linha para poder modificar o parmetro.
Uma vez no contexto correto, basta utilizar o comando exectimeout:
Osiris(config)# line vty 0 4 Osiris(config-line)# exec-timeout Por
exemplo, para definir o timeout em 1:30s voc deveria executar o
comando: Osiris(config-line)# exec-timeout 1 30 Para desabilitar o
timeout, basta informar 0 0 para minutos e segundos.
Salvar as configuraesTodas as configuraes que voc acabou de
fazer no so salvas automaticamente. Voc precisa instruir o IOS a
salv-las para que voc no perca tudo caso o roteador reinicie por
algum motivo. Todas as alteraes que voc fez at agora esto presentes
na running-config do IOS. Esta configurao fica presente apenas na
memria RAM e perdida quando o dispositivo reiniciado. Para salvar
as alteraes permanentemente, voc deve copiar todos os parmetros da
running-config para a startup-config ou configurao de inicializao,
traduzindo ao p da letra. Para fazer essa cpia, voc deve utilizar o
seguinte comando (no modo enable): Osiris# copy running-config
startup-config Destination filename [startup-config]? Ele ir te
perguntar qual ser o nome do arquivo que ser criado com as
configuraes. O padro, que geralmente o aceito, startup-config. Para
aceitar o padro basta pressionar a tecla enter. A seguinte mensagem
ir confirmar que a operao foi efetuada com sucesso: Router#copy
running-config startup-config Destination filename
[startup-config]? Building configuration [OK] Agora sim, se voc
reiniciar o roteador todas as configuraes que voc fez sero
restauradas e o dispositivo poder comear a trabalhar sem qualquer
interveno por parte do administrador.
ConclusoComo voc viu, embora seja fcil, tambm bastante
trabalhoso fazer a configurao bsica de um roteador Cisco. Todos os
passos devem ser feitos com muita ateno para que voc no precise
sair caando erros de configurao :) Espero que o texto te ajude a
entender melhor o funcionamento destes dispositivos que so
extremamente interessantes porm ainda um pouco complexos. Encontrou
algum erro? Tem mais alguma sugesto? Deixe um comentrio!
Configurao bsica de roteadores CiscoAugust 8th, 2010 Diogo
Mendes Leave a comment Go to comments
Acredito que muitos leitores devem ter conhecido o site
CiscoTrainingBR.com. timo site contendo diversos artigos de
qualidade publicados por profissionais como Leonardo Furtado, e
Marcos Pitanga. Infelizmente o site no est mais no ar, porm,
consegui encontrar algumas das antigas publicaes off-line e resolvi
public-las aqui no CiscoBlog.com.br. Este primeiro artigo tem como
objetivo apresentar os componentes bsicos de um roteador Cisco
padro, assim como configur-lo de maneira bsica: Componentes de um
Roteador Cisco Estes componentes so encontrados em praticamente 99%
dos roteadores Cisco. H uma diferena entre os modelos, no que diz
respeito CPU, quantidade de memria, componentes de hardware
adicionais, etc. Mas este pool de componentes que estaremos
listando aqui est presente em praticamente todos os equipamentos
router da Cisco Systems, Inc. muito importante para que voc preste
ateno nestes componentes e saiba interagir com eles durante as
etapas de configurao, operao e troubleshooting dos roteadores
Cisco. Componentes de Memria/Armazenamento
RAM: A memria RAM de um roteador Cisco serve para o mesmo
propsito que as memrias RAM em um computador. Esta memria armazena
todo o contedo voltil. Podemos citar: ARP cache, tabela de
roteamento, counters, o prprio sistema operacional quando carregado
via FLASH: ou TFTP para a memria RAM (dependendo do modelo Cisco),
etc.
ROM: Esta memria, como o prprio nome sugere, READ-ONLY e nela
temos uma verso carregvel do IOS, embora no seja o mesmo IOS
encontrado no FLASH: ou em um TFTP server, ou seja, no o mesmo IOS
utilizado para as operaes normais do roteador. Este IOS contido na
memria ROM permite que o roteador consiga carregar o sistema
enquanto busca pela verso IOS para o qual dever trabalhar. Em
outras palavras, o que ocorreria se o IOS armazenado no FLASH: de
um roteador tornar-se corrompido? Como voc acessaria o roteador? O
IOS contido na ROM bastante utilizado para o troubleshooting e a
recuperao de uma falha no equipamento.
FLASH: Podendo ser tanto um PCMCIA ou EEPROM (mais comum em
plataformas de acesso, como o 2500, 2600..), nesta memria que
encontramos o arquivo do Cisco Internetwork Operating System (IOS)
de um roteador Cisco. O IOS a poro de software que d a inteligncia
ao equipamento. Sem o IOS, o roteador no estar disponvel para a
operao.
