SNMP

Simple Network Managment Protocol

SNMP é um protocolo de gerenciamento que roda  em UDP/IP e suporta troca de mensagens:

SNMP Versions:

Existe 3 versões do SNMP:

• SNMPv1 define 5 mensagens básicas: 
• Get Request
• Get Next Request
• Set Request
• Get Responde
• Trap

• SNMPv2 adiciona 2 novas mensagens: 
• Get Bulk request 
• Information Request

• SNMPv3 adiciona novos recursos de segurança: 
• Authentication
• Encryption
• Integrity
• Autorization
• Access Control

Conifuração do SNMPv3:

Switch(config)# access-list 10 permit [rede de gerencia]

Switch(config)# snmp-server OPS sysUptime include

Switch(config)# snmp-server group SNMP_group v3 priv read OPS write OPS access 99

Switch(config)# snmp-server user USER SNMP_group v3 auth sha itsasecret pric aes 256 anothersecret

Switch(config)# snmp-server enable traps

Switch(config)# snmp-serer hsot 10.10.10.10 traps version 3 priv USER cpu port-security

Switch(config)# snmp-server ifindex persistent

Verificação:

Switch# show snmp

Switch# show snmp view

Switch# show snmp group 

Switch# show snmp user

NTP - Network Time Protocol

Network Time Protocol

NTP sincroniza os dispositivos com o clock/hora e data corretamente

NTP é projetado para sincronizar o tempo em uma rede de máquinas. NTP é executado sobre o usuário Datagram Protocol (UDP), usando a porta 123 como fonte e destino, que por sua vez sobre IP. NTP versão 3 RFC 1305 é usado para sincronizar cronometragem entre um conjunto  distribuído.

Um conjunto de nós em uma rede são identificados e configurados com NTP e os nós formam uma sub-rede de sincronização, às vezes referida como uma rede de sobreposição. Enquanto vários mestres (servidores primários) podem existir, não há nenhuma exigência para um protocolo de eleição.

O clock é obtido de fontes externas:

1. Atomic clock
2. GPS receiver
3. Authoritative time source

• NTP usa stratum value (1 -16) para estabelecer a hierarquia
• O menor valor do stratum é igual ou mais confiável
• Stratum 1 usam external clock como GPS

NTP Modes:

• Server: prove a hora precisa para os clientes
• Client: sincroniza com o server
• Peer: troca informação  de sincronização  
• Broadcst/Multicast: usado somente quando o time preciso não é uma preocupação

NTP Versions:

• Version 3 e 4 são usados atualmente
• Version 4 introduz suporte de IPv6
• NTPv4 também introduz melhor segurança
• NTPv3 usa mensagens Broadcast e NTPv4 usa mensagens multicast

Exemplo de configuração:

Switch(config)# ntp server 100.100.100.1

Switch(config)# ntp peer 10.10.10.1

Switch(config)# ntp authentication-key 1 md5 pass

Switch(config)# ntp authenticate

Switch(config)# ntp trusted-key1

Switch(config)# ntp source [interface] recomendado usar interface loopback por que sempre esta UP

Verificando:

Switch# show ntp status

Switch# show ntp associations

Switch# show clock

Switch# show clock detail

Configurando o Clock do Switch manualmente:

Switch# show clock (validar o clock atual)

Switch# clock set 08:00:00 05 october 2016 (configuração do clock manualmente)
Switch# clock timezone GMT -3
Switch# clock summer-time GMT recurring

Switch# show clock detail (detail informa a origem da configuração do clock)
Switch# show calendar (mostra o clock do hardware do device)

Switch# clock update-calendar (sincroniza o clock do hardware com o clock do software)

OBS.: SNTP e NTP não pode estar habilitado no mesmo device pois utilizam a mesma porta

QoS

QoS Marking:

Class of Service (CoS) - Layer 2 - 3 bits prove 8 níveis de marking 0 - 7
Type od Service (ToS) - Layer 3 - 3- 6 bits prove muitos níveis de marking

Switch(config-if)# mls qos trust cos
Switch(config-if)# mls qos trust device cisco-phone

MAC Address

O comando mac address-table aging-time 180 define quanto tempo o endereço MAC será mantido na tabela CAM.

Default time é de 300 segundos ou 5 minutos

O comando mac-address-table notification mac-remove gera um log mostrando que um MAC address ou host moveu entre diferentes ports do switch

AAA

AAA - Authentication, Authorization a Accounting

AAA é um framework que define as politicas de acesso na rede aplicado nos devices

• Authentication: identifica o usuario
• Authorization: determina o que o usuario tem permissão de fazer
• Accounting: 

Benficios:

• Aumenta a flexibilidade e controle de acessoIncreased 
• Escalabilidade
• Padroniza os métodos de authenticação
• Multiplos sistemas de backup

AAA autorization type inclui PPP, SLIP e ARAP (Network)

RADIUS E TACACS são protocolos AAA

NAS é o cliente que os usuarios utilizam para ganhar acesso

RADIUS:

• Utiliza as portas UDP 1812 e 1813
• Combina autenticação e autorização e separa a contabilidade
• Challenge response: One-Way, unidirecional com um unico ponto de resposta
• Encripta password somente no pacote

TACACS+:

• Utiliza a porta TCP 49
• Usa AAA model e separa os 3 serviços
• Challenge response:Two-way, bidirecional with multiple challenge responses
• Encripta o corpo inteiro do pacote

Exemplo de Configuração:

Switch(config)#aaa new-model
Switch(config)#radius-server host IP ADDRESS key CHAVE
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control

Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto

#aaa group server radius
# server name XXXX

# aaa authentication login default group local

TACACS

# tacacs server NAME
# address ipv4 HOSTNAME
# port
# key

# aaa group server tacacs+ GROUP NAME
# server name CONFIG-NAME

# aaa authentication login default group NAME local

SDM Templates

Usados para gerenciamento da database dos switches, priorizando e realocando os recursos de processamento para os serviços

Exemplos de configuração:

Switch(config) # sdm prefer [ access bias, default bias - dual ipv4 and ipv6 - routing - vlan ]

Verificando:

Switch# Show sdm prefer

Alterando o SDM:

O template default não suporta IPv6 se tentar entrar com o comando ipv6 vai aparecer essa mensagem de erro:

ipv6 % unrecognized command 

Para permitir o recurso de IPv6 deve entrar com esse comando:

Switch(config) # sdm prefer dual-ipv4-and-ipv6 default (Obs.: precisa salvar e rebootar)

Após o reboot o comando estará disponível # ipv6 unicst-routing

O Comando abaixo mostra como esta a alocação dos recursos e como a TCAM esta sendo utilizado:

