Escolar Documentos
Profissional Documentos
Cultura Documentos
Objectivo
Consolidar e integrar os conhecimentos adquiridos ao longo das várias disciplinas de
Redes de Comunicação de Dados anteriores, aprofundando-os com a abordagem de novos
tópicos, nomeadamente:
IPv6
Redes Wireless
IEEE 802.1X
RADIUS
SNMP
VPNs
Access lists
outros.
A estrutura nível 2 da rede a implementar, será suportada pelo switch e pelo Access
Point.
Identificaremos os segmentos de rede envolvidos da seguinte forma:
Rede Interna [VLAN 903 - endereço a atribuir a cada grupo - ver anexo] – Rede que
apesar de estar atrás do router, é visível pela restante rede do campus, tendo
conectividade bastando para tal a correcta configuração dos protocolos de
encaminhamento.
Rede Privada1 [VLAN 904 – 172.16.0.0/16] – Rede que utiliza endereçamento
privado, nenhum tráfego pode sair desta rede para as restantes mantendo o
endereço origem.
Acessos seguros (autenticados e/ou cifrados), quer via “Access Points”, quer via
portas do switch, utilizando tecnologias como o RADIUS e o IEEE 802.1x;
Contenção do tráfego em diferentes segmentos de rede IP, com diferentes
características;
Acessos remotos seguros via VPN;
Deve ser possível aceder remotamente via SNMP/Telnet aos equipamentos de rede.
Este acesso deve ser tão seguro quanto possível e praticável.
Para além dos comandos do IOS para testes, com especial evidência para o debug e o
show, pode e deve utilizar ferramentas como:
ping, ping6, tracert, tracert6, Iperf, Ethereal, outras ao seu critério para testar as
soluções de rede que implementar.
Resolva cada etapa/fase do trabalho com “papel e lápis” antes da aula prática.
Utilize, pelo menos, a bibliografia aconselhada como suporte para a execução do trabalho. Não
vá para o laboratório martirizar os equipamentos e a si, assim como aos docentes , numa
atitude de tentativa e erro.
As etapas, ou fases, que a seguir se indicam devem servir como orientação para a
evolução do trabalho. Os alunos têm a liberdade de alterarem a sequência do trabalho se
assim o entenderem útil.
Objectivos detalhados
OSPF
Para estabelecimento de relação com a rede do laboratório para anúncio e recepção de
rotas, deve o router ser parametrizado para pertencer à área 75, usando autenticação MD5,
palavra-chave “mesmosimples” com o número de série 20 e a referência para cálculo dos
custos de 1Gbit/s. Só as redes incluídas no bloco 10.0.0.0/8 devem ser anunciadas e só as
redes que necessitarem devem estar disponíveis para estabelecer adjacências (interfaces
OSPF passivas).
Objectivos detalhados
NAT
Como máquinas que se encontrem na rede interna não terão conectividade com as
restantes redes do campus pois os seus endereços privados não são aceites como válidos pela
restante infra-estrutura, será necessário o mapeamento destes recorrendo a NAT/PAT sobre
endereços válidos (públicos):
1ª Experiência: Realizar NAT overload sobre o endereço da porta exterior do router.
2ª Experiência: O bloco de endereços IPv4 (/28) inicialmente atribuído ao grupo deve
ser partido a meio, devendo a metade inferior ser usada da seguinte forma:
1º endereço – Usado para PAT (NAT overload) das comunicações originadas na
rede interna;
2º a 8º endereço – Usados para NAT dinâmico (IP em IP, sem overload) das
comunicações originadas na rede interna
Objectivos detalhados
Endereçamento IPv4 e DHCP
O router deverá ter quatro redes IP, uma suportada pela interface E0 ou Fa0/1 e usada
para ligação à rede do campus via rede do laboratório (10.62.75.0/24) e as restantes
suportadas por sub-interfaces lógicas (VLANs) de nome Fa0.X ou Fa0/0.X, devendo X ser
correspondente ao número da VLAN que suporta o segmento de rede. X terá como valores
903, 904 e 905.
As máquinas ligadas à sub-rede correspondente à VLAN 903 devem obter a sua
configuração a partir do servidor de DHCP central (via relay-agent no router), as redes 3 e 4
devem obter a configuração a partir do servidor de DHCP local ao router, devendo nestas ser
usado endereçamento privado (RFC1918) proveniente do bloco 172.16.0.0/12.
