CCIE não é mais a "Top Certification"

Olá Pessoal,
Hoje trago uma novidade para quem ainda não recebeu a noticia, pois a Cisco está novamente inovando em sua escalada das Certificações profissionais.

Durante anos, a certificação mais cobiçada da Cisco foi (CCIE) Cisco Certified Internetwork Expert , que até então seria a mais alta e difícil certificação que um profissional de redes poderia conseguir
Pois então acredite: Não é mais. Nesta segunda-feira, a Cisco anunciou uma nova certificação, a Cisco Certified Architect (CCA), que passará a ser uma categoria acima do CCIE.
Um profissional CCA vai estar junto a equipe de engenharia de redes, mas terá um grande foco no negócio, entendendo a fundo a necessidade de “Business”, trabalhando também em linha com os executivos para traduzir as necessidades das empresas em sistemas de TI.

Não var ser fácil, nem vai ser barato também.
Seguem alguns dos pré-requisitos:

1. A certificação vai custar U$$ 15,000
2. O candidato deve ser CCIE ou CCDE
3. Ter pelo menos 10 anos de experiência
4. O cadidato deverá ser aceito ao programa de certificação CCA.
5. Uma vez aceito, o caditado deverá propor uma solução de arquitetura atendendo a um conjunto de requitos comerciais.

Algo interessante é que o candidato se apresentará diante de uma bancada como em um exame de doutorado, e será convidado a defender e modificar a proposta, diante de um conselho formado por outros engenheiros e especialistas no assunto, dentro e fora da Cisco.

Uma vez aceito no programa, o processo de certificação pode ser preenchido em uma questão de semanas.
A capacidade de explicar a tecnologia em termos empresariais é necessária e uma habilidade especial.

Para saber mais sobre o programa de certificação CCA, acesse:
Cisco Certified Architect
Press Release

Fonte: NetworkWorld.com

NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

Conheça a história de um CCIE Quadruplo !!!

Olá Pessoal,
Talvez alguns de vocês já tenham ouvido ou lido sobre a história de um dos caras que conseguiu com exito tirar quatro certificações CCIE.
Pois é, esse cara se chama Scott Morris, que atualmente é VP da Internetwork Expert, Inc. e intrutor nos treinamentos CCIE e também atua como Intrutor Juniper.
Veja algumas das certificações alcaçadas por esse profissional de primeirissima qualidade.

• CCIE4 (R&S/ISP-Dial/Security/Service Provider) #4713;
• JNCIE #153;
• CISSP;
• CCSI/JNCI-M/JNCI-J

Scott investiu nada mais nda menos do que U$ 2.3 Milhoes de doláres em seu “Home-Lab” gigantesco para estudar e alcaçar essa façanha.

Veja uma das fotos do “Home-Lab” montado por Scott Morris.
Se quiser saber mais detalhes desta história acesse os links abaixo:

NetworkWorld.com
Scott Morris Resume

Realmente tem louco pra tudo galera !!!
Mas temos que concordar, isso que é investimento de primeira e comprometimento até o ultimo.

NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

PBR – Policy Routing Based

Olá Pessoal,

Hoje falaremos de um assunto um pouco mais complexo, PBR.

Policy-based routing (PBR), ou simplesmente, “Roteamento baseado em políticas” é uma técnica utilizada para realizar tomada de deciões baseadas em politicas que podem ser manualmente criadas por um administrador de redes.

Quando um router recebe um pacote normalmente toma a decisão sobre para qual caminho encaminhar o trafego, baseando-se no endereço de destino do pacote o qual deverá ser procurado na tabela de roteamento.

Em alguns casos, pode haver a necessidade de transmitir o pacote com base em outros critérios, como por exemplo: Pode-se querer transmitir pacotes baseando-se no endereço de origem e não no endereço de destino.

O técnica de PBR pode ser baseada também no tamanho do pacote, no protocolo utilizado ou em alguma outra característica ou combinação de características.

A utilização do PBR em uma rede onde temos multiplos Links. Você pode querer determinar por qual circuito passarão os trafegos de maior prioridade baseando-se no protocolo ou destino utilizado.

Exemplo:

Link A: A configuração do PBR determinará que apenas protocolos e destinos especifícos entendidos como tendo maior prioridade passarão por este circuito.