Switch #show platform tcam utilization

O SDM template VLAN desabilita routing e suporta o maximo numero de unicast MAC address

Switch Operations

Os dispositivos de rede tem 3 planos de operação:

1. Managment Plane - SSH - HTTP - TELNET
2. Control Plane - Decides - OSPF - BGP - STP 
3. Forwarding Plane/Data Plane - Forwarding

• Em Multilayer switches o Control Path e o Data Path são relativamente independentes
• Pacotes de dados são encaminhados pelo Switch Fabric

Control Plane:

• Troca informações de roteamento
• Routing Protocol
• IP Routing Table

Data Plane:

• Entrada de pacotes . Ip routing Table - Saída de pacotes

Tabelas CAM e TCAM:

CAM Content Addressebly Memory

• MAC address to port Mapping
• Decisões de encaminhamento Layer 2

TCAM - Ternary Content Addressebly Memory

• Encontrado em Multilayer switches e routers
• ACLs e QoS e outras informações de camadas superiores

Verificando:

Switch# show mac address-table

Switch# show mac address-table aging

Módulos Supervisors Redundantes:

• Supervisor Engine é o coração das plataformas de switches modulares
• Somente um módulo permanece ativo 
• O segundo módulo permanece em Standby 

Modos de redundância dos Módulos Supervisors:

• Os módulos Supervisors pode ser configurados em diferentes modos
• Modo de redundância limita o estado de leitura do supervisor standby
• SSO permite o recurso NonStop Forwarding

NSF - NON Stop Forwarding

Cisco Nonstop Forwarding (NSF) com alternância de estado (SSO) é uma inovação da Cisco para roteadores com 2  processadores de roteamento. O Cisco NSF com SSO permite que um roteador, que a falha de hardware ou software de um processador ativo mantenha as conexões de camada de enlace de dados e continuar encaminhando pacotes durante a transição para o processador de rota Standby. O encaminhamento pode continuar apesar da perda de protocolo de roteamento com outros

Roteadores As informações de roteamento são recuperadas dinamicamente, em segundo plano, enquanto o encaminhamento de pacotes prossegue ininterruptamente.

Métodos de Switching:

• Process Switching:  Método mais lento - Cada pacote examinado pela CPU - Toda decisão de encaminhamento é feito em Software

• Fast Switching (Route Caching): Método rápido - O primeiro pacote de cada fluxo é examinado pela CPU - Decisão de encaminhamento fica em cache no hardware para subsequentes fluxos

• CEF - Cisco Express Forwarding (topology Based Swithing): Método mais rápido - O hardware encaminha a tabela criada independentemente do fluxo do trafego - todos os pacotes switched usam hardware

Route Caching:

• O primeiro pacote é roteado em software
• O MAC de destino deve ser do default gateway
• A decisão de encaminhamento é programada no hardware pela tabela de encaminhamento para os pacotes subsequentes

Topology-based Switching:

• Central FIB (forwarding information Base) construído pelo CEF independente do fluxo do        tráfego
• Per-destination load balancing
• Esse é o método predominante

Arquitetura de switches Lógicos

Qual a necessidade:

• Overhead de gerenciamento
• STP bloqueia metade dos uplinks
• Não tem comunicação direta com switches de acesso

StackWise:

• Prove um método de juntar multiplas switches na mesma unidade de switch lógico
• Um switch master é eleito
• Tema penas um endereço IP 

Beneficios:

• Multiplos switches de acesso no mesmo rack
• Reduz o overhead de gerenciamento
• Multiplos switches podem criar um Etherchannel 

Verificando:

Switch# show switch

Switch# show switch stack-port

Switch# show platform stack manager all (mostra toda as informações de stack em uso)

VSS - Virtual Switch System

• Combina um par de switches físicos como um  switch virtual
• Um VSL é formado entre os membros do VSS sobre o Etherchannel
• O Control Plane de um membro ativo e o Data Plane e Switch Fabric the ambos os membros que estão ativos

Beneficios:

• Único ponto de gerenciamento
• Os vizinho veem o VSS com um único switch
• MEC (multi-chassi Etherchannel (similar a switches em stack)
• Interchassis stateful faiolver

Verificando:

Switch# show switch virtual
Switch# show switch virtual link

RSTP

RSTP é habilitado globalemtne e utiliza os a configuração existente do STP

Comportamento quando uma RSTP edge port recebe BPDU:

A switch gera um TCN BPDU
A porta torna-se uma porta de STP

Papeis das portas que inclui a porta como parte da topologia Ativa:

Root
Designated

LLDP - Link Layer Discovery Protocol

LLDP usa o Padrão IEEE -  802.1AB

Considerações:

• Vendor-neutral
• Data link Layer
• Altamente customizável
• LLDP envia anúncios a cada 30 segundos (CDP é de 60 segundos)
• Envia Topology Change Notification
• Usa o endereço de Multicast 0180.C200.000E - CDP utiliza 0100.0CCC.CCCC
• LLDP hold time advertised é de 120 segundos
• A reinicialização da interface possui um delay de 2 segundos

Configurando LLDP:

Switch(config)# lldp run
Switch(config-if)# # no lldp enable

Verificando:

Switch#  show lldp
Switch#  show lldp neighbors
Switch#  show lldp interfaces g0/1

Desabilitando

Switch(config-if)# inte g 0/2
Switch(config-if)## no lldp trasmit

Limitação do LLDP:

Não pode prover informação sobre VTP

LLDP-MED

É uma extensão do LLDP que opera entre o endpoint e o dispositivo de rede

=================================================================

CDP - Cisco Discovery Protocol

CDP é habilitado por default e para desabilita-lo usa-se o comando global no cdp run.
Cada dispositivio envia periodicamente anúncios a cada 60 segundos para o endereço Multicast 01:00:0C:CC:CC:CC

Informações contidas nos anuncios CDP:

• Native VLAN IDs
• Port-duplex
• Hardware platform

CDP version 2

Carrega informações de NATIVE VLAN, version 1 não cosnegue.

