Você está na página 1de 81

DM2500

ROTEADORES DE ACESSO

GUIA DE CONFIGURAÇÃO RÁPIDA

204.0301.03 – Agosto/2018
DM2500 – Guia de Configuração Rápida Nota Legal

NOTA LEGAL

Apesar de terem sido tomadas todas as precauções na elaboração deste documento, a DATACOM não
assume qualquer responsabilidade por eventuais erros ou omissão bem como nenhuma obrigação é
assumida por danos resultantes do uso das informações contidas neste guia. As especificações fornecidas
neste manual estão sujeitas a alterações sem aviso prévio e não são reconhecidas como qualquer espécie de
contrato.

© 2018 DATACOM - Todos Direitos Reservados.

GARANTIA
Os produtos da DATACOM possuem garantia contra defeitos de fabricação pelo período mínimo de 12 (doze)
meses, incluído o prazo legal de 90 dias, a contar da data de emissão da Nota Fiscal de fornecimento.

Nossa garantia é padrão balcão, ou seja, para o exercício da garantia o cliente deverá enviar o produto para a
Assistência Técnica Autorizada DATACOM, com frete pago. O frete de retorno dos equipamentos será de
responsabilidade da DATACOM.

Para maiores detalhes, consulte nossa política de garantia no site www.datacom.com.br.

Para contato telefônico: +55 51 3933-3094

Quality Management System

certified by DQS in compliance with

ISO9001 Registration No. (287097 QM)

204.0301.03 – Agosto/2018 2
DM2500 – Guia de Configuração Rápida Contatos

CONTATOS

SUPORTE TÉCNICO

A Datacom disponibiliza um portal de atendimento - DmSupport, para auxílio aos clientes no uso e
configuração de nossos equipamentos.

O acesso ao DmSupport pode ser feito através do link: https://supportcenter.datacom.ind.br

Neste portal estão disponíveis firmwares, descritivos técnicos, guia de configuração, MIBs e manuais para
download. Além disto, permite a abertura de chamados para atendimento com a nossa equipe técnica.

Para contato telefônico: +55 51 3933-3122

Salientamos que o atendimento de nosso suporte por telefone ocorre de segunda a sexta-feira das 08:00 às
17:30.

Importante: Para atendimento de suporte em regime 24x7, favor solicitar cotação ao nosso setor comercial.

INFORMAÇÕES GERAIS
Para qualquer outra informação adicional, visite http://www.datacom.com.br ou entre em contato:

DATACOM

Rua América, 1000


92990-000 – Eldorado do Sul – RS – Brasil

+55 51 3933-3000

204.0301.03 – Agosto/2018 3
DM2500 – Guia de Configuração Rápida Documentações de Produto

DOCUMENTAÇÕES DE PRODUTO

SOBRE ESTE DOCUMENTO


Este documento é parte de um conjunto de documentações preparado para oferecer todas as informações
necessárias sobre os produtos DATACOM.

 DESCRITIVO – Fornece as características técnicas do produto

 GUIA DE INSTALAÇÃO – Fornece orientações sobre os procedimentos para instalação do


produto

 GUIA DE CONFIGURAÇÃO RÁPIDA – Fornece orientações sobre como configurar as


funcionalidades de forma rápida no equipamento

 RELEASE NOTES – Fornece orientações sobre as novas funcionalidades, defeitos conhecidos


e compatibilidades entre Software e Hardware

A disponibilidade de alguns documentos pode variar dependendo do tipo de produto.


Acesse https://supportcenter.datacom.ind.br/ para localizar as documentações relacionadas ou entre em
contato com o Suporte Técnico para mais informações.

204.0301.03 – Agosto/2018 4
DM2500 – Guia de Configuração Rápida Índice

ÍNDICE

NOTALEGAL..................................................................................................................................................................................... 2
GARANTIA ........................................................................................................................................................................................ 2
CONTATOS ...................................................................................................................................................................................... 3
SUPORTE TÉCNICO ..................................................................................................................................................................... 3
INFORMAÇÕES GERAIS ................................................................................................................................................................ 3
DOCUMENTAÇÕESDEPRODUTO ..................................................................................................................................................... 4
SOBRE ESTE DOCUMENTO .......................................................................................................................................................... 4
ÍNDICE.............................................................................................................................................................................................. 5
1 INTRODUÇÃOAODOCUMENTO............................................................................................................................................... 8
1.1 SOBRE ESTE DOCUMENTO ............................................................................................................................................ 8
1.2 PÚBLICO-ALVO .............................................................................................................................................................. 8
1.3 CONVENÇÕES................................................................................................................................................................ 8
2 INICIANDO............................................................................................................................................................................ 10
2.1 INSTALANDO E ENERGIZANDO O EQUIPAMENTO ......................................................................................................... 10
2.2 CONECTANDO VIA PORTA CONSOLE............................................................................................................................ 10
2.3 CONECTANDO VIA PORTA DE GERÊNCIA ...................................................................................................................... 10
2.4 CONECTANDO PELA PRIMEIRA VEZ NO EQUIPAMENTO ................................................................................................ 10
3 ATUALIZAÇÃODEFIRMWARE................................................................................................................................................. 12
3.1 ATUALIZAÇÃO DO FIRMWARE ...................................................................................................................................... 12
4 GERENCIAMENTODACONFIGURAÇÃO.................................................................................................................................. 13
4.1 MODO OPERACIONAL ................................................................................................................................................. 13
4.2 MODO DE CONFIGURAÇÃO ......................................................................................................................................... 14
4.3 TIPOS DE CONFIGURAÇÃO .......................................................................................................................................... 14
4.4 APLICANDO A CONFIGURAÇÃO CANDIDATA NA RUNNING-CONFIG................................................................................ 15
4.5 APLICANDO A RUNNING-CONFIG NA CONFIGURAÇÃO DE INICIALIZAÇÃO ...................................................................... 15
4.6 DESCARTANDO A CONFIGURAÇÃO CANDIDATA ............................................................................................................ 15
4.7 VERIFICANDO A CONFIGURAÇÃO ................................................................................................................................. 16
4.8 RESTAURANDO CONFIGURAÇÃO ................................................................................................................................. 16
4.9 SALVANDO A CONFIGURAÇÃO EM ARQUIVO ................................................................................................................. 16
4.10 EXPORTANDO OS ARQUIVOS DE CONFIGURAÇÃO ........................................................................................................ 17

204.0301.03 – Agosto/2018 5
DM2500 – Guia de Configuração Rápida Índice

4.11 IMPORTANDO OS ARQUIVOS DE CONFIGURAÇÃO ......................................................................................................... 17


4.12 MANIPULAÇÃO DE ARQUIVOS ...................................................................................................................................... 17
4.13 CARREGANDO A CONFIGURAÇÃO A PARTIR DE ARQUIVOS ............................................................................................ 17
4.14 RESTAURANDO A CONFIGURAÇÃO DE FÁBRICA ............................................................................................................ 18
5 GERENCIAMENTODOEQUIPAMENTO................................................................................................................................... 19
5.1 CONFIGURANDO A GERÊNCIA ...................................................................................................................................... 19
5.2 CONFIGURANDO O HOSTNAME ................................................................................................................................... 20
5.3 CONFIGURANDO O BANNER ........................................................................................................................................ 21
5.4 CONFIGURANDO O RELÓGIO E DATA DO SISTEMA ........................................................................................................ 21
5.5 CONFIGURANDO O HORARIO DE VERÃO....................................................................................................................... 22
5.6 CONFIGURANDO O NTP ............................................................................................................................................. 23
5.7 CONFIGURANDO O SYSLOG REMOTO........................................................................................................................... 24
5.8 CONFIGURANDO O SNMP .......................................................................................................................................... 25
6 FERRAMENTASDEMONITORAMENTOECONECTIVIDADE ...................................................................................................... 28
6.1 CONFIGURANDO O NETFLOW/IPFIX .......................................................................................................................... 28
6.2 CONFIGURANDO O TWAMP ....................................................................................................................................... 29
6.3 PING E PING6 ............................................................................................................................................................. 31
6.4 TRACEROUTE ............................................................................................................................................................. 32
6.5 SSH CLIENT E TELNET CLIENT ................................................................................................................................. 33
7 AUTENTICAÇÃODEUSUÁRIOS.............................................................................................................................................. 34
7.1 CONFIGURANDO USUÁRIOS LOCAIS ........................................................................................................................... 34
7.2 CONFIGURANDO O TACACS+ .................................................................................................................................... 35
7.3 CONFIGURANDO O RADIUS ....................................................................................................................................... 36
8 INTERFACES......................................................................................................................................................................... 38
8.1 CONFIGURANDO AS INTERFACES ETHERNET .............................................................................................................. 38
8.2 CONFIGURANDO AS INTERFACES LOOPBACK .............................................................................................................. 39
8.3 CONFIGURANDO AS INTERFACES BRIDGE.................................................................................................................... 40
9 SERVIÇOSDECONEXÃO........................................................................................................................................................ 41
9.1 CONFIGURANDO UM CLIENTE DHCP.......................................................................................................................... 41
9.2 CONFIGURANDO UM SERVIDOR DHCPV4 ................................................................................................................... 41
9.3 CONFIGURANDO UM CLIENTE DHCPV6...................................................................................................................... 42
9.4 CONFIGURANDO UM CLIENTE PPPOE ........................................................................................................................ 43

204.0301.03 – Agosto/2018 6
DM2500 – Guia de Configuração Rápida Índice

10 ROTEAMENTO...................................................................................................................................................................... 45
10.1 CONFIGURANDO ROTEAMENTO ESTÁTICO E ROTEAMENTO ENTRE VLANS................................................................. 45
10.2 CONFIGURANDO O PBR ............................................................................................................................................. 46
10.3 CONFIGURANDO O RIP ............................................................................................................................................... 47
10.4 CONFIGURANDO O RIPNG .......................................................................................................................................... 48
10.5 CONFIGURANDO O OSPFV2 ....................................................................................................................................... 49
10.6 CONFIGURANDO O BGP IPV4 .................................................................................................................................... 52
10.7 CONFIGURANDO O BGP IPV6 .................................................................................................................................... 53
10.8 CONFIGURANDO O BFD ............................................................................................................................................. 54
10.9 CONFIGURANDO O VRRP ........................................................................................................................................... 59
11 QOS-QUALIDADEDESERVIÇO .............................................................................................................................................. 62
11.1 CONFIGURANDO O RATE LIMIT ................................................................................................................................... 62
11.2 CONFIGURANDO A CLASSIFICAÇÃO E PRIORIZAÇÃO DE TRÁFEGO DE SAÍDA ................................................................. 62
11.3 CONFIGURANDO A REMARCAÇÃO DSCP DO TRÁFEGO DE ENTRADA............................................................................ 64
12 SEGURANÇA ........................................................................................................................................................................ 66
12.1 CONFIGURANDO O SSH E TELNET ........................................................................................................................... 66
12.2 CONFIGURANDO AS ACLS .......................................................................................................................................... 67
12.3 CONFIGURANDO AS ACLS POR GRUPOS ..................................................................................................................... 69
12.4 CONFIGURANDO O NAT ............................................................................................................................................. 70
13 TUNELAMENTO ................................................................................................................................................................... 74
13.1 CONFIGURANDO TUNÉIS GRE .................................................................................................................................... 74
13.2 CONFIGURANDO VPNS IPSEC SITE-TO-SITE .............................................................................................................. 75
13.3 CONFIGURANDO VPNS IPSEC SITE-TO-SITE COM NAT TRAVERSAL ........................................................................... 77
13.4 CONFIGURANDO PROTEÇÃO DO TÚNEL GRE COM IPSEC ........................................................................................... 79

204.0301.03 – Agosto/2018 7
DM2500 – Guia de Configuração Rápida Introdução ao Documento

1 INTRODUÇÃO AO DOCUMENTO

1.1 SOBRE ESTE DOCUMENTO


Este documento é uma coleção de orientações que proveem uma explanação rápida e objetiva sobre o uso
das funcionalidades disponíveis no produto. Também cobre as configurações iniciais que normalmente são
necessárias imediatamente após a instalação do produto.
Esse documento foi elaborado para servir como uma fonte eventual para resolução de questões técnicas, por
isso sua leitura sequencial não é mandatória. Entretanto, se você está configurando o equipamento e não é
familiar com o produto é recomendada a leitura do documento desde o princípio.
É assumido que o indivíduo ou indivíduos que gerenciam qualquer aspecto do produto tenham
conhecimentos básicos de Ethernet, protocolos de rede e redes de comunicações em geral.

1.2 PÚBLICO-ALVO
Este guia é voltado para administradores de rede, técnicos ou equipes qualificadas para instalar, configurar,
planejar e manter este produto.

1.3 CONVENÇÕES
Para facilitar o entendimento ao longo deste manual foram adotadas as seguintes convenções:

1.3.1 Ícones

Ícone Tipo Descrição

Nota As notas explicam melhor algum detalhe apresentado no texto.

Esta formatação indica que o texto aqui contido tem grande importância e
Advertência
há risco de danos.

Indica que, caso os procedimentos não sejam corretamente seguidos,


Perigo
existe risco de choque elétrico.

Indica presença de radiação laser. Se as instruções não forem seguidas e se


Perigo não for evitada a exposição direta à pele e olhos, pode causar danos à pele
ou danificar a visão.

204.0301.03 – Agosto/2018 8
DM2500 – Guia de Configuração Rápida Introdução ao Documento

Indica equipamento ou parte sensível à eletricidade estática. Não deve ser


Advertência
manuseado sem cuidados como pulseira de aterramento ou equivalente.

Advertência Indica emissão de radiação não ionizante.

Símbolo da diretiva WEEE (Aplicável para União Europeia e outros países


com sistema de coleta seletiva). Este símbolo no produto ou na
embalagem indica que o produto não pode ser descartado junto com o lixo
doméstico. No entanto, é sua responsabilidade levar os equipamentos a
serem descartados a um ponto de coleta designado para a reciclagem de
Nota equipamentos eletroeletrônicos. A coleta separada e a reciclagem dos
equipamentos no momento do descarte ajudam na conservação dos
recursos naturais e garantem que os equipamentos serão reciclados de
forma a proteger a saúde das pessoas e o meio ambiente. Para obter mais
informações sobre onde descartar equipamentos para reciclagem entre em
contato com o revendedor local onde o produto foi adquirido.

Um ícone de advertência pede atenção para condições que, se não evitadas, podem
causar danos físicos ao equipamento.

Um ícone de perigo pede atenção para condições que, se não evitadas, podem resultar
em risco de morte ou lesão grave.

1.3.2 Usando a CLI


A maneira mais simples de se utilizar a linha de comando é simplesmente escrevendo o comando e
pressionando [Enter].
# comando [Enter]

Se o comando incluir um parâmetro também devem ser inseridas a palavra-chave e seus argumentos. O
argumento especifica como o parâmetro é alterado. Valores incluem números, strings ou endereços,
dependendo da palavra-chave. Depois de inserir o comando deve ser pressionado [Enter].
# comando palavra-chave argumento [Enter]

204.0301.03 – Agosto/2018 9
DM2500 – Guia de Configuração Rápida Iniciando

2 INICIANDO

2.1 INSTALANDO E ENERGIZANDO O EQUIPAMENTO


Por favor, verificar as instruções detalhadas no Guia de Instalação do equipamento.

2.2 CONECTANDO VIA PORTA CONSOLE

Figura 1 – Conectando via porta console

O acesso a CLI do equipamento pode ser realizado pela porta Console do equipamento. É necessário
conectar um cabo serial e executar um emulador de terminal como, por exemplo, o Hyper Terminal ou outro
similar. O programa deve ser configurado com 9600 8N1.

