Laboratórios de Tecnologias
Cisco
em Infraestrutura de Redes 2a Edição Samuel Henrique Bucke Brito
Novatec
Copyright © 2012, 2014 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora. Editor: Rubens Prates Revisão gramatical: Marta Almeida de Sá Editoração eletrônica: Carolina Kuwabata Capa: Karine Hermes ISBN: 978-85-7522-335-2 OG20140714 Histórico de impressões: Julho/2014 Abril/2013 Setembro/2012
Segunda edição Primeira reimpressão Primeira edição (ISBN: 978-85-7522-326-0)
Novatec Editora Ltda. Rua Luís Antônio dos Santos 110 02460-000 – São Paulo, SP – Brasil Tel.: +55 11 2959-6529 E-mail: novatec@novatec.com.br Site: www.novatec.com.br Twitter: twitter.com/novateceditora Facebook: facebook.com/novatec LinkedIn: linkedin.com/in/novatec
lab 01
Configuração básica de roteadores Cisco
O cenário base desse laboratório está disponível para download no blog do livro na Internet e também pode ser diretamente acessado por meio do link: www.labcisco.com.br/labcisco-2ed/labcisco-2ed-lab01.pkt
Apresentação A presente atividade de laboratório traz os passos de como realizar as configurações básicas iniciais em roteadores Cisco. São apresentados os principais conceitos do sistema operacional IOS (Internetwork Operating System) que vem instalado na maioria dos roteadores e switches da Cisco e também é explicado como realizar as configurações iniciais de acesso local e remoto (senhas e segurança). O cenário para realização dos testes e comandos desse laboratório é o mais simples possível, bastando ter um único roteador (Figura 1.1). Temos uma máquina conectada via cabo serial (console) para testar o acesso terminal (via console) que permite a administração do equipamento de maneira out-of-band, ou seja, sem que recursos da rede sejam utilizados.
Figura 1.1 – Topologia do Laboratório 01. 32
Lab 01 ■ Configuração básica de roteadores Cisco
33
Também iremos configurar a interface f0/0 do roteador para inseri-lo na rede local 192.168.0.0/24 para que as máquinas conectadas a essa rede possam fazer o acesso remoto via telnet, uma forma de administração do equipamento chamada in-band, ou seja, utilizaremos os recursos da rede para gerenciar o roteador. O arquivo Lab01.pkt já está devidamente configurado, por isso será necessário o leitor apagar as configurações iniciais para praticar os comandos básicos. Para ter acesso à linha de comando (CLI), basta clicar na imagem do roteador na topologia lógica que um menu será aberto na aba physical (padrão). Clicando na aba CLI, o leitor terá acesso ao console para execução dos comandos. Por meio da linha de comando (CLI) do roteador, o usuário deve digitar os seguintes comandos para resetá-lo (vide roteiro 1.1):
Roteiro 1.1 – Procedimento de reset do roteador ################################################ Roteador -> Somente Acesso Autorizado!!!!!!!!!! ################################################ Roteador> enable Password: “Digite a senha SENHA” Roteador# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] “Digite <ENTER>” [OK] Erase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Roteador#
Feito isso, basta desligar fisicamente o roteador no botão e ligá-lo novamente que as configurações padrão de fábrica serão carregadas, conforme mostra a figura 1.2. Para ter acesso ao roteador físico, basta clicar na imagem do roteador na topologia lógica que o mesmo menu do roteiro 1.2 será aberto por padrão na aba physical em que é exibido o equipamento.
Figura 1.2 – Visão física do equipamento roteador.
34
Laboratórios de Tecnologias Cisco em Infraestrutura de Redes
Ao ligar o roteador, será aberto um diálogo automático de configuração inicial. O leitor deverá sair desse processo, porque posteriormente faremos as configurações manualmente via linha de comando.
Roteiro 1.2 – Menu de inicialização do roteador Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory. Processor board ID FTX0947Z18E M860 processor: part number 0, mask 49 2 FastEthernet/IEEE 802.3 interface(s) 191K bytes of NVRAM. 63488K bytes of ATA CompactFlash (Read/Write) Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Wed 18-Jul-07 04:52 by pt_team --- System Configuration Dialog --Continue with configuration dialog? [yes/no]: n <Enter>
Sistema Cisco/IOS Todo equipamento Cisco vem carregado com um sistema operacional específico para configurações de redes que foi desenvolvido pela própria empresa. No sistema IOS (Internetwork Operating System), as configurações são realizadas de forma padronizada por meio da interface de linha de comando (CLI), qualquer que seja o modelo ou a família de roteadores/switches. Embora a configuração pela CLI seja o método mais recomendado, documentado e preferido por aqueles que atuam com tecnologias Cisco no cotidiano, também é possível configurar a maioria dos equipamentos via interface web, com restrições. Ao trabalhar pela CLI é importante saber que todo comando inserido pelo administrador é imediatamente aplicado no equipamento e fica gravado em um arquivo de configuração corrente denominado running-config, armazenado em memória volátil que, portanto, se perde em caso de boot.