Link B: Será determinado qual tipo de trafego baseando-se em origem, destino ou protocolo passará por este circuito. Ou simplesmente, como temos multiplos circuitos, tudo o que não estiver especificado no PBR do Link A passará pelo Link B.

Complexo não acham? Nem tanto, depois que vocês entenderem o conceiro, farão isso de olhos fechados, pois em resumo podemos entender o PBR como um tipo de “Access-list Melhorada” mas claro que como tudo, exigirá bastante treino.

Para tentar ilustrar de maneira mais clara, elaborei um video onde criei um laboratório com o simulador GNS3 e criei a configuração do PBR.

Por favor deixem seus comentários caso o laboratório em video não esteja muito claro, pois ainda sou novo nessa técnica hehehe !!!




Copyright © 2009 netip-sec.com.br



Faça o download dos arquivos de laboratórios diretamente do HD Virtual NetIP-SEC.

Acesse o Link: PBR – Policy-Based Routing

Referências:

Configuring Policy-Based Routing

Cisco Press Content



Grande Abraço.

Willian Guilherme

NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

Cisco IOS Router: Lock It Down in 10 Steps – Parte II

Olá Pessoal,
Dando continuidade ao artigo sobre como “Travar” um roteador em 10 passos, lá vão as 5 dicas finais, que certamente podem ser utilizadas por vocês no dia a dia, ou mesmo utilizadas para o estudo das provas de certificação CCSP Cisco.
Como dito no post anterior sobre este assunto, prepare-se para encontrar perguntas referentes a dicas deste tipo na prova CCSP – 642-504 SNRS .
Then let’s go!!!

6. Control who can access the router – Para acessos remotos, você precisa restringir os usuários,que podem gerenciar o roteador tomando como base eus endereços IP’s ou redes de origem, bem como o protocolo eles podem utilizar para fazer isso, exemplo: telnet ou ssh. Para restringir o acesso de gerenciamento por endereço IP de origem faça o seguinte: Access-list 1 permit 192.168.1.0 0.0.0.255 [Este é o endereço de uma rede; você também pode restringir o acesso a um único endereço IP] Line vty 0 4 Access-class 1 in

7. Use SSH – Embora muitas empresas utilizem Telnet ou HTTP para gerenciar seus roteadores, este método não é o mais recomendado. Gostaria de recomendar veementemente a mudança para o protocolo Secure Shell (SSH), para realização de gerenciamento remoto de todos os roteadores. Isto porque o SSH realiza a encriptação dos dados coisa que os outros protocolos não fazem, exemplo: Telnet. Para habilitar apenas o acesso SSH em um roteador faça:

Hostname myrouter [necessário colocar um nome no roteador]
Ip domain-name mydomain.com [um nome de dominio é necessário]
Crypto key generate rsa [gere chaves de encriptação]
Ip ssh timeout 60
Line vty 0 4
Transport input ssh

Nota: Para maiores detalhes de como habilitar o acesso SSH em um router Cisco, leia o artigo postado neste site acessando o seguinte link: Habilitando Acesso SSH em um Router Cisco
Neste post você poderá também assistir a um video elaborado por mim mostrando como realizar a configuração informada acima:
Assista ao video no Youtube http://www.youtube.com/watch?v=2iyOlMflge8

8. Secure routing protocols and optional services – Se você estiver usando qualquer protocolo de roteamento, saiba que um hacker pode manipular estes protocolos em sua rede. É recomendável o uso de um protocolo de roteamento, que suporte senhas criptografadas durante a convegência de rotas. Por exemplo, aqui está como configurar o OSPF para usar senhas criptografadas:

ip ospf message-digest-key key# md5 My$OSPFpassword [em cada interface]
area X authentication message-digest [na configuração OSPF do roteador para cada area]

Se você utiliza serviços opcionais como o HTTP Web-based ou SNMP, você deve configurar o método mais seguro possível. Por exemplo, se você estiver usando HTTP Web-based management, mude o HTTP para o uso somente de senhas criptografadas. Se você estiver usando SNMP, use uma senha segura e SNMP V3, que pode criptografar senhas.

