Rede ethernet

Eng. Alessandro Coneglian Bianchini

Apresentao Alessandro Coneglian Bianchini exerce a funo de engenheiro na NEC Brasil, atuando na elaborao de projetos e implantao de VoIP, Wireless, Redes e Segurana da informao; formado em engenharia eltrica com nfase em telecomunicaes pela Escola de Engenharia Mau-SP, ps-graduado em segurana da informao pelo IBTA-SP e tambm ps-graduado em engenharia de rede e sistema de telecomunicaes pelo INATEL-MG; Possui certificaes de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware.

Certificaes
VCP 4 Vmware Certified Professional 4.0 VCP 3 Vmware Certified Professional 3.0 ITIL v3 Foundation CCNP - Cisco Certified Network Professional CCDP - Cisco Certified Design Professional CCVP - Cisco Certified Voice Professional CCSP - Cisco Certified Security Professional CCNA - Cisco Certified Network Associate CCDA - Cisco Certified Design Associate CAWDS Cisco Advanced Wireless Design Specialist CAWFS Cisco Advanced Wireless Field Specialist CISS - Cisco Information Security Specialist CIOSSS - Cisco IOS Security Specialist CFWS - Cisco Firewall Specialist CIPSS - Cisco IPS Specialist FCNSA- Fortinet Certified Network Security Administrator CAIR Certified Allied installation Router CAIS Certified Allied installation switch CASE Certified Allied system engineer 4011 Recognition - CNSS (Committee on National Security Systems) 4013 Recognition CNSS (Committee on National Security Systems)
3

AGENDA
Design Modelo Hierrquico Cisco Exemplos Configurao bsica do Switch Cisco VLANs VTP SPANNING TREE Etherchannel Segurana em Redes Ethernet Gerenciamento QoS

DESIGN REDE
Alta Disponibilidade (5-9s) Escalabilidade

MODELO HIERRQUICO CISCO

Criao de topologia modular Cada camada tem funo especifica

MODELO HIERRQUICO CISCO CAMADA DE ACESSO

Switches que fazem conexo com dispositivos de rede (pcs, impressoras, etc) Camada onde so configuradas grande parte das funcionalidades rede (QoS, 802.1x, supresso broadcast,etc) Geralmente Switches Layer 2

MODELO HIERRQUICO CISCO CAMADA DE DISTRIBUIO

Agregam switches de acesso Prover disponibilidade, balanceamento, QoS Swiches Layer 2 ou 3 HSRP/GLBP

MODELO HIERRQUICO CISCO CORE

Agregam switches de distribuio Poucas funcionalidades implementadas nesta camada Equipamentos de alto desempenho Redundncia, balanceamento e convergncia rpida Switches Layer3

PROTOCOLO ROTEAMENTO
Core Core Core Distribuio Por que usar: - Rpida convergncia - Contingncia: construo de caminhos redundantes - Eliminao de spanning-tree nestas camadas da rede

10

PROTOCOLO ROTEAMENTO

NO h tempo de recovergncia da rede

11

EXEMPLO: TOPOLOGIA PROPOSTA LAN MACRO

Catalyst 2960-24TT Secretarias LAYER 2 Acesso
1Gbps UTP

LAYER 2 ou 3 Distribution Catalyst 3560G-24T Catalyst 3560G-24T Catalyst 3560G-24T Catalyst 3560G-24T

1Gbps FO multimodo

LAYER 3 Core Catalyst 6509 Catalyst 6509

1Gbps UTP 1Gbps FO SX

Server Farm

12

REDUNDNCIA PREVISTA Switches Core Redundncia da placa supervisora e Fonte de Alimentao 2 pares de fibra em link agregation entre switches Core e Distribution 2 pares de fibra para Interligao entre Swiches Core em placas supervisoras distintas Tempo previsto de indisponibilidade da rede ser igual ao tempo para que a placa supervisora back-up assuma o controle, que de aproximadamente 3 segundos. Interligao entre switches Core e Distribution: HSRP ou protocolo roteamento Funcionamento da rede mesmo em caso de falha em um dos switches Core sem que haja interveno manual.
13

INTERFACE CONFIGURAO DO SWITCH

14

INTERFACE DE CONFIGURAO

Cisco IOS (CLI) Interface Web

15

CISCO IOS COMAND LINE INTERFACE

User EXEC: comandos monitorao Privileged EXEC: comandos configurao e gerenciamento

16

CISCO IOS COMAND LINE INTERFACE

User EXEC Mode Prompt (>)

Privileged (or Enabled) EXEC Mode Prompt (#)

Entrar/sair modo privilegiado:

hostname> enable hostname# disable

17

CISCO IOS COMAND LINE INTERFACE CONFIGURATION MODE

Global Configuration Mode Interface Configuration Mode

Configurao armazenada na running-config (DRAM Dynamic Random Access Memory) runningPara salvar configurao na startup-config (NVRAM Non-Volatile Random Access Memory): startup-

