Criação VLANs

en
conf t
vlan 10
name Wi-Fi
vlan 999
name Admin

Switch port mode

int ra g1/0/1-24
switchport mode access
int g1/0/1
switchport access vlan 10
int g1/0/2
switchport access vlan 20

int ra g1/0/22-23
switchport mode trunk
( switchport trunk encapsulation dot1Q ) Se for switch layer 3

Default Gateway no switch

ip default-gateway 172.16.68.129

Router ports
en
conf t
int g0/0/0
no shutdown

int g0/0/0.30
encap dot 30
ip address 172.18.172.1 255.255.254.0
ip helper-address 192.168.100.3

int g0/0/0.20
encap dot 20
ip address 172.18.174.1 255.255.254.0
ip helper-address 192.168.100.3

Banner (router ou switch)

Banner motd “blab la bla“
 Telnet
interface vlan 999 (Admin) Atribuir IP à Vlan de Admin
ip address 192.168.99.2 255.255.255.248
username nome_user secret passwd Criar utilizador c/ passwd md5
enable secret passwd Passwd p/ modo priveligiado
line vty 0 15 P/ config das vty
login local

SSH
interface vlan 999 Atribuir IP à Vlan de Admin
ip address 192.168.99.2 255.255.255.248
hostname YadaYadaYada Dar nome ao switch/router
ip domain-name cinel.local Dar Domain Name (FQDN)
crypto key generate rsa Gerar chave encriptada
512 / 1024 / 2048 nível de encriptação
ip ssh version 2 definir versão do ssh
username nome_user secret passwd Criar utilizador c/ passwd md7
enable secret passwd Passwd p/ modo priveligiado

line vty 0 15 P/ config das vty

login local
transport input ssh

line console 0 P/ pedir login na consola

login local

Acesso Consola com login

line com 0
login local
 Rota Estática
en
conf t
ip route 192.168.2.0 255.255.255.0 10.0.0.2 IP do próximo router
ou
ip route 192.168.2.0 255.255.255.0 s0/0/0 ou porta de saída

display ip routing-table | exclude 127 ver rotas

Rota de dreno/esgoto:
ip route 0.0.0.0 0.0.0.0 1.1.1.1
ou
ip route 0.0.0.0 0.0.0.0 Serial0/1/0

RIP
router rip
version 2 (se não por ele automaticamente poem o 1)
no auto-summary
network 172.16.65.0
network 172.16.66.0
passive-interface g0/0
do wr

Verificação:
debug ip rip
debug ip rip eventos
 OSPF
Protocolo OSPF - Open Short Path First
OSPFv2 = IPv4
OSPFv3 = IPv6

- 10 segundos entre avisos (default) - ajustavel

- Dead network se > 40 segundos, sem comunicação (3xtimer)
- sincroniza e transfare tabelas
- Senao houver alteracoes, diz apenas "ola"
- metrica: relacciona com bandwith (100Mbps e referencia, mas pode ser alterado)
- permite multiplas zonas (multi-area network)
- permite sumarização
- permite autenticacao entre os pares

------ network IP WILDCARD area # (0 é a area default)

[255.255.255.0 - 255.255.255.255 = 0.0.0.255] /24
network 192.168.2.0 0.0.0.255 area 0
[255.255.255.128 - 255.255.255.255 = 0.0.0.127] /25

--> WILDCARD - inversão da nossa máscara, de 255.255.255.0 menos 255.255.25.255

= 0.0.0.255 /24
--> o 0 é a área core, se forem usadas múltiplas áreas, o # vai variando.

Havendo 3 ou mais áreas, uma delas (não nas extremas) tem de ser área 0

 IPv4
router ospf 1 Activar protocolo OSPFv2. “Process ID 1”
router-id 1.1.1.1
log-adjacency-changes
passive-interface GigabitEthernet0/0
network 172.16.15.0 0.0.0.255 area 0

################## COMANDOS UTEIS ####################

show ip ospf neighbours
show ip route
show ip protocols
(router) traceroute
(pc) tracert "ip"

Propagação rota de dreno (RIP/OSPF)

IPv4  ip route 0.0.0.0 0.0.0.0 Serial0/1/0 Define rota de dreno
IPv6  ipv6 route ::/0 Serial0/0/0
default-information originate Propaga rota p/ outros equipamentos
 Access Lists
ACLs -> permitida 1 ACL por porto (ou sub-interface) por sentido de tráfego

show access-list ver ACLs criadas

-permit ou deny
-matching mechanism
-Full-Duplex - In/Out simultaneo - Entrada ou na saída
-Execução por ordem sequencial
-deny all como última regra - implícita
-associado ao porto e ao sentido do trafego
-regras deve ir da mais especifica para a mais geral

Utilização:
- controlo de trafego
- NAT (Network Address Translation)
- Qualidade de serviço (QoS)
- routing filters
 Standard - L3 - (IP)

deve ser colocada mais próxima possível da origem do tráfego

- numeração <1-99>
- + rapida a processor que a extended
- baseada em source address

access-list <1-99> deny|permit [IP|any|host] [wildcard]

interface <interface_name>
ip access-group [num_ACL] [in|out]