NAT
Como máquinas que se encontrem nas VLANs 904 e 905 não terão conectividade com
as restantes redes do campus pois os seus endereços não são aceites como válidos pela
restante infra-estrutura. Para conseguirem comunicar com o exterior será necessário o
mapeamento destes recorrendo a NAT/PAT sobre endereços válidos, devendo para tal ser o
bloco inicialmente atribuído de IPv4 (/28) ser partido a meio mantendo-se a metade superior na
VLAN 903. A metade inferior será usada da seguinte forma:
1º endereço – Usado para PAT (NAT overload) das comunicações originadas na VLAN
904
2º a 8º endereço – Usado para NAT dinâmico (IP em IP, sem overload) das
comunicações originadas na VLAN 905
Curiosidade: Verificar com o WinSTUN (http://sourceforge.net/projects/stun/) o tipo de
NAT detectado na VLAN 903, 904 e 905 usando como alvo do teste o servidor “stun.net.ipl.pt”
(STUN – RFC3489).
Switch
Para suporte desta estrutura de rede, a porta do router que tem as VLANs configuradas
deve ser ligada em modo “trunk” ao switch que disponibilizará as VLANs em portas de acesso
(não etiquetadas).
O switch deve ter a seguinte parâmetrização base:
Porta 1 – VLAN 902, liga à rede do laboratório (tomadas assinaladas a azul)
Porta 2 – VLAN 902, ligação ao router (E0 ou Fa0/0)
Objectivos detalhados
IPv6
Todos os segmentos de rede criados devem ter conectividade IPv6 com a Internet, para
tal devem ser configuradas as interfaces com os parâmetros adequados, definidos os
parâmetros globais no router para suportar IPv6 e estabelecer relação de adjacência de
OSPFv3 com a infra-estrutura da rede do laboratório para que seja possível o anúncio e
recepção das rotas existentes e criadas.
As interfaces do router que interligam às VLANs 903, 904 e 905 devem ter o endereço
2001:690:2008:CFXX::1 da sub-rede e prefixo de dimensão /64, a interface que interliga à
VLAN902 (via E0 ou Fa0/1) deve obter o seu endereço IPv6 por auto-configuração a partir dos
anúncios (Router Advertisement) do router que serve o laboratório e do endereço EUI-64 da
porta.
O OSPFv3 deverá ser configurado como estando todas a interfaces na área 75 e sem
qualquer autenticação das comunicações (ainda não suportada em todos os routers / IOSs da
Cisco).
Nenhuma das interfaces internas do router deve estar disponível para o estabelecimento
de adjacências OSPFv3, devendo para tal ser suprimido o envio de mensagens Hello por estas
da forma que for considerada mais eficiente/consistente.
Objectivos detalhados
Wireless
Deixa-se ao critério dos alunos a decisão de que valor usar como RTS Threshold,
Fragmentation Threshold, Beacon Period e DTIM period. O AP deve operar no canal 11 com
1mW de potência tanto em CCK como em OFDM e devem indicar aos clientes que a eles
estiverem associados para limitarem a potência também a 1mW. Cada AP deve identificar-se
com o SSID “EXPERIMENTAL-SRCDLABS-TAR-GXX” em que XX é o número do grupo.
Objectivos detalhados
Switch
O switch, para além da configuração anteriormente definida, deve ter a seguinte
parametrização base:
Portas 16 e 17 – Autenticação IEEE802.1x
Outras portas: Conforme definição anterior da configuração.
RADIUS
Para autenticação e autorização dos acessos de Telnet, Wireless, Wired 802.1x e VPN
aos equipamentos deve ser realizada centralmente no servidor RADIUS criado
propositadamente para a execução destes trabalhos. O servidor disponibiliza os logs das
tentativas bem sucedidas ou não em http://lrcd-srv.hosting.local/. Para configuração do
RADIUS consultar o ficheiro http://lrcd-srv.hosting.local/TrabalhoRADIUS.pdf
Wireless
Como objectivo final a rede sem fios criada por cada grupo deve disponibilizar as VLAN 902,
903 e 904 mediante autenticação dos clientes usando EAP/PEAP/MSCHAPv2 ou
EAP/TTLS/PAP fornecendo os APs após autenticação um canal seguro cifrado com
WPA/TKIP. As chaves de broadcast devem ser actualizadas de 10 em 10 minutos, ou quando
um cliente abandonar a rede. Só devem ser aceites clientes IEEE802.11b a funcionarem a
11Mbit/s ou clientes IEEE802.11g a funcionarem a débitos superiores ou iguais a 18Mbit/s (em
OFDM).