2.3 CONECTANDO VIA PORTA DE GERÊNCIA

Figura 2 – Conectando via porta Out-of-Band

É possível gerenciar o equipamento por qualquer interface Ethernet do equipamento. Na configuração


padrão de fábrica o equipamento configura a interface Ethernet 1 (eth1) com o IP 192.168.0.25/24 e com os
protocolos SSHv2 e TELNET habilitados. Através de configurações adicionais é possível também configurar
IPs para acesso a partir de outras interfaces Ethernet além de desabilitar os protocolos SSHv2 ou TELNET,
caso seja necessário.

2.4 CONECTANDO PELA PRIMEIRA VEZ NO EQUIPAMENTO


Para logar no equipamento via CLI é necessário utilizar o usuário de fábrica admin e a senha de fábrica admin.
dm2500 login: admin

204.0301.03 – Agosto/2018 10
DM2500 – Guia de Configuração Rápida

Password: admin
dm2500:~$

Por razões de segurança é altamente recomendado modificar a senha padrão do


equipamento.

Consulte o capítulo referente à autenticação de usuários para verificar como proceder com a alteração das
senhas.

204.0301.03 – Agosto/2018 11
DM2500 – Guia de Configuração Rápida Atualização de firmware

3 ATUALIZAÇÃO DE FIRMWARE

Entre em contato com o Suporte Técnico DATACOM para verificar as imagens de firmware
disponíveis para download e instalação de acordo com seu produto e seus requisitos.

3.1 ATUALIZAÇÃO DO FIRMWARE


Para atualização via CLI será necessário utilizar um PC com um servidor TFTP, SCP ou HTTP instalado a fim de
encaminhar o arquivo de firmware para o equipamento.
É possível verificar o firmware instalado no equipamento através do comando show firmware:
dm2500:~$ show firmware
Software:
Version Release Date State
----------------- --------------------- -----------------
1.4.2 2018-07-06 14:25:24 Active/Startup
1.4.0 2018-06-22 09:57:23 Inactive

State:
Active - Running firmware
Invalid - Partition is empty or corrupted
Inactive - Firmware is not running
Startup - Firmware to be used in the next boot

Para enviar o arquivo de firmware através do TFTP e posteriormente decidir se ativar ou não o firmware no
equipamento, usar o seguinte comando:
firmware add tftp://172.22.107.11/pd3701-1.4.4.swu

Warning! This will overwrite 1.4.0.


Proceed with this operation? (Yes/No) [No] yes

1.4.4 loaded successfully in inactive partition.

Do you want to mark the new firmware as startup and reboot now? (Yes/No) [No]
yes [Enter]

Um reboot automático irá ocorrer após o usuário confirmar o reboot.

Caso seja feita a opção por não realizar a troca e ativação do firmware após o download e gravação, o usuário
poderá verificar qual é o firmware que se encontra inativo para realizar a troca posteriormente através do
comando firmware swap:

204.0301.03 – Agosto/2018 12
DM2500 – Guia de Configuração Rápida Gerenciamento da Configuração

dm2500:~$ show firmware


Software:
Version Release Date State
----------------- --------------------- -----------------
1.4.2 2018-07-06 14:25:24 Active/Startup
1.4.4 2018-08-26 18:00:00 Inactive

State:
Active - Running firmware
Invalid - Partition is empty or corrupted
Inactive - Firmware is not running
Startup - Firmware to be used in the next boot

dm2500:~$ firmware swap

Do you want to swap the startup firmware partition? [Yes/No] [Yes] yes

1.4.4 is now the startup firmware partition.


Proceed with reboot? (Yes/No) [No] yes

O usuário pode optar por não realizar o reboot do equipamento após o download do firmware e ativá-lo em
outro momento. Para realizar a ativação do firmware o usuário poderá reinicilizar o equipamento através do
seguinte comando:
reboot

4 GERENCIAMENTO DA CONFIGURAÇÃO
O equipamento pode ser gerenciado através da CLI com o uso da porta console do equipamento e por
sessões TELNET e SSH.
A CLI suporta os modos de configuração e operacional que proveem comandos de configuração,
monitoramento de software, hardware e conectividade de rede com outros equipamentos.

4.1 MODO OPERACIONAL


Ao realizar o login no equipamento o usuário automaticamente entrará no modo operacional. Neste modo é
possível verificar as informações do equipamento, executar teste de conectividade da rede e outros. Neste
modo, porém, não é possível realizar modificações na configuração do equipamento. Enquanto estiver no
modo operacional, o prompt do CLI irá apresentar como prefixo o nome do host configurado e o caractere $
no final da linha, conforme exemplo:
dm2500:~$

Para verificar a lista de comandos operacionais possíveis basta pressionar o ponto de


interrogação ? ou pressionar a tecla [Tab] no prompt.

204.0301.03 – Agosto/2018 13
DM2500 – Guia de Configuração Rápida Gerenciamento da Configuração

É possível verificar algumas informações do equipamento no modo operacional através dos seguintes
comandos:
Comando Descrição
show inventory Apresenta o inventário do equipamento
show environment Apresenta os valores dos sensores de temperatura
show psu Apresenta os status das fontes de alimentação
show firmware Apresenta a versão de firmware
show configuration Apresenta a configuração atual do equipamento
show system cpu-utilization Apresenta os valores da CPU em uso do equipamento
show system memory Apresenta os valores de memória do equipamento
show system uptime Apresenta o tempo de atividade do equipamento
show system clock Apresenta o horário atual do equipamento
show users Apresenta os usuários conectados no equipamento

É possível executar qualquer comando do modo operacional dentro do modo de configuração adicionando a
palavra-chave run antes do comando. Abaixo um exemplo:
run show configuration

4.2 MODO DE CONFIGURAÇÃO


Para modificar a configuração é necessário entrar no modo de configuração através do seguinte comando:
configure

Ao entrar no modo de configuração, o prompt do CLI irá apresentar o caractere # conforme abaixo:
dm2500#

Para sair do modo de configuração, o usuário deverá usar o comando abaixo:


dm2500# exit

4.3 TIPOS DE CONFIGURAÇÃO


O DM2500 faz uso de três configurações, porém, apenas uma está rodando de fato no equipamento, são elas:
• Configuração candidata (candidate-config): Enquanto o usuário altera a configuração e não realiza o
commit, a configuração é salva temporariamente na configuração candidata. Se o dispositivo reinicializar ou
sair da sessão, a configuração do candidato será perdida.

204.0301.03 – Agosto/2018 14
DM2500 – Guia de Configuração Rápida Gerenciamento da Configuração

• Configuração corrente (running-config): Depois que o usuário executa o comando commit, a


configuração candidata é aplicada à configuração corrente se tornando ativa no equipamento. Se o
dispositivo reinicializar a configuração também será perdida.
• Configuração de inicialização: O uso do comando commit não grava a running-config na
configuração de inicialização. Para garantir que a configuração persista após uma eventual reinicialização do
equipamento, o usuário deverá executar o comando save.

4.4 APLICANDO A CONFIGURAÇÃO CANDIDATA NA RUNNING-CONFIG


Para ativar a configuração candidata no equipamento é necessário copiá-la para a running-config. O
comando a seguir irá aplicar a configuração candidata na running-config.
commit

O usuário também pode confirmar temporariamente uma configuração candidata e aguardar uma
confirmação dentro de um determinado período de tempo (10 minutos por padrão). Se o tempo expirar e o
usuário não confirmar o commit, a configuração será revertida para a anterior e irá reinicializar
automaticamente. O procedimento abaixo demonstra como aplicar a configuração temporária com 5
minutos de tempo de espera.
commit-confirm 5

! Confirmando a aplicação
confirm

4.5 APLICANDO A RUNNING-CONFIG NA CONFIGURAÇÃO DE INICIALIZAÇÃO


Para salvar a configuração corrente do equipamento na configuração de inicialização, o usuário deverá
utilizar o comando save, que é identificada pelo arquivo config.boot. O arquivo config.boot é sempre
referenciado caso não seja especificado um parâmetro para o comando save. O comando save deve ser
executado no modo de configuração.
save
Saving configuration to 'config.boot'...
Done
[edit]

4.6 DESCARTANDO A CONFIGURAÇÃO CANDIDATA


No modo de configuração para apagar todas as alterações executadas até então na configuração candidata o
usuário deverá executar o comando abaixo:
discard

204.0301.03 – Agosto/2018 15
DM2500 – Guia de Configuração Rápida Gerenciamento da Configuração

4.7 VERIFICANDO A CONFIGURAÇÃO


O usuário pode verificar a configuração atual do equipamento utilizando o comando abaixo no modo
operacional:
show configuration

Para verificar a configuração candidata corrente o usuário pode executar o comando show enquanto estiver
no modo de configuração:
show

Para verificar as diferenças entre a configuração atual e a candidata execute o usuário deverá executar o
comando compare:
compare

Quando o usuário realizar um commit, um arquivo contendo as alterações é armazenado. Para verificar a lista
de configurações confirmadas deve-se utilizar o procedimento abaixo:
show system commit

4.8 RESTAURANDO CONFIGURAÇÃO


Se o usuário deseja reverter para a última configuração salva, deve usar o seguinte procedimento:
rollback

O usuário deve usar o comando commit para salvar e aplicar a configuração. É possível salvar a configuração
em partes ou quando todas as alterações forem executadas.
commit

Após o rollback o equipamento requer um reboot. Esteja ciente que durante este
procedimento haverá uma breve interrupção no tráfego de dados do equipamento

4.9 SALVANDO A CONFIGURAÇÃO EM ARQUIVO


O usuário pode salvar a configuração candidata em um arquivo (incluindo as configurações padrão) sem
aplicá-la no equipamento. O comando a seguir salvará a configuração candidata em um arquivo chamado
CANDIDATE-CONFIG:
save CANDIDATE-CONFIG

204.0301.03 – Agosto/2018 16
DM2500 – Guia de Configuração Rápida Gerenciamento da Configuração

4.10 EXPORTANDO OS ARQUIVOS DE CONFIGURAÇÃO


O usuário pode exportar um arquivo de configuração para um servidor SCP, FTP e TFTP externo. O comando a
seguir encaminhará o arquivo via protocolo TFTP salvo como CONFIG_1 para o servidor 172.1.1.1.
save tftp://172.1.1.1/CONFIG_1

4.11 IMPORTANDO OS ARQUIVOS DE CONFIGURAÇÃO


Suponha que o usuário queira carregar no equipamento um arquivo de configuração existente em um
servidor remoto que pode estar configurado com SCP, FTP, HTTP e TFTP. O comando abaixo obtém o arquivo
de configuração config_1 do servidor TFTP 192.168.0.15.
load tftp://192.168.0.15/config_1

O usuário deve usar o comando commit para salvar e aplicar a configuração. É possível salvar a configuração
em partes ou quando todas as alterações forem executadas.
commit

4.12 MANIPULAÇÃO DE ARQUIVOS


Para exibir todos os arquivos salvos, o usuário deve usar o comando abaixo. Uma vez que é um comando de
modo operacional, deve-se adicionar a palavra-chave “run“ na frente do comando quando estiver no modo
de configuração.
show configuration files

É possível exibir o conteúdo de um arquivo de configuração no modo operacional adicionando o nome do


arquivo como parâmetro:
show configuration files file-name

Para deletar um arquivo deve-se usar o seguinte comando:


delete configuration file-name

4.13 CARREGANDO A CONFIGURAÇÃO A PARTIR DE ARQUIVOS


O comando load irá substituir a configuração candidata por aquela contida no arquivo passado como
argumento.
load file-name

204.0301.03 – Agosto/2018 17
DM2500 – Guia de Configuração Rápida

O usuário deve usar o comando commit para salvar e aplicar a configuração. É possível salvar a configuração
em partes ou quando todas as alterações forem executadas.
commit

O usuário também pode mesclar uma configuração condidata com um arquivo salvo. Dessa forma se há
novos comandos no arquivo eles serão carregados para a configuração candidata. Se há comandos
conflitantes com aqueles da configuração candidata eles irão sobrescrever os da configuração candidata.
merge file-name

O usuário deve usar o comando commit para salvar e aplicar a configuração. É possível salvar a configuração
em partes ou quando todas as alterações forem executadas.
commit

4.14 RESTAURANDO A CONFIGURAÇÃO DE FÁBRICA


Para carregar a configuração de fábrica na configuração candidata o usuário deverá executar o comando:
load default

O procedimento a seguir apagará a configuração atual do equipamento e carregará a


configuração de fábrica na sua posição.

O usuário deve usar o comando commit para salvar e aplicar a configuração. É possível salvar a configuração
em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 18
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

5 GERENCIAMENTO DO EQUIPAMENTO
Este capítulo irá guiar o usuário em como proceder com a configuração de gerenciamento equipamento.

5.1 CONFIGURANDO A GERÊNCIA


A gerência do equipamento pode ser realizada através de qualquer interface que possua um endereço IP
atribuído. Interfaces válidas para receber atribuição de endereço IP são as interfaces físicas diretamente,
VLANs e interface de loopback. A seguir é descrito como atribuir um IP de gerência para cada uma dessas
interfaces.

É possível configurar o gerenciamento do equipamento com endereçamento IPv4 ou IPv6

O diagrama abaixo representa uma topologia de rede em que o DM2500 é gerenciado remotamente, os
exemplos a seguir utilizam esta topologia como base.

Figura 3 – Conectando via porta de gerência

5.1.1 Gerência exclusiva através da interface física


Este modelo de atribuição de endereço IP de gerência é recomendado para casos em que é possível dedicar
uma interface física exclusivamente para a gerência do equipamento. Por padrão o IP 192.168.0.25/24 é
atribuído à interface física eth1.
Supondo que o usuário deseja utilizar a gerência através da interface eth1, com IP 172.24.22.1/24 e com
gateway 172.24.22.254. O procedimento a seguir apresentará como realizar esta configuração:
Configuração
configure
delete interfaces ethernet eth1 address 192.168.0.25/24
set interfaces ethernet eth1 address 172.24.22.1/24
set system gateway-address 172.24.22.254

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.

204.0301.03 – Agosto/2018 19
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

5.1.2 Gerência compartilhada através da interface física


Este modelo de atribuição de endereço IP de gerência em uma VLAN é recomendado para casos em que é
necessário compartilhar a interface física entre a gerência do equipamento e o tráfego de dados. Por padrão o
IP 192.168.0.25/24 é atribuído à interface física eth1.
Supondo que o usuário deseja utilizar a gerência através da interface eth1 na VLAN 10, com endereço IPv4
172.24.22.1/24 e com gateway 172.24.22.254. O procedimento a seguir apresentará como realizar esta
configuração:
Configuração
configure
delete interfaces ethernet eth1 address 192.168.0.25/24
set interfaces ethernet eth1 vif 10 address 172.24.22.1/24
set system gateway-address 172.24.22.254

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

5.2 CONFIGURANDO O HOSTNAME


Suponha que o usuário deseja utilizar o nome DATACOM-ROUTER-R1 para identificar o equipamento. O
procedimento abaixo apresenta como realizar esta configuração.
Configuração
configure
host-name DATACOM-ROUTER-R1

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 20
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

5.3 CONFIGURANDO O BANNER


A configuração do banner pode ser realizada para pré-login e pós-login.

O conteúdo do banner deve ser informado em uma única linha e demarcado por aspas
duplas (“ “).

É possível criar o banner com várias linhas utilizando os caracteres \n para executar a
quebra de linha.

O procedimento abaixo informa como configurar o banner pré-login:


Configuração
configure
set system login banner pre-login “Permitido o acesso apenas de\npessoal
autorizado.\n”

O procedimento abaixo informa como configurar o banner pós-login:


Configuração
configure
set system login banner post-login “Bem-vindo ao DM2500\n”

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

5.4 CONFIGURANDO O RELÓGIO E DATA DO SISTEMA


A configuração do relógio e data é importante para visualização de logs e eventos no equipamento. O usuário
pode ajustar o relógio do sistema manualmente no modo operacional. Este comando não exige confirmação.

