Um switch aplica configurações básicas (default out-of-the-box), mas existem parâmetros que um administrador de rede deve modificar para que sejam assegurados a otimização e segurança da rede.
Tabela de endereçamento
Device Interface IP Address Subnet Mask Default Gateway
PC1 NIC 172.17.99.21 255.255.255.0 172.17.99.11
PC2 NIC 172.17.99.22 255.255.255.0 172.17.99.11
S1 VLAN99 172.17.99.11 255.255.255.0 172.17.99.1
Objetivos
- Limpar a configuração de um switch
- Verificar a configuração default
- Criar uma configuração básica
- Gerir a tabela de MACs
- Configurar segurança nas portas
PASSO 1. ENTRE NO MODO PRIVILEGED EXEC EXECUTANDO O COMANDO ENABLE.
Switch> enable
Switch#
PASSO 2. REMOVA O FICHEIRO DE INFORMAÇÕES DA VLAN DATABASE.
A informação da VLAN database é guardada separadamente na memória flash, num ficheiro separado com o nome vlan.dat. Para remover, execute o comando delete flash:vlan.dat
Switch#delete flash:vlan.dat
Delete filename [vlan.dat]? [Enter] Delete flash:vlan.dat? [confirm] [Enter]
PASSO 3. REMOVA O FICHEIROS DA STARTUP CONFIGURATION DA NVRAM.
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [Enter]
[OK]
Erase of nvram: complete
Execute o commando show vlan.
Switch#show vlan
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24
10 VLAN10 active
30 VLAN30 active
1002 fddi-default active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 - - - - - 0 0
1002 enet 101002 1500 - - - - - 0 0
1003 enet 101003 1500 - - - - - 0 0
1004 enet 101004 1500 - - - - - 0 0
1005 enet 101005 1500 - - - - - 0 0
Se ainda existir informação das LANs no switch, execute o procedimento abaixo.
No modo privileged EXEC, execute o commando reload.
Switch#reload
Proceed with reload? [confirm] [enter]
%SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.
<output omitted>
Press RETURN to get started! [Enter]
Switch>
Switch>enable
Switch#
Nota o prompt mudou para indicar que estamos no privileged EXEC mode.
Execute o commando show running-config.
P1: Quantas interfaces Fast Ethernet interfaces tem o switch? P2: Qual é o intervalo das vty lines?
Examine o conteudo da NVRAM executando o commando show startup- config.
P3: Explique sumariamente a resposta dada pelo switch?
Analise as característicasdo interface virtual VLAN1executando o commando show interface vlan1.
P4: O switch tem algum endereço IP parametrizado?
P5: Qual é o MAC address deste interface virtual? Está ativo?
Verifique as propriedades IP do interface executando show ip interface vlan1.
P6: Qual o output?
Execute o commando show version. P7: Qual a versão do Cisco IOS?
P8: Qual o nome da imagem do ficheiro?
P9: Qual o base MAC address do switch?
PASSO 4. EXAMINE OS INTERFACES FAST ETHERNET.
Execute o commando show interface fastethernet 0/18 (PC1).
Switch#show interface fastethernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Lance, address is 0060.5c36.4412 (bia 0060.5c36.4412) MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec)
Full-duplex, 100Mb/s
<Output Omitted>
P10: O interface está up ou down?
P11: Qual o evento que faz o interface passar a up? P12: Qual o MAC address do interface?
P13: Qual a velocidade e configuração duplex do interface?
PASSO 5. EXAMINE A INFORMAÇÃO DA VLAN.
Execute o commando show vlan. P14: Qual é o nome da VLAN 1?
P15: Quais as portas que estão nesta VLAN? P16: A VLAN 1 é a VLAN activa?
P17: Que tipo de VLAN é a default VLAN?
PASSO 6. EXAMINE A MEMORIA FLASH.
Execute o comando dir flash ou show flash. P18: Quais os ficheiros ou directorias encontra?
P19: Qual é o nome da imagem do Cisco IOS?
No passo 2 verificou que a configuração de startup não existia. Execute os seguintes comandos:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname S1
S1(config)#exit S1#
Para graver o conteúdo da running configuration para a non-volatile RAM (NVRAM), execute copy running-config startup-config.
Switch#copy running-config startup-config Destination filename [startup-config]? [enter] Building configuration...
[OK]
Visualize o conteúdo da NVRAM. A configuração corrente foi escrita na NVRAM.