NVRAM: A NVRAM aonde armazenamos a configurao do roteador, que
carregada durante a inicializao do equipamento. Esta memria No
voltil e pode armazenar e manter a configurao do roteador mesmo se
o equipamento for desligado.
Portanto, estes so os quatro tipos de memria de armazenamento
existentes no roteador Cisco. Mdulos/Interfaces/Portas
A disposio destes componentes depende exclusivamente do
modelo/srie do equipamento Cisco em questo. A Cisco possui uma
vasta linha de produtos, entre roteadores, switches, terminal
servers, etc, e as interfaces, mdulos e portas so diferentes em
nmero ou tipo, de acordo com a plataforma ou modelo. Basicamente os
seguintes tipos de interfaces podero ser encontrados em
equipamentos Cisco:
Modules WAN interface cards Network modules Port
adapters/Service adapters Interface processors Versatile Interface
Processors (VIP) com port adapters
Os seguintes exemplos ilustram alguns destes tipos de interface.
Em um Cisco da srie 2500, normalmente tempos apenas a prpria
interface, sem a definio dos mdulos. Vejamos:
1. Cisco 2501 (1 interface Ethernet-AUI, 2 interfaces Seriais
DB-60). Para acessar a interfaceEthernet do roteador Cisco 2501,
usuaramos (config t > interface ethernet 0). Como voc pode
notar, apenas um nvel de configurao para a interface. 2. Cisco 2502
(1 interface Token-Ring, 2 interfaces Seriais DB-60). Segue o mesmo
exemplo: config t > interface to0. Em um Cisco 2600, existe o
que chamamos de Network Modules, e possvel ter um mdulo com duas
interfaces Ethernet ou FastEthernet. Neste caso, teramos os
seguintes exemplos: 1. Cisco 2611 (2 interfaces Ethernet, 1 Serial
db-60, router modular e expansvel). Para acessar a Interface
Ethernet 0 localizada no modulo 0 deste roteador, faramos: config t
> interface ethernet 0/0. Para acessar a interface Ethernet 1 do
mdulo 0, config t > interface ethernet 0/1.
2. Cisco 2621 (2 interfaces FastEthernet, 1 serial db-60, router
modular e expansvel). Segueo mesmo exemplo: config t > interface
fastethernet 0/0 ou 0/1. Em um Cisco 7500, equipado com o que
chamamos de VIP, o acesso ao modulo seguiria o mesmo princpio, mas
a diviso seria 1/1/2, por exemplo. Lines Os roteadores Cisco tambm
possuem o que chamamos de LINES. O Line um apontamento para uma
porta fsica ou lgica existente no roteador. Praticamente todos os
roteadores Cisco possuem uma porta CON e uma porta AUX. A porta CON
do roteador por onde configuramos o equipamento pela primeira vez,
logo assim que o retiramos da caixa. Nele espetamos um cabo
rollover ou, dependendo do modelo, straight-through (na maioria dos
modelos, o rollover ser
exigido), e conectamos este cabo em um PC ou laptop. A partir
da, poderemos configurar incialmente o nosso equipamento; fazer o
upload do IOS, configurar os endereos IP, etc. A porta AUX de um
roteador Cisco pode servir tanto para acesso remoto ou como uma
interface dial-up para a ativao de um recurso conhecido como DDR. O
DDR ser mostrado em um outro artigo. Alm das portas, ou lines, CON
e AUX, existe uma outra porta, s que esta no representada
fisicamente. O seu nome VTY, e nesta porta para onde efetuamos o
telnet no equipamento, via rede. A quantidade de line vty
disponveis em um equipamento Cisco depender de seu modelo. Por
padro, 5 lines VTY esto disponveis (de 0 a 4), mais lines esto
disponveis nos modelos ACCESS SERVER da Cisco. Para configurarmos
cada um destes lines, utilizamos os seguintes comandos:
line con 0 line aux 0 line vty 0 4
Todos estes comandos devero ser inseridos no Global
Configuration Mode (configure terminal). Os nveis de configurao de
um equipamento Cisco sero descritos mais a frente. Modos de
Acesso/Navegao do CLI Quando voc efetua a conexo com um roteador
Cisco, via telnet ou diretamente na porta de console, o seu acesso
concedido para um nvel chamado User EXEC. Os modos de acesso ao CLI
so:
User EXEC: Este o modo padro de um roteador Cisco. No USER EXEC,
o usurio no possui privilgios para acessar a configurao armazenada
na NVRAM, e tambm no pode executar comandos de carter
administrativo.