Storm Control

Previne unicast, multicast ou broadcast storm
Monitora as entradas de trafego e bloqueia as portas se o nivel de treshoul aumentar
Pode shutdown uma porta 'stormed't e enviar snmp traps

Exemplos de configuração:

Switch(config-if) # storm-control broadcast level 75 65
Switch(config-if) # storm-control multicast level pps 30k 20k
Switch(config-if) # storm-control level bps 30m(million)
Switch(config-if) # strom-control action shutdown (ação que a porta tomará assim que detectar pacote de storm)
Switch(config-if) # storm-control action trap

Impactos no tráfego com o comando storm-control broadcast level 75 65:

• O switch encaminha tráfego broadcast quando estiver abaixo de 65% da banda/utilização
• Somente tráfego Broadcast é limitado nessa configuração
• O switch drop Broadcast quando alcança 75 % da banda/utilização

Verificação:

# show storm-control
# show storm-control multicast
# show storm-control unicast

ACL - Access Control List

Standard ACL:

Utiliza source ip information para validar as operações

Multilayer Switch

▶ Router utilizado para comunicação inter-vlan:

Vantagens de utilizar um router como L3:

• Trabalha como qualquer switch
• Implementação simples
• Os roteadores provem a comunicação  entre as vlans

Desvantagens de utilizar um router como L3:

• Um router conectado a um switch através de um único link trunk é conhecido como a router-on-stick
• O router torna-se um único ponto e falha
• Tem a possibilidade de definição de banda inadequada para cada VLAN
• Adicional overhead no router pode ocorrer
• Router ou um internal route processo é o dispositivo utilizado para passar tráfego entre VLANs

Exemplos de configuration SVI em um router:

Router(config)# interface ethernet 1/0.20
Router(config-subif)# encapsulation dot1q 20
Router(config-subif)# ip address

▶  Multilayer Switch:

SVI = Switch Virtual Interface

• Multilayer utilizam SVI = Switch Virtual Interface para roteamento entre as vlans
• Para que uma interface SVI possa ficar no estado de ativa UP/UP,  pelo menos uma interface deve estar associada na VLAN.
• Vantagens de implementar Switch em Layer3 versus Layer 2:
• Prove first hop redundacy para os clientes

Exemplo de Configurando SVI:

Switch(config)# vlan 10
Switch(config)# interface vlan 10
Switch(config-if)# ip address
Switch(config-if)# no shutdown

O comando: # swithport autostate exclude em uma interface, exclui a porta do cálculo do estado da interface SVI /(line state UP e DOWN)

Routed Switch port:

• Interface física com recursos Layer 3
• Necessário remover funções de Layer 2
• Configurado como um router, mas não suporta vlan sub-interfaces
• As portas configuradas como Routed não devem ser associada com nenhuma vlan
• Uma porta Routed é somente utilizada quando o switch tem somente porta por vlan

Exemplos de configuração routed ports:

Switch(config-ig)# no switchport
Switch(config-ig)# ip address 

Para troubleshooting de routing em switches primeiramente utiliza o comando # show ip route se não encontrar nenhuma entrada então utiliza o camando para habilitar

Switch(config)# ip routing

Verificação:

Switch# show ip interface brief (verifica todas as subinterfaces configuradas)

Switch# show interface fast 0/1 switchport (mostra as configurações das vlans carregadas no trunk)

EtherChannel - Link Agreggation

Padrões de Link Aggregation:

• LACP - The IEEE negotiation protocol
• PaGP - Protocolo proprietário da Cisco
• Static persistent - no negotiation protocol

Modos de operação

• ON = no protocol
• AUTO e DESIRABLE = PAGP
• ACTIVE e PASSIVE = LACP

As configurações feitas no port-channel aplicam em todas as interfaces associadas a interface por-channel

As interfaces do Etherchannel devem ter as mesmas configurações:

• Mesma velocidade e modo de operação
• Mesmo modo ( access ou trunk )
• Mesma VLAN nativa e VLANs permitidas no trunk
• Mesma VLAN na porta de acesso

Layer 2 etherchannel

Exemplos de configuração:

Switch(config)# interface range ethernet 0/0 - 2

Switch(config-if)# no switchport

Switch(config-if)# channel-group  1 mode active

Switch(config) interface port-channel 1

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Layer 3 etherchannel

Para habilitar um Layer 3 Etherchannel é preciso desabilitar Switchport Mode

Exemplos de configuração:

Switch(config)# interface range ethernet 0/0 - 2

Switch(config-if)# no switchport

Switch(config-if)# channel-group  1 mode on

Switch(config) interface port-channel 1

Switch(config-if)# no switchport

Switch(config-if)# ip address

Verificação:

Switch# show etherchannel summary

Ehterchannel Load balancing:

O comando port-channel load-balance src-dst-ip define que os pacotes são distribuídos através das portas no canal baseado na origem e destino do IP.

Verificação:

Switch# show etherchannel load-balance

IP SLA

Service Level Agreement

SLA é um contrato entre o Service provider é os seus clientes

Os Acordos de Nível de Serviço (SLAs)  permitem que os clientes assegurem IP, bem como serviços IP que utilizam dados, voz e vídeo, em uma rede IP. Aumenta o monitoramento do nível de serviço tradicional e avança para a infra-estrutura IP medindo tanto de ponta a ponta e na camada IP. Com Cisco IOS IP SLAs, os usuários podem verificar as garantias de serviço, aumentar a confiabilidade da rede identificar proativamente os problemas da rede e aumentar o retorno sobre o investimento (ROI)

Facilitando a implantação de novos serviços IP. O Cisco IOS IP SLAs usa monitoramento ativo para gerar de forma contínua, fiável e previsível, permitindo assim a medição de desempenho da rede e saúde.

• Prove garantia de SLA
• Especifica a conectividade e os acordos de performance para o usuário do serviço
• Suporta isolamento de problemas e planejamento de redes
• Mede o Delay, Jitter, packet loss, e qualidade de voz
• Prove monitoramento ativo

IP SLA Source:

• Dispositivos que enviam dados para a operação
• O dispositivo alvo pode ou não ser um dispositivo Cisco
• Algumas operações requer IP SLA responder
• IP SLA Responder utiliza a porta UDP 1967 para enviar mensagens de controle para o IP SLA Responder

IP SLA Responder:

• Melhor medida de disponibilidade entre IP SLA source e responder
• Melhora a precisão da medição
• Requerido para medidas de Jitter Voice

IP SLA responder is a Cisco dispositivo que é configurado para responder IP SLA packets que são usados na base do IP SLA responder

Operação com IP SLA Responder:

• IP SLA Source - envia uma mensagem de controle e o receiver abre a porta UDP 2020
• Responder diz OK - control phase
• IP SLA Responder Time Stamps:
• IP SLA responder tenta 2 time stamps ( t2 e t3)

Exemplo de configuração

Switch(config) # ip sla 1
Switch(config-sla) # icmp-echo 1.1.1.1
Switch(config-sla) # ip sla schedule 1 life forever start-time now

Verificação:

Swithc# show ip sla configuration
Switch# show ip sla statistics

Configuring authentication IP SLA

Switch(config) # key chain my chain
Switch(config) # key 1
Switch(config) # key-string mypassword

A mesma chave deve ser configurada no Responder

Verificação:

Switch(config) # ip sla key-chain mychain

Configuration UDP jitter

Switch(config) # ip sla 1
Switch(config) # udp-jitter 1.1.1.1 65051 num-packets 20
Switch(config) # request-data-size 160
Switch(config) #frequency 30
Switch(config) # exit
Switch(config) # ip sla schedule 1 start-time afeter 00:05

O comando show ip sla aplication serve para verificar quais tipos operacionais são suportados em Software

CEF - Cisco Express Forwarding

O hardware encaminha tabela criada independentemente do fluxo do trafego - todos os pacotes switched usam Hardware

Exemplos de configuração:

Switch(global)# ip cef

Verificação:

Switch# show ip cef summary
Switch# show ip cef vlan 200
Switch# show adjacency (summary - detail - internal )
Switch# show ip cache

Topology-based Switching:

Central FIB (forwarding information Base) construído pelo CEF independente do fluxo do trafego
O load Balancing é por destino

A tabela FIB é derivada da tabela de roteamento
A tabela de adjacencia é derivada da tabela ARP
Quando a tabela de Adjacencia esta cheia a tabela CEF TCAM entra no Layer 3 engine para redirecionar a adjacencia

Prefixos que requerem exceção de processamento  pode estar em cache através das seguintes adjancencias:

• Null
• Glean
• Discard
• Drop

O ARP tem o principal papel na criação da tabela de adjacência do CEF

Tabelas componentes da CEF

• Forwarding information base
• Adjacency Tables

LOOP Guard

O recurso Loop Guard fornece uma camada adicional de proteção contra os loops de encaminhamento de Camada 2 (STP) impedindo portas alternativas de se tornarem portas designadas devido a uma falha, resultando em um link unidirecional. Esse recurso funciona melhor quando ativado em todos os switches. Por padrão, STP não envia BPDUs em portas root ou alternativas.

Loop Guard previne uma porta alternativa de se tornar uma porta designada se não recebem BPDU;

Deve ser habilitado em todas as interfaces onde root guard is not enabled

Configurações:

Switch(config)# spanning-tree loopguard default (Esse comando evita com que  uma porta comece a transmitir erroneamente, mudando do estado de forwarding state)

Switch(config-if)#  spanning-tree guard loop

Verificando:

Switch# show spanning-tree interface eth 0/1 detail
Switch#show spanning-tree summary

Comando que não interfere na operação do Loop Guard

Switch(config-if)# switchport mode trunk

BPDU Guard

BPDU Guard deve ser configurado em conjunto com PORTFAST

Configuração:

Switch(config)# spanning-tree bpduguard enable
Switch(config-if)# spanning-tree bpdufilter enable

Se a porta recebe um BPDU a porta é colocado em error-disable state

BPDU filter desabilita automaticamente o recurso de PortFast em portas recebe BPDU e começa assim transmitir BPDU

Obs.: Não utiliziar BPDU Filter a menos que tenha absoluta certeza

Configuração:

Habilitando em todas as portas que estão como PORT-FAST-ENABLED

Switch(config) # spanning-tree portfast bpdufilter default

Verificando:

Switch # show spanning-tree summary totals
Switch #  show spannig-tree interface ehter 0/0 detail

SPAN

SPAN - Terminology

Span Session: Associação de uma porta de destino com uma porta de origem
Source Vlan: Vlan monitorada pela análise de tráfego

Remote Span (RSPAN) - Suporta origem e destino de diferentes switches

Exemplo de configuração local:

Etapas:

1. Associar o SPAN session number com as portas ou vlans de origem
2. Associar o SPAN session number com o destino

Switch(config)# monitor sesion 1 source interface G 0/1 (porta monitorada)
Switch(config)# monitor session 1 destination interface G 0/2 (porta do sniffer)

Verificação:

Switch# Show monitor

Exemplo de configuração remota:

Etapas:

1. Configurar a VLAN como RSPAN VLAN
2. Associar um RSPAN source session number com a portas de origem ou as vlans
3. Associar um RSPAN source session number com RSPAN VLAN
4. Associar um RSPAN destination session number com o destino da porta
5. Associar um RSPAN destination session number com a RSPAN VLAN

Switch 01:

Switch(config)# vlan 100
Switch(config-vlan)# name SPAN-VLAN
Switch(config-vlan)#  remote-span  (habilita a vlan como vlan de trafego de espelhamento)
Switch(config)# monitor session 2 source interface G 0/1 (porta que será monitorada)
Switch(config)# monitor session 2 destiantion vlan 100 (destino da porta monitorada)

O comando monitor session 1 filter vlan 1 monitora o trafego recebido somente  da vlan 3

Switch 02:

Switch(config)# vlan 100
Switch(config-vlan)# name SPAN-VLAN
Switch(config-vlan)#  remote-span (habilita a vlan como vlan de trafego de espelhamento)
Switch(config)# monitor session 3 source remote vlan 100 (origem do monitoramento)
Switch(config)# monitor session 3 destination destination interface g 0/2 ( porta do sniffer)

Verificação:

Switch# Show monitor

ICMP Router Discovery Protocol (IRDP)

Definido pela RFC 1256

Alguns IP hosts usam ICMP Router Discovery Protocol (IRDP) para encontrar novos routers quando um router se torna indisponivel. O host que roda IRDP escuta por mensagens Hello de multicast e usa um router alternativo quando não recebe mais mensagens hello.

Os valores de tempos padrão de IRDP significam que ele não é adequado para a detecção de falha

no primeiro salto.

A taxa de publicidade padrão é uma vez a cada 7 a 10 minutos e o padrão lifetime é de 30 minutos.

As mensagens ICMP Router Discovery são denominadas de Router Advertisments e Router Solicitations

GBLP - Global Load Balancing Protocol

GLBP em vez de ter apenas um router ativo encaminhando para o virtual router, todos os routers do grupo podem participar e oferecer load balancing.

Todos os clientes usam o mesmo endereço de gateway mas com diferentes MAC address.

Os membros GLBP comunicam entre eles através de Hello Mensagens são enviadas a cada 3 segundos para o endereço multicast 224.0.0.102 e porta UDP 3222 (origem e destino)

Virtual Gateway - AVG:

• Um router é eleito AVG por grupo e 1 standby VG
• Um Virtual MAC Address e definido para cada Virtual Forwarder
• Responde ARP requestes para os clientes
• O trabalho do AVG é definir o MAC addresses de cada outro roteador GLBP. Os routers que recebem este MAC Address é conhecido como  Active Virtual Forwarders (AVF).