18

CISCO IOS COMAND LINE INTERFACE CONFIGURAO INICIAL Setup wizard

19

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA

Hostname do switch

Endereo IP para switch

Default-gateway Habilitar roteamento no switch (Catalyst 3750/3560)

20

HOSTNAME - EXEMPLO

21

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA

Banner EXEC
banner exec ^C Location: Centro Administrativo , 2AND - Datacenter Hostname: $(hostname) ^C

Banner Login
banner login & *************************************************************************************** * * AVISO * * ACESSO PERMITIDO SOMENTE A PESSOAS AUTORIZADAS. * TODAS AS CONEXOES ESTAO SENDO MONITORADAS. * A UTILIZACAO INAPROPRIADA E/OU NAO AUTORIZADA PODE * RESULTAR EM PENALIDADES PREVISTAS EM LEI. * *************************************************************************************** * Warning * * ACCESS PERMITTED ONLY TO AUTHORIZED PEOPLE. * ALL ACTIVITIES AND CONNECTIONS ARE BEEN MONITORED. * INAPPROPRIATE OR NOT AUTHORIZED ACCESS MAY RESULT IN * LAW PENALTIES. **************************************************************************************** &

22

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA

Banner MOTD
banner motd ^C Manutenco preventiva sabado dia 10/10/2009 ^C

Variaveis
motd $(hostname) $(domain) $(line) $(line-desc) YES YES YES YES login YES YES YES YES exec YES YES YES YES

23

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA

Verso switch

24

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA

Mostrar configurao corrente do switch

25

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA

Mostrar estatsticas das interfaces

26

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA Senhas

Senha de Enable Switch(config)#enable password cisco Switch(config)#enable secret cisco Senha de Console Switch(config)#line console 0 Switch(config)#exec-timeout 5 0 Switch(config-line)#password cisco

27

CISCO IOS COMAND LINE INTERFACE CONFIGURAO BSICA Senhas

Senha de Telnet Switch(config)#line vty 0 15 Switch(config-line)#password cisco Switch(config-line)#exec-timeout 5 0 Criptografa Senha Router(config)#service password-encryption

28

AUTENTICAO CENTRALIZADA

29

EXEMPLO DE CONFIGURAO
username ADMIN password senha1234 radius-server host 192.168.1.2 auth-port 1812 key <senha> radius-server host 192.168.1.3 auth-port 1812 key <senha> Ou tacacs-server host 192.168.1.4 single-connection key <senha> tacacs-server host <acs2> single-connection key <senha> aaa new-model aaa authentication login default group tacacs+ local aaa authorization exec default group tacacs+ local aaa accounting exec default group tacacs+ local line con 0 exec-timeout 0 0 login authentication default line vty 0 15 exec-timeout 3 0 login authentication default

30

Cisco Discovery Protocol (CDP)

Protocolo Proprietrio Cisco Coletar informaes dos dispositivos diretamente conectados Informaes Hardware Informaes Protocolo Troubleshooting e Documentao da rede Habilitado por default Desabilitar o CDP em todo dispositivo: Switch(config)#no cdp run Desabilitar o CDP em um nica interface: Switch(config)# int fa0/1 Switch(config)# no cdp enable

31

Cisco Discovery Protocol (CDP)

CDP Timers & Holdtime Information
CDP Timer: frequencia que CDPs so transmitidos para todas as interfaces ativas CDP Holdtime: Tempo que o dispositivo ir manter os pacotes recebidos dos dispositivos vizinhos
Switch#sh cdp Global CDP information Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Ajustando os paramentros Switch#config t Switch(config)#cdp timer 90 Switch(config)#cdp holdtime 240

32

Cisco Discovery Protocol (CDP)

Neighbor Information

Mostra informaes dos dispositivos diretamente conectados

Pacotes CDP no passam atravs switches
Switch#show cdp neigbors or Switch#show cdp neighbor detail Detailed information; hostname, IP address, etc

33

Cisco Discovery Protocol (CDP)

Neighbor Information

34

Virtual LAN (VLAN)

35

Virtual LAN (VLAN)

Agrupamento lgico de usurios da rede e recursos conectados no switch. Criao de Domnios de Broadcast Organizado por: Localizao Funo Departamento Aplicao ou protocolo

36

VLANs - BENEFCIOS
Simplifica gerenciamento da rede Prov um maior nvel de segurana em relalao rede flat Flexibilidade e Escalabilidade Reduz dominio de Broadcast

37

VLAN PORTAS DE ACESSO

Associado uma nica VLAN

38

CONFIGURAO DE VLANs PORTA ACESSO

39

VERIFICANDO VLANs
show interfaces show vlan

Nota: se a porta no esta associado a nenhuma VLAN por que est Em TRUNK
40

VLAN PORTA TRUNK

Vrias vlans no mesmo link Identificador nico em cada frame

41

VLAN: TRUNK 802.1Q e ISL

ISL: Proprietrio Cisco, encapsulamento de frame 802.1Q: No-proprietrio (Padro IEEE), adiciona campo (tag) no cabealho do frame (exceto para vlan nativa)
42