204.0301.03 – Agosto/2018 21
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

Recomenda-se fazer uso de uma sincronização centralizada através do protocolo NTP.

A sintaxe para configurar a data e hora é: Mês|Dia|Hora|Minuto|Ano.

Suponha que o usuário queira configurar a seguinte data e hora: 08/06/17 15:40. O comando abaixo irá
informar como proceder com esta configuração:
Configuração
set system clock 060815402017

Suponha que o usuário deseje configurar o timezone para a localidade Brazil/East.


Configuração
configure
set system time-zone Brazil/East

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do horário do equipamento. Caso o
usuário esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show system clock

5.5 CONFIGURANDO O HORARIO DE VERÃO


Apesar de que quando configurado o timezone para uma localidade em especifico, automaticamente é
configurado o horário de verão internamente (se tiver) seguindo o padrão de esse timezone, mas imagine que
por medidas governamentais o horário de verão deixa de acontecer nas datas predefinidas.

204.0301.03 – Agosto/2018 22
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

O comando abaixo irá informar como proceder com esta configuração:


Configuração
configure
set system clock summer-time recurring BRST month-to-start 11
set system clock summer-time recurring BRST month-to-end 2
set system clock summer-time recurring BRST time-to-start 00:00
set system clock summer-time recurring BRST time-to-end 00:00
set system clock summer-time recurring BRST week-day-to-start 1
set system clock summer-time recurring BRST week-day-to-end 1
set system clock summer-time recurring BRST week-to-start 1
set system clock summer-time recurring BRST week-to-end 4

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

5.6 CONFIGURANDO O NTP


O NTP (Network Time Protocol) é o protocolo utilizado para sincronizar o relógio do sistema com um servidor
remoto. Esta configuração é importante para visualização de logs e eventos no equipamento. O cenário
abaixo será usado para demonstrar a configuração do NTP.

É possível configurar o NTP com endereçamento IPv4 ou IPv6.

Figura 4 – Configurando o NTP

Suponha que o usuário deseje configurar dois servidores NTP que possuem endereço IPv4 172.24.22.201 e
172.24.22.202. O procedimento abaixo apresenta como realizar esta configuração.
Configuração
configure

204.0301.03 – Agosto/2018 23
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

set system ntp server 172.24.22.201


set system ntp server 172.24.22.202

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação o protocolo NTP. Caso o usuário esteja
no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show ntp

5.7 CONFIGURANDO O SYSLOG REMOTO


De acordo com a RFC5424, o protocolo Syslog é usado para transportar mensagens de notificação de eventos.
O syslog é usado por dispositivos de rede para enviar mensagens de eventos para um servidor externo,
geralmente chamado de Syslog Server. Por exemplo, se uma interface Ethernet for desativada, uma
mensagem será enviada para o servidor externo configurado para alertar esta mudança. Esta configuração é
importante para visualização de logs e eventos dos equipamentos da rede de forma centralizada. O DM2500
não trabalha com a severidade dos logs, neste caso todos os logs serão enviados para o servidor.
O cenário abaixo será usado para demonstrar a configuração do Servidor de Syslog Remoto.

É possível configurar o Syslog Remoto com endereçamento IPv4 ou IPv6.

Figura 5 – Configurando o Syslog Remoto

204.0301.03 – Agosto/2018 24
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

Suponha que o usuário deseja utilizar um servidor syslog remoto que possui o endereço IPv4 10.1.100.7. O
procedimento a seguir apresentará como realizar esta configuração:
Configuração
configure
set system syslog host 10.1.100.7

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação dos logs. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show log
show log tail
clear log

5.8 CONFIGURANDO O SNMP


O SNMP é um protocolo que ajuda os administradores de rede a gerenciar dispositivos de rede e solucionar
problemas de rede. O sistema de gerenciamento de rede é baseado em dois elementos principais: gerente e
agente. O protocolo SNMP possui três versões:
Versão Descrição
SNMP v1
Versão original do SNMP, não tem segurança, pois é baseado em comunidade que é uma
string enviada em texto simples.

SNMP v2c Versão desenvolvida para corrigir alguns dos problemas da v1. No entanto, várias versões
foram desenvolvidas, nenhuma abordando verdadeiramente os problemas com v1. A
versão v2c é a versão mais usada e melhorou o tratamento de protocolos em relação a
versão v1, resultando em operações levemente aprimoradas. No entanto, a segurança
ainda é um problema porque utiliza strings de comunidade em texto simples.
SNMP v3 Versão mais recente do SNMP, suportando segurança e autenticação SHA e MD5
completas, além de suportar criptografia dos pacotes com DES ou AES. Deve ser usado, se
possível, especialmente em redes não confiáveis.

204.0301.03 – Agosto/2018 25
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

É possível configurar o SNMP com endereçamento IPv4 ou IPv6.

O cenário abaixo será usado para demonstrar a configuração do SNMP.

Figura 6 – Configurando o SNMP

Para conectar o equipamento a um servidor SNMPv2 que está na comunidade public com endereço IPv4
172.22.1.152, proceda da seguinte forma:
Configuração
configure
set service snmp community public authorization ro
set service snmp trap-target 172.22.1.252

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

A configuração do SNMP também permite que o usuário consiga habilitar traps por grupos. O procedimento a
seguir apresentará como realizar esta configuração:
Configuração
configure
set service snmp trap-enable cpu-core
set service snmp trap-enable cpu-overall
set service snmp trap-enable dying-gasp
set service snmp trap-enable link-up
set service snmp trap-enable link-down
set service snmp trap-enable login
set service snmp trap-enable memory
set service snmp trap-enable temperature

204.0301.03 – Agosto/2018 26
DM2500 – Guia de Configuração Rápida Gerenciamento do Equipamento

Para conectar o equipamento a um servidor SNMPv3 com usuário userv3 e que possui senha autenticação
em SHA definida como user1234, e com os pacotes sendo criptografados com AES e uma senha pass1234, o
usuário deverá proceder da seguinte forma:
Configuração
configure
set service snmp v3 user userv3 mode ro
set service snmp v3 user userv3 auth plaintext-key user1234
set service snmp v3 user userv3 auth type 'sha'
set service snmp v3 user userv3 privacy plaintext-key pass1234
set service snmp v3 user userv3 privacy type 'aes'
! Configuração do grupo de acesso
set service snmp v3 view OidView oid 1.3.6.1.2.1.1.2.0
set service snmp v3 view OidView oid 1.3.6.1.2.1.1.5.0
set service snmp v3 view OidView oid 1.3.6.1.2.1.2.2.1
set service snmp v3 view OidView oid 1.3.6.1.2.1.25.3.3.1.2
set service snmp v3 group ReadOnlyGroupAuthPriv seclevel priv
set service snmp v3 group ReadOnlyGroupAuthPriv mode ro
set service snmp v3 group ReadOnlyGroupAuthPriv view OidView
set service snmp v3 user userv3 group ReadOnlyGroupAuthPriv

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do SNMP.. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show config | match snmp

204.0301.03 – Agosto/2018 27
DM2500 – Guia de Configuração Rápida Ferramentas de Monitoramento e Conectividade

6 FERRAMENTAS DE MONITORAMENTO E CONECTIVIDADE


O DM2500 fornece ferramentas e protocolos para executar a verificação da conectividade da rede bem como
realizar o monitoramento de fluxos e desempenho.

6.1 CONFIGURANDO O NETFLOW/IPFIX


O serviço de Monitoramento de fluxo permite coletar informações de fluxos IP. O Roteador suporta as versões
5, 9 e 10 do NetFlow, onde a última também é conhecida como IPFIX (IP Flow Information Export) que está
baseado no padrão IETF (Internet Engineering Task Force). Este padrão define como as informações do fluxo
IP são formatadas e transferidas do exportador para o coletor, coletando informações de fluxos IPv4,
conforme mostrado na seguinte figura. O exportador coleta periodicamente informações sobre pacotes que
fluem através do roteador para um registro do fluxo. Então, o exportador envia o registro em um pacote UDP
para o coletor.

Figura 7 – Entendendo o NetFlow/IPFIX

Suponha que o usuário queira monitorar o fluxo das interfaces eth1 e eth2 e deseja encaminhar esta coleta
para o servidor 10.0.120.102 através da porta 4739 utilzando a versão 10 do Netflow. O procedimento a seguir
apresentará como realizar esta configuração:
Configuração
configure
set service netflow destination 10.0.120.102 port '4739'
set service netflow version '10'
set service netflow interface 'eth1'
ser service netflow interface 'eth2'

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 28
DM2500 – Guia de Configuração Rápida Ferramentas de Monitoramento e Conectividade

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Ao configurar NetFlow/IPFIX é possível fornecer uma amostragem determinística ou aleatória para um


subconjunto de tráfego selecionando apenas um pacote em um conjunto de pacotes de forma sequencial (n
é um parâmetro configurável pelo usuário).
Diz-se que a amostragem é determinística se o usuário definir a taxa de amostragem para 1 em cada 100
pacotes, neste ponto o NetFlow/IPFIX examinará os pacotes 1, 101, 201, 301 e assim por diante.
No modo de amostragem aleatória, os pacotes de entrada são selecionados aleatoriamente para que um em
cada n-pacotes sequencias seja selecionado em média para seu processamento.
Configuração
configure
! Amostragem 1 em 100 pacotes
set service netflow sampling-rate 100
! Modo da amostragem
set service netflow sampling-rate 100 mode deterministic

Abaixo os principais comandos disponíveis para realizar a verificação do monitoramento de fluxo. Caso o
usuário esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show netflow export
show netflow stats

6.2 CONFIGURANDO O TWAMP


O protocolo TWAMP (Two-Way Active Measurement Protocol) mede parâmetros de desempenho da rede como
latência, variação da latência e perda de pacotes. A implementação do servidor TWAMP é baseada nas
especificações descritas no RFC 5357.
A arquitetura da solução de servidor no TWAMP define os seguintes componentes lógicos:
 Session-Reflector – Adiciona informações aos pacotes de teste recebidos e os envia de volta.
 Servidor - gerencia várias sessões do TWAMP.
A arquitetura da solução de cliente no TWAMP define os seguintes componentes lógicos:
 Session-Sender - Cria e envia pacotes de teste TWAMP para o Session-Reflector.
 Control-Client - Envia solicitações ao servidor TWAMP para estabelecer novas sessões.

204.0301.03 – Agosto/2018 29
DM2500 – Guia de Configuração Rápida Ferramentas de Monitoramento e Conectividade

Figura 8 – Entendendo o TWAMP

O TWAMP no DM2500 possui algumas restrições conforme indicado na nota abaixo:

- São suportadas até 10 sessões de monitoramento.


- Não há suporte a autenticação/criptografia.
- O reflector é capaz de escutar uma única porta de controle de cada vez.

O cenário abaixo será usado para demonstrar a configuração do TWAMP.

Figura 9 – Configurando o TWAMP

Suponha que o usuário queira configurar um Sender e Reflector se comunicando através da porta 15000
(default é 862). O procedimento a seguir apresentará como realizar esta configuração:
Configuração do Sender
configure
set interfaces ethernet eth1 address 10.10.10.250/24
set service twamp sender session 1 port 15000
set service twamp sender session 1 destination-ip 20.20.20.250
set service twamp sender session 1 source-ip 10.10.10.250
set service twamp sender session 1 time-interval 10
set service twamp sender session 1 session-duration 120
set service twamp sender session 1 packet-size 1280
set service twamp sender session 1 enable

Configuração do Reflector
configure
set interfaces ethernet eth1 address 10.10.20.250/24

204.0301.03 – Agosto/2018 30
DM2500 – Guia de Configuração Rápida Ferramentas de Monitoramento e Conectividade

set service twamp reflector port 15000

No sender é possível configurar a opção para ter medições de forma unidirecionais


Configuração de medições one-way
configure
set service twamp sender session 1 one-way-results

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

É possível configurar TWAMP tanto Sender como Reflector com suporte a IPv6, o que
muda na configuração são os endereços que ao invés de ser IPv4 serão IPv6.

Abaixo os principais comandos disponíveis para realizar a verificação do TWAMP. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show twamp reflector
show twamp reflector clients
show twamp sender session [ <1-10> ]
show twamp sender session [ <1-10> ] details
show twamp sender session [ <1-10> ] details two-way
show twamp sender session [ <1-10> ] details far-end
show twamp sender session [ <1-10> ] details near-end
show twamp debug [ all | tail [ <number> ] ]

6.3 PING E PING6


O comando ping é um método comum para verificar a conectividade do equipamento com os demais ou
para testar algum protocolo específico.

O usuário deve usar a palavra-chave ”run” antes do comando caso estiver no modo de
configuração.

204.0301.03 – Agosto/2018 31
DM2500 – Guia de Configuração Rápida Ferramentas de Monitoramento e Conectividade

Para executar um ping com endereçamento IPv4, seguir o procedimento abaixo:


dm2500:~$ ping 192.168.255.69
PING 192.168.255.69 (192.168.255.69) 56(84) bytes of data.
64 bytes from 192.168.255.69: icmp_seq=1 ttl=64 time=0.157 ms
64 bytes from 192.168.255.69: icmp_seq=2 ttl=64 time=0.087 ms
64 bytes from 192.168.255.69: icmp_seq=3 ttl=64 time=0.085 ms
64 bytes from 192.168.255.69: icmp_seq=4 ttl=64 time=0.110 ms
64 bytes from 192.168.255.69: icmp_seq=5 ttl=64 time=0.119 ms
^C
--- 192.168.255.69 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3997ms
rtt min/avg/max/mdev = 0.085/0.111/0.157/0.028 ms

Para executar um ping com endereçamento IPv6, seguir o procedimento abaixo:


dm2500:~$ ping6 2001:c0a8:ff45::1

PING 2001:c0a8:ff45::1(2001:c0a8:ff45::1) 56 data bytes


64 bytes from 2001:c0a8:ff45::1: icmp_seq=1 ttl=64 time=0.194 ms
64 bytes from 2001:c0a8:ff45::1: icmp_seq=2 ttl=64 time=0.158 ms
64 bytes from 2001:c0a8:ff45::1: icmp_seq=3 ttl=64 time=0.125 ms
64 bytes from 2001:c0a8:ff45::1: icmp_seq=4 ttl=64 time=0.128 ms
64 bytes from 2001:c0a8:ff45::1: icmp_seq=5 ttl=64 time=0.124 ms
^C
--- 2001:c0a8:ff45::1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3996ms
rtt min/avg/max/mdev = 0.124/0.145/0.194/0.031 ms

6.4 TRACEROUTE
O comando traceroute é um método para realizar o diagnóstico da rede informando a conectividade salto a
salto (hop-by-hop) por onde o pacote está passando até o destino final.

O usuário deve usar a palavra-chave ”run” antes do comando caso estiver no modo de
configuração.