9. Prevent DoS Attacks – Para impedir que pessoas mal intecionadas realizem ataques e até mesmo derrubem seu roteador, um dos comandos que você pode usar para ajudar a prevenir ataques DoS
é o no ip-directed-broadcast
ip-directed-broadcast são raramente utilizados e são frequentemente explorados através de ataques DoS.
Um outro método para prevenir ataques DoS é limitar o tamanho dos pacotes ICMP. O protocolo ICMP pode ser utilizado para realizar o que chamamos de “Flood” ou inundação em sua rede, causando um DoS.
Para prevenir um “Flood” use os seguintes comandos em cada interface.

access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any echo
interface Serial 0/0
rate-limit input access-group 100 20000 8000 8000 conform-action transmit exceed-action drop

A prevenção contra todos os tipos possíveis de ataques DoS pode ser muito complexo. Para saber mais informações, consulte os documentos oficiais da Cisco acessando os seguites links.

Strategies to protect against distributed denial of service (DDoS) attacks
10. Keep the IOS patched – Não é apenas a Microsft que lança frequentemente patches, para correção de seus sistemas operacionais. Saiba que a mesma coisa acontece com a Cisco.
Você deve se manter sempre atualizado sobre os mais recentes avisos de segurança e patches para seus roteadores sempre que possível.
Para visualizar os últimos patches da Cisco para seus equipamentos, vá ao Web site “Cisco Security Advisories“.

Bom pessoal, por hoje é só, espero que tenham gostado destes dois posts. Vou separar mais alguns materiais interessantes para elaboração de novos posts sobre segurança voltado exclusivamente para as provas CCSP.
Aguardem novidades, alguns videos elaborados por mim estão por vir e serão de grande ajuda.

Grande abraço

Willian Guilherme
NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

CCNA 640-802 – VLAN Links: Access & Trunk Links – Parte I

Olá Pessoal,
Bom, vocês ja devem estar familiarizados com os termos”VLANs estáticas” e “VLAN’s Dinâmicas”, embora este seja apenas o inicio, vamos expandir esse assunto com mais alguns posts, sobre Links de Acesso, Trunk Links, VTP, ISL, IEEE 802.1q

Links de Acesso (Access Links)
Dentro do mundo das VLAN’s existem dois tipos de interfaces, ou se você preferir (Links). Estes links nos permitem conectar multiplos switches ou dispositivos de rede como por exemplo: Workstations, que deverão ter acesso a uma VLAN da rede. Depedendo da configuração, eles poderão ser chamados de “Links”, ou “Trunk Links”.
Links de acesso são os mais comuns dos tipos de links em qualquer switch. Qualquer hosts conectado a porta de um switch ou (Link de acesso) automaticamente passa a fazer parte de um dominio de Broadcast, isso significa que este host ainda não sabe a qual VLAN pertence.
Qualquer dispositivo conectado a um link de acesso não consegue se comunicar com dispositivos que estejam localizados em outras VLAN’s, a não ser que um dispositivo de camada 3 (Router) seja utilizado para realizar o roteamento dos pacotes entre as VLAN’s.

“Trunk Links”
Um Trunk Link, ou simplesmente “Trunk” é uma porta configurada para transportar pacotes para qualquer VLAN. Estes tipos de portas são encontradas normalmente em conexões entre switches para transportar informações entre múltiplas VLAN’s, mas também podem ser encontradas em conexões com Routers e servidores.
Observe o desenho abaixo:
Atente-se ao fato de que para uma porta ou link poder operar como um “Trunk Link” é mandatório que a velocidade deste seja de 100Mbit ou superior, interfaces Fast ou Gigabit Ethernet.
Uma porta com velocidade de 10Mbit’s ou 10BaseT por exemplo, não pode funcionar como um “Trunk Link” isto porque um “Trunk Link” sempre é utilizado para conectar-se ao Backbone da rede, que deverá operar em velocidades superiores do que a maioria dos Links de Acesso.

Nota: A técnica de Trunk é bastate comum em conexões entre switches, comumente chamdos de (uplinks).

No desenho acima é possível visualizar um trunk realizando entre Switches

Neste post foi feita uma introdução ao assunto “Access and Trunk Links”. Nos próximos posts veremos muitas coisas sobre ambos os tipos de links, então esteja preparado.
Em futuros posts mostrarei como configurar um trunk, pois ainda há muita teoria que é importante vocês saberem.
No próxomo post falaremos sobre VLAN Tagging.