TRUNK 802.1Q: VLAN NATIVA

Frames da vlan nativa trafegam no trunk sem tag

43

VLAN: RANGE

44

CONFIGURAO DE TRUNK

Trunk pode ser configurado manualmente ou via DTP (Dynamic Trunk Protocol) DTP negocia trunk na porta

45

NEGOCIAO DE TRUNK (DTP)

Negociao do trunk via DTP ocorre quando habilitado nas duas pontas da conexo show dtp interface Para verificar negociao do trunk
46

CONFIGURAO DE TRUNK: 802.1Q

47

VERIFICANDO CONFIGURAES DE TRUNK 802.1Q: COMANDOS

48

VERIFICANDO CONFIGURAES DE DYNAMIC TRUNK 802.1Q (DTP): COMANDOS

49

CONFIGURAO DE TRUNK: ISL

50

VERIFICANDO CONFIGURAES DE TRUNK ISL: COMANDOS

51

TROUBLESHOOTING - TRUNK

- Configurao DTP inconsistente - Encapsulamento do trunk (ISL, 802.1Q) diferentes - Domnio de VTP diferentes - Capacidade de hardware das portas

52

TROUBLESHOOTING TRUNK (CONT.)

Para portas que no requerem trunk, DTP deve ser desabilitada Para portas que requerem trunk, configurar trunk e nonnegociate

53

VLAN Trunk Protocol (VTP)

Grupo de switches que trocam informaes de VLAN VLANs administrados centralmente por um determinado switch

54

PROTOCOLO VTP

Anncio com informao de configurao de VLAN Mantm consistncia de configurao de VLAN no domnio VTP Envia anncios somente em portas trunk

55

MODOS DE OPERAO DO VTP

SERVER (default)
-Cria, modifica, apaga VLANs -Envia e encaminha anncios VTP -Sincroniza configurao de VLANs -Salva configurao na NVRAM

CLIENT
- No pode criar, modificar ou apagar VLANs - Encaminha anncios VTP - Sincroniza configurao de VLANs - No salva configurao na NVRAM

TRANSPARENT
- Cria, modifica, apaga VLANs - Encaminha anncios VTP - No sincroniza configurao de VLANs - Salva configurao na NVRAM

56

VTP PRUNING
VTP Pruning utiliza banda com maior eficincia Flooding de broadcast encaminhado somente para portas associadas quela vlan.

57

OPERAO DO VTP

Anncio VTP enviado em multicast VTP Server e Client so atualizados para o ltimo revision number Anncios VTP enviados a cada 5 minutos ou quando tiver alguma alterao
58

CONFIGURAO DE VTP
Configurando VTP:
vtp mode vtp domain vtp password

Verificando VTP:
show vtp status show vtp counters

59

CONFIGURANDO VTP

S1(config)#vtp mode server S1(config)#vtp domain cisco S1(config)#vtp password cisco S2(config)#vtp mode client S2(config)#vtp domain cisco S2(config)#vtp password cisco S3(config)#vtp mode transparent S3(config)#vtp domain cisco S3(config)#vtp password cisco
60

VERIFICANDO VTP

61

VERIFICANDO VTP (Cont.)

62

TROUBLESHOOTING VTP
Problemas comuns:
Updates no recebidos
- domnio de VTP e senha devem ser iguais - verso VTP deve ser compatvel com outros switches do domnio - deve haver pelo menos um VTP Server - checar se h conexo trunk com VTP Server

VLANs faltando na configurao

- configurao foi sobrescrita por outro switch - Vlan foi apagada do switch VTP Server - modelo do switch no entende vlan estendida (acima 1005) Muitas

VLANs configuradas nos switches

- Separar em domnios de VTP

63

ROTEAMENTO ENTRE VLANs

64

ROTEAMENTO ENTRE VLANs

CONFIGURAO: ip routing Interface vlan 10 - ip address 10.1.1.1 255.255.255.0 Router eigrp 50 - network 10.0.0.0

65

ROTEAMENTO ENTRE VLANs

ip routing !Habilita roteamento no switch interface vlan10 ip address 10.1.1.1 255.255.255.0 interface vlan20 ip address 10.2.2.1 255.255.255.0 interface fa0/1 !Routed Port no switchport ip address 10.3.3.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 200.200.200.1

Verificando tabela roteamento:

show ip route
66

EXEMPLO DE ENDEREAMENTO

10 . X . Y. Z
Octeto que representa a filial Octeto que representa o VLAN ID Octeto que representa o Host

Ex. 10 . 1 . 10. 30 Filial 1, VLAN 10 10 . 2 . 20. 30 Filial 2, VLAN 20

67

EXEMPLO DE ENDEREAMENTO
Filial Rede
10.1.10.0/24 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24 10.1.14.0/24 10.1.15.0/24 10.1.16.0/24 10.1.17.0/24 10.2.10.0/24 10.2.11.0/24 10.2.12.0/24 10.2.13.0/24 10.2.14.0/24 10.2.15.0/24 10.2.16.0/24 10.2.17.0/24