Privileged EXEC Mode: Com a digitao do comando enable, possvel
acessar a o nvel privilegiado do roteador, desde que voc possua a
senha! Em configuraes mais avanadas de um roteador Cisco, possvel
criar vrios nveis de acesso dentro do privileged mode (entre 1 a
15, onde 15 o nvel mximo). Neste caso, voc poderia efetuar enable
5, e digitar a respectiva password, por exemplo. O administrador da
rede, com acesso pleno ao equipamento, digitaria apenas enable,
pois isto j indica o nmero 15. Maiores detalhes sobre a autenticao
de usurios em um equipamento Cisco sero mostrados em um outro
artigo.
Global Configuration Mode: Neste modo de configurao voc poder
acessar o contedo da RAM do equipamento e efetuar as devidas
modificaes. Por exemplo, se voc precisar alterar o endereo IP de
uma determinada interface, voc digitaria, no Privileged EXEC Mode:
configure terminal. Este comando abre a configurao da memria RAM
para que voc possa efetuar as modificaes, no nosso exemplo
interface ethernet0, ip address xxxx.yyyy.zzzz.zzzz
rrrr.rrrr.rrrr.hhhh.
Interface Configuration Mode: Este o modo de configurao da
interface. Ex: Interface serial 0. Line Configuration Mode: Este o
modo de configurao dos LINES (CON, AUX, VTY) Router Configuration
Mode: Quando voc configura algum protocolo de roteamento no
roteador, o seu modo de acesso ao CLI ser exclusivo para a
configurao do routing protocol. Se voc for configurar o OSPF
(config t, router ospf 1.), o seu modo de configurao estar voltado
para a configurao do OSPF.
Para retonar ao modo anterior, no importa qual mdulo em que voc
estiver dentro, digite sempre exit. Se voc estiver configurando uma
interface, e desejar retornar imediamente ao privileged EXEC mode
sem ter que digitar exit duas vezes, basta pressionar CTRL+Z. Para
finalizar com a parte de modos de acesso e configurao, existe um
modo de configurao chamado setup mode. Este modo aparece
automaticamente, na forma de um script de configurao, toda vez que
o roteador for bootado sem nenhum arquivo de configurao em sua
NVRAM. Opcionalmente, voc pode acionar o setup mode atravs do
comando setup no privileged EXEC mode. Navegao do Command Line
Interface (CLI) do IOS Uma das grandes vantangens do Cisco IOS a
facilidade de operao da linha de comando, insero de comandos e a
auto-ajuda oferecidas pelo software. No difcil encontrar a sintaxe
para um determinado comando.. o Cisco IOS possui recursos que visam
facilitar este tipo de situao. Vamos aos exemplos:
?: O ? no Cisco IOS oferece duas facilidades. A primeira delas
descobrir quais so os comandos que comeam com uma determinada ordem
de letras, por exemplo s? listaria todos os comandos que iniciam
com a letra s. Se voc digitasse show p?, isto listaria todos os
parmetros disponveis abaixo de show e que comeassem com a letra p.
O mesmo funcionaria caso voc digitasse sh p?. No existe um outro
comando que comece com sh que no seja o show. Neste caso, o Cisco
IOS perguntaria ok.. show.. mas qual destes subcomandos voc quer
executar? e listaria as opes que comeassem pela letra p. No
necessrio teclar ENTER aps a digitao do ?. A listagem
automtica.
Help: Oferee uma ajuda online sobre a sintaxe. TAB: A tecla TAB
permite completar um comando digitado na console. Por exemplo, se
voc digitar sh e pressionar a tecla TAB, o IOS automaticamente
completar o comando para show. Caso existam dois comandos que
iniciem com sh, o IOS no ser capaz de auto-completar o comando.
CTRL+P ou seta pra cima: Repete o ltimo comando digitado. Na
verdade, h um buffer com os comandos digitados. Voc pode ir
navegando pelos comandos digitados utilizando a combinao de teclas
CTRL+P ou a tecla up arrow.
CTRL+N ou seta para baixo: Permite voltar aos comandos
recm-digitados. Efetua o oposto ao CTRL+P. CTRL+B ou seta para a
esquerda: Volta uma letra ou dgito sem apag-lo.
CTRL+F ou seta para a direita: Avana um caracter sem apag-lo.
Backspace: Retrocede um caracter, apagando-o. CTRL+A: Volta ao
primeiro caracter da palavra marcada pelo cursor. CTRL+E: Vai para
o ltimo caracter da palavra marcada pelo cursor. ESC+B: Vai para o
primeiro caracter do primeiro comando presente na linha. ESC+F: Vai
para o ltimo caracter do ltimo comando presente na linha. CTRL+R:
Remonta todo o prompt com os comandos digitados antes de acionar o
CTRL+R.