 Exemplo:
access-list 1 deny host 172.16.3.10 bloqueia máquina especifica
access-list 1 deny 172.16.3.0 0.0.0.63 bloqueia IPs de 172.16.3.0 ate 172.16.3.63
deny any (implicito)

interface g0/0
ip access-group 1 in

 Exemplo:
access-list 99 permit host 10.0.0.1

line vty 0 4
access-class 99 in
password cisco
login

line vty 5 15
access-class 99 in
password cisco
login
 Extended - L4 - (IP e TCP/UDP) ->

- numeração <100 - 199>

- + processamento
- filtro com base em source/destination, protocol, portos TCP/UDP

access-list <100-199> [permit|deny] [protocol] [IP|any|host-rede_origem] [wildcard]

[IP|any|host-rede_destino] [wilcard]

 Exemplo:
access-list 100 remark blablabla
access-list 100 permit icmp host 172.16.3.10 any
access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

interface g0/0
ip access-group 100 in
ip access-group 1 out

 Exemplo:
ip access-list extended HTTP_ONLY
permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

interface GigabitEthernet0/1
ip address 172.22.34.97 255.255.255.240
ip access-group HTTP_ONLY in

 Exemplo:
ip access-list extended 10_to_172
deny tcp 10.0.0.0 0.255.255.255 host 172.16.255.254 eq www
permit ip any any

interface GigabitEthernet0/0
ip address 10.0.0.1 255.0.0.0
ip access-group 10_to_172 in
 SSH com ACL
en
conf t

username cisco secret cisco

enable secret cisco
ip domain-name cinel.local
crypto key generate rsa
1024
ip ssh version 2

access-list 1 permit host 192.168.99.10

access-list 1 deny any

line vty 0 4
login local
transport input ssh
access-class 1 in
 NAT/PAT
Estatico - 1 interno para 1 externo
Dinamico - muitos internos para 1 ou alguns externos
PAT (Port Address Translation) - Dinamico + distinção de comunicaçoes com base na
porta Layer4 (TCP/UDP)

Identificar os interfaces como internos ou externos

Exemplo:
int fa0/0
ip nat [inside | outside]

No caso de NAT Estatico - definir qual a tradução pretendida

IP interno <-> IP externo
Exemplo:
ip nat inside source static [IP Privado] [IP Publico]

NAT Dinamico -> Muitos internos <-> Alguns externos

 Pool de IP's internos - ACL

access-list [#] permit [IP] [Wildcard mask]

 Pool de IP's Externos - criar Pool

ip nat pool [NOME] [IP Inicio] [IP Final] netmask [MASK da rede]

Junçao da ACL com a Pool

ip nat inside source list [#] pool [NOME]
Pool de IP's Externos - criar Pool

Comandos para visualização de acontecimentos e troubleshooting de NAT

show ip nat translations
show ip nat statistics

NAT
access-list 1 permit 172.16.0.0 0.0.255.255

ip nat pool POOL 64.100.32.56 64.100.32.57 netmask 255.255.255.252

ip nat inside source list 1 pool POOL
ip nat inside source static 192.168.45.66 64.100.32.58

interface Serial0/0/0
ip nat outside
interface Serial0/0/1
ip nat inside

PAT
Igual a NAT mas com

ip nat inside source list 1 pool POOL overload

 IPv6
en
conf t
ipv6 unicast-routing
interface fa0/0
ipv6 address …………/64
ipv6 address FE80::1 link-local

do show ipv6 interface brief

 Rota estática
ipv6 route 2001:DB8:1:3::/64/64 s0/0/0 Porta de saída
ipv6 route 2001:DB8:1:3::/64 2001:DB8:1:A002::2 IP de chegada próx router

 RIPng
ipv6 router rip CISCO
interface s0/0/0
ipv6 rip CISCO enable
interface s0/0/1
ipv6 rip CISCO enable

 OSPF
ipv6 unicast-routing
ipv6 router ospf 1 Activar protocolo OSPFv3. “Process ID 1”
router-id 1.1.1.1 ID do router
log-adjacency-changes
passive-interface g0/0
exit

interface s0/0 Activar o interface para OSPF

ipv6 ospf 1 area 0
exit

 Rota de dreno
estática  ipv6 route ::/0 Serial0/0/0

 ACL IPv6 ex1

access-list 199 permit tcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eq telnet
access-list 199 permit icmp any any

interface GigabitEthernet0/2
ip address 10.101.117.1 255.255.255.224
ip access-group 199 out
 ACL IPv6 ex2
ipv6 access-list BLOCK_ICMP
deny icmp any any
permit ipv6 any any

interface GigabitEthernet0/0
ipv6 traffic-filter BLOCK_ICMP out

 ACL IPv6 ex3

ipv6 access-list BLOCK_HTTP
deny tcp any host 2001:DB8:1:30::30 eq www
deny tcp any host 2001:DB8:1:30::30 eq 443
permit ipv6 any any

interface GigabitEthernet0/1
ipv6 traffic-filter BLOCK_HTTP in