Grande Abraço,

Willian Guilherme
NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

Cisco IOS Router: Lock It Down in 10 Steps – Parte I

Olá Pessoal, Hoje vou mostrar algumas dicas importantes de com manter um roteador Cisco seguro . Em muitas empresas é comum alguns engenheiros ou analistas de segurança não se atentarem ao fato de que um roteador quando instalado possui muitos serviços desnecessários habilitados e até mesmo meios de acesso inseguros são permitidos. Neste post o intuito é mostrar 10 dicas que podem ser utilizadas a fim de realmente travar seu roteador de acessos não autorizados e possiveis ataques.
Let’s Go!!!

1. Disable unnecessary services
Por padrão, roteadores Cisco executam uma série de serviços opcionais. Estes serviços podem ser utilizados para dar informações sobre o roteador a pessoas má intencionadas (Hackers) para que eles possam explorar possiveis vulnerabilidades.
Para evitar problemas e se prevenir Você deve desabilitar os seguintes serviços utilizando o modo de configuração global:

* CDP (Cisco Discovery Protocol) – no cdp run
* Remote configuration – no service config
* Source Routing – no ip source-route
* Finger – no service finger
* Web Server – no ip http server
* SNMP – no snmp-server
* BOOTP – no ip bootp server
* TCP services – no service tcp-small-servers
* UDP services – no service udp-small-servers

Claro que, se o roteador tem uma interface que não está em uso, você deve destivá-la administrativamente com o comando “shutdown”. Para as interfaces em uso, você deve fazer o seguinte na no mode de configuração de interface:

* no ip directed-broadcast
* no ip mask-reply
* no ip proxy-arp

2. Filter traffic, log denials, and spoofing prevention – Com essa ação basicamente, você estará bloqueando todo o tráfego que não é necessário. Muitas vezes, descobrir qual tráfego é necessário pode ser difícil. Para fazer isso, pense em sua rede. Quais redes estarão passando por este router? Se este for um roteador Internet, ou como costumamos chamar (Roteador de borda), este não deveria estar recebendo qualquer tráfego proveniente de redes privada (RFC1918).
Por esta razão você deve aplicar o seguinte modelo de Access-list em seu roteador de borda.

Access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
Access-list 101 deny ip 172.16.0 0.15.255.255 any log
Access-list 101 deny ip 192.168.0 0.0.0.255 any log

Interface s0/0 ! WAN Internet Interface Ip access-group 101 in

Como você pode estar imaginando, essa access-list pode ir muito mais longe. Prepara-se para responder perguntas deste tipo na prova SNRS da grade CCSP – 642-504 SNRS Securing Networks with Cisco Routers and Switches (SNRS).

3. Store router logs and use a reliable time source
Todas as “Access-lists” de negação que estiverem sendo logadas precisam ser enviadas para um arquivo de logs.
Esse arquivo de log também irá conter quaisquer alterações realizadas nas configurações do roteador e quaisquer erros.
Para ativar essa configuração em um roteador, faça o seguinte através do modo de configuração global:

Logging on
Logging buffered 16384 [dá ao router um buffer de 16MB]

No entanto, um fator importante e uma desvantagem em se realizar este tipo de configuração para guardar logs no próprio roteador é que, se o router reinicializar (ou na pior das hipóteses for atacado por um Hacker ou sofrer um falha de Hardware), todos os logs armazenados serão perdidos.

Portanto é recomendável possuir um “Log Server” para que estes logs sejam enviados para um “Syslog Server”, faça o seguinte:

Logging 1.1.1.1 [Endereço IP do servidor Syslog]
Serviço timestamps log datetime localtime show-timezone msec! [permite o tempo para mostrar-se sobre os logs]

Para se certificar que tanto o horário quanto a data dos logs estejam sempre atualizadas, configure seu roteador para utilizar um servidor NTP (Network Time Protocol) de uma origem confiável. Pesquise no Google por servidores NTP públicos.