A selecção da VLAN a que o cliente é associado depende somente dos atributos retornados
pelo RADIUS, não são aceites trabalhos usando múltiplos SSID como solução para o acesso
diferenciado por VLAN.
Objectivos detalhados
SNMP
Deve ser possível o acesso via SNMP ao router e switch usados, devendo os acessos
cumprirem as seguintes regras:
Objectivos detalhados
VPN
Durante as aulas práticas de laboratório os alunos irão sendo avaliados pelo seu
desempenho e assiduidade e essa avaliação ir-se-á também reflectir na nota da discussão.
O relatório do trabalho deve ser preciso e conciso, devendo incluir, para além da
descrição das soluções por que optaram para atingirem os objectivos propostos, a forma como
foram implementadas, quais os testes utilizados para validarem as respectivas soluções e
quais os resultados obtidos.
Para a preparação deste trabalho prático deve consultar, entre outra, a seguinte
bibliografia (os livros existem na biblioteca do ISEL) ou em PDF no caso dos manuais Cisco:
[1] “Joe Habraken, Pratical Cisco Routers, QUE, 1999”; Este é interessante para para
principiantes, o que não deve ser o caso dos alunos que fizeram RC2. Não é para ler de fio
a pavio”. Há vários capítulos que não interessam para o trabalho em questão.
[2] “Henry Benjamim, CCNP Practical Studies: Routing, Cisco Press, Abril 2002”; muito
interessante.
[3] “Sam Halabi, OSPF Design Guide, Cisco Systems, April, 1996”; artigo da Cisco sobre OSPF
(preciso e conciso, embora não pareça devido à dimensão do mesmo).
[4] “James Boney, Cisco IOS in a Nutshell, O’Reilly, 2002”; muitas dúvidas podem ser
minoradas através da consulta deste livro.
[5] “Cisco 1700 Series Router Software Configuration Guide”.
[6] “Catalyst 2950 Desktop Switch Software Configuration Guide”.
[7] “Cisco IOS Software Configuration Guide for Cisco Aironet Access Points".
[8] “Jeff Sedayao, Cisco IOS Access Lists, O'Reilly”; Listas de acesso.
Para além das anteriores referências existem na biblioteca do ISEL muitos outros livros
sobre redes que o podem ajudar e que deve consultar.
Grupo
Endereço exterior (Rede 10.62.75.0/24) Endereço interior do router (bloco /28)
1 DHCP 10.62.74.14
2 DHCP 10.62.74.30
3 DHCP 10.62.74.46
4 DHCP 10.62.74.62
5 DHCP 10.62.74.78
6 DHCP 10.62.74.94
7 DHCP 10.62.74.110
8 DHCP 10.62.74.126
9 DHCP 10.62.74.142
10 DHCP 10.62.74.158
11 DHCP 10.62.74.174
12 DHCP 10.62.74.190
13 DHCP 10.62.74.206
14 DHCP 10.62.74.222
15 DHCP 10.62.74.238
16 DHCP 10.62.74.254
17 DHCP 10.62.202.14
18 DHCP 10.62.202.30
19 DHCP 10.62.202.46
20 DHCP 10.62.202.62
21 DHCP 10.62.202.78
22 DHCP 10.62.202.94
23 DHCP 10.62.202.110
24 DHCP 10.62.202.126
25 DHCP 10.62.202.142
26 DHCP 10.62.202.158
27 DHCP 10.62.202.174
28 DHCP 10.62.202.190
29 DHCP 10.62.202.206
30 DHCP 10.62.202.222
31 DHCP 10.62.202.238
32 DHCP 10.62.202.254
33 DHCP 10.62.203.14
34 DHCP 10.62.203.30
35 DHCP 10.62.203.46
36 DHCP 10.62.203.62
37 DHCP 10.62.203.78
38 DHCP 10.62.203.94
Configuração OSPFv2/OSPFv3
Área 75
Nº de série de chave 20
Password mesmosimples (IPv6 não usa)
Tipo de autenticação MD5 (IPv6 não usa)
Referência para Custos 1000 Mbit/s
DNS Resolvers
IPv4 IPv6
193.137.220.20 2001:690:2008::100:1401
193.137.220.19 2001:690:2008::101:1401
193.137.220.18 2001:690:2008::100:1402
Servidores de DHCPv4
193.137.220.2
193.137.220.6