Agora que pudemos apresentar algumas facilidades do IOS, vamos
aos exemplos prticos para a configurao bsica de um roteador Cisco.
Configurando o Hostname O hostname til para que voc possa
identificar o roteador facilmente, quando voc estiver trabalhando
atravs de uma conexo na porta de console ou via Telnet. No exemplo
abaixo configuramos o hostname em nosso roteador Cisco 2611.
Router>enable Router#configure terminal Enter configuration
commands, one per line. End with CNTL/Z. Router(config)#hostname
Cisco-2611-NYC Cisco-2611-NYC(config)#exit Cisco-2611-NYC#
Configurando o Banner MOTD O banner uma outra forma de
identificarmos o roteador. Neste caso, estaremos informando uma
mensagem que ser exibida toda a vez que algum efetuar uma conexo
Telnet ou Console com o roteador. Cisco-2611-NYC#
Cisco-2611-NYC#configure terminal Enter configuration commands, one
per line. End with CNTL/Z. Cisco-2611-NYC(config)#banner motd #
Enter TEXT message. End with the character #. Este e o
Router-2611-NYC. Acesso restrito, por favor efetue o logout.
CiscoTrainingBR.com # Cisco-2611-NYC(config)# Para iniciarmos o
nosso banner, tivemos que escolher um smbolo para demarcar o incio
e trmino da mensagem, que em nosso exemplo foi o #. Voc poder
utilizar outros smbolos, como o $, desde que o smbolo especificado
no incio e trmino seja o mesmo. Existem outros tipos de
banner, que sero mencionados em outros artigos, como o caso dos
seguintes banners: exec, incoming e login. Configurando a Data/Hora
Comearemos pela definio do TIMEZONE. O nosso roteador est
localizado na zona de horrio Eastern Standard Time, cujo o
diferencial com relao ao UTC de -5:00h. Aps a configurao do
Timezone, faremos a configurao do horrio no roteador. O timezone
configurado no global configuration mode, enquanto o horrio
configurado diretamente no Privileged EXEC mode.
Cisco-2611-NYC(config)#clock timezone EST -5 Para chegarmos esta
linha de comando, utilizamos o seguine artcio:
Cisco-2611-NYC#configure terminal Enter configuration commands, one
per line. End with CNTL/Z. Cisco-2611-NYC(config)#clo? clock
Cisco-2611-NYC(config)#clock ? summer-time Configure summer
(daylight savings) time timezone Configure time zone
Cisco-2611-NYC(config)#clock timezone ? WORD name of time zone
Cisco-2611-NYC(config)#clock timezone EST ? Hours offset from UTC
Cisco-2611-NYC(config)#clock timezone EST -5 ? Minutes offset from
UTC Cisco-2611-NYC(config)#clock timezone EST -5 0 ?
Cisco-2611-NYC(config)#clock timezone EST -5 0
Cisco-2611-NYC(config)# Como voc pode notar, o ? bastante til para
orient-lo durante as etapas de configurao de um roteador Cisco.
Agora seguiremos com a configurao do horrio no router:
Cisco-2611-NYC#clo? clock Cisco-2611-NYC#clock ? set Set the time
and date
Cisco-2611-NYC#clock set ? hh:mm:ss Current Time
Cisco-2611-NYC#clock set 20:55:00 ? Day of the month MONTH Month of
the year Cisco-2611-NYC#clock set 20:55:00 jul ? Day of the month
Cisco-2611-NYC#clock set 20:55:00 jul 21 ? Year
Cisco-2611-NYC#clock set 20:55:00 jul 21 2003 ?
Cisco-2611-NYC#clock set 20:55:00 jul 21 2003 Cisco-2611-NYC# Muito
fcil, no? Configurando o SNMPv2 Se voc trabalha com redes, acredito
que j possua conhecimentos suficientes sobre o protocolo SNMP. Este
protocolo bastante utilizado para gerenciar os dispositivos atravs
de softwares especiais, conhecidos como NMS. Tarefas como
administrao, monitoramento, recebimento de alarmes (ou traps), etc,
podero ser concebidas atravs da utilizao do SNMP. Quem nunca j
ouviu falar de MRTG? O MRTG um exemplo de aplicao que monitora a
utilizao dos recursos de um equipamento que suporta o SNMP. Eis o
nosso exemplo: Cisco-2611-NYC(config)#snmp-server chassis-id
cisco-2611-nyc Cisco-2611-NYC(config)#snmp-server community
leituraapenas ro Cisco-2611-NYC(config)#snmp-server community
leituraescrita rw Cisco-2611-NYC(config)#snmp-server location
NYC/NY/US Cisco-2611-NYC(config)#snmp-server contact Leo
Cisco-2611-NYC(config)#snmp-server host 172.16.4.5 leituraapenas
snmp syslog entity Basicamente configuramos uma identificao SNMP
para o nosso roteador, assim como as communities de leitura-apenas
e escrita, juntamente com a localizao fsica do router e o
responsvel pela manuteno do equipamento. Obviamente procure colocar
os dados de uma forma em que voc possa ser notificado em caso de
problemas. Efetuamos tambm a configurao de um SNMP Host, que a
estao que receber os alarmes ou traps em caso de algum evento ou
problemas com o nosso roteador. recomendvel que voc no utilize a
community public para read-only, porque as communities devem ser
encaradas como senhas, e o public daria condies para algum efetuar
uma varredura no seu dispositivo para traar um plano de ataque sua
rede. Em um outro artigo estaremos publicando mais detalhes sobre o
SNMP.