TAREFA 3: CRIE UMA CONFIGURAÇÃO BÁSICA DO SWITCH
Execute os seguintes comandos:
S1#configure terminal S1(config)#hostname S1 S1(config)#exit
PASSO 2. DEFINA PASSWORDS DE ACESSO.
Execute os seguintes comandos:
S1#configure terminal S1(config)#line console 0 S1(config-line)#password cisco S1(config-line)#login
S1(config-line)#line vty 0 15 S1(config-line)#password cisco S1(config-line)#login
S1(config-line)#exit S1(config)#
P20: Qual a ação do comando login?
Configure a password secret para ‘class’.
S1(config)#enable secret class
PASSO 4. CONFIGURE O ENDEREÇO DE LAYER 3 DO SWITCH.
Configure o endereço IP do switch para 172.17.99.11 com a mascara 255.255.255.0 na VLAN 99. A VLAN tem de ser criada primeiro no switch antes da atribuição do endereço.
S1(config)#vlan 99 S1(config-vlan)#exit S1(config)#interface vlan99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
PASSO 5. ATRIBUA PORTAS À VLAN.
Atribua as portas Fastethernet 0/1, 0/8, e 0/18 à VLAN 99.
S1(config)#interface fa0/1
S1(config-if)#switchport access vlan 99
S1(config-if)#exit
Nota: interface range FastEthernet0/1 - 24
PASSO 6. DEFINA A DEFAULT GATEWAY.
S1 é um switch layer 2, pelo que realiza as suas decisões de forwarding baseadas no header do Layer 2. Se múltiplas redes forem ligadas ao switch, é necessário definer como o switch realiza o envio das frames, decorrente do caminho ser determinado a nível do Layer três.
Isto é feito especificando a default gateway que aponta para para um router ou switch Layer. Apesar desta atividade não incluir um IP externo (gateway), assume-se que poder-se-á ligar a LAN a um router para acesso externo.
Assuma que o interface LAN do router é o 172.17.99.1.
S1(config)#ip default-gateway 172.17.99.1
S1(config)#exit
PASSO 7. VERIFIQUE AS CONFIGURAÇÕES DA LAN DE GESTÃO.
Execute o commando show interface vlan 99.
S1#show interface vlan 99
Vlan99 is up, line protocol is up
Hardware is CPU Interface, address is 0060.47ac.1eb8 (bia 0060.47ac.1eb8) Internet address is 172.17.99.11/24
MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec,
reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 21:40:21, output never, output hang never Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo
<Output Omitted>
P21: Qual é a largura de banda do interface e a estratégia de ‘queuing’?
Atribua o endereço do PC1 to 172.17.99.21, com a mascara 255.255.255.0. Default gateway 172.17.99.11.
Execute o comando ping.
PASSO 10. CONFIGURE A VELOCIDADE DA PORTA E CONFIGURAÇÃO DUPLEX.
Configure o duplex e velocidade para a Fast Ethernet 0/18. Use o comando
end para voltar ao modo privilegiado.
S1#configure terminal S1(config)#interface fastethernet 0/18 S1(config-if)#speed 100
S1(config-if)#duplex full
S1(config-if)#end
Por defeito o interface Ethernet do switch está em auto-sensing, de modo a negociar de forma automática
Só deve ser parametrizada velocidade e o modo duplex quando este está definido quer a porta do device quer do switch.
Constate que o link entre o PC1 e o S1 está em baixo. Remove os comandos speed 100 e duplex full. Verifique agora as configurações do interface Fast Ethernet interface com show interface fa0/18.
S1#show interface fastethernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Lance, address is 0060.5c36.4412 (bia 0060.5c36.4412) MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec)
Full-duplex, 100Mb/s
<Output omitted>
PASSO 11. GRAVE A CONFIGURAÇÃO.
Completou a configuração básica do switch. É necessário grave a running configuration para a NVRAM de forma a assegurar que as alterações não são perdidas se o switch perder alimentação ou for feito um reboot.
S1#copy running-config startup-config
Destination filename [startup-config]?[Enter] Building configuration...
[OK] S1#
PASSO 12. EXAMINE A STARTUP CONFIG
Para ver a configuração guardada na NVRAM, execute o commando show startup-config (enable mode).
P22: Todas as configurações foram escritas no ficheiro?