4. Apply passwords to lines and privileged mode
Existem três formas básicas de acesso a um router: console, aux, e vty. Você deve se certificar de que todos os três tenham senhas aplicadas a eles.
Aqui está o que você deve checar no arquivo de configuração do roteador:

line con 0
login
password MyComplexPass
Exec-timeout 0 0

line aux 0
login
password MyComplexPass
Exec-timeout 0 0

line vty 0 4 !check to make sure that you don’t have more than 4 vty’s, as some routers do
login
password MyComplexPass

Para acessar o roteador através do modo privilegiado, você deve configurar uma senha de “enable”. Ao fazer isso, use “enable secret” que a senha seja criptografada utilizando o protocolo MD5, ao invés de utilizar apenas a senha de “enable password”
Abaixo está um exemplo: enable secret MyComplexSecretPass

5. Use complex passwords, encrypt passwords, and prevent dictionary attacks
Certifique-se de sempre utilizar senhas complexas em seu roteador, pois isto irá diminuir significativamente as chances de o router ser comprometido. Para fazer isso, use o comando:

Security passwords min-length 6 [this sets the minimum password length to 6 characters]

Assegure-se também que todas as senhas do roteador sejam encriptadas com, no minimo a encriptação básica. Para fazer isso, use o seguinte comando:

Service password-encryption

Você pode prevenir os “Dictionary Attacks” informando ao roteador para aceitar logins a cada 1 segundo e bloquear todos os logins do roteador por 120 segundos no caso de 5 tentativas sem sucesso dentro de 60 segundos.
Para fazer isso, use o seguinte comando:

login block-for 120 attempts 5 within 60

Para maiores informações leia o artigo: “Protect your router from a DoS dictionary attack.“

Para qualquer conta de usuário local que você configure, você deve usar o comando:
username secret…
Este comando irá realizar encriptação para o usuário o qual você criar com o protocolo de encriptação MD5.

Como ainda nos restam 5 passos e para que este artigo não fique tão longo irei dividi-lo em dois posts.
Sendo assim aguardem a segunda parte deste post e mantenham seus roteadores seguros.

Grande Abraço.

Willian Guilherme
NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

Habilitando Acesso SSH em um Router Cisco

Olá pessoal,
Hoje vou explicar como habilitar o acesso seguro via SSH em um roteador Cisco.
Antes de mostrar como configurar o acesso SSH em um router cisco, é importante explicar o que é este protocolo e a diferença básica entre o acesso via protocolo SSH e Telnet.

SSH – Secure Shell
SSH é um protocolo que permite a troca de dados utilizando-se um canal seguro. Um bom exemplo é quando realizamos acessos a roteadores de internet.
O protocolo SSH foi utilizado inicialmente em sistemas operacionais Linux e UNIX. Um fato importante é que o protocolo SSH foi desenvolvido para substituir o protocolo Telnet e outros protocolos de acesso remoto considerados inseguros.
Os protocolos considerados inseguros como o (Telnet) enviam informações como: senhas em texto limpo (Clear Text) fazendo com que estas informações fiquem expostas e abertas para serem interceptadas.
A criptografia oferecida pelo protoclo SSH provê confidencialidade e integridade dos dados através de uma rede não segura como a internet.
Tipicamente o SSH é utilizado para realizar login em uma maquina remota e executar comandos. A porta padrão utilizada pelo protocolo SSH é TCP 22.

Veja no video abaixo como realizar a configuração.

Copyright © 2009 netip-sec.com.br

Grande Abraço

Willian Guilherme
NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

CCNA 640-802 – VLAN’s (Virtual LANs) – Part II

Olá Pessoal,
No ultimo post CCNA 640-802 – VLAN’s (Virtual LANs) – Part I, falamos sobre o que são as VLAN’s, para que servem e em que situações devemos utiliza-la. Hoje irei falar sobre os diferentes tipos de VLAN’s existentes.

VLAN’s Estaticas:
As VLAN’s estáticas são talvez o método mais utilizado pelos administradores de rede, devido a facíl administração e segurança que esse tipo de VLAN oferece. É através da criação de VLAN’s estáticas que alocamos cada porta de um switch a uma VLAN. Após feito isto, pode-se então conectar cada dispositivo a uma porta do switch.
o cenário apresentado em nosso primeiro post sobre VLAN’s seria um bom exemplo, pois temos 3 departamentos, e podemos controlar onde os usuários podem fisicamente conectar suas maquinas e quais servidores eles poderão acessar.
Em suma, com as VLAN’s estáticas, não importam os endereços IP’s (Camada 3) utilizados para cada VLAN, pois o switch ignora completamente esta informação, a menos que realizemos o roteamento entre as VLAN’s, porém iremos falar desse assunto no post sobe (InterVLAN routing).