Configurando as Senhas para os Lines CON, AUX e VTY Eis os
procedimentos, efetuados em nosso roteador:
Cisco-2611-NYC(config)#line vty 0 4
Cisco-2611-NYC(config-line)#login % Login disabled on line 66,
until password is set % Login disabled on line 67, until password
is set % Login disabled on line 68, until password is set % Login
disabled on line 69, until password is set % Login disabled on line
70, until password is set Cisco-2611-NYC(config-line)#password
suasenha Cisco-2611-NYC(config-line)#exit
Cisco-2611-NYC(config)#line aux 0 Cisco-2611-NYC(config-line)#login
% Login disabled on line 65, until password is set
Cisco-2611-NYC(config-line)#password suasenha
Cisco-2611-NYC(config-line)#exit Cisco-2611-NYC(config)#
Cisco-2611-NYC(config)#line con 0 Cisco-2611-NYC(config-line)#login
% Login disabled on line 65, until password is set
Cisco-2611-NYC(config-line)#password suasenha
Cisco-2611-NYC(config-line)#exit Para configurar a senha em um
roteador Cisco, acesse o line desejado, digite login ENTER, depois
password suasenha ENTER. Recomendamos algum esquema de criptografia
para estas senhas, e isto poder ser feito com o comando service
password-encryption. Note que esta senha pode ser facilmente
decifrada, mesmo com a utilizao deste comando! No utilize a mesma
senha para a configurao dos Lines e do Enable Secret (que muito bem
protegida). Cisco-2611-NYC(config)#service password-encryption A
configurao de uma senha ENABLE SECRET recomendada. Esta senha muito
bem criptografada, e recomendamos uma senha diferente de todas as
outras. Para configurar uma senha enable secret, utilizamos o
seguinte comando: Cisco-2611-NYC(config)#enable secret
suasenhadiferente Verificando o Hardware e Verso IOS Para que
possamos terminar a configurao bsica de nosso roteador,
precisaremos identificar/confirmar os componentes de hardware, tais
como memria, CPU, mdulos/interfaces e a verso do software
atualmente instalada. Comearemos pela verso do IOS. As palavras
marcadas em verde mostram alguns detalhes sobre o equipamento ou
software.
Cisco-2611-NYC#show version Cisco Internetwork Operating System
Software IOS C2600 Software (C2600-IO3-M), Version 12.2(5a),
RELEASE SOFTWARE (fc1) | verso do software IOS Copyright (c)
1986-2001 by cisco Systems, Inc. Compiled Thu 04-Oct-01 22:18 by
pwade Image text-base: 080008088, data-base: 0x809D57F0 ROM: System
Bootstrap, Version 11.3(2)XA3, PLATFORM SPECIFIC RELEASE SOFTWARE
(fc1) | Informaes sobre o bootstrap do roteador Cisco-2611-NYC
uptime is 4 weeks, 3 days, 1 hour, 21 minutes | Nome do roteador, e
a condio uptime do equipamento System returned to ROM by power-on
inicializado System restarted at 20:30:49 EST Fri Jun 20 2003
System image file is flash:c2600-io3-mz.122-5a.bin | Imagem IOS
carregada e a sua respectiva origem cisco 2611 (MPC860) processor
(revision 0202) with 21504K/3072K bytes of memory | Modelo, CPU e
quantidade de memria RAM instalada. . Processor board ID
JAB024903QA (3360242457) M860 processor: part number 0, mask 49
Bridging software. X.25 software, Version 3.0.0. | Caractersticas
adicionais do software atualmente instalado Basic Rate ISDN
software, Version 1.1. | Caractersticas adicionais do software
atualmente instalado 2 Ethernet/IEEE 802.3 interface(s) |
Interfaces instaladas/reconhecidas 1 Serial network interface(s) |
Interfaces instaladas/reconhecidas 4 ISDN Basic Rate interface(s) |
Interfaces instaladas/reconhecidas Integrated NT1s for 4 ISDN Basic
Rate interfaces | Interfaces instaladas/reconhecidas 32K bytes of
non-volatile configuration memory. | Capacidade da NVRAM 8192K
bytes of processor board System flash (Read/Write) | Capacidade e
modo de operao do Flash: Configuration register is 02102 |