Para executar um traceroute com endereçamento IPv4, seguir o procedimento abaixo:


dm2500:~$ traceroute 192.168.255.50
traceroute to 192.168.255.50 (192.168.255.50), 30 hops max, 60 byte packets
1 192.168.73.17 (192.168.73.17) 1.285 ms 1.720 ms 1.764 ms
2 192.168.73.9 (192.168.73.9) 1.109 ms 1.749 ms 1.785 ms
3 192.168.73.1 (192.168.73.1) 1.794 ms 1.977 ms 2.557 ms
4 192.168.72.1 (192.168.72.1) 2.758 ms 3.748 ms 6.502 ms
5 192.168.254.6 (192.168.254.6) 3.022 ms 4.377 ms 5.789 ms
6 192.168.84.22 (192.168.84.22) 1.188 ms 1.340 ms 1.537 ms
7 192.168.84.26 (192.168.84.26) 1.204 ms 1.989 ms 2.130 ms
8 192.168.255.50 (192.168.255.50) 1.979 ms 4.766 ms 5.345 ms

204.0301.03 – Agosto/2018 32
DM2500 – Guia de Configuração Rápida Ferramentas de Monitoramento e Conectividade

Para executar um traceroute com endereçamento IPv6, seguir o procedimento abaixo:


dm2500:~$ traceroute 2014:1ce:1ce:babe::1
traceroute to 2014:1ce:1ce:babe::1 (2014:1ce:1ce:babe::1), 30 hops max, 80 byte
packets
1 1993::c0a8:3001 (1993::c0a8:3001) 1.401 ms 2.601 ms 2.651 ms
2 1996::c0a8:3002 (1996::c0a8:3002) 1.525 ms 1.646 ms 1.863 ms
3 1995::c0a8:3002 (1995::c0a8:3002) 1.630 ms 1.752 ms 2.682 ms
4 1994::c0a8:3001 (1994::c0a8:3001) 3.493 ms 4.772 ms 5.799 ms
5 2002:c0a8:fe11::18 (2002:c0a8:fe11::18) 2.736 ms 4.214 ms 5.313 ms
6 2014:ca11:911:1::8800 (2014:ca11:911:1::8800) 1.212 ms 1.238 ms 1.028 ms
7 2014:1ce:1ce:babe::1 (2014:1ce:1ce:babe::1) 2.407 ms 2.565 ms 3.315 ms

6.5 SSH CLIENT E TELNET CLIENT


É possível acessar outros equipamentos através dos protocolos SSH e TELNET a partir de um DM2500.
Para acessar um equipamento com endereço IPv4 192.168.1.254 através do SSH, o usuário deve usar o
comando abaixo, especificando o usuário a ser autenticado, neste exemplo, o usuário admin:
ssh admin@192.168.1.254

Para acessar um equipamento com endereço IPv4 192.168.1.254 através do TELNET o usuário deve usar o
comando abaixo:
telnet 192.168.1.254

Também é possível acessar outros equipamentos usando endereços IPv6, e hostnames caso o DNS estiver
configurado.

204.0301.03 – Agosto/2018 33
DM2500 – Guia de Configuração Rápida Autenticação de Usuários

7 AUTENTICAÇÃO DE USUÁRIOS
Apenas uma conta de usuário é configurada por padrão no DM2500. O usuário é o admin com senha admin e
possui nível de privilégio admin.

Por razões de segurança é altamente recomendado modificar a senha padrão do


equipamento.

Para alterar a senha padrão do usuário admin, seguir os passos abaixo:


Configuração
configure
set system login user admin authentication plaintext-password new-password

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

7.1 CONFIGURANDO USUÁRIOS LOCAIS


Os próximos passos irão demonstrar como configurar um novo usuário chamado “joao” com senha
“joao1234” e privilégios de administrador “admin”.
Configuração
configure
set system login user joao authentication plaintext-password joao1234
set system login user joao level 'admin'

Os próximos passos irão demonstrar como deletar o usuário “joao”.


Configuração
configure
delete system login user joao

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.

204.0301.03 – Agosto/2018 34
DM2500 – Guia de Configuração Rápida Autenticação de Usuários

commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação dos usuários do equipamento. Caso o
usuário esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show system login user

7.2 CONFIGURANDO O TACACS+


O TACACS+ (Terminal Access Controller Access-Control System) é um protocolo baseado no modelo AAA
(Authentication, Authorization & Accounting) que fornece os serviços de autenticação, autorização e auditoria
de forma segura com criptografia do pacote inteiro. Esta criptografia depende de uma chave secreta
compartilhada em cada dispositivo.

Não é possível configurar o TACACS+ com endereçamento IPv6.

Para configurar o TACACS+, o usuário deve especificar o endereço do servidor e a chave secreta a ser usada
para autenticar os usuários. É recomendável escrever a chave secreta entre aspas simples para permitir
utilizar caracteres especiais.

Suponha que o usuário queira configurar a autenticação, autorização e contabilidade com dois servidores
TACACS+ que possuem IPv4 172.22.107.3 e 172.22.107.4, ambos com a chave secreta @!secreta&*(%). O
procedimento a seguir apresentará como realizar esta configuração:

Configuração
configure
set system login tacplus-server host 172.22.107.3 secret '@!secreta&*(%)'
set system login tacplus-server host 172.22.107.4 secret '@!secreta&*(%)'
set system login tacplus-server authorization
set system login tacplus-server accounting

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 35
DM2500 – Guia de Configuração Rápida Autenticação de Usuários

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do TACACS+. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show tacacs
show tacacs debug

7.3 CONFIGURANDO O RADIUS


O RADIUS (Remote Authentication Dial In User Service) é um protocolo cliente-servidor que protege as redes
contra acesso não autorizado e é baseado no modelo AAA que fornece os serviços de autenticação,
autorização e contabilidade. Os clientes RADIUS neste caso os DM2500 enviam solicitações de autenticação
para um servidor RADIUS central que contém todas as informações de autenticação do usuário e de acesso
ao serviço de rede.

Não é possível configurar o RADIUS com endereçamento IPv6.

Para configurar o RADIUS, o usuário deve especificar o endereço do servidor e a chave secreta a ser usada
para autenticar os usuários. É recomendavel escrever a chave secreta entre aspas simples para permitir
utilizar caracteres especiais.

Suponha que o usuário queira configurar a autenticação, autorização e contabilidade com dois servidores
RADIUS que possuem IPv4 172.22.107.3 e 172.22.107.4, ambos com a chave secreta radius@#3S#Q. O
procedimento a seguir apresentará como realizar esta configuração:

Configuração
configure
set system login radius-server host 172.22.107.3 port '1812'
set system login radius-server host 172.22.107.3 secret 'radius@#3S#Q'
set system login radius-server host 172.22.107.3 timeout '2'
set system login radius-server host 172.22.107.4 port '1812'
set system login radius-server host 172.22.107.4 secret 'radius@#3S#Q'
set system login radius-server host 172.22.107.4 timeout '2'

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 36
DM2500 – Guia de Configuração Rápida Autenticação de Usuários

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do RADIUS. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show radius
show log radius

204.0301.03 – Agosto/2018 37
DM2500 – Guia de Configuração Rápida Interfaces

8 INTERFACES
Este capítulo apresentará como configurar as interfaces disponíveis no equipamento.

Ao definir mais de um endereço IPv4/IPv6 na interface recomenda-se, usar o parâmetro


address-secondary. Caso contrario o endereço primário (endereço que foi definido com o
parâmetro address) será sobrescrito.

8.1 CONFIGURANDO AS INTERFACES ETHERNET

Por padrão, todas as interfaces Ethernet estão desativadas, exceto a interface eth1, que
possui o IP de gerência na configuração padrão.

Para ativar administrativamente uma interface ethernet, o usuário deve utilizar o procedimento abaixo.
Configuração
configure
delete interfaces ethernet eth2 disable

Para desativar administrativamente uma interface ethernet, o usuário deve utilizar o procedimento abaixo.
Configuração
configure
set interfaces ethernet eth2 disable

Interfaces que não estão configuradas ficam desativadas e não aparecem no show configuration. É possível
remover a configuração inteira de uma interface ethernet através do seguinte procedimento:
Configuração
configure
delete interfaces ethernet eth2

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

204.0301.03 – Agosto/2018 38
DM2500 – Guia de Configuração Rápida Interfaces

Abaixo os principais comandos disponíveis para realizar a verificação das interfaces Ethernet. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show interfaces ethernet
show interfaces counters

8.2 CONFIGURANDO AS INTERFACES LOOPBACK


Uma interface de loopback é uma interface especial somente de software que emula uma interface física e
permite que o roteador “conecte-se” a si mesmo. Os pacotes roteados para a interface de loopback são
roteados novamente para o roteador e processados localmente. Os pacotes roteados pela interface de
loopback, mas não destinados à interface de loopback, são descartados.

É possível configurar até quatro interfaces loopback (lo1 até lo4)

Suponha que o usuário queira criar duas interfaces loopback a lo1 e a lo2 com endereços IPv4 e IPv6. O
procedimento a seguir demonstra como realizar esta configuração.
Configuração
configure
set interfaces loopback lo1 address 192.168.255.105/32
set interfaces loopback lo1 address-secondary 192.168.254.105/32
set interfaces loopback lo2 address 177.66.5.1/24
set interfaces loopback lo2 address 2400:c0ca:beef::1/64

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação das interfaces loopback. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show interfaces
show interfaces loopback

204.0301.03 – Agosto/2018 39
DM2500 – Guia de Configuração Rápida

8.3 CONFIGURANDO AS INTERFACES BRIDGE


A configuração da Bridge permite conectar vários segmentos de rede (geralmente segmentos de LAN) no nível
da camada 2 (switching).

Como a Bridge ocorre na camada 2 e os endereços IP são relevantes apenas na camada 3


(routing, a camada de rede), os endereços IP não são permitidos nas interfaces que estão
sendo conectadas.

Podem ser adicionados diretamente a uma Bridge as interfaces Ethernet e as Interfaces


de VLANs.

Suponha que o usuário queira criar uma bridge br1 com endereço IPv4 e IPv6 para conectar as interfaces
ethernet eth2, eth3 e eth4. O procedimento a seguir demonstra como realizar esta configuração.
Configuração
configure
set interfaces bridge br1 address 192.168.10.2/24
set interfaces bridge br1 address 2018:c0ca:cafe::2/64
set interfaces ethernet eth2 bridge-group bridge br1
set interfaces ethernet eth3 bridge-group bridge br1
set interfaces ethernet eth4 bridge-group bridge br1

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação das interfaces Bridge. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show bridge

204.0301.03 – Agosto/2018 40
DM2500 – Guia de Configuração Rápida Serviços de Conexão

9 SERVIÇOS DE CONEXÃO
Alguns provedores de acesso à Internet requerem o uso de PPPoE (Point-to-Point Protocol ver Ethernet) para a
conexão à Internet . Também podem utilizar o protocolo DHCP (Dynamic Host Configuration Protocol) para
realizar a atribuição dinâmica de endereços IPs, DNS, gateway, entre outros. Este capítulo abordará como
configurar estes tipos de serviços no DM2500.

9.1 CONFIGURANDO UM CLIENTE DHCP


É possível configurar um cliente DHCPv4 vinculado a uma interface Ethernet para atribuição dinâmica de IPv4
conforme determinação de um servidor DHCPv4.
Suponha que o usuário queira obter o endereço IPv4 através da interface eth4. Os próximos passos irão
mostrar como realizar estas configurações.
Configuração
configure
set interfaces ethernet eth4 address dhcp

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do DHCP Client. Caso o usuário esteja
no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show dhcp client leases
show interfaces ethernet

9.2 CONFIGURANDO UM SERVIDOR DHCPV4


O DM2500 oferece a funcionalidade de servidor DHCPv4. Através desse recurso o equipamento pode atribuir
endereços IPv4 a outros elementos conectados na mesma sub-rede.
Supondo que o usuário deseja configurar um servidor DHCPv4 na rede 10.10.10.0/24 no range 10.10.10.5 até
10.10.20. Também deseja que um servidor identificado por um MAC específico receba o endereço 10.10.10.2 e
que a validade dos IPs concedidos até o processo de renovação dure 24 horas. Os próximos passos irão
mostrar como realizar estas configurações.
Configuração

configure
set interfaces ethernet eth3 address '10.10.10.1/24'

204.0301.03 – Agosto/2018 41
DM2500 – Guia de Configuração Rápida Serviços de Conexão

set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24


lease 86400
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24
dns-server 10.10.10.1
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24
default-router 10.10.10.1
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24
start 10.10.10.5 stop 10.10.10.20
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24
domain-name dhcp-internal
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24
static-mapping SERVER-10-2 ip-address 10.10.10.2
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24
static-mapping SERVER-10-2 mac-address 00:04:df:cc:3a:04

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do DHCP Server. Caso o usuário esteja
no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show dhcp server leases
show dhcp server statistics

9.3 CONFIGURANDO UM CLIENTE DHCPV6


É possível configurar um cliente DHCPv6 vinculado a uma interface Ethernet para atribuição dinâmica de IPv6
conforme determinação de um servidor DHCPv6.
Suponha que o usuário deseja que o endereço IPv6 da interface Ethernet eth4 seja atribuído dinamicamente
a partir de um servidor DHCPv6 conectado a ela. Os próximos passos irão mostrar como realizar estas
configurações.
Configuração
configure
set interfaces ethernet eth4 address dhcpv6

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 42
DM2500 – Guia de Configuração Rápida Serviços de Conexão

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do cliente DHCPv6. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show interfaces

9.4 CONFIGURANDO UM CLIENTE PPPOE


O encapsulamento PPPoE (Point-to-Point Protocol over Ethernet) para uma interface Ethernet está definido
na RFC2516. Esse tipo de interface é modelado como ponto-a-ponto e é usado para conectar-se a um ponto
da rede com suporte a PPPoE. Com o encapsulamento PPPoE, os endereços IP locais e remotos podem ser
negociados automaticamente em vez de explicitamente especificados pelo usuário. Por padrão a negociação
é executada automaticamente se os endereços não forem especificados.

A sessão PPPoE apenas pode ser configurada para funcionar com endereços IPv4, e é
possível configurar até 15 interfaces PPPoE.

Suponha que o usuário deseja estabelecer uma sessão PPPoE usando a interface pppoe 15 a qual está
associada com a interface ethernet eth1. Os próximos passos irão mostrar como realizar estas configurações.
Configuração
configure
set interfaces pppoe 15 user-id user1@datacom.com.br
set interfaces pppoe 15 password d4t4c0m
set interface ethernet eth1 pppoe 15

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

204.0301.03 – Agosto/2018 43
DM2500 – Guia de Configuração Rápida Serviços de Conexão

Abaixo os principais comandos disponíveis para realizar a verificação do cliente PPPoE. Caso o usuário esteja
no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show interfaces
show interfaces pppoe
show interfaces pppoe <interface pppoe> log

204.0301.03 – Agosto/2018 44
DM2500 – Guia de Configuração Rápida Roteamento

10 ROTEAMENTO
O roteamento é o processo de encaminhar pacotes ao seu destino usando endereços de rede. O roteamento
é executado por dispositivos capazes de trocar informações necessárias para criar tabelas contendo
informações de caminho para chegar a um destino, usando protocolos de roteamento dinâmicos ou entradas
atribuídas manualmente.
Os protocolos de roteamento dinâmico, como o OSPF, reúnem as informações necessárias dos dispositivos
vizinhos para criar sua tabela de roteamento, usada para determinar para onde o tráfego será enviado.
Como alternativas aos métodos dinâmicos, existem rotas estáticas. As rotas estáticas são recomendadas em
roteadores que possuem poucas redes e menos caminhos para o destino.
As informações recebidas através dos protocolos de roteamento são adicionadas em uma tabela chamada
RIB (Routing Information Base) que é a base para o cálculo da definição do melhor caminho. O resultado do
cálculo da rota é a FIB (Forwarding Information Base) que contém as informações que os dispositivos utilizam
para rotear o tráfego.

10.1 CONFIGURANDO ROTEAMENTO ESTÁTICO E ROTEAMENTO ENTRE VLANS


O roteamento estático tem por objetivo encaminhar pacotes entre redes distintas com a configuração das
rotas de forma manual pelos administradores de rede. Por padrão, VLANs diferentes não se comunicam, pois
estão em domínios de broadcast exclusivos.
Para que a comunicação entre duas VLANs seja realizada, é necessário utilizar um roteador ou uma forma de
roteamento no próprio equipamento. O roteamento entre VLANs permite esta comunicação. A rede associada
à interface L3 é inserida na tabela de roteamento e pode ser acessada por outras redes.
O cenário abaixo será usado para demonstrar a configuração do roteamento estático e entre VLANs.

Figura 10 – Configurando o roteamento estático e entre VLANs

Suponha que o usuário deseje permitir o roteamento entre as VLAN 100 e VLAN 200 na interface ethernet eth1
e a VLAN 2 na interface eth2 para ser utilizada como rota default estática onde o gateway possui o endereço
IPv4 10.10.0.1/30. Os próximos passos irão mostrar como realizar estas configurações.