Vlan
SERVIDOR GERENCIA RECEPCAO TECNICO ADMINISTRATIVO VOIP VIDEO VISITANTE SERVIDOR GERENCIA TECNICO SELECAO ADMINISTRATIVO VOIP VIDEO VISITANTE
68

RIO DEJANEIRO

FORTALEZA

DHCP

69

DHCP SERVER
Switch(config)#ip dhcp excluded-address 10.254.253.1 10.254.253.9 Switch(config)# ip dhcp pool DHCP-APS Switch(dhcp-config)# network 10.254.253.0 255.255.255.0 Switch(dhcp-config)# domain-name nec.com.br Switch(dhcp-config)# default-router 10.254.253.1 Switch(dhcp-config)# option 60 ascii "Cisco AP c1130" Switch(dhcp-config)# option 43 hex f108.0afe.fd04.0afe.fd06 Switch(dhcp-config)# lease 1

DHCP RELAY
Switch(config)#interface vlan 10 Switch(config-if)# ip address 192.168.1.0 255.255.255.0 Switch(config-if)# ip helper-address 10.10.10.1

70

IP HELPER-ADDRESS
Servio Time TACACS DNS BOOTP/DHCP Server BOOTP/DHCP Client TFTP NetBIOS name service NetBIOS datagram service Porta 37 49 53 67 68 69 137 138

Exemplo RTA(config-if)#ip helper-address 192.168.1.254 RTA(config-if)#exit RTA(config)#ip forward-protocol udp 517 RTA(config)#no ip forward-protocol udp 37 RTA(config)#no ip forward-protocol udp 49 RTA(config)#no ip forward-protocol udp 137 RTA(config)#no ip forward-protocol udp 138
71

ETHERCHANNEL

72

ETHERCHANNEL
Agregao lgica links Balanceamento Redundncia

73

ETHERCHANNEL
Apenas portas com caractersticas idnticas podem ser agregadas. Configurao: Automtica: PAgP: Port Aggregation Protocol (Cisco) LACP: Link Aggregation Control Protocol (IEEE 802.3) Manual: On: sem protocolo de negociao Usado apenas para compatibilidade entre switches que no suportam os protocolos de negociao.

74

ETHERCHANNEL
PAgP Port Aggregation Protocol
Protocolo proprietrio da cisco Agrupa automaticamente portas com as mesmas caractersiticas: Velocidade, modo duplex, native VLAN, VLAN range, trunking status. Porta Access devem pertencer a mesma VLAN Portas Trunk devem pertencer a mesma native VLAN O grupo de portas passado ao protocolo Spanning-Tree como sendo uma porta nica. Permite agregar at 8 portas.
75

ETHERCHANNEL
LACP - Link Aggregation Protocol
Padro IEEE 802.3ad Modos de operao: Passivo Similar ao modo auto PAgP Ativo Similar ao modo desirable PAgP Permite agregar at 16 portas, mas apenas 8 esto ativas num dado instante.

76

ETHERCHANNEL - CONFIGURAO
interface port-channel [channel-group-number] channel-protocol [pagp | lacp] channel-group 2 mode [active|auto|desirable|on|passive]
active auto desirable on passive Enable Enable Enable Enable Enable LACP unconditionally PAgP only if a PAgP device is detected PAgP unconditionally Etherchannel only LACP only if a LACP device is detected

Verificando Etherchannel:
show interfaces fastethernet 0/1 Show etherchannel 2 port-channel Show etherchannel 2 summary

77

ETHERCHANNEL (LAYER 2) CONFIGURAO

interface Port-channel2 switchport access vlan 10 switchport mode access interface GigabitEthernet1/0 switchport access vlan 10 switchport mode access channel-group 2 mode active interface GigabitEthernet1/1 switchport access vlan 10 switchport mode access channel-group 2 mode active
78

ETHERCHANNEL (LAYER 2) CONFIGURAO

interface Port-channel2 switchport mode trunk interface GigabitEthernet1/0 switchport mode trunk channel-group 2 mode active interface GigabitEthernet1/1 switchport mode trunk channel-group 2 mode active

79

ETHERCHANNEL (LAYER 3) CONFIGURAO

interface port-channel 5 no switchport ip address 172.16.2.1 255.255.255.0 interface range gigabitethernet1/0 no ip address no switchport channel-group 5 mode active interface range gigabitethernet1/0 no ip address no switchport channel-group 5 mode active
80

SPANNING TREE

81

SPANNING TREE (STP)

Protocolo de camada 2 utilizado para prevenir ocorrncia de loops
Princpio: Somente um caminho ativo pode existir entre 2 estaes na rede Bloquear as portas que impliquem em loops

Escolha de um switch como Root e Construo de uma rvore como o menor caminho at o Root.