Virtual Gateway - AVF:

• Tem 4 AVG por grupo

Estados do GLBP:

• Disabled
• Initial
• Listen
• Speak
• Standby
• Active

Opções de Balanceamento:

• Weight
• Host-Dependent
• Round-hobin(Default)

Esquema de balancemanto default:

• GLBP group usando round-robin 

Diferente do HSRP e VRRP o GLBP permite automaticamente a seleção e simultâneo uso de múltiplos disponíveis gateways, assim como realizar o failover automático entre eles.

GLBP permite o balancemanto de trafego de um segmento de rede em diferentes

host IP o qual é requirido para alcançar o mesmo resultado com HSRP.

Exemplos de configuração do GLBP:

Switch(config-if)#  ip address x.x.x.x x.x.x.x (ip real da interface)

Switch(config-if)#  glbp 1 IP VIRTUAL (ip virtual)

Switch(config-if)# glbp 1 priority [VALOR] (Definição da prioridade entre 0 e 255, maior valor melhor prioridade)

Switch(config-if)# glbp 1 preempt (Define para a rápida comutação em caso de queda de um router)

Switch(config-if)# glbp 1 load-balancing (Define o método de balancemanto)

Switch(config-if)# glbp 1 authentication MD5 key-string chave (define a autenticação)

Switch# show glbp

Exemplos de configuração tracking do GLBP:

AVF Tracking

Switch(config-if)# track 1 interface g0/1 line-protocol

Switch(config-if)# track 2 interface g0/2 line-protocol

Switch(config-if)#  ip address x.x.x.x x.x.x.x (ip real da interface)

Switch(config-if)# glbp 1 IP VIRTUAL (ip virtual)

Switch(config-if)# glbp 1 priority [VALOR] (Definição da prioridade entre 0 e 255, maior valor melhor prioridade)

Switch(config-if)# glbp 1 preempt (Define para a rápida comutação em caso de queda de um router)

Switch(config-if)# glbp 1 weighting 110 lower 20 uper 50

Switch(config-if)# glbp 1 weighting track 1 decrement 50

Switch(config-if)# glbp 1 weighting track 2 decrement 50

VRRP - Virtual Router Redundancy Protocol

VRRP habilita um grupo de roteadores para formar um único virtual router e usa o ip real de um router como gateway

VRRP é definido na RFC 2338

Recursos do VRRP:

• Um grupo VRRP tem um router MASTER e outro BACKUP
• Por default anuncios (advertisements) são enviados a cada 1 segundo
• A prioridade do  VRRP é um numero entre 1 e 254 sendo 100 a prioridade default
• O recurso preempt vem habilitado por default
• VRRP utiliza o endereço Multicast 224.0.0.18

Diferente do HSRP o VRRP  não suporta ser configurado com tracking na interface o qual no HSRP é um recuro que vem habilitado

HSRP - Hot Standby Routing Protocol

HSRP é o protocolo proprietário da Cisco e é definido na RFC 2281

Um router é eleito como primário ou ativo e outro router é eleito como standby e todos os outros permanecem como listen state

Informações HSRP:

• HSRP prove redundância, fault tolerancy e balanceamento(manual)
• HSRP permite um router automaticamente assumir a função de segundo router se o segundo router falhar
• Routers configurados com HSRP podem pertencer a múltiplos grupos e multiplas VLANs
• O balancemanto no HSRP é feito através de diferentes grupos
• O grupo HSRP pode ser definido no valor entre 0 e 255
• Switches suportam apenas 16 grupos, contudo é possivel configurar o mesmo numero de grupo (ID) em diferente VLANS e mesmo assims erão grupos separados
• HSRP utiliza o endereço Multicast - 224.0.0.2
• HSRP mantém o mesmo MAC address para cada router
• Quando dois roteadores em um grupo HSRP estão configurados com prioridades idênticas, o router com  o maior IP configurado tornará o router ACTIVE.
• O decremento default da interface track é 10
• Hold time é de 10 segundos ⏲
• Standby delay é de 3 segundos⏲

Recursos HSRPv2:

• HSRPv2 suporta IPv6
• Os números dos grupos mudam de 0 -255 para 0 - 4095
• Virtual MAC address muda de 0000.0c07.ACXX to 0000.0C9F.FXXX
• Multicast Address muda de 224.0.0.2 to 224.0.0.102

Comando para definir HSRPv2:

Switch(Config)#standby 1 version 2

HSRP define 6(seis) Estados:

A sequência de estados do HSRP é: Disabled, Init, Listen, Speak, Standby e finalmente

Active.

        ▶ Initial - Estado onde o router começa o processo HSRP
        ▶ Listen - Escuta por mensagens Hello do Active e Standby router
        ▶ Speak - Participa da eleição do Active e Standby router
        ▶ Standby - O candido a tornar-se o próximo router ACTIVE
        ▶ Learn - O router ainda esta aguardando ouvir o router active
        ▶ Active - O router esta encaminhando pacotes

Três estados de um router após a configuração do grupo HSRP:

• Active
• Standby
• Init (estado inicial)

Três estados que o HSRP envia mensagens hello:

       ▶ Speak
       ▶ Standby
       ▶ Active

     Obs.: Uma mensagem Hello é enviada a cada 3 segundos

Tipos de interfaces que podem ser configuradas com  HSRP:

• SVI interface
• EtherChannel port channel
• Routed port

O MAC address 0000.0c07.ac0av a parte 07.ac representa HSRP well-known virtual MAC address, ou seja sempre o virtual MAC Address contem a parte 07.ac.

Exemplos de configurações:

O comando no standby priority define a prioridade default = 100

VOIP

Delay em filas variaveis são as causas de jitter.

Variação de Delay ou jitter é a diferença do delay consecutivo nos pacotes.

Voice Networnk não pode ter um jitter maior 30 ms, jitter em execsso acima de 30 ms resulta na degração da performance de audio.

Um PC conectado a um switch via uma porta de um telefone IP desconehce a presença do telefone.

Voice carrier stream utiliza Real-Time Transport Protocol (RTP) para transportar audio/media

Pacotes de voz são muito sensitiva to delay e jitter.