204.0301.03 – Agosto/2018 45
DM2500 – Guia de Configuração Rápida Roteamento

Configuração

configure
set interfaces ethernet eth1 vif 100 address 192.168.100.1/24
set interfaces ethernet eth1 vif 200 address 192.168.200.1/24
set interfaces ethernet eth2 vif 2 address 10.10.0.2/30
set system gateway-address 10.10.0.1

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação das rotas. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show ip route

10.2 CONFIGURANDO O PBR


O roteamento baseado em políticas (Policy-based routing PBR) permite ao usuário usar regras de tráfego IP
para classificar o tráfego com base em seus atributos e aplicar processamento diferencial de acordo com sua
classificação e rotear seletivamente os pacotes IP, por exemplo, para um próximo salto alternativo.
Todos os pacotes recebidos em uma interface são considerados para roteamento baseado em políticas,
desde que a interface seja atribuída a uma politica de roteamento. Quando nenhuma política de roteamento
é aplicada, as decisões de roteamento são feitas usando a tabela de roteamento padrão (main) do sistema.
As políticas PBR podem ser aplicadas a interfaces do data-plane para tráfego de entrada, mas não para
interfaces loopback, túnel ou bridge. No DM2500 o usuário não pode aplicar políticas PBR a pacotes gerados
localmente.
O cenário abaixo será usado para demonstrar a configuração do PBR.

Figura 11 – Configurando o PBR

204.0301.03 – Agosto/2018 46
DM2500 – Guia de Configuração Rápida Roteamento

Suponha que o usuário deseja configurar uma política PBR nas VLANs 10 e 20 que estão configuradas na
interface eth1, para que o tráfego originado na rede 192.168.10.0/24 seja encaminhado pelo próximo salto
192.168.100.1 que é alcançável via interface eth2, e para o tráfego originado na rede 192.168.20.0/24 seja
encaminhado pelo próximo salto 192.168.200.1 que é alcançável via interface eth3. Os próximos passos irão
mostrar como realizar estas configurações.
Configuração
configure
set interface ethernet eth1 vif 10 address 192.168.10.1/24
set interface ethernet eth1 vif 20 address 192.168.20.1/24
set interface ethernet eth2 address 192.168.100.2/30
set interface ethernet eth3 address 192.168.200.2/30
set policy route PBR-LAN rule 10 destination address 0.0.0.0/0
set policy route PBR-LAN rule 10 source address 192.168.10.0/24
set policy route PBR-LAN rule 10 set table 10
set policy route PBR-LAN rule 20 destination address 0.0.0.0/0
set policy route PBR-LAN rule 20 source address 192.168.20.0/24
set policy route PBR-LAN rule 20 set table 20
set interfaces ethernet eth1 policy route PBR-LAN
set protocols static table 10 route 0.0.0.0/0 next-hop 192.168.100.1
set protocols static table 20 route 0.0.0.0/0 next-hop 192.168.200.1

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do PBR. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show policy route
show ip route

10.3 CONFIGURANDO O RIP


O RIP (Routing Information Protocol) é um protocolo de roteamento dinâmico adequado para redes pequenas
e homogêneas. É classificado como um protocolo de gateway interior (IGP) e emprega o algoritmo de
roteamento de vetor de distância. O RIP determina o melhor caminho, contando os saltos até o destino. A
contagem máxima de saltos é 15 (16 é considerada uma distância infinita), tornando o RIP menos adequado
para grandes redes.
O cenário abaixo será usado para demonstrar a configuração do RIP.

204.0301.03 – Agosto/2018 47
DM2500 – Guia de Configuração Rápida Roteamento

Figura 12 – Configurando o RIP

Suponha que o usuário deseja configurar uma sessão RIP através da interface eth2 pelo endereço IPv4
10.0.40.1/30 e também deseja divulgar a rede 10.0.30.0/24 que está conectada pela eth4. Os próximos passos
irão mostrar como realizar estas configurações.
Configuração

configure
set interfaces ethernet eth2 address 10.0.40.1/30
set interfaces ethernet eth4 address 10.0.30.1/24
set protocols rip network 10.0.30.0/24
set protocols rip interface eth2

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do RIP. Caso o usuário esteja no nível de
configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting

show ip route
show ip rip status
show ip rip

10.4 CONFIGURANDO O RIPNG


O RIPng (Routing Information Protocol next generation) é um protocolo de roteamento dinâmico adequado
para redes IPv6 pequenas e homogêneas. É classificado como um protocolo de gateway interior (IGP) e
emprega o algoritmo de roteamento de vetor de distância. O RIPng determina o melhor caminho contando os
saltos até o destino. A contagem máxima de saltos é 15 (16 é considerada uma distância infinita), tornando o
RIPng menos adequado para grandes redes. RIPng é uma extensão do RIP versão 2 para IPv6.

204.0301.03 – Agosto/2018 48
DM2500 – Guia de Configuração Rápida Roteamento

O cenário abaixo será usado para demonstrar a configuração do RIPng.

Figura 13 – Configurando o RIPng

Suponha que o usuário deseja configurar uma sessão RIP através da interface eth2 pelo endereço IPv6
2001:cafe:1::1/64 e também deseja divulgar a rede 2001:cafe:4::/64 que está conectada pela eth4. Os
próximos passos irão mostrar como realizar estas configurações.
Configuração

configure
set interfaces ethernet eth2 address 2001:cafe:1::1/64
set interfaces ethernet eth4 address 2001:cafe:4::1/64
set protocols ripng network 2001:cafe:4::/64
set protocols ripng interface eth2

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do RIPng. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show ipv6 route
show ipv6 ripng status
show ipv6 ripng

10.5 CONFIGURANDO O OSPFV2


O OSPFv2 (Open Shortest Path First version 2) é o IGP (Internal Gateway Protocol) descrito pela RFC 2328
(versão 2) para roteamento de endereços IPv4. Este protocolo é utilizado dentro de um mesmo AS

204.0301.03 – Agosto/2018 49
DM2500 – Guia de Configuração Rápida Roteamento

(Autonomous System), justificando a sua denominação de Internal. É baseado no algoritmo de Dijkstra, que
calcula o caminho mais curto para cada destino com base nos custos de cada link.
O cenário abaixo será usado para demonstrar a configuração do OSPFv2.

Figura 14 – Configurando o OSPF

Recomenda-se usar a interface loopback ao invés das interfaces físicas devido à


estabilidade, pois estão sempre ativas.

Suponha que o usuário queira realizar um sessão OSPF na área 8048 com network-type do tipo ponto-a-ponto
através das seguintes configurações:
- DM2500: Interface eth1 na VLAN 503 com endereço IPv4 192.168.72.5/30 e interface loopback com
IPv4 192.168.255.41/32 sendo utilizada como router-id no OSPFv2 na área 0. O DM2500 também irá
divulgar a rede 192.168.64.0/22 no qual está conectada pela interface eth3.
Configuração
configure
set interfaces loopback lo address 192.168.255.41/32
set interfaces ethernet eth1 vif 503 address 192.168.72.5/30
set interfaces ethernet eth1 vif 503 ip ospf network point-to-point
set interfaces ethernet eth3 address 192.168.64.1/22
set protocols ospf area 8048 network 192.168.255.41/32
set protocols ospf area 8048 network 192.168.72.4/30
set protocols ospf area 8048 network 192.168.64.0/22
set protocols ospf log-adjacency-changes detail
set protocols ospf parameters abr-type standard
set protocols ospf parameters router-id 192.168.255.41

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

204.0301.03 – Agosto/2018 50
DM2500 – Guia de Configuração Rápida Roteamento

Abaixo os principais comandos disponíveis para realizar a verificação do OSPFv2. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting

show ip ospf
show ip ospf neighbors

10.5.1 Configurando filtragem de LSAs


O recurso de filtragem de anúncios LSAs do tipo 3 (Summary) estende a capacidade de um ABR que está
executando o protocolo OSPFv2 para filtrar LSAs do tipo 3 entre diferentes áreas OSPF. Esse recurso permite
que apenas prefixos especificados sejam enviados de uma área para outra e restringe todos os outros
prefixos. Esse tipo de filtragem por área pode ser aplicado fora de uma área específica, em uma área
específica, ou dentro e fora das áreas OSPF ao mesmo tempo.
Os seguintes casos mostram ao usuário como configurar a filtragem de LSAs de diferentes maneiras:
10.5.1.1 Filtragem de LSAs anunciadas para outras áreas
Suponha que o usuário deseja filtrar LSAs do tipo 3 (Summary) as quais são anunciadas para outras áreas de
rotas intra-area de uma área especifica. A seguinte configuração com uma breve explicação demonstra como
pode ser feito esse tipo de filtragem.
Configuração
configure
set policy access-list 5 rule 1 action 'permit'
set policy access-list 5 rule 1 source inverse-mask '0.0.255.255'
set policy access-list 5 rule 1 source network '10.10.0.0'
set protocols ospf area 0 network '192.168.254.0/30'
set protocols ospf area 5 network '10.0.0.0/8'
set protocols ospf area 5 export-list 5
set protocols ospf parameters router-id '192.168.255.55'

No exemplo acima, qualquer rota intra-área da área 5 e do range 10.10.0.0/16 (por exemplo, 10.10.1.0/24 e
10.10.2.128/30) serão anunciados para outras áreas como um LSA Summary, de Tipo 3 mas quaisquer outros
(por exemplo, 10.11.0.0/16 ou 10.128.30.16/30) não. Esta configuração só é relevante se o roteador for um ABR
para a área especificada.

10.5.1.2 Filtragem de LSAs anunciadas para a área especificada


Suponha que o usuário deseja filtrar LSAs do tipo 3 (Summary) sendo anunciados para dentro da área
especificada. A seguinte configuração com uma breve explicação demonstra como pode ser feito esse tipo de
filtragem.
Configuração
configure
set policy access-list 5 rule 1 action 'permit'
set policy access-list 5 rule 1 source inverse-mask '0.0.255.255'
set policy access-list 5 rule 1 source network '10.20.0.0'
set protocols ospf area 0 network '192.168.254.0/30'
set protocols ospf area 5 network '10.0.0.0/8'

204.0301.03 – Agosto/2018 51
DM2500 – Guia de Configuração Rápida Roteamento

set protocols ospf area 5 import-list 5


set protocols ospf parameters router-id '192.168.255.55'

No exemplo acima, qualquer rota anunciada dentro da área 5 e do range 10.20.0.0/16 será anunciada na área
como LSAs do tipo 3, mas quaisquer outras não. Esta configuração só é relevante se o roteador for um ABR
para a área especificada.

10.5.1.3 Filtragem de LSAs usando prefix-list


A filtragem de LSAs to tipo 3 (Summary) também pode ser configurada como nos exemplos anteriores, mas
usando prefix-lists e especificando a direção da filtragem (inbound ou outbound). A seguinte configuração
demonstra como pode ser feito esse tipo de filtragem.
Configuração
configure
set policy prefix-list Deny-Route-192 rule 1 action 'deny'
set policy prefix-list Deny-Route-192 rule 1 le '32'
set policy prefix-list Deny-Route-192 rule 1 prefix '192.168.20.0/24'
set policy prefix-list Deny-Route-192 rule 2 action 'permit'
set policy prefix-list Deny-Route-192 rule 2 le '32'
set policy prefix-list Deny-Route-192 rule 2 prefix '0.0.0.0/0'
set protocols ospf area 0 network '192.168.254.0/30'
set protocols ospf area 5 network '10.0.0.0/8'
set protocols ospf area 5 filter-list out 'Deny-Route-192'
set protocols ospf parameters router-id '192.168.255.55'

O exemplo acima permite filtrar uma rota com o prefixo 192.168.20.0/24 que está sendo propagada na área 5,
mas que atualmente está sendo repassada para todo o dominio OSPF. Para isso é configurado um filter-list
no ABR com a área 5 e com ajuda do prefix-list o usuario poderá fazer o bloqueio do prefixo 192.168.20.0/24

10.6 CONFIGURANDO O BGP IPV4


O protocolo BGP (Border Gateway Protocol) é o protocolo usado para a troca de informações de roteamento
entre AS (autonomous-system) na Internet. Ao estabelecer uma vizinhança com um AS diferente, o BGP é
chamado de eBGP (external BGP) e quando a vizinhança é estabelecida entre roteadores do mesmo AS, o BGP
é chamado de iBGP (internal BGP).
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com endereçamento IPv4 no
mesmo AS, ou seja, iBGP.

Figura 15 – Configurando o BGP

204.0301.03 – Agosto/2018 52
DM2500 – Guia de Configuração Rápida Roteamento

Suponha que o usuário queira estabelecer uma sessão iBGP no AS27686 através das seguintes configurações:
- DM2500: Interface eth5 na VLAN 377 com endereço IPv4 192.168.84.13/30 sendo utilizada para
comunicação do BGP no AS 27686. O DM2500 tambem irá divulgar a rede 150.185.128.0/19 no qual
está conectada pela interface eth2 através da redistribuição das rotas conectadas.
Configuração
configure
set interfaces ethernet eth5 vif 377 address 192.168.84.14/30
set interfaces ethernet eth2 address 150.185.128.1/19
set protocols bgp 27686 neighbor 192.168.84.13 nexthop-self
set protocols bgp 27686 neighbor 192.168.84.13 soft-reconfiguration inbound
set protocols bgp 27686 neighbor 192.168.84.13 remote-as 27686
set protocols bgp 27686 redistribute connected
set protocols bgp 27686 parameters log-neighbor-changes

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do BGP IPv4. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show ip bgp summary
show ip bgp neighbors

10.7 CONFIGURANDO O BGP IPV6


O protocolo BGP (Border Gateway Protocol) é o protocolo usado para a troca de informações de roteamento
entre AS (autonomous-system) na Internet. Ao estabelecer uma vizinhança com um diferente AS, o BGP é
chamado de eBGP (external BGP) enquanto que, quando a vizinhança é estabelecida entre roteadores do
mesmo AS, o BGP é chamado de iBGP (internal BGP).
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com endereçamento IPv6 em
diferentes AS, ou seja, eBGP.

Figura 16 – Configurando o BGP IPv6

204.0301.03 – Agosto/2018 53
DM2500 – Guia de Configuração Rápida Roteamento

Suponha que o usuário queira estabelecer uma sessão eBGP entre os AS65300 e AS65500 através das
seguintes configurações:
- DM2500: Interface eth2 na VLAN 101 com endereço IPv6 2001::2/64 sendo utilizada para
comunicação do BGP no AS 65300. O DM2500 tambem irá divulgar a rede 2001:cafe:0/48 no qual está
conectada pela interface eth3 através da redistribuição das rotas conectadas.
Configuração
configure
set interfaces ethernet eth2 vif 101 address '2001::2/64'
set interfaces ethernet eth3 address '2001:cafe::1/48'
set protocols bgp 65300 neighbor 2001::1 address-family ipv6-unicast soft-
reconfiguration 'inbound'
set protocols bgp 65300 neighbor 2001::1 remote-as '65500'
set protocols bgp 65300 address-family ipv6-unicast redistribute connected

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do BGP IPv4. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show ipv6 bgp summary
show ipv6 bgp neighbors

10.8 CONFIGURANDO O BFD


O BFD (Bidirectional Forwarding Detection) é um protocolo para detecção de falhas em um caminho ou link
entre duas interfaces. Ele pode ser habilitado para rotas estáticas, BGP ou OSPF. Sua utilização possibilita que
os referidos protocolos possam convergir de maneira mais rápida e eficaz quando ocorre alguma falha no
caminho utilizado por alguma das rotas.
Para cada link ou caminho que é monitorado pelo BFD é criada uma sessão. Esta sessão pode ser
parametrizada através dos valores:
 Minrx (Desired Minimum Receive Interval) – É o interval mínimo em microssegundos, entre pacotes
de controle BFD recebidos que o requer no momento atual.
 Mintx (Required Minimum Transmit Interval) – É o intervalo mínimo em microssegundos, entre
pacotes de controle BFD transmitidos que o sistema deseja usar no momento atual.