82

BRIDGE PROTOCOL DATA UNIT (BPDU)

O STP utiliza um protocolo chamado BPDU para troca informaes entre switches

83

SPANNING TREE Estado das Portas

84

SPANNING TREE - Operao

Selecionando Root Bridge bridge ID Selecionando Designated Port

85

SPANNING TREE - Operao

1 Root Bridge por rede 1 Root Port por nonroot bridge 1 Designated Port por segmento Nondesignated Port em Blocking

86

SPANNING TREE Exemplo

87

SPANNING TREE Comandos

Fora o switch a ser root

Fora o switch a ser root secundrio ou

Configura manualmente a priority

88

SPANNING-TREE

89

EXEMPLO DE CONFIGURAO 802.1S

Core1 spanning-tree mode mst spanning-tree extend system-id spanning-tree mst configuration name Exemplo revision 1 instance 1 vlan 2, 10, 14 instance 2 vlan 12, 16,20 instance 3 vlan 13,15,17 instance 4 vlan 19,21,23 spanning-tree mst 0-2 root secondary spanning-tree mst 3-4 root primary

Core2 spanning-tree mode mst spanning-tree extend system-id spanning-tree mst configuration name Exemplo revision 1 instance 1 vlan 2, 10, 14 instance 2 vlan 12, 16,20 instance 3 vlan 13,15,17 instance 4 vlan 19,21,23 spanning-tree mst 0-2 root primary spanning-tree mst 3-4 root secondary
90

SPANNING TREE PORTFAST

Habilita portfast em uma interface:

Habilita portfast em todas as interfaces que no sejam trunk Verificando configurao:

91

SEGURANA EM REDES ETHERNET

92

Ameaas segurana da LAN

S2

SEGURANA NA LAN
Ataque MAC Address Flooding
Ferramentas de Hackers: macof (parte do dsniff)
Gera uma srie de endereos MAC falsos Quando a tabela CAM lota (32K entradas), o trfego enviado para todas as portas

DHCP Starvation
Ferramentas de Hackers : gobbler
Utiliza todo range de endereos do servidor DHCP

Ataque Falso Servidor DHCP

Ferramentas de Hackers : gobbler ou um servidor de DHCP falso
Possibilita ataques tipo Man in the middle usando o Default Gateway

ARP Spoofing
Ferramentas de Hackers : ettercap, dsniff, arpspoof
Possibilita ataques tipo Man in the middle em Layer 2

93

S2

PORT SECURITY Ameaas segurana da LAN

Port Security restringe porta de acesso do switch por MAC address

94

S2

PORT SECURITY - CONFIGURAO

Habilitar Port security Configurar limite mac-address aprendidas para quela porta Especificar Mac Address permitido - mac address configurado manualmente - mac address configurado dinamicamente (Stick mac address) Definir ao em caso de violao - shutdown: porta desabilitada e log e SNMP trap gerados - restrict: frames descartados e log e SNMP trap gerados - protect: frames descartados, sem log

95

S2

PORT SECURITY CONFIGURAO (Cont.)

Verificando Port Security:

Ameaas segurana da LAN

96

S2

PORT SECURITY CONFIGURAO (Cont.)

Verificando Port Security:

Ameaas segurana da LAN

97

Funcionamento do DHCP
DHCP Client DHCP Server

DHCP Discover (Broadcast) DHCP Offer (Unicast) DHCP Request (Broadcast) DHCP Ack (Unicast)

98

Ataque DHCP Starvation

DHCP Client

DHCP Server

Gobbler
DHCP Discover (Broadcast) x (Tamanho do pool DHCP) DHCP Offer (Unicast) x (Tamanho do pool DHCP) DHCP Request (Broadcast) x (Tamanho do pool DHCP) DHCP Ack (Unicast) x (Tamanho do pool DHCP)

99

Ataque DHCP - MiM

DHCP Client DHCP Server

Servidor Falso
DHCP Discover (Broadcast) DHCP Offer (Unicast) Do servidor falso DHCP Request (Broadcast) DHCP Ack (Unicast) Do servidor falso, com Def GW alterado

100

DHCP SNOOPING
DHCP Snooping: Trust e Untrusted ports Untrusted Ports: No respondem s Requisies do DHCP Configurar DHCP snooping nos Uplinks com Servidor DHCP No configurar DHCP snooping em portas de usurios

101

DHCP SNOOPING - CONFIGURAO

Habilita DHCP Snooping globalmente

Habilita DHCP Snooping em uma ou mais vlan

Permite insero do DHCP option 82

Configura um interface como trusted

Limita nmero pacotes por segundo na porta (OPCIONAL)

102

DHCP SNOOPING CONFIGURAO (Cont.)

103

DHCP SNOOPING CONFIGURAO (Cont.)