VLAN’s Dinâmicas
As VLAN’s dinamicas foram criadas para conceder a flexibilidade que as VLAN’s estáticas não provêem. As VLANs dinâmicas são bastante raras devido aos requisitos e procedimentos administrativos em geral. Por esta razão a maioria dos administradores preferem trabalhar com as VLANs estáticas.
Ao contrário das VLAN’s estáticas as VLAN’s dinâmicas não exigem que o administrador configure cada porta individualmente. Ao invéz disso utiliza-se um servidor central, chamado VMPS (VLAN Member Policy Server).
O servidor VMPS possui uma base de dados com todos os endereços MAC e realiza a associação entre endereços MAC e as VLAN’s.
Veja no exemplo abaixo:

Como podemos ver no mapeamento acima, não importa em que ponto da rede o usuário conecte o seu Laptop ou Workstation, pois como o MAC address de sua estação está configurado no VMPS para sempre estar assignado para uma determinada VLAN, ele sempre será conectado a VLAN a qual o seu MAC address pertence.
Em reumo:
VLAN’s Estáticas: Realizamos o mapeamento de portas para VLAN’s
VLAN’s Dinâmicas: Realizamos o mapeamento MAC Address para VLAN’s

Agora imagine o trabalho inicial para se configirar um servidor VMPS para uma rede com mais de 300 workstations. Este modo de VLAN’s funcionam muito bem, porém exige que os switches estejam em contato constante com o servidor VMPS, requerendo configuração de informações sempre que um novo host é conectado a um switch. Há muito mais informações que podem ser utilizadas para configurar o banco de dados de um servidor VMPS, porém não vamos abordar estes temas. Nota: Além do mapeamento de endereços MAC, é possível também realizar o mapeamento de aplicações, logins de usuários para VLAN’s específicas. Exemplo: Digamos que um visitante veio a sua empresa e conectou seu laptop a rede, com o intuito de acessar a internet. Porém seu endereço MAC não consta na base de dados do VMPS. Você como administrador pode previamente configurar uma VLAN (GUEST) para quando ocorram casos dessa natureza, o MAC address dos visitantes sejam colocados em um VLAN isolada de sua rede corporativa, impedindo qualquer contato dele com os outros hosts ou servidores da rede. Isto manteria a segurança da sua rede impedindo até mesmo a infecção de outros hosts ou servidores por virus, visto que o laptop deste visitante não segue os padrões de segurança da corporação.
Achou interessante o assunto VLAN’s dinâmicas? Quer saber mais a respeito do servidor VMPS?
Então consulte os links abaixo e divirta-se.

VLAN Membership Policy Server (VMPS) / Dynamic VLANs

How to configure a Cisco Catalyst switch as a VMPS

Configuring Dynamic Port VLAN Membership with VMPS

Category:VLAN Membership Policy Server (VMPS) / Dynamic VLANs

No próximo post falaremos sobre os Trunks e os links de acesso
Grande Abraço

Willian Guilherme
NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

Configurando Router Cisco como DHCP Server

Olá Pessoal,
Neste post vou mostrar como configurar um roteador Cisco, para ser um servidor DHCP em uma rede.
O protocolo DHCP (Dynamic Host configuration Protocol) é um protocolo utilizado por dispositivos de rede (Como PC’s, impressoras de rede, etc) para automaticamente obterem parametros de rede, como endereços IP’s, Default Gateway, Domain Name, Servidores DNS entre outros parâmetros.

Um servidor DHCP é considerado extremamente necessário nas redes dos dias atuais. Dispositivos que normalmente proveêm esse tipo de serviço, são servidores Windows, UNIX (BIND), Routers e switches Layer 3.