Mecanismos de QoS para nelhorar a qualdiade de VoIP:

• O uso de fileiramento que da ao trafego de voz prioridade estrita sobre outros trafegos
• Classificação e marcação de trafego
• Uso do protocolo WRED (Weighted Random Early Detection) que pode ser configurado para previnir congestionamento. O protocolo bloqueia(drop) trafego menos importante em vez de bloquear pacotes de voz

Componetes basicos em uma rede VoIP:

• MCU - Multipoint Control Unit
• Gatekeeper
• Interactive voice response (IVR) systems

Requirimentos de Qos para VoIP:

•  <=150 ms de latncia (per the ITU G.114 standard)
•  <= 30 ms jitter
•  <= 1 percent packet loss
• Pacotes de voz são tipicamente pequenos (60 to 120 bytes)^
• 17 to 106 kbps de garantia de banda por chamada

Tipos de controle de sinalização:

• SIPP
• H.323
• MGCP

Caracteristicas de tráfego de Voz:

• UDP priority
• Delay sensitive
• Drop sensitive

Codecs Suportados:

• G.711
• G.729

LWAPP - Lightweight Acces Point Protocol

O controle de tráfego entre o AP e o Controller  é encapsulado com o LWAPP
O controle é encriptado com AES - Advanced Encryption Standard

Os APs enviam mensagem Layer 2 LWAPP mode discovery requests. Se a tentativa falha o AP tenta via Layer 3 LWAPP WLC discovery.

WLAN prove um unico ponto de gerenciamento

Processo para criar a conexão entre o AP e o Cliente:

probe request/response, authentication request/response e association request/response

DAI - Dinamic ARP Inspection

A inspeção dinâmica de ARP é um recurso de segurança que valida pacotes ARP em uma rede. A inspeção dinâmica de ARP determina a validade de pacotes executando uma inspeção das atribuições de endereço IP a MAC armazenado em um banco de dados confiável (o banco de dados de vinculação do DHCP) antes de encaminhar o pacote para o destino apropriado. A inspeção ARP dinâmica descartará todos os pacotes ARP com atribuições de endereço IP-MAC inválidas que falham na inspeção. O banco de dados do DHCP snooping  é criado quando o recurso DHCP snooping é habilitado nas VLANs.

• Utilizado para prevenir ARP poisoning
• ARP poisoning por gratuitous ARP usando IP e MAC local
• Inspect ARP requests/responses
• Utiliza DHCP snooping database para verificação
• ARP ACLs pode ser usados para ARP request/responses para estaticamente definir o device

• DAI pode ser executado somente em ingress port e não permite nenhuma checagem egress
• DAI é suportado em access ports, trunk ports, EtherChannel Ports e PVLAN ports
• DAI pode ser configurado em todas as portas de acesso como untrusted e em todas as portas conectadas em outro switch como trusted
• DAI encaminha todos os pacotes ARP recebidos de uma interface "trusted" sem nenhum check
• DAI intercepta todos os pacotesde interfaces "untrusted"

O recurso dinâmico de Inspeção ARP (DAI) protege a rede de muitos dos ataques tipo man-in-the-middle (MITM) comumente conhecidos. A Inspeção dinâmica ARP garante que somente solicitações e respostas ARP válidas sejam encaminhadas

Configuração em ambiente com DHCP

O DAI depende das entradas no banco de dados do DHCP snooping para verificar as atribuições de endereços IP-para-MAC.

Configurar cada interface como confiável usando o comando de configuração da interface ip arp inspection trust. 

As interfaces confiáveis ignoram as verificações de validação de inspeção ARP e todos os outros pacotes estão sujeitos a inspeção quando chegam em interfaces não confiáveis.

Switch(config)# interface GigabitEthernet1/0/11

Switch(config-if)# ip arp inspection trust

Switch(config)# ip arp inspection vlan 1-20

Configuração em ambiente não  DHCP

Em ambientes não DHCP, como não há banco de dados DHCP snooping, o DAI pode validar pacotes ARP através de um ACL ARP  definido pelo usuário para mapear hosts com um endereço IP configurado estaticamente para seu endereço MAC.

Switch(config)# arp access-list filteracl

Switch(config-arp-acl)# permit ip host 172.16.0.1 mac host 00e1.00f2.00af

Switch(config)# ip arp inspection filter filteracl vlan 10

Switch(config)# interface GigabitEthernet1/0/1

Switch(config-if)# no ip arp inspection trust

Limitação de Taxa de Pacotes de Entrada de ARP

Como a CPU do switch executa o DAI, existe um potencial para um ataque de negação de serviço (DoS) de inundação ARP resultando em degradação do desempenho. Para evitar isso, os pacotes ARP podem ser limitados de taxa usando o comando ip arp inspection limit do modo de configuração de interface para limitar a taxa de solicitações e respostas ARP de entrada. Por padrão, 15 pps (pacotes por segundo) são permitidos em interfaces não confiáveis; No entanto, não há limite para interfaces confiáveis. O intervalo de rajada é de 1 segundo.

Quando a taxa de pacotes ARP de entrada excede os limites configurados, a porta é colocada no estado de err-disabled. A porta permanecerá nesse estado até que o usuário intervenha ou o comando de recuperação errdisable arp-inspection interval [seconds] seja ativado, de modo que as portas possam recuperar automaticamente deste estado após um período de tempo limite especificado

Verificações de validação ARP

Podem ser realizadas verificações adicionais específicas nos pacotes ARP de entrada para validar o endereço MAC de destino, o endereço IP do remetente em solicitações ARP, o endereço IP de destino em respostas ARP ou o endereço MAC de origem.

Use o comando ip arp inspection validate {[src-mac] [dst-mac] [ip]} do modo de configuração global para ativar essas verificações adicionais de validação ARP.

Validações:

Switch# show ip arp inspection interface (Exibe o estado de trust o limite de taxa (pps significa pacotes por segundo) e o intervalo de rajada configurado para as interfaces)

Switch# show ip arp inspection vlan (Exibe a configuração DAI e o estado de operação das VLANs configuradas no switch)

Switch# show ip arp inspection statistic (Exibe as estatisticas dos pacotes)

VLAN Hopping

Os rackers negociam uma conexão trunk com o switch

Um attacker envia um quadro double-tagging para um switch e o switch aceita tag 802.1q em portas de acesso

Processo para taggear a vlan Native:

Switch(config)# vlan dot1q tag native

Uma estação tenta ganhar o acesso para todas as vlans transmitindo Ethernet Frames em 802.1Q encapsulation

Configurando uma interface com o comando switch mode access previne VLAN hopping

Prevenção contra VLAN Hopping:

• Desativar o protocolo DTP em todas as portas inutilizadas
• Place unused ports in a common unrouted VLAN.

Exemplo de comandos para configurar a vlan Nativa

Switch(config-if)# switchport trunk native vlan 10 (habilita a vlan 10 como vlan nativa)
Switch(config-if)# switchport trunk allowed vlan remove 10 (remove a vlan nativa do trunk)

Voice VLAN

• Pode-se configurar voice VLAN em portas de Acesso
• A voice VLAN deve estar presente e ativa no switch para o IP Phone corretamente comunicar com a vlan de voz
• O recurso PORT FAST é automaticamente habilitado quando vlan de voz é configurado, contudo quando desabilita voice VLAN, a PORTFAST feature não é automaticamente desabilitado.
• Não pode configurar static secure ou sticky em uma voice VLAN

PVLAN

PVLAN mantem portas compartilhadas e outras portas isoladas, sendo que todas as portas existentes na mesma VLAN.