Verificando DHCP Snooping:

104

ARP INSPECTION

105

ARP INSPECTION Switch(config)# ip arp inspection vlan 1 Switch(config)# interface Gigabitethernet1/0/1 Switch(config-if)# ip arp inspection trust

106

PROTEGENDO OPERAO STP

BPDU GUARD
Evita que switches sejam conectados em portas configuradas em PortFast. BPDU Guard gera log ou desabilita porta (porta entra no modo ErrDisable) BPDU Filter: ao a ser tomada quando BPDU recebido.

107

PROTEGENDO OPERAO STP

BPDU GUARD - CONFIGURAO
Habilita BPDU Guard

Mostra configurao BPDU Guard

108

PROTEGENDO OPERAO STP

BPDU FILTERING - CONFIGURAO
Habilita BPDU Filtering

Mostra informaes de configurao BPDU Filtering

109

PROTEGENDO OPERAO STP

UDLD Unidirectional Link Failure

110

PROTEGENDO OPERAO STP

SEM LOOP GUARD

111

PROTEGENDO OPERAO STP

COM LOOP GUARD

112

PROTEGENDO OPERAO STP

UDLD e LOOP GUARD - CONFIGURAO
Configurando UDLD:

Configurando Loop Guard:

113

PROTEGENDO OPERAO STP

UDLD - CONFIGURAO
Habilita UDLD globalmente em todas interfaces de fibra-optica

Habilita UDLD na interface

Reseta todas as interfaces que foram desabilitadas pelo UDLD

Mostra informaes de UDLD de determinada interface

114

PROTEGENDO OPERAO STP

LOOP GUARD - CONFIGURAO

115

HSRP -

116

EXEMPLO DE CONFIGURAO
Core-1 interface vlan 10 description ADMINISTRACAO ip address 10.10.10.3 255.255.255.0 standby 1 ip 10.10.10.1 standby 1 priority 150 standby 1 preempt no shutdown interface vlan 11 description TECNICO ip address 10.10.11.3 255.255.255.0 standby 1 ip 10.10.11.1 standby 1 priority 140 standby 1 preempt no shutdown

Core-2 interface vlan 10 description ADMINISTRACAO ip address 10.10.10.2 255.255.255.0 standby 1 ip 10.10.10.1 standby 1 priority 140 standby 1 preempt no shutdown interface vlan 11 description TECNICO ip address 10.10.11.2 255.255.255.0 standby 1 ip 10.10.11.1 standby 1 priority 150 standby 1 preempt no shutdown
117

Servios de Identificao
RADIUS
User ok. Assign VLAN3 and ACL14 to port5.

802.1x

User ok?

Protege o acesso rede atravs Wiring Closet da autenticao do usurio via servidor de RADIUS, habilitando ou impedindo o acesso rede

802.1x Switched LAN

Identity Based Networking Services (IBNS)

Atravs de extenses ao protocolo 802.1x, IBNS possibilita uma nova gerao de controle de acesso rede, em que servios inteligentes so aplicados dinamicamente porta do Switch, aumentando a segurana, mobilidade e produtividade.

Requires 802.1x Clients

118

IBSN Como Funciona

Aplica polticas e habilita a porta do Switch Configurar porta para VLAN 5

Agora o usurio tem acesso rede, na sua prpria VLAN

Login Request Credenciais Login Vlido! Aplicar polticas Verifica Usurio no DB

SERVIDOR RADIUS Este o Z Man! Ele vai para VLAN 5

119

Rede Cabeada

802.1x

Rede sem fio

120

802.1x (Cont.) Suplicante: a entidade que quer ter acesso Autenticador: a entidade que controla o acesso Servidor de autenticao: a entidade que autoriza ou nega o acesso

121

TIPOS DE EAP EAP-MD5 EAP-TLS EAP-PEAP EAP-LEAP EAP-TTLS EAP-FAST

122

Fluxo das mensagens EAP

123

Exemplo: 802.1x com associao de Vlan dinmica

802.1x CONFIGURAO

1- Habilitar AAA authorization

Switch(config)#usarname admin privilege 15 password cisco Switch(config)#aaa new-model Switch(config)#aaa authentication dot1x default group radius Switch(config)#aaa authorization dot1x default group radius Switch(config)#radius-server host 10.1.1.1 key cisco

124

802.1x CONFIGURAO (Cont.)

2- Habilitar 802.1x
Switch(config)# dot1x system-auth-control

3- Configurar atributos no servidor RADIUS. Servidor RADIUS dever retornar os seguintes atributos para o switch: [64] Tunnel-Type=VLAN [65] Tunnel-Medium-Type=IEEE 802 [81] Tunnel-Private-Group-ID= VLAN name ou VLAN ID

125

802.1x CONFIGURAO (Cont.)

126

802.1x CONFIGURAO (Cont.)

4- Habilitar 802.1x nas interfaces
Switch(config)#interface Switch(config-if)# dot1x Switch(config-if)# dot1x Switch(config-if)# dot1x range FastEthernet1/0/1-24 port-control auto guest-vlan 20 auth-fail vlan 30

127

802.1x CONFIGURAO (Cont.)