204.0301.03 – Agosto/2018 54
DM2500 – Guia de Configuração Rápida Roteamento

 Multipler (Detection Multiplier) – O intervalo negociado de transmissão do pacote de controle,


multiplicado por essa variável, será o tempo de detecção para a sessão BFD.

set protocols bfd interface <interface> mintx <50-10000>


set protocols bfd interface <interface> minrx <50-10000>
set protocols bfd interface <interface> multiplier <3-255>

Estas configurações são globais por interface, ou seja, todas as sessões criadas em uma
dada interface serão configuradas com os valores inseridos nessa interface.

- As sessões BFD funcionam apenas no modo single-hop.


- Não há suporte ao modos “Echo mode” e “Demand Mode”.
- Não há suporte ao endereçamento IPv6.

10.8.1 BFD nas rotas estáticas


O BFD pode ser configurado nas rotas estáticas para todas as interfaces, uma interface específica, ou apenas
para uma rota estática.

Só é possível habilitar o BFD em uma rota estática se existir uma interface com IP na
mesma rede do IP configurado como “next-hop” da Rota Estática.

Para ativar o BFD em todas as rotas estáticas em todas as interfaces, o usuário deverá executar o seguinte
procedimento:
Configuração
configure
set protocols static bfd all-interfaces

Para ativar o BFD somente nas rotas estáticas de uma interface específica, o usuário deverá executar o
seguinte procedimento:
Configuração
configure
set protocols static bfd interface <interface>

Para ativar o BFD somente em uma rota estática específica, o usuário deverá executar o seguinte
procedimento:

204.0301.03 – Agosto/2018 55
DM2500 – Guia de Configuração Rápida Roteamento

Configuração
configure
set protocols static route <network/mask> next-hop <next-hop-ip> bfd

O cenário abaixo será usado para demonstrar a configuração do BFD habilitado em rotas estáticas.

Figura 17 – Rota estática com BFD

Assumindo o cenário acima, os próximos passos irão demonstrar como configurar o BFD habilitado em rotas
estáticas:
Configuração
configure
! Configurações no DM25_1
set interfaces ethernet eth1 address 1.1.1.1/24
set interfaces ethernet eth2 address 10.10.10.1/24
set protocols static route 20.20.20.0/24 next-hop 1.1.1.2
set protocols static route 20.20.20.0/24 next-hop 1.1.1.2 bfd
! Configurações no DM25_2
set interfaces ethernet eth1 address 1.1.1.2/24
set interfaces ethernet eth2 address 20.20.20.2/24
set protocols static route 10.10.10.0/24 next-hop 1.1.1.1
set protocols static route 10.10.10.0/24 next-hop 1.1.1.2 bfd

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

10.8.2 BFD no OSPF


O BFD pode ser configurado no OSPFv2 para todas as interfaces ou para uma interface específica.
Para ativar o BFD em todas as interfaces participantes do OSPF, o usuário deverá executar a seguinte
configuração:

204.0301.03 – Agosto/2018 56
DM2500 – Guia de Configuração Rápida Roteamento

Configuração
configure
set protocols ospf bfd all-interfaces

Para ativar o BFD em apenas uma interface participante do OSPF, o usuário deverá executar a seguinte
configuração:
Configuração
configure
set protocols ospf bfd interface <interface>

O cenário abaixo será usado para demonstrar a configuração do BFD habilitado com OSPF.

Figura 18 – OSPF com BFD

Segue um exemplo de configuração do BFD com OSPF baseado no cenário acima:


Configuração
configure
! Configurações no DM25_1
set interfaces ethernet eth1 address '1.1.1.1/24'
set interfaces loopback lo address '10.0.0.1/32'
set protocols ospf area 1 network '10.0.0.1/32'
set protocols ospf area 1 network '1.1.1.0/24'
set protocols ospf bfd interface eth1
! Configurações no DM25_2
set interfaces ethernet eth1 address '1.1.1.2/24'
set interfaces loopback lo address '10.0.0.2/32'
set protocols ospf area 1 network '10.0.0.2/32'
set protocols ospf area 1 network '1.1.1.0/24'
set protocols ospf bfd interface eth1

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

204.0301.03 – Agosto/2018 57
DM2500 – Guia de Configuração Rápida Roteamento

10.8.3 BFD no BGP


O BFD pode ser configurado para um neighbor BGP através do comando “fall-over” conforme o procedimento
descrito abaixo:
Configuração
configure
set protocols bgp <bgp_id> neighbor <neighbor_ip> fall-over bfd

O cenário abaixo será usado para demonstrar a configuração do BFD habilitado com BGP.

Figura 19 – BGP com BFD

Segue um exemplo de configuração do BFD com BGP baseado no cenário acima:


Configuração
configure
! Configurações no DM25_1
set interfaces ethernet eth1 address 1.1.1.1/24
set interfaces loopback lo address 10.0.0.1/32
set protocols bgp 1 neighbor 1.1.1.2 remote-as 2
set protocols bgp 1 redistribute connected
set protocols bgp 1 neighbor 1.1.1.2 fall-over bfd
! Configurações no DM25_2
set interfaces ethernet eth1 address 1.1.1.2/24
set interfaces loopback lo address 10.0.0.2/32
set protocols bgp 2 neighbor 1.1.1.1 remote-as 1
set protocols bgp 2 redistribute connected
set protocols bgp 2 neighbor 1.1.1.1 fall-over bfd

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do BFD. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.

204.0301.03 – Agosto/2018 58
DM2500 – Guia de Configuração Rápida Roteamento

Troubleshooting
show bfd
show bfd session
show bfd session detail

10.9 CONFIGURANDO O VRRP


O VRRP (Virtual Router Redundancy Protocol) tem por objetivo eliminar o ponto único de falha
disponibilizando um ou mais equipamentos para serem gateways de uma LAN caso o gateway principal fique
indisponível. O protocolo controla os endereços IP associados a um roteador virtual, no qual um dos
equipamentos é eleito como o Master e os demais são eleitos como Backup. No DM2500, o VRRP é suportado
nas interfaces físicas, e nas sub-interfaces (VLAN interfaces).

O DM2500 tem suporte a versão VRRP (com suporte a endereçamento IPv4, descrito pelas
RFCs 2338 e 3768).

O roteador configurado com a maior prioridade será inicialmente eleito como Master. Se
todos os roteadores tiverem a mesma prioridade, o roteador com o endereço IP mais alto
será eleito como Master.

É recomendado habilitar a função de preemption que permitirá que o roteador que era
master antes de uma falha, ao retornar da falha assuma novamente a posição de master.

O cenário abaixo será usado para demonstrar a configuração do VRRP.

Figura 20 – VRRP

Assumindo o cenário conforme o diagrama acima, temos o seguinte exemplo para configurar o VRRP:

204.0301.03 – Agosto/2018 59
DM2500 – Guia de Configuração Rápida Roteamento

Configuração - Master
configure
set interfaces ethernet eth2 address '192.168.253.105/24'
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication password 'd4t4c0m'
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication type 'ah'
set interfaces ethernet eth2 vrrp vrrp-group 254 preempt 'true'
set interfaces ethernet eth2 vrrp vrrp-group 254 priority '200'
set interfaces ethernet eth2 vrrp vrrp-group 254 virtual-address '192.168.253.41'
set interfaces ethernet eth4 vif 4056 address '192.168.45.105/24'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication password 'd4t4c0m'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication type 'ah'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 preempt 'true'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 priority '200'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 virtual-address '192.168.45.1'

Configuração - Backup
configure
set interfaces ethernet eth2 address '192.168.253.106/24'
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication password 'd4t4c0m'
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication type 'ah'
set interfaces ethernet eth2 vrrp vrrp-group 254 preempt 'true'
set interfaces ethernet eth2 vrrp vrrp-group 254 priority '200'
set interfaces ethernet eth2 vrrp vrrp-group 254 virtual-address '192.168.253.41'
set interfaces ethernet eth4 vif 4056 address '192.168.45.106/24'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication password 'd4t4c0m'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication type 'ah'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 preempt 'true'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 priority '200'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 virtual-address '192.168.45.1'

O próximo exemplo baseia-se no exemplo anterior, incluindo todas as interfaces em um grupo de


sincronização para que, se uma das interfaces no Master falhar em qualquer um dos grupos VRRP, todas as
interfaces que controlam o Master passem a ser interfaces em um roteador backup.
Configuração - Master
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 sync-group 'DATACOM_SYNC'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 sync-group 'DATACOM_SYNC'

Configuração - Backup
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 sync-group 'DATACOM_SYNC'
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 sync-group 'DATACOM_SYNC'

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

204.0301.03 – Agosto/2018 60
DM2500 – Guia de Configuração Rápida Roteamento

Abaixo os principais comandos disponíveis para realizar a verificação do VRRP. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show vrrp
show vrrp detail
show vrrp interfaces <interface>
show vrrp statistics
show vrrp sync-group

204.0301.03 – Agosto/2018 61
DM2500 – Guia de Configuração Rápida QoS - Qualidade de Serviço

11 QOS - QUALIDADE DE SERVIÇO


O QoS (Quality of Service) é um conjunto de mecanismos e algoritmos utilizados para classificar e organizar o
tráfego na rede. O objetivo principal é garantir que serviços que necessitem qualidade de transmissão na rede
(latência, jitter e largura de banda), por exemplo: voz sobre IP (VoIP) ou multicast funcionem adequadamente.

11.1 CONFIGURANDO O RATE LIMIT


O Rate limit é a funcionalidade que limita a taxa máxima de tráfego que uma interface ou VLAN poderá
encaminhar (out) ou receber (in). O cenário abaixo será usado para demonstrar a configuração do Rate Limit.

Figura 21 – Configurando o Rate Limit

Os próximos passos irão demonstrar como configurar o acesso à Internet com tráfego limitado na entrada e
na saída através dos mecanismos de controle de banda do DM2500 com característica assimétrica do ponto
de vista do usuário. Suponha que o usuário deseja obter taxa de download de 50 Mbps e upload de 10 Mbps,
sendo utilizada a interface eth1 para o acesso e o uplink na interface eth2 com a VLAN 300.
Configuração
configure
set traffic-policy rate-control WAN_OUT bandwidth 10mbit
set interfaces ethernet eth2 vif 300 traffic-policy out WAN_OUT
set traffic-policy limiter WAN_IN default bandwidth 50mbit
set interfaces ethernet eth2 vif 300 traffic-policy in WAN_IN

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

11.2 CONFIGURANDO A CLASSIFICAÇÃO E PRIORIZAÇÃO DE TRÁFEGO DE SAÍDA


A classificação e priorização do tráfego de saída são úteis para garantir que determinados tipos de tráfego
sejam priorizados em detrimento de outros nas situações em que ocorra congestionamento no tráfego de
saída. O cenário abaixo será usado para demonstrar a configuração destes mecanismos.

204.0301.03 – Agosto/2018 62
DM2500 – Guia de Configuração Rápida QoS - Qualidade de Serviço

Figura 22 – Configurando da classificação e priorização

Suponha que o usuário deseja classificar e priorizar os pacotes em quatro categorias. Os pacotes serão
destinados para a interface de uplink eth2 que possui um link de 10 Mbps com a Internet.
 Pacotes de controle e sinalização VoIP (SIP) – pacotes provenientes da interface eth3 serão
marcados com DSCP 26 e terão reserva de 10% da banda, com primeira prioridade (priority 0) e fila
tipo drop-tail.
 Pacotes de dados VoIP (RTP) – pacotes provenientes da interface eth3 serão marcados com DSCP 46
e terão reserva de 35% da banda, com segunda prioridade (priority 1) e fila tipo drop-tail.
 Dados Streaming – pacotes provenientes da interface eth1 através do IP 10.0.0.25 terão reserva de
30% da banda, com terceira prioridade (priority 2).
 Dados Internet e demais tipos de tráfego – Pacotes excedentes serão remarcados com DSCP
default, sendo considerada a classe padrão (default) e a última prioridade (priority 3).

Configuração
configure
set traffic-policy shaper WAN_SHAPER bandwidth 10mbit
! Criando classe de tráfego 1 para pacotes SIP
set traffic-policy shaper WAN_SHAPER class 1 description ‘SIP Traffic’
set traffic-policy shaper WAN_SHAPER class 1 match SIP ip dscp 26
set traffic-policy shaper WAN_SHAPER class 1 bandwidth 10%
set traffic-policy shaper WAN_SHAPER class 1 ceiling 100%
set traffic-policy shaper WAN_SHAPER class 1 priority 0
set traffic-policy shaper WAN_SHAPER class 1 queue-type drop-tail
! Criando classe de tráfego 2 para pacotes RTP
set traffic-policy shaper WAN_SHAPER class 2 description ‘RTP Traffic’
set traffic-policy shaper WAN_SHAPER class 2 match RTP ip dscp 46
set traffic-policy shaper WAN_SHAPER class 2 bandwidth 35%
set traffic-policy shaper WAN_SHAPER class 2 ceiling 100%
set traffic-policy shaper WAN_SHAPER class 2 priority 1
set traffic-policy shaper WAN_SHAPER class 2 queue-type drop-tail
! Criando classe de tráfego 3 para pacotes Streaming
set traffic-policy shaper WAN_SHAPER class 3 description ‘Streaming’
set traffic-policy shaper WAN_SHAPER class 3 match IP25 ip source address
10.0.0.25/27
set traffic-policy shaper WAN_SHAPER class 3 bandwidth 30%

204.0301.03 – Agosto/2018 63
DM2500 – Guia de Configuração Rápida QoS - Qualidade de Serviço

set traffic-policy shaper WAN_SHAPER class 3 ceiling 100%


set traffic-policy shaper WAN_SHAPER class 3 priority 2
set traffic-policy shaper WAN_SHAPER class 3 queue-type fair-queue
set traffic-policy shaper WAN_SHAPER default description ‘Internet’
set traffic-policy shaper WAN_SHAPER default bandwidth 25%
set traffic-policy shaper WAN_SHAPER default ceiling 100%
set traffic-policy shaper WAN_SHAPER default priority 3
set traffic-policy shaper WAN_SHAPER default queue-type fair-queue
! Remarcando o tráfego default e o excedente
set traffic-policy shaper WAN_SHAPER default set-dscp 'default'
set traffic-policy shaper WAN_SHAPER default set-dscp-excess 'default'
! Aplicando perfil na interface eth2
set interfaces ethernet eth2 traffic-policy out WAN_SHAPER

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

11.3 CONFIGURANDO A REMARCAÇÃO DSCP DO TRÁFEGO DE ENTRADA


A remarcação DSCP dos pacotes permite que o equipamento determine um novo valor de prioridade DSCP
baseado em critérios como endereço IP, protocolo de transporte (UDP/TCP) ou endereço MAC. Esse recurso
pode ser utilizado para garantir que o pacote receba o tratamento adequado por outros elementos da rede
após ter sido encaminhado pelo roteador.
Suponha que o usuário deseja marcar o DSCP 18 (AF21) dos pacotes do tipo Telnet, SSH e Syslog que
ingressam na interface eth1 pela VLAN 200. O procedimento a seguir demonstra como realizar esta
configuração:

Configuração
configure
set policy route DSCP-REMARK rule 1 set dscp 18
set policy route DSCP-REMARK rule 1 destination port syslog
set policy route DSCP-REMARK rule 1 protocol udp
set policy route DSCP-REMARK rule 2 set dscp 18
set policy route DSCP-REMARK rule 2 destination port telnet
set policy route DSCP-REMARK rule 2 protocol tcp
set policy route DSCP-REMARK rule 3 set dscp 18
set policy route DSCP-REMARK rule 3 destination port ssh
set policy route DSCP-REMARK rule 3 protocol tcp_udp
! Aplicando perfil na interface eth2
set interfaces ethernet eth1 vif 200 policy route DSCP-REMARK

204.0301.03 – Agosto/2018 64
DM2500 – Guia de Configuração Rápida QoS - Qualidade de Serviço

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação da remarcação do DSCP. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show policy route
show policy route statistics

204.0301.03 – Agosto/2018 65
DM2500 – Guia de Configuração Rápida Segurança

12 SEGURANÇA
Manter a segurança na rede consiste em adotar políticas de acesso, monitoramento dos recursos e proteção
dos equipamentos para evitar ataques indesejados.
Este capítulo descreve como configurar algumas funcionalidades e recursos de segurança disponíveis no
DM2500.