Port em PVLAN pode ser de 3 tipos:

➨ Isolated: Tem uma completa separação de outras portas da mesma PVLAN  execto as portas em modo Promiscous

➨ Promiscous: Pode comunicar  com todas as portas dentro da PVLAN, incluído Community e Isolated ports.

➨ Community: Comunicam entre as portas da community e promiscous port

As PVLANs são suportadas somente com VTP em modo Transparent:

Exemplos de Configurações:

Switch(config) # vtp mode transparent (primeira ação é colocar o VTP em modo Transparent!)
Switch(config) # vlan 200
Switch(config-vlan) # private-vlan primary
Switch(config) #vlan 205
Switch(config-vlan) #  private-vlan community
Switch(config) # vlan 210
Switch(config-vlan) # private-vlan isolated
Switch(config) # vlan 200
Switch(config-vlan) #private-vlan association 205,210

Switch# show vlan private-vlan type

Configuração na interface:

Switch(config-if) #switchport mode private-vlan host
Switch(config-if) # switchport private-vlan host-association 200 205 (community)
Switch(config-if) # switchport private-vlan host-association 200 210 (isoleted)

Switch(config-if) # switchport mode private-vlan promiscous
Switch(config-if) # switchport private-vlan mapping 200 205, 210

802.1X

O padrão IEEE 802.1X define portas baseadas em controle de acesso com protocolos de autenticação que restringe dispositivos não autorizados de conectar na rede (LAN) através de portas de acesso público.

802.x Members:

• Suppicant (host) = EAP-TLS - EAP-PEAP - EAP-LEAP
• Authenticator (switch) - RADIUS or TACACS
• Autehtication server

Papéis específicos dos dispositivos 802.1X:

• Client(supplicant): O dispositivo workstation que requer o acesso  na LAN e os serviços de switch. As workstations devem estar rodando 802.1X-compliant client software.

• Authentication Server: Realiza a autenticação do cliente. O server valida a identidade do cliente e notifica o switch se ou não o cliente esta autorizado par acessar a rede

• Switch(authenticator): Controla o acesso físico na rede baseado no status da autenticação do cliente. O switch age como um proxy intermediário entre o cliente(supplicant) e o servidor de autenticação. 

Os servidores de autenticação autenticam cada workstation que esta conectada em uma porta do switch antes de disponibilizar os acessos aos serviços oferecidos.

Até a workstation estar autenticada, o protocolo 802.1X permite somente o tráfego do protocolo EAPOL (Extensible Authentication Protocol) através da porta que a workstation esta conectada.

Como o switch age como um proxy, o serviço de autenticação é transparente para o cliente, considerando esse cenário o Remote Authentication Dial-In user Service (RADIUS) server com extensões EAP suportado no servidor de autenticação.

Opções de configuração de autorização de acesso nas interfaces usando o comando: dot1x port-control auto

• Force-authorized: Desabilita 802.1X port autenticação e causa uma transição na porta para o estado de autorizado sem nenhuma autenticação requirida. (configuração default)

• Force-unauthorized: Causa a porta para manter em não autorizado estado, ignorando todas as tentativas do cliente para autenticar. O switch não pode prover autenticação através da interface.

• Auto: Habilita 802.1X port based autenticação e força a porta para começar a não autorizar o acesso, permitindo somente os frames EAPOL.

Exemplo de configuração:

Switch(Config)# aaa new-model (habilita o swith a suportar AAA)

Switch(Config)# radius server host 10.10.10.10 key pass (configura o servidor radius e a senha)

Switch(Config)# aaa authentication dot1x default group radius (especifica o  tipo de autenticação)

Switch(Config)# dot1x system-auth-control (habilita dot1x)

Switch(Config-if)# dot1x port-control auto (configura o tipo de autorização de acesso na interface)

802.1X somente suporta RADIUS authenticator Server com extensões EAP

IP Source Guard

IP Source Guard é um recurso de segurança que restringe o tráfego IP nas portas não confiáveis de camada 2, filtrando o tráfego com base no banco de dados de vinculação do DHCP snooping e origem de IP configuradas manualmente. Esse recurso ajuda a evitar ataques de spoofing de IP quando um host tenta falsificar e usar o endereço IP de outro host. Qualquer tráfego IP que entra na interface com um endereço IP de origem diferente daquele atribuído (via DHCP ou configuração estática) será filtrado nas portas não confiáveis da camada 2.

Ele cria e mantém uma tabela de vinculação de origem IP que é aprendida pelo DHCP snooping ou configurada manualmente (binding de fonte IP estática). Uma entrada na tabela binding de origem IP conténdo os endereço IPs, números MACs e VLANs associadas.

Previne IP address spoofing

O IP Source Guard é suportado somente em portas Layer 2, incluindo portas de acesso e trunk.

Exemplo de configuração:

Switch(config-if)# ip verify source port-security (configuração dinamica)

Switch(config)# ip source binding 0013.001f.00a1 vlan 10 172.16.0.1 interface GigabitEthernet1/0/1  (configuração estática)

Verificação:

Switch# show ip verify source (mostra a configuração do IP source guard)
Switch# show ip source binding (mostra o source binding do switch).

VLAN Maps ou VACL

VLAN Maps também são conhecidas como VLAN ACL or VACLs.

• Suportado somente em switches MultiLayer
• Tipicamente encontrado em ambientes grandes

VLAN Maps podem ser configurados em switches para filtrar todo os pacotes roteados dentro de uma ou mais VLANs configurados através de access maps

São usados estritamente para filtros de pacotes. Diferente de ACL de roteadores, VLAN Maps não são definidas por direção (input ou output)

Tem dois tipos de VACLs:

• IP ACL
• MAC ACL

VACL interage com ACL - Access Control List e PACL - Port Access Control List

Exemplos de Configuração:

Switch(config)# access-list 1 permit 10.0.0.0 0.0.0.255 

Switch(config)# mac access-list extended MAC_DST

Switch(config-acl)#permit any host "1111.1111.1111"

Switch(config)# vlan access-map "VACL" 10

Switch(config-map)# match ip address 1

Switch(config-map)# action forward

Switch(config)## vlan filter "VACL" vlan-list 10

Vlans MAP que não contem uma "match definida" = Possui um feature de "Deny" no final da lista

Quando aplica-se uma PACL em uma porta trunk o filtro de tráfego estará em todas as vlans presentes

Verificando:

Switch# show access-list

MAC Address Flooding

CAM - Content Addressable Memory tem uma tabela com uma capacidade limitada de tamanho.