Configurao atual do config-register (confreg). Isto ser abordado
com mais detalhes em um outro artigo. Cisco-2611-NYC# Agora
executaremos o comando para listar detalhes sobre o Flash: deste
roteador. Dois comandos sero utilizados. | Motivo informado pelo
roteador quando o mesmo foi
Cisco-2611-NYC#dir Directory of flash:/ 1 -rw- 5480092
c2600-io3-mz.122-5a.bin | Este arquivo o IOS presente no flash. 2
-rw- 1303 ds3-tap 7864320 bytes total (2382796 bytes free)
Cisco-2611-NYC#show flash System flash directory: File Length
Name/status 1 5480092 c2600-io3-mz.122-5a.bin | Este arquivo o IOS
presente no flash. 2 1303 ds3-tap [5481524 bytes used, 2382796
available, 7864320 total] 8192K bytes of processor board System
flash (Read/Write) Cisco-2611-NYC# sempre bom monitorar o espao
disponvel no flash do roteador antes de efetuar algum upgrade no
software. Agora faremos a verificao das interfaces neste
equipamento: Cisco-2611-NYC#show interfaces summary *: interface is
up IHQ: pkts in input hold queue IQD: pkts dropped from input queue
OHQ: pkts in output hold queue OQD: pkts dropped from output queue
RXBS: rx rate (bits/sec) RXPS: rx rate (pkts/sec) TXBS: tx rate
(bits/sec) TXPS: tx rate (pkts/sec) TRTL: throttle count Interface
IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL Ethernet0/0 0 0 0 0 0 0 0
0 0 Serial0/0 0 0 0 0 0 0 0 0 0 Ethernet0/1 0 0 0 0 0 0 0 0 0
BRI1/0 0 0 0 5 0 0 0 0 0 BRI1/0:1 0 0 0 5 0 0 0 0 0 BRI1/0:2 0 0 0
5 0 0 0 0 0 BRI1/1 0 0 0 5 0 0 0 0 0 BRI1/1:1 0 0 0 5 0 0 0 0 0
BRI1/1:2 0 0 0 5 0 0 0 0 0 BRI1/2 0 0 0 5 0 0 0 0 0 BRI1/2:1 0 0 0
5 0 0 0 0 0 BRI1/2:2 0 0 0 5 0 0 0 0 0
Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL BRI1/3 0 0 0
5 0 0 0 0 0 BRI1/3:1 0 0 0 5 0 0 0 0 0 BRI1/3:2 0 0 0 5 0 0 0 0 0
Cisco-2611-NYC# Neste comando pudemos observar que todas as
interfaces foram reconhecidas pelo equipamento. Espero que este
artigo possa ajudar aos que esto iniciando sua carreira em redes de
computadores com equipamentos Cisco. Abraos! Diogo Serrano
Mendes
Configurando SSH em roteadores CiscoAugust 18th, 2010 Diogo
Mendes Leave a comment Go to comments
Atualizando com mais um artigo originalmente publicado no
excelente porm extinto site CiscoTrainingBR.com. O post de hoje
fala sobre um assunto relativamente simples, configurar SSH em
roteadores Cisco. Apesar de no ser nada muito complicado, sei que
muitas pessoas tem dvidas quanto este tipo de implementao. Alm
disso, gosto muito dos artigos do CiscoTrainingBR.com, pois
preocupamse em explicar cada detalhe de forma bem trabalhada, o que
ajuda a ter um entendimento mais aprofundado sobre o assunto,
envolvendo conceitos importantes para os profissionais de rede e no
s mostrando uma sequncia de comandos. Segue o artigo: Configurando
o SSH em roteadores Cisco Secure Shell (SSH) O SSH representa ambos
aplicao e protocolo, e trabalha de forma similar s ferramentas r
Berkeley, como por exemplo o rsh e rexec. Atualmente existem duas
verses do SSH: SSHv1 e SSHv2, sendo que os roteadores Cisco somente
suportam psmem! a verso SSHv1. O SSH, conforme ser mostrado neste
artigo, oferece um servio de criptografia para as sesses entre os
usurios/administradores e roteadores. No sentido mais prtico
possvel, o SSH funcionar de forma similar ao Telnet, sendo a nica
diferena a criptografia da conexo. Todos ns sabemos que o Telnet no
recomendado em situaes onde a segurana das senhas pode ser
comprometida,
devido ao fato que o telnet envia as senhas em formato clear
text atravs da rede, o que pode ser facilmente capturado por
terceiros, atravs de ferramentas sniffer (CA Sniffer, Ethereal,
etc). Mostraremos o problema do Telnet para que isto possa ser
devidamente esclarecido. Abriremos o nosso Ethereal, que um bom