12.1 CONFIGURANDO O SSH E TELNET


O SSH (Secure Shell) e TELNET são protocolos utilizados para acesso ao terminal do equipamento. Ambos
vêm habilitados na configuração de fábrica do equipamento. Recomenda-se desativar o TELNET caso o
mesmo não seja utilizado, pois é um protocolo menos seguro que o SSH.

Os próximos passos irão demonstrar como desativar o protocolo TELNET.


Configuração
configure
delete service telnet

Caso seja necessario é possível alterar as portas e endereços habilitados para acessar os serviços. Suponha
que o usuário queira alterar a porta do TELNET da 23 para a porta 2323 e aceitando conexões apenas dos
endereços IPs 10.10.10.5 e 10.10.10.6. Já para o SSH a porta será alterada da 22 para a porta 2222 e aceitará
apenas os pacotes com endereço 10.10.10.5. O procedimento descrito abaixo apresentará como realizar estas
configurações:
Configuração
configure
set service telnet port 2323
set service telnet listen-address 10.10.10.5
set service telnet listen-address 10.10.10.6
set service ssh port 2222
set service ssh listen-address 10.10.10.5

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação dos serviços TELNET e SSH. Caso o
usuário esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.

204.0301.03 – Agosto/2018 66
DM2500 – Guia de Configuração Rápida Segurança

Troubleshooting

show system login users

12.2 CONFIGURANDO AS ACLS


As ACLs (Access Control Lists) garantem que apenas usuários autorizados tenham acesso a recursos
específicos enquanto bloqueiam tentativas não autorizadas de acessar os recursos da rede. As ACLs são
usadas para fornecer controle de fluxo de tráfego, restringir o conteúdo das atualizações de roteamento,
decidir quais tipos de tráfego são encaminhados ou bloqueados e, acima de tudo, fornecer segurança para a
rede.

São suportadas ACLs com endereçamento IPv4 e IPv6.

Suponha que o usuário deseja filtrar o tráfego de entrada e saída da interface eth3, habilitando apenas o
tráfego de pacotes SSH, Telnet e SNMP sinalizados por suas respectivas portas padrão, descartando todos os
demais pacotes. O procedimento a seguir demonstra como realizar esta configuração:
 Pacotes do tipo SNMP – criação das regras 1 e 2 com action = accept para pacotes tipo SNMP com
protocolo UDP.
 Pacotes do tipo SNMP Trap – criação das regras 3 e 4 com action = accept para pacotes tipo SNMP
Trap com protocolo UDP.
 Pacotes do tipo Syslog – criação das regras 5 e 6 com action = accept para pacotes tipo Syslog
com protocolo UDP.
 Pacotes do tipo Telnet – criação das regras 7 e 8 com action = accept para pacotes tipo Telnet com
protocolo TCP.
 Pacotes do tipo SSH – criação das regras 9 e 10 com action = accept para pacotes tipo SSH com
protocolo UDP e TCP.
Configuração
configure
set firewall name MGMT_FILTER default-action drop
set firewall name MGMT_FILTER rule 1 action accept
set firewall name MGMT_FILTER rule 1 destination port snmp
set firewall name MGMT_FILTER rule 1 protocol udp
set firewall name MGMT_FILTER rule 2 action accept
set firewall name MGMT_FILTER rule 2 source port snmp
set firewall name MGMT_FILTER rule 2 protocol udp
set firewall name MGMT_FILTER rule 3 action accept
set firewall name MGMT_FILTER rule 3 destination port snmptrap
set firewall name MGMT_FILTER rule 3 protocol udp
set firewall name MGMT_FILTER rule 4 action accept
set firewall name MGMT_FILTER rule 4 source port snmptrap
set firewall name MGMT_FILTER rule 4 protocol udp
set firewall name MGMT_FILTER rule 5 action accept

204.0301.03 – Agosto/2018 67
DM2500 – Guia de Configuração Rápida Segurança

set firewall name MGMT_FILTER rule 5 destination port syslog


set firewall name MGMT_FILTER rule 5 protocol udp
set firewall name MGMT_FILTER rule 6 action accept
set firewall name MGMT_FILTER rule 6 source port syslog
set firewall name MGMT_FILTER rule 6 protocol udp
set firewall name MGMT_FILTER rule 7 action accept
set firewall name MGMT_FILTER rule 7 destination port telnet
set firewall name MGMT_FILTER rule 7 protocol tcp
set firewall name MGMT_FILTER rule 8 action accept
set firewall name MGMT_FILTER rule 8 source port telnet
set firewall name MGMT_FILTER rule 8 protocol tcp
set firewall name MGMT_FILTER rule 9 action accept
set firewall name MGMT_FILTER rule 9 destination port ssh
set firewall name MGMT_FILTER rule 9 protocol tcp_udp
set firewall name MGMT_FILTER rule 10 action accept
set firewall name MGMT_FILTER rule 10 source port ssh
set firewall name MGMT_FILTER rule 10 protocol tcp_udp
set interfaces ethernet eth3 firewall local name MGMT_FILTER

O mesmo exemplo apresentado acima é realizado para endereçamento IPv6. O procedimento abaixo
demonstra como proceder com a configuração para IPv6.
Configuração
configure
set firewall ipv6-name MGMT6_FILTER default-action drop
set firewall ipv6-name MGMT6_FILTER rule 1 action accept
set firewall ipv6-name MGMT6_FILTER rule 1 destination port snmp
set firewall ipv6-name MGMT6_FILTER rule 1 protocol udp
set firewall ipv6-name MGMT6_FILTER rule 2 action accept
set firewall ipv6-name MGMT6_FILTER rule 2 source port snmp
set firewall ipv6-name MGMT6_FILTER rule 2 protocol udp
set firewall ipv6-name MGMT6_FILTER rule 3 action accept
set firewall ipv6-name MGMT6_FILTER rule 3 destination port snmptrap
set firewall ipv6-name MGMT6_FILTER rule 3 protocol udp
set firewall ipv6-name MGMT6_FILTER rule 4 action accept
set firewall ipv6-name MGMT6_FILTER rule 4 source port snmptrap
set firewall ipv6-name MGMT6_FILTER rule 4 protocol udp
set firewall ipv6-name MGMT6_FILTER rule 5 action accept
set firewall ipv6-name MGMT6_FILTER rule 5 destination port syslog
set firewall ipv6-name MGMT6_FILTER rule 5 protocol udp
set firewall ipv6-name MGMT6_FILTER rule 6 action accept
set firewall ipv6-name MGMT6_FILTER rule 6 source port syslog
set firewall ipv6-name MGMT6_FILTER rule 6 protocol udp
set firewall ipv6-name MGMT6_FILTER rule 7 action accept
set firewall ipv6-name MGMT6_FILTER rule 7 destination port telnet
set firewall ipv6-name MGMT6_FILTER rule 7 protocol tcp
set firewall ipv6-name MGMT6_FILTER rule 8 action accept
set firewall ipv6-name MGMT6_FILTER rule 8 source port telnet
set firewall ipv6-name MGMT6_FILTER rule 8 protocol tcp
set firewall ipv6-name MGMT6_FILTER rule 9 action accept
set firewall ipv6-name MGMT6_FILTER rule 9 destination port ssh
set firewall ipv6-name MGMT6_FILTER rule 9 protocol tcp_udp
set firewall ipv6-name MGMT6_FILTER rule 10 action accept
set firewall ipv6-name MGMT6_FILTER rule 10 source port ssh
set firewall ipv6-name MGMT6_FILTER rule 10 protocol tcp_udp
set interfaces ethernet eth3 firewall local ipv6-name MGMT6_FILTER

204.0301.03 – Agosto/2018 68
DM2500 – Guia de Configuração Rápida Segurança

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação das ACLs. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show firewall name MGMT_FILTER statistics
show firewall ipv6-name MGMT6_FILTER statistics

12.3 CONFIGURANDO AS ACLS POR GRUPOS


Grupos de endereços, portas e redes podem ser definidos para filtragem semelhante ao exemplo anterior.
Suponha que o usuário deseja criar uma regra que rejeite o tráfego para um grupo de endereços IP, portas, e
um grupo de redes.
Configuração
configure
! Adicionando um intervalo de endereços a um grupo de endereços
set firewall group address-group SERVERS address 10.1.1.1-10.1.1.8
set firewall group address-group SERVERS address 10.1.1.10
! Adicionando uma rede a um grupo de rede
set firewall group network-group NETWORKS network 192.168.10.0/24
! Adicionando um intervalo de portas a um grupo de portas.
set firewall group port-group PORTS port 22
set firewall group port-group PORTS port tftp
set firewall group port-group PORTS port 161-162
! Rejeite o tráfego com base no grupo de endereços, redes e portas.
set firewall name REJECT-GROUPS rule 10 action reject
set firewall name REJECT-GROUPS rule 10 destination group address-group SERVERS
set firewall name REJECT-GROUPS rule 10 destination group port-group PORTS
set firewall name REJECT-GROUPS rule 10 source group network-group NETWORKS
! Aplicar a regra de firewall emu ma interface
set interfaces ethernet eth1 firewall in name REJECT-GROUPS

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

204.0301.03 – Agosto/2018 69
DM2500 – Guia de Configuração Rápida Segurança

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

São suportadas ACLs por grupos com endereçamento IPv4 e também podem ser usadas
na configuração da remarcação de pacotes no momento de definir a origem e destino.

Abaixo os principais comandos disponíveis para realizar a verificação das ACLs por grupos. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show firewall group
show firewall name REJECT-GROUPS

12.4 CONFIGURANDO O NAT


A funcionalidade de tradução de endereços NAT (Network Address Translation) tem por objetivo a tradução
dos endereços internos de uma rede local para a rede pública. Além de prover segurança ao ocultar detalhes
das estações e dispositivos conectados à rede interna também tem por objetivo mitigar o esgotamento de
endereços IPv4 públicos através do reuso de endereços internos.

Figura 23 – Configurando o NAT

12.4.1 NAT Origem (SNAT)


O SNAT (Source NAT) é a forma mais comum de uso do NAT. Esta funcionalidade altera o endereço IP de
origem (e opcionalmente também a porta TCP/UDP) de um pacote que é roteado no DM2500. A alteração do
endereço IP de origem acontece após a decisão sobre o roteamento do pacote já ter sido realizada.

204.0301.03 – Agosto/2018 70
DM2500 – Guia de Configuração Rápida Segurança

O cenário abaixo será usado para demonstrar a configuração do SNAT.

Figura 24 – Configurando o SNAT

Suponha que o usuário deseja alterar o endereço de um pacote da rede 10.0.0.0/8 para o endereço público
90.80.70.60 e cujo destino é a interface eth2. Os próximos passos irão mostrar como realizar estas
configurações.
Configuração
configure
set nat source rule 10 source address 10.10.0.0/8
set nat source rule 10 translation address 90.80.70.60
set nat source rule 10 outbound-interface eth2

Alternativamente caso o endereço da rede pública seja definido dinamicamente é possível utilizar o
parâmetro masquarade para o endereço de tradução. Dessa forma o NAT usará o endereço da interface eth2
como endereço de origem:
Configuração
configure
set nat source rule 10 source address 10.10.0.0/8
set nat source rule 10 translation address masquarade
set nat source rule 10 outbound-interface eth2

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação do SNAT. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.

204.0301.03 – Agosto/2018 71
DM2500 – Guia de Configuração Rápida Segurança

Troubleshooting
show nat source rules
show nat source statistics
show nat source translations
clear nat source counters

12.4.2 NAT Destino (DNAT)


O DNAT (Destination NAT), também conhecido por Port Forwarding é um mecanismo de tradução de
endereços IP e portas de destino, que tem por objetivo redirecionar pacotes com destino de uma rede
pública para um endereço e porta específicos de uma rede interna. A alteração do endereço de destino ocorre
antes de o mesmo ser roteado internamente pelo equipamento.
O cenário abaixo será usado para demonstrar a configuração do DNAT.

Figura 25 – Configurando o DNAT

Suponha que o usuário deseja alterar o endereço e porta de destino dos pacotes TCP ou UDP da rede pública
com endereço 90.80.70.60 e porta 80 para o endereço interno 10.10.10.3 e porta 8080 e cuja origem é a
interface eth2. Os próximos passos irão mostrar como realizar estas configurações.
Configuração
configure
set nat destination rule 10 destination address 90.80.70.60
set nat destination rule 10 destination port 80
set nat destination rule 10 protocol tcp_udp
set nat destination rule 10 translation address 10.10.0.3
set nat destination rule 10 translation port 8080
set nat destination rule 10 inbound-interface eth2

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
Save

204.0301.03 – Agosto/2018 72
DM2500 – Guia de Configuração Rápida Segurança

Abaixo os principais comandos disponíveis para realizar a verificação do SNAT. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show nat destination rules
show nat destination statistics
show nat destination translations
clear nat destination counters

204.0301.03 – Agosto/2018 73
DM2500 – Guia de Configuração Rápida Tunelamento

13 TUNELAMENTO
O tunelamento consiste no encapsulamento de um protocolo em outro protocolo para viabilizar
transparência e maior segurança na passagem de dados através das redes públicas não seguras ou até
mesmo em redes privadas.

13.1 CONFIGURANDO TUNÉIS GRE


O GRE (Generic Routing Encapsulation) é um método de encapsulamento de pacotes IP através de
infraestrutura IP, com objetivo de interconectar redes que se comunicam através de infraestrutura pública
(geralmente a Internet).
O cenário abaixo será utilizado para descrever como configurar um túnel GRE.

Figura 26 – Configurando o Túnel GRE

Suponha que o usuário deseja criar um túnel GRE ponto-a-ponto na rede 35.35.35.0/31 entre os
equipamentos R1 e R2, ambos conectados na Internet com endereços IPv4 fixos atribuídos e redes internas
distintas aprendidas por OSPF. O procedimento a seguir demonstra como realizar esta configuração.
Configuração – Roteador 1
configure
set interfaces loopback lo address 1.1.1.1/32
set interfaces ethernet eth1 address 192.168.5.1/24
set interfaces ethernet eth2 address 209.165.201.15/24
set interfaces tunnel tun0 address 35.35.35.1/31
set interfaces tunnel tun0 encapsulation gre
set interfaces tunnel tun0 local-ip 209.165.201.15
set interfaces tunnel tun0 remote-ip 201.122.120.3
set protocols ospf parameters router-id 1.1.1.1
set protocols ospf area 1 network 35.35.35.0/31
set protocols ospf area 1 network 192.168.5.0/24

Configuração – Roteador 2
configure
set interfaces loopback lo address 2.2.2.2/32
set interfaces ethernet eth1 address 192.168.3.1/24
set interfaces ethernet eth2 address 201.122.120.3/24
set interfaces tunnel tun0 address 35.35.35.2/31
set interfaces tunnel tun0 encapsulation gre
set interfaces tunnel tun0 local-ip 201.122.120.3

204.0301.03 – Agosto/2018 74
DM2500 – Guia de Configuração Rápida Tunelamento

set interfaces tunnel tun0 remote-ip 209.165.201.15


set protocols ospf parameters router-id 2.2.2.2
set protocols ospf area 1 network 35.35.35.0/31
set protocols ospf area 1 network 192.168.3.0/24

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação dos tunéis GRE. Caso o usuário esteja no
nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show interfaces tunnel tun0

13.2 CONFIGURANDO VPNS IPSEC SITE-TO-SITE


O IPSec (Internet Protocol Security) é um conjunto de protocolos definidos pela IETF para garantir a troca
segura de pacotes IPv4 através de redes não seguras (Internet). O protocolo conta com mecanismos de
verificação da integridade dos dados garantindo que não tenham sido modificados por alguém não
autorizado, além de assegurar a confidencialidade, onde somente os peers autorizados podem ver os dados,
adotando métodos de encriptação e controle de acesso.
O cenário abaixo será usado para demonstrar a configuração do VPN IPSec.

