Configuração EIGRP - Anunciar "Default Route"

Existem 4 possibilidades de anunciar a "default-route" no EIGRP. Assim, no router da periferia entre a LAN e a WAN pode recorrer-se a um de quatro métodos:

1) Redistribuição de Rota;
2) Rede 0.0.0.0;
3) Comando "ip default-network";
4) Sumarização de Rota;

Assim, considerando o seguinte cenário, depois da configuração EIGRP para o AS 100, em todos os routers da LAN (R1, R2 e R3) e da criação de uma "default route" no router ISP, dirigida para o router da periferia:

1) "Route Redistribution":

No R1:

a) Criar rota estática:

R1(config): ip route 0.0.0.0 0.0.0.0 FastEthernet1/0

b) Redistribuir no processo do EIGRP a rota estática criada antes:

R1(config): router eigrp 100
R1(config-router): redistribute static metric 1 1 1 1 1

2) "Network 0.0.0.0":

No R1:

a) Criar rota estática:

R1(config): ip route 0.0.0.0 0.0.0.0 Null0

Nota: O comando "Null0" evita que ocorram "routing loops"

b) Anunciar a rota 0.0.0.0 (que significa tudo) no processo do EIGRP:

R1(config): router eigrp 100
R1(config-router): network 0.0.0.0

3) "IP Default-Network":

No R1:

a) Criar "default network" para a rede que liga à WAN:

R1(config): ip default-network 192.168.100.0

Nota: Este comando é no EIGRP o equivalente ao "default-information originate" no OSPF, com a desvantagem neste caso que anuncia uma rede "classful". Assim, a rede 192.168.100.0/30 é anunciada como 192.168.100.0/24

b) Verificar que no "show run" a rede acima aparece como "classfull" (ie, a rede é considerada neste caso de classe C de acordo com o RFC 1918), tal como foi referido acima.

c) Acrescentar no processo de EIGRP:

R1(config): router eigrp 100
R1(config-router): network 0.0.0.0

4) "Route Summarization":

No R1:

R1(config): interface fastethernet 1/0
R1(config-if): ip summary-address eigrp 100 0.0.0.0 0.0.0.0

R1(config): router eigrp 100
R1(config-router): network 0.0.0.0

Nota: Neste caso procede-se à sumarização da rede, ie., reduzir a uma só rede todas as redes num só "anúncio".

No final, verificar com "ping" e/ou "show ip route" que por exemplo em R3, tal como com os restantes routers,  consegue-se chegar ao ISP.

Configuração SSH

Configuração de SSH (cliente e servidor) em Routers Cisco (série 3600):

Como funciona o SSH ?

a) Negociação entre o cliente e servidor quanto à versão de SSH e o tipo de encriptação comum a utilizar;

b) O servidor envia a sua chave pública para o cliente;

c) O cliente recebe a chave pública do servidor e gera um par de chaves de sessão (pública/privada);

d) O cliente envia o par de chaves de sessão encriptado com a chave pública do servidor;

e) O servidor decripta o par de chaves de sessão recorrendo à chave privada que já possui e envia mensagem de confirmação encriptada com a chave de sessão;

f) A partir daqui a comunicação é encriptada com o par de chaves de sessão que é partilhado por ambos;

Configurações do Laboratório:

1) Atribuir/alterar nome do SSH_Server:

Router(config): hostname SSH_Server

2) Configurações de rede:

SSH_Server(config): interface ethernet0/0
SSH_Server(config-if): no shutdown
SSH_Server(config-if): ip address 192.168.10.2 255.255.255.0

SSH_Server(config): interface ethernet1/0
SSH_Server(config-if): no shutdown
SSH_Server(config-if): ip address 192.168.100.2 255.255.255.0

SSH_Client2(config): interface ethernet0/0
SSH_Client2(config-if): no shutdown
SSH_Client2(config-if): ip address 192.168.100.1 255.255.255.0

Nota: O "SSH_Client1" é o interface de loopback do computador físico onde está instalado o GNS3 e tem o IP 192.168.10.1/24

3) Atribuir/alterar nome do SSH_Server:

Router(config): hostname SSH_Server

4) Apagar par de chaves que eventualmente existam no servidor (opcional):

SSH_Server(config): crypto key zeroize rsa

5) Criar sufixo (domínio) por forma a ter um FQDN ("Fully Qualified Domain Name"):

SSH_Server(config): ip domain-name cisco.lan

6) Gerar par de chaves pública/privada no servidor:

SSH_Server(config): crypto key generate rsa general-keys modulus 1024

Nota: "1024" refere-se ao tamanho da chave em bits

7) Criar utilizador local e respectiva senha:

SSH_Server(config): username cisco privilege 15 secret cisco

Nota: Pretende-se criar um usuário com privilégios totais de acesso, daí o "privilege 15", sendo que a senha fica armazenada no próprio router mas encriptada por forma a não ser possível vê-la no ficheiro de configuração, daí o comando "secret", seguido da senha.