35
Lab 01 ■ Configuração básica de roteadores Cisco
O leitor deve ter muito cuidado em relação a esse detalhe porque toda a configuração armazenada na running-config é perdida com a reinicialização do roteador/ switch, por isso é extremamente importante lembrar-se de copiar o conteúdo da running-config para um arquivo externo armazenado na memória não volátil do equipamento. É fortemente recomendado que ao final de qualquer configuração seja utilizado o comando “copy running-config startup-config”, instrução que faz com que o conteúdo da running-config seja replicado para um arquivo de inicialização denominado startup-config. Dessa forma, sempre que o roteador/switch for reiniciado, as configurações de inicialização da startup-config serão automaticamente aplicadas. O sistema possui dois modos de acesso (usuário e privilegiado) e vários submodos de configuração, conforme pode ser observado na tabela 1.1: Tabela 1.1 – Principais modos de configuração do Cisco/IOS
Modo no IOS
Descrição
Modo Usuário: o caractere “>” no prompt identifica o modo usuário. Por meio desse modo, somente é possível exibir Router> algumas informações básicas do sistema/equipamento (privilégio nível 7). Modo Privilegiado: o caractere “#” no prompt identifica o modo privilegiado. Por meio desse modo, o administrador possui acesso total ao equipamento (privilégio nível 15), podendo Router# exibir todos os arquivos de configuração e fazer quaisquer alterações. É também por meio desse modo que o usuário pode realizar configurações no equipamento. Submodo de Configuração Global: nesse submodo são realizadas as Router(config)# configurações globais que se aplicam ao equipamento como um todo. Submodo de Configuração de Linha: o submodo de configuração de Router(config-line)# linha configura os acessos local e remoto ao equipamento switch/roteador. Submodo de Configuração de Interface: nesse submodo são realizadas Router(config-if)# as configurações das interfaces de rede diretamente conectadas ao roteador. Submodo de Configuração de Subinterface: nesse submodo são Router(config-subif)# realizadas as configurações de subinterfaces lógicas criadas a partir de uma única interface física. Submodo de Configuração de Roteamento: nesse submodo são Router(config-router)# realizadas as configurações dos protocolos de roteamento dinâmico no roteador.
36
Laboratórios de Tecnologias Cisco em Infraestrutura de Redes Obs.: há vários outros modos de configuração que não foram listados nessa tabela.
A figura 1.3 traz uma visão mais didática da estrutura em árvore dos modos de execução (usuário e administrador) e principalmente dos submodos de configuração mais básicos que são possíveis de ser acessados pelo administrador.
Figura 1.3 – Estrutura em árvore dos modos de configuração do Cisco/IOS.
Configuração básica de roteadores O roteiro 1.3 traz as configurações iniciais mais básicas que são comumente realizadas em roteadores (e switches) e que o leitor deve seguir no laboratório para testar e observar os resultados, destacando que os números à esquerda são apenas índices para facilitar a referência. Na sequência, a tabela 1.2 traz uma relação desses comandos mais básicos com a descrição da sua ação.
Lab 01 ■ Configuração básica de roteadores Cisco
Roteiro 1.3 – Configurações básicas iniciais 01. Router> enable 02. Router# configure terminal 03. Router(config)# hostname Roteador 04. Roteador(config)# no ip domain lookup 05. Roteador(config)# banner motd @ Enter TEXT message. End with character ‘@’. 06. ##################################### 07. Roteador -> Somente Acesso Autorizado 08. ##################################### 09. @ 10. Roteador(config)# enable secret SENHA 11. Roteador(config)# service password-encryption 12. Roteador(config)# line vty 0 4 13. Roteador(config-line)# password SENHA 14. Roteador(config-line)# login 15. Roteador(config-line)# exec-timeout 0 0 16. Roteador(config-line)# logging synchronous 17. Roteador(config-line)# exit 18. Roteador(config)# line console 0 19. Roteador(config-line)# password SENHA 20. Roteador(config-line)# exit 21. Roteador(config)# interface f 0/0 22. Roteador(config-if)# ip address 192.168.0.254 255.255.255.0 23. Roteador(config-if)# no shut 24. Roteador(config)# end 25. Roteador# copy run start Destination filename [startup-config]? Building configuration... [OK]
37
38
Laboratórios de Tecnologias Cisco em Infraestrutura de Redes Tabela 1.2 – Comandos básicos do Cisco/IOS
Comandos no IOS
Descrição/Ação
Router> enable
Entra em modo privilegiado
Router# configure terminal
Modo de configuração global
Router(config)# hostname NOME
Altera o nome do equipamento
Router(config)# no ip domain-lookup
Desativa a resolução de nomes
Router(config)# banner motd @