sniffer para coletarmos este tipo de informao, sendo perfeito para
diagnosticarmos problemas na rede. Em seguida, criaremos um filtro
para que seja mostrado somente o trfego TCP 23, que a porta do
servio telnet. Aps montarmos o filtro, faremos o telnet para um
roteador Cisco e, em seguida, mostraremos o nosso output. Cada
linha Telnet Data mostrada acima mostra um caracter digitado
durante a sesso Telnet com o nosso roteador. No exemplo acima, o
caracter C est sendo mostrado no campo Telnet > Data. A linha
logo abaixo (por questes bvias no colocaremos o grfico aqui) mostra
o caracter i. Na sequncia, os demais caracteres compondo a palavra
ciscostudent, que foi o login utilizado para a nossa conexo Telnet
com o roteador. Da mesma forma em que todos os caracteres digitados
para o username foram capturados pelo Ethereal, o mesmo ocorrer com
as senhas. Por este motivo o SSH substitui estas aplicaes (Telnet,
rsh, rexec), j que o SSH cria uma conexo criptografada com o nosso
roteador, ficando muito dificil para algum roubar as suas
credenciais. O SSH do Cisco IOS integrado com as formas de
autenticao RADIUS ou TACACS+, e suporta Data Encryption Standard
(DES), Triple DES (3DES), alm da autenticao de senhas configuradas
localmente no roteador. Restries para o uso do SSH em roteadores
Cisco
Autenticao RSA disponvel nos clientes SSH no suportado pelo SSH
server do Cisco IOS. O SSH server e client so suportados para os
verses IOS com suporte a DES (56-bit) e 3DES (168-bit). Em imagens
DES, somente a o algortimo de criptografia DES suportado. No 3DES,
ambos so suportados (DES e 3DES).
Acesso ao shell (do roteador) a nica aplicao suportada pelo SSH
em Cisco IOS.
Pr-requisitos O SSH em roteadores Cisco s estar disponvel
conforme as seguintes condies:
SSH Server: Cisco IOS com IPSec (DES or 3DES) encryption
software. Por exemplo, Cisco IOS Release 12.1(1)T. SSH Client:
Exige o mesmo, mas somente disponvel em verses especficas do Cisco
IOS, como o Cisco IOS Release 12.1(3)T. Consulte o site da Cisco
para obter a lista de hardware e IOS suportados.
Configurar um hostname e um host domain para o seu roteador.
Exemplo:
RouterA(config)# hostname RouterA RouterA(config)# ip
domain-name ciscotrainingbr.com
Gerar um par de chaves RSA, o que habilita o SSH
automaticamente. Use o comando crypto key zeroize rsa para remover
a chave (e desabilitar o SSH).
Exemplo: RouterA(config)# crypto key generate rsa
Configurar a autenticao local ou remota para os usurios. Para a
autenticao remota, consulte os artigos Authentication,
Authorization and Accounting (AAA) e Configurando o Cisco AAA e
TACACS+ server para Linux
Configurando o servidor SSH A seguinte lista de tarefas permitir
a configurao do servidor SSH em um roteador Cisco. RouterA(config)#
ip ssh {[timeout seconds] | [authentication-retries integer]} O
padro para timeout de 120 segundos e, para o
authentication-retries, o roteador conceder trs tentativas para uma
determinada conexo. Verificando a configurao do SSH Os seguintes
comandos podero ser utilizados: show ip ssh e show ssh.
Troubleshooting Caso voc tenha algum problema com a configurao do
SSH, verifique o seguinte:
Hostname Domain name Se o nmero de conexes SSH no est excedendo
o nmero de VTYs configurados no roteador Se o AAA est configurado
corretamente (autenticao local? remota?)
Exemplo de configurao do SSH em um roteador CiscoTrainingBR.com
2501! Demonstraremos a configurao em nosso prprio roteador. Check
it out.
Roteador: Cisco 2501 (1 Ethernet, 2 Seriais) RAM: 16Mb Flash:
16Mb
IOS: IOS 2500 Software (C2500-IK8OS-L), Version 12.2(13a),
RELEASE SOFTWARE (fc2)
Configurao do hostname e domain name Router-C#config t Enter
configuration commands, one per line. End with CNTL/Z.