Cenário:
Em nosso cenário vamos configurar uma rede conforme mostrada na figura, onde queremos configurar o serviço de DHCP em um router Cisco 3725. Este roteador irá funcionar como um servidor DHCP para a rede 10.2.2.0/24, tendo em sua interface F0/0 o endereço IP 10.2.2.1.
Passo 1:
O primeiro passo é habilitar o serviço de DHCP em nosso router, (Por Default esse serviço já vem habilitado).

RT001# configure terminal RT001(config)# service dhcp

Passo2:
O próximo passo é criar um DHCP Pool, para definir os endereços IP’s de sua rede que devem ser distribuidos as maquinas clientes. Nota: NET-Pool é o nome do DHCP Pool que iremos criar, porém esse nome pode ser qualquer um que você escolha.

RT001(config)# ip dhcp pool NET-POOL RT001(dhcp-config)# network 10.2.2.0 255.255.255.0

Esta configuração informa ao roteador para distribuir endereços para a rede 10.2.2.0, que compreende o range 10.2.2.1-10.2.2.254. Vamos também excluir os endereços que iremos querer utilizar no futuro. No nosso cenário vamos excluir no endereço IP 10.2.2.1 que pertence a interface fastethernet 0/0.

Passo 3:
Vamos agora definir os parâmetros DHCP que deverão ser distribuidos a cada cliente. Estes parâmetros incluem o “Default-Gateway” (default-router), DNS-Server, domínio e o periódo de alocação dos endereços IP’s.

RT001(dhcp-config)#default-router 10.2.2.1
RT001(dhcp-config)#dns-server 10.2.2.102 200.204.0.10 200.204.0.138
RT001(dhcp-config)#domain-name cisco.com
RT001(dhcp-config)#lease 9

Passo4:
O “domain-name” e o ” Periódo de locação” são parâmetros não essenciais e podem ser deixada de fora. Por padrão, o tempo para de alocação de um endereço IP é um dia (24 Horas).
Agora precisamos excluir os endereços IP’s que não queremos que o servidor DHCP dstribua para as estações de trabalho de nossa rede.
Vale lembrar que devem ser excluidos endereços IP’s de servidores, Roteadores etc.. Dispositivos estes, que utilizam endereços IP’s estáticos.
Em nosso exemplo vamos excluir os primeiros 11 endereços IP’s, os quais possivelmente serão utilizados de maneira estática para servidores, roteadores etc, portanto os endereços começarão a ser distribuidos pelo servidor DHCP a partir do endereço 10.2.2.12.

RT001(dhcp-config)#ip dhcp excluded-address 10.2.2.1 10.2.2.11

Very Good Guys!!! Isto é tudo o que precisamos fazer para configurar um router como servidor DHCP em uma rede. Quer saber quais endereços IP’s estão em uso, ou atribuidos para as estações de trabalho? Veja abaixo:
Passo 5:
O comando abaixo nos permite checar quais endereços IP’s foram alocados para as estações de trabalho da rede.
Note que os IP’s de 10.2.2.1 à 10.2.2.11 não foram distribuidos.

No próximo post, vou explicar sobre o processo utilizado por uma estação de trabalho para solicitar um endereço IP a um servidor DHCP. Explicarei sobre as mensagens emitidas pela estação e servidor DHCP, as quais são extremamente importantes para quem irá fazer a prova de certificação CCNA.(Aguarde pelo menos uma questão sobre esse assunto).

Grande Abraço
Willian Guilherme NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss

CCNA 640-802 – VLAN’s (Virtual LANs) – Part I

Ola Pessoal,
Segue mais um post importante para entendimento do conceito de um dos assuntos mais cobrados na prova para certificação CCNA, (VLAN’s – Virtual LAN’s).

O que são as VLAN’s?
Antes de partirmos para a explicação propriamente dita, vamos nos lembrar de um conceito básico:
Cada porta de um switch ou Bridge é chamado de: Dominio de Colisão (Colision Domain).
Cada VLAN de um Switch é chamada de: Dominio de Broadcast (Broadcast Domain).

Por padrão todo switch cisco vem de com uma VLAN pré-definida (VLAN1), e por padrão também, todas as portas do switch (Independente do número de portas) estão alocadas para esta VLAN, formando então um único Dominio de Broadcast (Broadcast Domain).