Verificando 802.1x:

Mostra status do 802.1x

Mostra status do 802.1x para todas as interfaces ou um interfaces especifica

128

SSH
Switch(config)# ip domain-name nec.com.br Switch(config)# access-list 10 permit host 10.254.254.254 Switch(config)# crypto key generate rsa NEC_BRASIL 1024 Switch(config)# ip ssh version 2 Switch(config)# ip ssh time-out 60 Switch(config)# ip ssh authentication-retries 2 Switch(config)# line vty 0 15 Switch(config-line)# transport input ssh Switch(config-line)# access-class 10 in

129

Gerenciamento

130

SNMP V1 e V2c Switch(config)#access-list 90 permit 10.254.254.254 Switch(config)# access-list 90 remark CISCO-WORKS Switch(config)# snmp-server community snmpRW RW 90 Switch(config)# snmp-server community snmpRO RO 90 Switch(config)# snmp-server ifindex persist Switch(config)# snmp-server contact ramal Switch(config)# snmp-server location Cispro Switch(config)# snmp-server trap link ietf Switch(config)# snmp-server trap-source Vlan600 SNMP V3 autenticado Switch(config)# snmp-server group admsw v3 auth Switch(config)# snmp-server user admin admsw v3 auth md5 admpass SNMP V3 autenticado e criptografado Switch(config)# snmp-server group admsw v3 auth Switch(config)# snmp-server user admin admsw v3 auth md5 admpass priv des56 admpass
131

SNMP

SINCRONISMO DE DATA/HORA

132

NTP

Switch(config)#clock timezone GMT-3 Switch(config)# clock summer-time GMT-2 date Oct 19 2009 0:00 Feb 27 2010 0:00 ntp server 10.254.254.254 Com autenticao Switch(config)# ntp server 10.254.254.254 key 5 Switch(config)# ntp authenticate Switch(config)# ntp authentication-key 5 md5 1000

133

CENTRALIZAO DOS LOGs

134

SYSLOG
switch(config)# logging 10.254.254.254

135

QoS Qualidade de Servio

136

QoS Qualidade de Servio CONCEITO

137

QoS MODELO OSI

138

QoS MARCAO CAMADA 2

Bits de prioridade dos TAGs IEEE 802.1Q Campo CoS: Class of Service (IEEE 802.1p)

139

QoS MARCAO CAMADA 3

Campos TOS

Campo ToS (Type of Service)

140

MECANISMO DE QoS

141

PERFIL DE TRFEGO X REQUISITOS DE QoS

142

QoS Switches 2960/3560/3750

INGRESS 2 FILAS ENTRADA POR PORTA EGRESS 4 FILAS SADA POR PORTA

4Q3T or 1P3Q3T Fila 1 pode ser configurada como Priority-Queue

143

QoS Switches 2960/3560/3750

HABILITAR QoS
Habilitar qos no switch; Switch(config)# mls qos Switch(config)# show mls qos OBS: Alterar tabela de mapeamento cos-dscp se necessrio (mapeamento default do switch converte cos=5 para dscp=40) Switch#sh mls qos maps cos-dscp Cos-dscp map: cos: 0 1 2 3 4 5 6 7 -------------------------------dscp: 0 8 16 24 32 40 48 56 Switch(config)# mls qos map 0 8 16 26 32 46 48 56
144

QoS Switches 2960/3560/3750

CLASSIFICAO E MARCAO PACOTES
- Switches Catalyst: QoS em hardware (ASIC) - Marcao dos pacotes devem ser feitos o mais prximo da camada de acesso - Interconexo dos switches: Confiar na marcao (trust) para no perder a marcao QoS - Criar ACLs para classificar e marcar os pacotes

145

QoS Marcao de pacotes

146

QoS Switches 2960/3560/3750

CLASSIFICAO E MARCAO PACOTES
Exemplo
1) Classificar trfegos: Voz classe Voz Sinalizao de voz classe Sinalizao Banco de Dados classe BcoDados 2) Marcar Pacotes: Voz J marcado pelo PABX (ef), confiar na marcao Sinalizao de Voz J marcado pelo PABX (CS3), confiar na marcao Banco de Dados Marcar como af21

147

QoS Switches 2960/3560/3750

CLASSIFICAO E MARCAO PACOTES
ip access-list extended Bco_Dados permit ip any any eq 1521 permit ip any any eq 1810 permit ip any any eq 2481 permit ip any any eq 7778 class-map Voz match ip dscp ef ! Classifica trfego Voz class-map Sinalizacao match ip dscp cs3 ! Classifica trfego Sinalizaao Voz class-map BancoDados match access-group name Bco_Dados ! Classifica trfego Banco Dados policy-map Exemplo_QoS class Voz trust dscp ! Confia na marcao class Sinalizacao trust dscp ! Confia na marcao class BancoDados set dscp af21 ! Marca trfego Banco Dados para af21 Interface gigabitethernet 1/0 service-policy input Exemplo_QoS ! Aplica politica Exemplo_QoS criada na interface
148