TAREFA 4: GERIR A TABEAL DE MAC ADDRESS
Determine e grave os endereços Layer 2 (físicos) das placas dos PCs, executando as seguintes ações:
• Click no PC.
• Selecione a tab Desktop.
• Click Command Prompt.
• Escreva ipconfig /all
PASSO 2. DETERMINE O MAC ADDRESSES QUE O SWITCH APRENDEU.
Execute o comando show mac-address-table em modo EXEC mode. Se não existir qualquer MAC addresses, ping do PC1 para o S1 e verifique novamente.
S1#show mac-address-table
PASSO 3. LIMPE A TABELA DE MAC ADDRESS.
Para remover os MAC addresses existentes, execute o commando clear mac- address-table dynamic.
S1#clear mac-address-table dynamic
S1#show mac-address-table
PASSO 5. EXAMINE A TABELA MAC OUTRA VEZ.
Verifique novamente a tabela MAC. A tabela não mudou. Execute o ping do S1 para o PC1 e verifique novamente.
PASSO 6. DEFINA UM MAC ADDRESS ESTATICO.
Para especificar quais as portas um host se pode ligar, uma opção é criar um mapeamento estático entre o MAC do host e a porta.
Defina um MAC estático na Fast Ethernet interface 0/18 usando o endereço que registou para o PC1 no passo 1 (p.ex. 0002.16E8.C285).
S1(config)#mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18
PASSO 7. VERIFIQUE OS RESULTADOS.
S1#show mac-address-table
S1(config)#no mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18
Execute o comando show mac-address-table static.
TAREFA 5: CONFIGURE A SEGURANÇA NA PORTA
Atribua ao PC2 o endereço 172.17.99.22, subnet mask of 255.255.255.0 s default gateway 172.17.99.11. Não ligue já o PC ao switch.
PASSO 2. VERIFIQUE A CONECTIVIDADE.
Execute o comando ping.
PASSO 3. DETERMINE QUAL O MAC ADDRESSES QUE O SWITCH APREENDEU.
Execute o commando show mac-address-table.
PASSO 4. LISTE AS OPÇÕES DE SEGURANÇA DA PORTA.
Explore as opções de segurança no Fast Ethernet 0/18.
S1# configure terminal S1(config)#interface fastethernet 0/18 S1(config-if)#
?
mac-address Secure mac address maximum Max secure addresses violation Security violation mode
<cr>
Configure a porta Fast Ethernet 0/18 para aceitar apenas dois devices, aprender os MAC dinamicamente e realizar o shutdown se ocorrer uma violação.
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 2 S1(config-if)#switchport port-security mac-address sticky S1(config-if)#switchport port-security violation shutdown S1(config-if)#exit
Execute o comando show port-security interface fa0/18.
P23: Quantos endereços são permitidos na Fast Ethernet 0/18?
P24: Qual é a ação de segurança despoletada?
PASSO 7. EXAMINE A CONFIGURATION.
S1#show running-config
P25: Existem comandos que refletem diretamente as opões de segurança acima parametrizadas?
PASSO 8. MODIFIQUE OS SETTINGS DE SEGURANÇA NA PORTA.
No interface Fast Ethernet 0/18, altere o port security maximum para 1.
S1(config-if)#switchport port-security maximum 1
Mostre as configurações de segurança, executando o comando show port- security interface fa0/18.
P26: As configurações da porta refletem a alteração realizadas no passo 8?
Ping o endereço do switch (VLAN 99) do pc1 para verificar a conetividade e atualizar a MAC address table.
Desligue do switch o PC ligado à porta Fast Ethernet 0/18 e ligue o PC2 (172.17.99.22) à porta Fast Ethernet 0/18. Ping o endereço da VLAN 99 do novo host.
P27: O que aconteceu quando tentou o ping?
Nota: A convergência pode demorar cerca de um minuto. Comute entre o modo Simulation e Realtime para acelerar o processo.
PASSO 11. REATIVE APORT.
Enquanto o rogue host estiver ligado à Fast Ethernet 0/18, não passa qualquer trafego entre o host e o switch. Volte a ligar o PC1 na Fast Ethernet 0/18 e execute:
S1#configure terminal S1(config)#interface fastethernet 0/18 S1(config-if)#no shutdown
S1(config-if)#exit
PASSO 12. VERIFIQUE A CONETIVIDADE.
Após a convergência já deve conseguir pingar o S1.