VLAN (Virtual LAN) é um domínio de Broadcast criado por um ou mais switches. Ou de maneira mais simplista podemos consider também um conjunto de portas de um switch que compartilham o mesmo Dominio de Broadcast.

Agora vamos pensar na estrutura de uma empresa que acaba de comprar um switch de 12 portas e precisará conectar 3 departamentos distintos a este mesmo switch.
Esta será uma tarefa a qual você como CCNA deverá ser capaz de realizar. Teremos neste caso os seguintes departamentos conectados ao mesmo switch:

Engenharia = VLAN 10
Marketing = VLAN 20
Vendas = VLAN 30

Por medida segurança seu gerente informou, que nenhum dos departamentos deverá acessar um ao outro. Para realizar esta tarefa você deverá criar neste Switch VLAN’s. (Lembre-se que a VLAN 1 vem configurada por Default). Em algumas empresas é padrão, utilizar a VLAN1 como uma VLAN de gerencialmento, onde estão alguns “Devices” de rede, segurança entre outros.

Nota: Não se preocupe com o roteador mostrado em nosso desenho, e nem como essas VLAN’s poderão se conectar uma a outra, este não é o forum no momento.
Iremos abordar o roteamento de VLAN’s posteriormente, portanto preocupe-se neste momento apenas em entender o que são, para que servem e como funcionam as VLAN’s.

Veja o desenho de nosso exemplo abaixo:

SW001(config)#vlan 10
SW001(config-vlan)#name Engenharia
SW001(config-vlan)#vlan 20
SW001(config-vlan)#name Marketing
SW001(config-vlan)#vlan 30
SW001(config-vlan)#name Venda

Configuração de Nosso Switch

1. Entre no modo de configuração global

SW001#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

2. Até este ponto, apenas criaremos as vlans. e todos hosts conseguem se falar normalmente, devido ao fato de todas as portas estarem em uma vlan única (VLAN1).

SW001(config)#vlan 10
SW001(config-vlan)#name Engenharia
SW001(config-vlan)#vlan 20
SW001(config-vlan)#name Marketing
SW001(config-vlan)#vlan 30
SW001(config-vlan)#name Vendas

3. Alocando portas para cada VLAN
********Vlan10********
SW001(config)# interface fastethernet 0/2
SW001(config-if)# switchport access vlan 10
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/3
SW001(config-if)# switchport access vlan 10
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/4
SW001(config-if)# switchport access vlan 10
SW001(config-if)# switchport mode access

********Vlan20********
SW001(config)# interface fastethernet 0/5
SW001(config-if)# switchport access vlan 20
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/6
SW001(config-if)# switchport access vlan 20
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/7
SW001(config-if)# switchport access vlan 20
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/8
SW001(config-if)# switchport access vlan 20
SW001(config-if)# switchport mode access

********Vlan30********
SW001(config)# interface fastethernet 0/9
SW001(config-if)# switchport access vlan 30
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/10
SW001(config-if)# switchport access vlan 30
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/11
SW001(config-if)# switchport access vlan 30
SW001(config-if)# switchport mode access

SW001(config)# interface fastethernet 0/12
SW001(config-if)# switchport access vlan 30
SW001(config-if)# switchport mode access

4. Verificando as VLAN’s. Para verificar as VLAN’s execute o comando:
SW001#show vlan
VLAN Name Status Ports
—- ——————————– ——— ——————————-
1 default active Fa0/1, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24
10 Engenharia active Fa0/2, Fa0/3, Fa0/4 20
Marketing active Fa0/5, Fa0/6, Fa0/7, Fa0/8 30
Vendas active Fa0/9, Fa0/10, Fa0/11, Fa0/12
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

Veja no Output acima que todas as VLAN’s criadas no passo 2, possuem portas especificas alocadas.
Repare também que as outras portas, não alocadas para nenhuma VLAN especifica, continuam em sua VLAN default (VLAN1).
Desta forma agora temos 4 dominios de Broadcast (VLAN’s) distintos. Lembrando que a VLAN1 também é um dominio de Broadcast.

Bem pessoal, no 2º post sobre VLAN’s irei mostrar os diferentes tipos de VLAN’s existentes.

Grande Abraço

Willian Guilherme
NetIP-SEC

http://www.netip-sec.com/feeds/posts/default?alt=rss