Mensagem personalizada de login
Enter TEXT message. End with character ‘@’. ##################################### Roteador -> Somente Acesso Autorizado ##################################### @ Router(config)#enable secret SENHA Router(config)# service password-encryption Router(config)# line vty 0 4 Router(config-line)# password SENHA Router(config-line)# login Router(config-line)# exec-timeout 0 0 Router(config-line)# logging synchronous Router(config-line)# exit Router(config-line)# line console 0 Router(config-line)# password SENHA Router(config-line)# exit Router(config)# interface f 0/0 Router(config-if)#ip address IP MASK Router(config-if)# no shut Router(config)# end Router# copy run start Destination filename [startup-config]? Building configuration... [OK] Router# show running-config Router# show startup-config Router# show ip interface brief Router# show ip route
Habilita senha no modo privilegiado Ativa criptografia das senhas Modo de configuração de acesso remoto Habilita senha para acesso remoto Permite tentativa de acesso remoto Restringe o tempo da sessão remota (0 minuto e 0 segundo = infinito) Desativa mensagens administrativas Volta ao modo anterior de configuração Modo de configuração de acesso terminal Habilita senha para acesso terminal Sai do atual modo de configuração Modo de configuração da interface f 0/0 Atribui endereço à interface f 0/0 Ativa a interface f 0/0 Retorna diretamente ao modo privilegiado Copia as configurações para outro arquivo ou na memória não volátil. Pressione <ENTER> para confirmar ou insira um nome para o arquivo de backup. O comando write não pede confirmação Exibe as configurações correntes Exibe as configurações de inicialização Exibe um resumo das interfaces de rede Exibe a tabela de rotas
Lab 01 ■ Configuração básica de roteadores Cisco
39
Obs.: para testar o acesso remoto ao roteador por meio das máquinas na rede, basta entrar no prompt de comandos da máquina desejada e digitar telnet 192.168.0.254. Para sair, é só digitar exit.
Nas linhas de 12 a 14 do roteiro 1.3 foram configuradas as linhas vty para acesso remoto ao roteador que, por padrão, utiliza o protocolo Telnet (porta 23). Acontece que atualmente esse protocolo não é considerado seguro porque trafega as mensagens “em claro” pela rede, incluindo todos os comandos e senhas digitados pelo usuário, o que quer dizer que seu conteúdo pode ser facilmente interceptado por terceiros. Para mitigar esse risco de segurança é recomendado que o acesso remoto seja realizado por meio do protocolo SSH (porta 22), já que assim a comunicação para o roteador é criptografada e a interceptação do seu conteúdo seria ilegível. O roteiro 1.4 apresenta ao leitor quais seriam as configurações necessárias para habilitar o SSH no acesso remoto (linhas vty), no entanto não tente executar esses comandos no laboratório porque o simulador Packet Tracer não suporta essa configuração!
Roteiro 1.4 – Configuração do protocolo SSH no acesso remoto 01. Router(config)# username admin privilege 15 secret SENHA 02. Router(config)# ip domain-name labcisco.com.br 03. Router(config)# aaa new model 04. Router(config)# crypto key generate rsa 05. Router(config)# ip ssh version 2 06. Router(config)# no ip ssh version 1 07. Router(config)# ip ssh time-out 30 08. Router(config)# ip ssh authentication retries 3 09. Router(config)# line vty 0 4 10. Router(config-line)# transport input SSH 11. Router(config-line)# login local 12. Router(config-line)# end
40
Laboratórios de Tecnologias Cisco em Infraestrutura de Redes
Em relação ao roteiro 1.4, na linha 1, criamos um usuário local no roteador com privilégio total (nível 15). A linha 2 informa um nome de domínio que posteriormente será utilizado para gerar a chave criptográfica do SSH. Na linha 3 informamos para o roteador utilizar o novo método de autenticação e na linha 4 é gerada a chave RSA para codificação/decodificação dos dados. Nas linhas de 5 a 8 apenas estamos configurando alguns parâmetros comumente utilizados, como por exemplo habilitar o SSHv2 (e desabilitar o SSHv1), limitar o tempo da sessão e a quantidade de tentativas de conexão. Por fim, entramos no submodo de configuração das linhas vty (acesso remoto via rede) e configuramos o roteador para utilizar o SSH no transporte dos dados e autenticar com base nos usuários localmente adicionados no roteador (o que fizemos na primeira linha). Você pode utilizar o comando “show ip ssh” para verificar o funcionamento do SSH no roteador e para saber qual versão está utilizando. Pronto!!! O SSHv2 está ativado no seu roteador, lembre-se de configurar o cliente terminal para que o acesso remoto seja feito via SSH na porta 22, não mais via Telnet na porta 23.
Anotações