QoS Switches 2960/3560/3750

POLICING
Permite adequar o trfego em torno de uma taxa mdia, com rajadas de intensidade controlada Ao: - Descartar excedente (exceed action drop) - Marcar com prioridade menor (exceed action dscp) EXEMPLO: Policiar trfego de Dados em 10Mbps com DSCP AF11. Descartar excedente
policy-map Exemplo_QoS class Dados set ip dscp af11 police 10000000 8192 exceed-action drop

149

QoS Switches 2960/3560/3750

QUEUING
Configurao Default para as Filas de Entrada e Sada

150

QoS Switches 2960/3560/3750

QUEUING
fila
mls mls mls mls mls mls mls mls mls mls mls mls mls mls qos qos qos qos qos qos qos qos qos qos qos qos qos qos srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue srr-queue output output output output output output output output output output output output output output cos-map cos-map cos-map cos-map cos-map dscp-map dscp-map dscp-map dscp-map dscp-map dscp-map dscp-map dscp-map dscp-map queue queue queue queue queue queue queue queue queue queue queue queue queue queue 1 2 3 4 4 1 2 2 2 3 3 4 4 4 threshold threshold threshold threshold threshold threshold threshold threshold threshold threshold threshold threshold threshold threshold 3 3 3 2 3 3 3 3 3 3 3 1 2 3 5 3 6 7 cos 2 4 1 0 40 41 42 43 44 45 46 24 25 26 27 28 29 30 48 49 50 51 52 53 54 56 57 58 59 60 61 62 16 17 18 19 20 21 22 32 33 34 35 36 37 38 8 9 10 11 12 13 14 15 0 1 2 3 4 5 6 7

47 31 55 63 23 39

dscp

151

QoS Switches 2960/3560/3750

Shaped Round-Robin (SRR)
Shaper (Especifica Banda MAXIMA)

Shared (especifica Banda MINIMA)

Controla a taxa no qual os quadros so retirados das filas SRR pode ser configurado como: SHAPED MODE: Cada fila de sada possui uma quantidade de banda limitada Mesmo que a banda de outras filas no esteja sendo utilizada, a banda de uma fila nunca excedida. Suportado somente na fila de sada. SHARED MODE: Garante um mnimo de banda para cada fila (em porcentagem) mas permite uma maior utilizao caso as outras filas estejam ociosas. Suportado nas filas de entrada e sada

152

QoS Switches 2960/3560/3750

Shaped Round-Robin (SRR)
SHAPED MODE:

Filas 1 e 2 Shaped Mode - Fila 1 pode usar no mximo 1/8 da banda (12,5%) - Fila 2 pode usar no mximo 1/4 da banda (25%) Filas 3 e 4 Shared Mode

153

QoS Switches 2960/3560/3750

Shaped Round-Robin (SRR)
SHARED MODE:

Filas 1, 2, 3, 4 Shared Mode - Fila 1 pode usar no mnimo 10% da banda - Fila 2 pode usar no mnimo 20% da banda - Fila 3 pode usar no mnimo 30% da banda - Fila 4 pode usar no mnimo 40% da banda OBS: Shape tem precedncia sobre Share srr-queue bandwidth share 20 10 60 10 srr-queue bandwidth shape 20 0 0 10
154

QoS Switches 2960/3560/3750

SHAPING X POLICING

155

QoS Switches 2960/3560/3750

Shaped Round-Robin (SRR) As 4 Filas participam do SRR, a menos que seja habilitada Priority Queue (Fila 1). Os pacotes do Priority Queue so encaminhados antes das outras filas at esvaziamento do buffer.
interface gi 1/0/1 priority-queue out

156

QoS Switches 2960/3560/3750

WTD WEIGHTED TAIL DROP

WTD: as filas utilizam um algoritmo de descarte ponderado, baseado na classificao dos quadros:
Novos quadros com Cos 4-5 so descartados quando a fila atinge 60% da taxa de ocupao

157

QoS Switches 2960/3560/3750 AUTOQoS

Configurao de QoS para VOZ Habilita QoS Trust em cisco-phone, cisco-softphone and cos Altera tabela COS-DSCP Configurao filas

158

QoS Switches 2960/3560/3750 AUTOQoS

Com voip trust

159

QoS Switches 2960/3560/3750 AUTOQoS

Com voip trust

160

QoS Switches 2960/3560/3750 AUTOQoS

Com voip cisco-softphone

161

QoS Switches 2960/3560/3750 AUTOQoS

Com voip cisco-softphone

162

QoS Switches 2960/3560/3750 AUTOQoS

Com voip cisco-softphone

163

QoS Switches 2960/3560/3750 AUTOQoS

Com voip cisco-softphone

164

QoS Switches 2960/3560/3750 AUTOQoS

Com voip cisco-phone

165