Figura 24 – Configurando a VPN IPSec

Os roteadores DM2500 possuem LAN com endereçamento IP conforme apresentado na figura acima. O
endereçamento IP da WAN dos roteadores está demonstrado nas configurações a seguir, assim como todos
os parâmetros utilizados para o IPSec. O procedimento a seguir demonstra como realizar esta configuração.
Configuração – Roteador 1 DM2500 6GT
configure
set interfaces ethernet eth1 vif 800 address 80.80.80.2/24

204.0301.03 – Agosto/2018 75
DM2500 – Guia de Configuração Rápida Tunelamento

set interfaces ethernet eth3 address 192.168.10.254/24


set vpn ipsec ike-group ike-grp-1 proposal 1 hash 'sha1'
set vpn ipsec ike-group ike-grp-1 proposal 1 dh-group '14'
set vpn ipsec ike-group ike-grp-1 proposal 1 encryption 'aes256'
set vpn ipsec esp-group esp-grp-1 pfs dh-group 14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 80.80.80.1 authentication pre-shared-secret
'datacom123'
set vpn ipsec site-to-site peer 80.80.80.1 authentication mode 'pre-shared-
secret'
set vpn ipsec site-to-site peer 80.80.80.1 ike-group 'ike-grp-1'
set vpn ipsec site-to-site peer 80.80.80.1 default-esp-group 'esp-grp-1'
set vpn ipsec site-to-site peer 80.80.80.1 tunnel 1 local prefix
192.168.10.0/24
set vpn ipsec site-to-site peer 80.80.80.1 tunnel 1 remote prefix
192.168.6.0/24
set vpn ipsec site-to-site peer 80.80.80.1 local-address '80.80.80.2'
set vpn ipsec ipsec-interfaces interface 'eth1.800'
set protocols static route 192.168.6.0/24 next-hop 80.80.80.1

Configuração – Roteador 1 DM2500 4GT


configure
set interfaces ethernet eth2 vif 800 address 80.80.80.1/24
set interfaces ethernet eth1 address 192.168.6.254/24
set vpn ipsec ike-group ike-grp-1 proposal 1 hash 'sha1'
set vpn ipsec ike-group ike-grp-1 proposal 1 dh-group '14'
set vpn ipsec ike-group ike-grp-1 proposal 1 encryption 'aes256'
set vpn ipsec esp-group esp-grp-1 pfs dh-group 14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 80.80.80.2 authentication pre-shared-secret
'datacom123'
set vpn ipsec site-to-site peer 80.80.80.2 authentication mode 'pre-shared-
secret'
set vpn ipsec site-to-site peer 80.80.80.2 ike-group 'ike-grp-1'
set vpn ipsec site-to-site peer 80.80.80.2 default-esp-group 'esp-grp-1'
set vpn ipsec site-to-site peer 80.80.80.2 tunnel 1 local prefix 192.168.6.0/24
set vpn ipsec site-to-site peer 80.80.80.2 tunnel 1 remote prefix
192.168.10.0/24
set vpn ipsec site-to-site peer 80.80.80.2 local-address '80.80.80.1'
set vpn ipsec ipsec-interfaces interface 'eth2.800'
set protocols static route 192.168.10.0/24 next-hop 80.80.80.2

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

204.0301.03 – Agosto/2018 76
DM2500 – Guia de Configuração Rápida Tunelamento

Abaixo os principais comandos disponíveis para realizar a verificação das VPNs IPSec. Caso o usuário esteja
no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show vpn ipsec status
show vpn debug
show vpn debug detail
show vpn debug peer <endereço IP>

13.3 CONFIGURANDO VPNS IPSEC SITE-TO-SITE COM NAT TRAVERSAL


Os pacotes IPSec nativos são encapsulados usando o ESP (Encapsulated Security Payload). Nesses pacotes,
os endereços IP são incorporados no pacote encapsulado. Isso causa problemas quando os pacotes IPsec
devem atravessar um dispositivo que faz NAT.
Quando acontece o NAT (Network Address Translation), o dispositivo NAT substitui seu próprio endereço IP
de origem (e às vezes um número de porta) pelo IP de origem e pela porta nos pacotes de saída. O dispositivo
NAT escuta uma resposta e, quando um pacote de resposta é recebido, o dispositivo NAT inverte a tradução
para que o pacote de entrada possa chegar ao destino correto. Isso permite que endereços IP dentro de uma
rede privada sejam “ocultos” de redes externas.
O NAT não funciona bem com o IPsec, porque os endereços IP são incorporados no payload do pacote
encapsulado. Por vários motivos, isso significa que o peer IPsec não pode ser localizado atrás de um
dispositivo NAT.
O IPSec possui uma feature chamada NAT Traversal (NAT-T, RFCs 3947 e 3948) permite que cada pacote IPsec
seja reencapsulado em um pacote UDP, que pode ser manipulado corretamente pelo dispositivo configurado
com NAT. O NAT-T é executado sobre o IPSec. Para suportar NAT-T, o dispositivo que faz NAT e possui firewall
deve ser configurado para permitir a seguinte configuração:
 IKE através da porta UDP 500
 IPSec NAT-T através da porta UDP 4500
 ESP
Alguns dispositivos de NAT já vem pré-configurados com tudo isso em um recurso chamado “IPsec
Passthrough”. No entanto, o IPsec Passthrough é incompatível com o NAT traversal. Os dispositivos com IPsec
Passthrough reconhecem os pacotes IPsec UDP e tentam incorretamente encaminhar os pacotes. Isso
corrompe os pacotes de tal maneira que o NAT-T não funciona mais.

O cenário abaixo será usado para demonstrar a configuração do VPN IPSec com NAT-Traversal.

Figura 27 – Configurando a VPN IPSec com NAT-Traversal

O procedimento a seguir demonstra como pode ser configurado o cenário proposto

204.0301.03 – Agosto/2018 77
DM2500 – Guia de Configuração Rápida Tunelamento

Configuração – DM2500 4GT


configure
set interfaces ethernet eth2 address 192.168.10.254/24
set interfaces ethernet eth3 address 190.100.10.210/24
set vpn ipsec ike-group ike-grp-1 proposal 1 hash 'sha1'
set vpn ipsec ike-group ike-grp-1 proposal 1 dh-group '14'
set vpn ipsec ike-group ike-grp-1 proposal 1 encryption 'aes256'
set vpn ipsec esp-group esp-grp-1 pfs dh-group 14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 0.0.0.0 authentication pre-shared-secret
'datacom123'
set vpn ipsec site-to-site peer 0.0.0.0 authentication mode 'pre-shared-secret'
set vpn ipsec site-to-site peer 0.0.0.0 ike-group 'ike-grp-1'
set vpn ipsec site-to-site peer 0.0.0.0 default-esp-group 'esp-grp-1'
set vpn ipsec site-to-site peer 0.0.0.0 tunnel 1 local prefix 192.168.10.0/24
set vpn ipsec site-to-site peer 0.0.0.0 tunnel 1 remote prefix 192.168.60.0/24
set vpn ipsec site-to-site peer 0.0.0.0 local-address '190.100.10.210'
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 192.168.0.0/16 exclude
192.168.10.0/24
set vpn ipsec ipsec-interfaces interface 'eth3'
set protocols static route 192.168.60.0/24 next-hop 200.44.160.100

Uma mudança importante em essa configuração é o endereço do peer. Ele está definido como 0.0.0.0 para
representar “qualquer” endereço IP. Como o endereço IP do peer é praticamente desconhecido, o DM2500
4GT não iniciará conexões com o peer, apenas receberá conexões do peer.

Configuração – DM2500 6GT


configure
set interfaces ethernet eth8 address 192.168.0.1/24
set interfaces ethernet eth7 address 192.168.60.254/24
set vpn ipsec ike-group ike-grp-1 proposal 1 hash 'sha1'
set vpn ipsec ike-group ike-grp-1 proposal 1 dh-group '14'
set vpn ipsec ike-group ike-grp-1 proposal 1 encryption 'aes256'
set vpn ipsec esp-group esp-grp-1 pfs dh-group 14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 190.100.10.210 authentication pre-shared-secret
'datacom123'
set vpn ipsec site-to-site peer 190.100.10.210 authentication mode 'pre-shared-
secret'
set vpn ipsec site-to-site peer 190.100.10.210 ike-group 'ike-grp-1'
set vpn ipsec site-to-site peer 190.100.10.210 default-esp-group 'esp-grp-1'
set vpn ipsec site-to-site peer 190.100.10.210 tunnel 1 local prefix
192.168.60.0/24
set vpn ipsec site-to-site peer 190.100.10.210 tunnel 1 remote prefix
192.168.10.0/24
set vpn ipsec site-to-site peer 190.100.10.210 local-address '192.168.0.1'
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 192.168.0.0/16 exclude
192.168.60.0/24
set vpn ipsec ipsec-interfaces interface 'eth8'
set protocols static route 192.168.10.0/24 next-hop 190.100.10.210

204.0301.03 – Agosto/2018 78
DM2500 – Guia de Configuração Rápida Tunelamento

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação das VPNs IPSec com NAT-Traversal.
Caso o usuário esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show vpn ipsec status
show vpn ipsec sa
show vpn ipsec sa detail
show vpn ike sa
show vpn debug peer <endereço IP>

13.4 CONFIGURANDO PROTEÇÃO DO TÚNEL GRE COM IPSEC


Os túneis GRE não são criptografados e não fornecem segurança além de uma simples chave trocada em
texto puro em cada pacote. Isso significa que os túneis GRE, por conta própria, não fornecem segurança
adequada para ambientes de produção. Ao mesmo tempo, os túneis baseados em políticas do IPSec, não
conseguem rotear diretamente protocolos não IP ou multicast, e o IPsec também possui limitações do ponto
de vista das operações. O uso de interfaces de túnel em conjunto com IPSec VPN fornece conexões de túnel
roteáveis entre gateways. Para túneis roteáveis seguros, as interfaces do túnel GRE devem ser usadas em
conjunto com uma conexão IPsec, de modo que o túnel IP possa ser protegido pelo túnel IPsec.
O cenário abaixo será usado para demonstrar a configuração da proteção do túnel GRE com IPSec.

Figura 28 – Configurando o Túnel GRE com IPSec

Suponha que o usuário deseja configurar um túnel GRE entre dois DM2500 com proteção IPSec entre os
mesmos pontos finais. O procedimento a seguir demonstra como realizar esta configuração.

204.0301.03 – Agosto/2018 79
DM2500 – Guia de Configuração Rápida Tunelamento

Configuração – Roteador 1 DM2500 4GT


configure
set interfaces ethernet eth2 address '192.168.254.41/30'
set interfaces ethernet eth4 vif 4056 address '192.168.45.1/24'
set interfaces tunnel tun1 remote-ip '192.168.72.6'
set interfaces tunnel tun1 multicast 'enable'
set interfaces tunnel tun1 address '192.168.191.1/30'
set interfaces tunnel tun1 local-ip '192.168.254.41'
set interfaces tunnel tun1 encapsulation 'gre'
set vpn ipsec ike-group IKE-CLINK-BRM key-exchange 'ikev2'
set vpn ipsec ike-group IKE-CLINK-BRM lifetime '3600'
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 hash 'sha1'
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 dh-group '14'
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 encryption 'aes256'
set vpn ipsec esp-group ESP-CLINK-BRM lifetime '1800'
set vpn ipsec esp-group ESP-CLINK-BRM pfs 'enable'
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 hash 'sha1'
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 encryption 'aes128'
set vpn ipsec esp-group ESP-CLINK-BRM mode 'transport'
set vpn ipsec site-to-site peer 192.168.72.6 authentication pre-shared-secret
'd4t4c0m'
set vpn ipsec site-to-site peer 192.168.72.6 authentication mode 'pre-shared-
secret'
set vpn ipsec site-to-site peer 192.168.72.6 ike-group 'IKE-CLINK-BRM'
set vpn ipsec site-to-site peer 192.168.72.6 tunnel 2018 protocol 'gre'
set vpn ipsec site-to-site peer 192.168.72.6 tunnel 2018 esp-group 'ESP-CLINK-
BRM'
set vpn ipsec site-to-site peer 192.168.72.6 local-address '192.168.254.41'
set vpn ipsec site-to-site peer 192.168.72.6 connection-type 'initiate'
set vpn ipsec ipsec-interfaces interface 'eth2'
set protocols static route 192.168.64.0/22 next-hop '192.168.191.2'

Configuração – Roteador 1 DM2500 6GT


configure
set interfaces ethernet eth1 vif 503 address '192.168.72.6/30'
set interfaces ethernet eth3 vif 2020 address '192.168.64.1/22'
set interfaces tunnel tun1 remote-ip '192.168.254.41'
set interfaces tunnel tun1 multicast 'enable'
set interfaces tunnel tun1 address '192.168.191.2/30'
set interfaces tunnel tun1 local-ip '192.168.72.6'
set interfaces tunnel tun1 encapsulation 'gre'
set vpn ipsec ike-group IKE-CLINK-BRM key-exchange 'ikev2'
set vpn ipsec ike-group IKE-CLINK-BRM lifetime '3600'
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 hash 'sha1'
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 dh-group '14'
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 encryption 'aes256'
set vpn ipsec esp-group ESP-CLINK-BRM lifetime '1800'
set vpn ipsec esp-group ESP-CLINK-BRM pfs 'enable'
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 hash 'sha1'
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 encryption 'aes128'
set vpn ipsec esp-group ESP-CLINK-BRM mode 'transport'
set vpn ipsec site-to-site peer 192.168.254.41 authentication pre-shared-secret
'd4t4c0m'
set vpn ipsec site-to-site peer 192.168.254.41 authentication mode 'pre-shared-
secret'
set vpn ipsec site-to-site peer 192.168.254.41 ike-group 'IKE-CLINK-BRM'

204.0301.03 – Agosto/2018 80
DM2500 – Guia de Configuração Rápida Tunelamento

set vpn ipsec site-to-site peer 192.168.254.41 tunnel 2018 protocol 'gre'
set vpn ipsec site-to-site peer 192.168.254.41 tunnel 2018 esp-group 'ESP-
CLINK-BRM'
set vpn ipsec site-to-site peer 192.168.254.41 local-address '192.168.72.6'
set vpn ipsec site-to-site peer 192.168.254.41 connection-type 'initiate'
set vpn ipsec ipsec-interfaces interface 'eth1.503'
set protocols static route 192.168.45.0/24 next-hop '192.168.191.1'

O usuário deve usar o comando commit para aplicar a configuração na running-config. É possível aplicar a
configuração em partes ou quando todas as alterações forem executadas.
commit

Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o
comando de commit.
save

Abaixo os principais comandos disponíveis para realizar a verificação dos túveis e VPNs. Caso o usuário esteja
no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
Troubleshooting
show interfaces tunnel tun1
show vpn ipsec status
show vpn debug
show vpn debug detail
show vpn debug peer <endereço IP>

204.0301.03 – Agosto/2018 81