8) Configurar o acesso ao "SSH_Server":

SSH_Server(config): line vty 0 4
SSH_Server(config-line): login local
SSH_Server(config-line): transport input ssh
SSH_Server(config-line): exit

Nota: O comando "login" significa que o acesso às linhas VTY exige sempre senha e o "local", que esta está armazenada no próprio Router. O comando "transport input ssh", significa que a única forma de acesso autorizada é por ssh, não sendo por exemplo possível entrar por telnet.

9) Garantir que a versão de SSH é a "2", reduzir o número de tentativas para 3 e o time-out para 5 segundos, antes de fechar a sessão:

SSH_Server(config): ip ssh version 2
SSH_Server(config): ip ssh authentication-retries 3
SSH_Server(config): ip ssh time-out 5

10) Testar  o acesso a partir do "SSH_Client1", recorrendo ao aplicativo "Putty":

a) Inserir o IP do servidor de SSH (192.168.10.2) e a porta (22):

b) O Servidor responde com o envio da chave pública - escolher a opção "Sim":

c) O Servidor pede as credenciais de acesso que são o "username" e "password" definidas no passo 7:

d) Verificar quem está logado, recorrendo ao comando "who", depois de se ter estabelecido uma sessão:

e) Verificar aspectos relacionados com o protocolo SSH, recorrendo aos comandos "show ip ssh" e "show ssh":

11) Testar  o acesso a partir do "SSH_Client2", pelo CLI:

Nota: Os comandos utilizados foram:

SSH_Server ssh -l cisco 192.168.100.2

em que: "cisco" é o username e "192.168.100.2" é o IP do servidor

12) Verificar quais as portas abertas no "SSH_Server":

SSH_Server# show control-plane host open-ports

(Dependendo do modelo do Router e versão do IOS, este comando poderá não existir)

Spanning-Tree e Port Mirroring

Configuração de STP e SPAN em GNS3:

Nota: Todos os objectos da topologia acima são Routers da série 3600, em que mudei a "skin" para se parecerem fisicamente com Switches ou PCs/Servers consoante o caso. Para além disso, para que os routers se "comportem" como switches, está configurado na "slot0" do GNS3 o módulo "NM-16ESW".

1) Configurações de rede:

PC(config): interface ethernet0/0
PC(config-if): no shutdown
PC(config-if): ip address 192.168.10.100 255.255.255.0

WEBSERVER(config): interface ethernet0/0
WEBSERVER(config-if): no shutdown
WEBSERVER(config-if): ip address 192.168.10.101 255.255.255.0

O PC "Wireshark" é uma ligação do tipo "Host" onde se configura a ligação ao "Microsoft Loopback". No PC físico, está instalado o Wireshark e o IP do Loopback está configurado tal como na figura abaixo:

2) Criação de VLAN 10, em todos os Switches:

Switch1# vlan database
Switch1(vlan)# vlan 10
Switch1(vlan)# apply
Switch1(vlan)# exit

Switch2# vlan database
Switch2(vlan)# vlan 10
Switch2(vlan)# apply
Switch2(vlan)# exit

Switch3# vlan database
Switch3(vlan)# vlan 10
Switch3(vlan)# apply
Switch3(vlan)# exit

3) Configuração de VTP em todos os switches:

Switch1# vlan database
Switch1(vlan)# vtp domain JOAO
Switch1(vlan)# vtp password cisco
Switch1(vlan)# vtp server
Switch1(vlan)# apply
Switch1(vlan)# exit

Switch2# vlan database
Switch2(vlan)# vtp domain JOAO
Switch2(vlan)# vtp password cisco
Switch2(vlan)# vtp server
Switch2(vlan)# apply
Switch2(vlan)# exit