Router-C(config)#hostname Router-C Router-C(config)#ip domain-name
ciscotrainingbr.com Configurao do AAA Router-C(config)#aaa
new-model Router-C(config)#aaa authentication login default tacacs+
Router-C(config)#aaa authentication login aaa2501 none Configurao
das senhas locais (enable secret e usurio ciscostudent)
Router-C(config)#enable secret suasenhaenable
Router-C(config)#username ciscostudent password 0 welcome Gerar o
RSA keys Router-C(config)#crypto key generate rsa The name for the
keys will be: Router-C.ciscotrainingbr.com Choose the size of the
key modulus in the range of 360 to 2048 for your General Purpose
Keys. Choosing a key modulus greater than 512 may take a few
minutes. How many bits in the modulus [512]: Generating RSA keys
[OK] Router-C(config)# 00:16:48: %SSH-5-ENABLED: SSH 1.5 has been
enabled Configurar o TACACS+ server e LINE CON 0 (para a autenticao
none) Router-C(config)#tacacs-server host 192.168.168.1
Router-C(config)#tacacs-server key chavedotacacs
Router-C(config)#line con 0 Router-C(config-line)#login
authentication aaa2501 Checar a configurao do SSH
Router-C#show ip ssh SSH Enabled version 1.5 Authentication
timeout: 60 secs; Authentication retries: 3 Router-C#show ssh %No
SSH server connections running. | (nenhuma conexo neste momento..)
Efetuando a conexo com o roteador Agora faremos a conexo com o
roteador para garantirmos que tudo est funcionando a contento.
Estaremos utilizando o SSH do Linux Red Hat 9, mas poderamos
utilizar qualquer SSH client. [ciscostudent@portal-srv
ciscostudent]$ ssh [email protected] The authenticity of
host 172.16.4.200 (172.16.4.200) cant be established. RSA1 key
fingerprint is dc:3c:92:32:cd:de:41:42:a8:6b:a4:cd:95:4f:7a:4c. Are
you sure you want to continue connecting (yes/no)? yes Warning:
Permanently added 172.16.4.200 (RSA1) to the list of known hosts.
Como esta foi a primeira vez em que acessamos o roteador via SSH,
atravs de nossa estao Linux, o SSH adicionou o host 172.16.4.200
dentro da lista de known hosts do usurio ciscostudent. Vejamos em
nosso Linux. [ciscostudent@portal-srv ciscostudent]$ cat
/home/ciscostudent/.ssh/known_hosts 172.16.4.200 512 65537
1161683681676772901682753647223097788041913397615506734974520887490488952207579
0683503654190403483998651183547282996069171702854789813640733594466012924579
Mas ainda assim temos um problema. Veja o que acontece quando
tentamos efetuar o SSH para o roteador: [ciscostudent@portal-srv
ciscostudent]$ ssh [email protected] Selected cipher type
not supported by server. preciso especificar o cipher type para que
a autenticao seja possvel. Faremos isto com o comando:
[ciscostudent@portal-srv ciscostudent]$ ssh -c DES -l ciscostudent
172.16.4.200 Warning: use of DES is strongly discouraged due to
cryptographic weaknesses [email protected] password:
Router-C>enable Password: Router-C#
Infelizmente o 3DES no est disponvel em nossa verso Cisco IOS,
do contrrio, escolheramos o 3DES com toda a certeza. De dentro do
roteador Cisco podemos executar os comandos para monitorar as
sesses SSH. Router-C#show ssh Connection 0 Version DES Encryption
State Username ciscostudent 1 1.5 Session started
Exemplo de configurao do SSH em um roteador CiscoTrainingBR.com
7500! Demonstraremos a configurao em nosso prprio roteador. Aps
gerarmos a chave RSA (crypto key generate rsa) aaa new-model aaa
authentication login default tacacs+ aaa authentication login
aaa7500 none enable secret suasenhaenable username ciscostudent
password 0 welcome ip domain-name ciscotrainingbr.com ip ssh
time-out 60 ip ssh authentication-retries 5 tacacs-server host
192.168.168.1 tacacs-server key chavedotacacs line con 0
exec-timeout 0 0 login authentication aaa7500 Espero que tenham
aproveitado mais esse artigo do CiscoTrainingBR.com. At a prxima!
Abraos! Diogo Serrano Mendes
![Vyatta, o Concorrente Livre Dos Roteadores Cisco [Artigo]](https://img.document.onl/doc/110x75/55cf9807550346d033951fd4/vyatta-o-concorrente-livre-dos-roteadores-cisco-artigo.jpg)