Switch3# vlan database
Switch3(vlan)# vtp domain JOAO
Switch3(vlan)# vtp password cisco
Switch3(vlan)# vtp server
Switch3(vlan)# apply
Switch3(vlan)# exit

4) Configuração de speed/duplex em todos os interfaces dos switches:

Switch1(config): interface range fastethernet 0/0 - 15
Switch1(config-if): duplex half
Switch1(config-if): speed 10

Switch2(config): interface range fastethernet 0/0 - 15
Switch2(config-if): duplex half
Switch2(config-if): speed 10

Switch3(config): interface range fastethernet 0/0 - 15
Switch3(config-if): duplex half
Switch3(config-if): speed 10

Nota: Esta configuração permite que o GNS3 comunique correctamente com o "Loopback". Note-se que este interface lógico comunica a 10Mbps, tal como se pode confirmar na figura abaixo:

5) Associar o interface de "loopback" (fa0/0) e o interface que liga ao PC (fa0/1), à vlan 10:

Switch1(config): interface fastethernet 0/0
Switch1(config-if): no shutdown
Switch1(config-if): switchport mode access
Switch1(config-if): switchport access vlan 10
Switch1(config-if): exit

Switch1(config): interface fastethernet 0/1
Switch1(config-if): no shutdown
Switch1(config-if): switchport mode access
Switch1(config-if): switchport access vlan 10
Switch1(config-if): exit

6) Em todos os switches, criar interfaces lógicos de gestão:

Switch1(config): interface vlan 10
Switch1(config-if): no shutdown
Switch1(config-if): ip address 192.168.10.201 255.255.255.0

Switch2(config): interface vlan 10
Switch2(config-if): no shutdown
Switch2(config-if): ip address 192.168.10.202 255.255.255.0

Switch3(config): interface vlan 10
Switch3(config-if): no shutdown
Switch3(config-if): ip address 192.168.10.203 255.255.255.0

7) Criar "trunks" entre os diversos switches:

Switch1(config): interface range fastethernet 0/2 - 3
Switch1(config-if): no shutdown
Switch1(config-if): switchport mode trunk
Switch1(config-if): switchport trunk encapsulation dot1q
Switch1(config-if): switchport trunk allowed vlan all
Switch1(config-if): switchport trunk native vlan 1

Switch2(config): interface fastethernet 0/0
Switch2(config-if): no shutdown
Switch2(config-if): switchport mode trunk
Switch2(config-if): switchport trunk encapsulation dot1q
Switch2(config-if): switchport trunk allowed vlan all
Switch2(config-if): switchport trunk native vlan 1

Switch3(config): interface fastethernet 0/0
Switch3(config-if): no shutdown
Switch3(config-if): switchport mode trunk
Switch3(config-if): switchport trunk encapsulation dot1q
Switch3(config-if): switchport trunk allowed vlan all
Switch3(config-if): switchport trunk native vlan 1

8) configurar o "Switch1" como "root bridge", para a vlan 10:

Switch1(config): spanning-tree vlan 10 priority 4096

9) Verificar o cenário, com os seguintes comandos:

Em todos os switches verificar o status referente ao "spanning-tree". Neste caso, a imagem é retirada do "Switch1", após ter executado o comando "show spanning-tree brief". Verifica-se que este é o "root bridge" para a vlan 10:

Em todos os switches verificar os "trunks". Neste caso, a imagem é retirada do "Switch2", após ter executado o comando "show interfaces trunk":

Em todos os switches verificar o mapeamento de interfaces a vlans. Neste caso, a imagem é retirada do "Switch3", após ter executado o comando "show vlan-switch"

10) Configurar "SPAN" (ie., Port Mirroring na linguagem Cisco), por forma a poder analisar o tráfego que "corre" entre o PC e o Webserver, no Wireshark que está instalado no PC físico:

Switch1(config): monitor session 1 source interface fastethernet 0/1 both
Switch1(config): monitor session 1 destination interface fastethernet 0/0

11) Verificar no Wireshark, o tráfego entre o "PC" e o "WebServer" quando a partir do "PC" se faz um ping:

Como se pode verificar na imagem acima, o interface "loopback" está a capturar tráfego que não é recebido nem transmitido pela sua própria porta. Esta é a vantagem do "Port Mirroring", que consiste em poder analisar tráfego que circula em todo o switch ou switches (neste caso poder-se-ia utilizar o RSPAN, mas o GNS3 não permite) e não apenas o que corre no PC onde está o Wiereshark.