Tipicamente um intruso inunda o switch com uma enorme quantidade de inválidos MACs (Media Access Control address) até preencher a tabela CAM inteira. Quando isso ocorre o switch inunda todas as portas com tráfego de entrada porque não pode encontrar o numero da porta a um MAC particular dentro da Tabela MAC.

O resultado desse comportamento é que novas entradas de MAC não podem ser inseridas por que  não há espaço na tabela MAC e o trafego é subsequentemente inundado em todas as portas

Mac Address Flooding é uma tentativa de forçar um switch para enviar toda a informação de cada porta sobrescrevendo a tabela MAC

2 métodos de mitigar MAC address flooding:

• Implementar port Security
• Implementar Vlan Access maps

ARP Spoofing

ARP - Address Resolution Protocol é utilizado para mapear IP address para MAC address em um seguemento de rede local. Normalmente um host envia uma requisição ARP broadcast para encontrar o MAC address de outro host com um IP particular e uma resposta ARP vem do host que possui o endereço MAC

ARPs não solicitados são chamados de GARP = Gratuitous ARP

GARP pode ser explorado por um malicioso Attacker para "spoof" a identidade de um IP address da rede utilizando assim para pegar a identidade entre dois hosts ou todo o tráfego enviado para o default gateway in a man-in-the-middle attack.

Quando uma resposta ARP e enviada, um Attacker pode fazer o seu sistema aparecer como o destino. A resposta ARP causa ao remetente para armazenar o MAC address do Attacker no ARP cache. Esse MAC também é armazenado na tabela CAM. Isso permite que o Attacker intercept os frames destinados ao host que ele esta spoofing.

Arp Spoofing Attackes tentam redirecionar o trafego para um host atacking enviando uma mensagem ARP com um identidade forjada

DAI - Dynamic ARP Inspection:

• Mapeia o IP para MAC bindings das transações do DHCP para proteger contra ARP Poisoning
• DAI associa cada interface com trusted or untrusted state

Exemplo de Configuração:

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 110
Switch(config)# ip arp inspection vlan 110

Switch(config-if)#  ip dhcp snooping trust
Switch(config-if)#  ip arp inspection trust

DHCP Snooping

O recurso do DHCP Snooping serve para mitigar servidores DHCP (Dynamic Host Configuration Protocol) falsos.

O processo de solicitação de IP:

Etapa 01: O clinte DHCP inunda a rede com pacotes broadcast para toda a rede na busca por servidores locais que possam atender à requisição através de uma mensagem DHCPDISCOVER;

Etapa 02: Quando algum servidor que esteja executando o serviço DHCP recebe essa mensagem, ele responde com uma nova mensagem unicast ao solicitante (DHCPOFFER) com a oferta dos parâmetros de configuração

Etapa 03: O cliente aceita essa oferta e envia uma mensagem de requisição (DHCPREQUEST) dos parâmetros definitivos

Etapa 04: O servidor confirma (DHCPACK) e envia os parâmetros para que o cliente possam configurar seus endereços de rede.

Uma forma de um Attacker ganhar acesso ao trafego da rede é (spoof) fraudar a identidade de um servidor de DHCP válido.

DHCP spoofing device replica as requisições do client DHCP

Os intrusos oferecem um ip address e informações que definem o intruso como o defautl gateway na rede. Nesse caso os clientes encaminham pacotes para o dispositivo do atacante. Esse metódo de ataque é conhecido como "man-in-the-middle" ataque.

Uma tabeda de DHCP binding é construida por ports untrusted. Cada entrada contém o MAC Address, IP Address, Lease Time, Binding type, Vlan number e a port ID.

Untrusted access port não enviam DHCP respostas como DHCPOFFER, DHCPACK e DHCPNAK

Para previnir um DHCP spoofing, o servidor DHCP deve criar uma entrada estática de ARP o qual não pode ser atualizada por um pacote de ARP dinamico.

Três etapas para configuração do DHCP Snooping:

1. Configurar DHCP Snooping Globalmente
2. Configurar DHCP Snooping na interface
3. Configurar DHCP Snooping na VLAN ou range de VLANs

Exemplos de configuração:

Switch(config)#ip dhcp snooping  (habilita DHCP Snooping globalmente)
Switch(config)#ip dhcp snooping vlan [number] (habilita DHCP Snooping na vlan)
Switch(config)#ip dhcp snooping information option (habilita DHCP Option 82)
Switch(config-if)#ip dhcp snooping trust (habilita a interface como trust or untrust)
Switch(config-if)#ip dhcp snooping limit rate (configura numeros de pacote DHCP por segundo - PPS)
Switch# show dhcp snooping (verificar a configuração)

Switch# show dhcp snooping binding (verificar a configuração)

OBS.: DHCP Snooping previne ataques de DHCP Spoofing

DHCP Snooping Database contem (UNTRUSTED HOSTS WITH LEASED IP ADDRESS)

DHCP Options:

Option 43 = Usado para informar os Access Points para informar onde encontra-se o WLC
Option 69 = Usado para informar aos clietnes qual servidor SMTP esta em uso
Option 70 = Usado para informar aos clientes qual servidor POP3 esta em uso
Option 150 = Usado pelos Telefones IP o qual busca informação no Servidor TFTP para fazer download da configuração.

VLANS

O comando Show vlan id "vlan number", mostra as interfaces pertencentes a vlan 5 e o MTU e type das portas.

Device que estão em diferentes vlans podem pingar um a outro quando as mesmas encontram-se na mesma subnet e quando a informação da VLAN é untagged.

Considerações no planejamento de VLANs:

• Plano de rollback
• Execute uma implementação incremental de componentes
• Um plano de implementação resumido
• Verifique se as vlans foram criadas corretamente em todos os switches com o comando show vlan
• Verifique se os links trunk estão configurados para permitir o tráfego de todas as vlans

End-to-End Vlans:

Os clientes são agrupados dentro das vlans independente da localização fisica
Se os usuarios são movidos no Campus a Vlan permanece a mesma

Vantagens:

• Utilizam as mesmas politicas de segurança e QoS

Desvantagens:

• Todas as switches precisam conhecer todas as vlans
• As mensagens Broadcast inundam todos os switches
• O troubleshoting pode ser um desafio

Local Vlans:

Solução recomendada in Cisco Enterprise Campus architect
Usuarios são agrupados dentro das vlans dependendo da sua localização fisica
Se os usuraios se movem dentro do Campus as suas vlans mudam

Vantagens:

• Design é escalavel
• Troubleshooting é facil
• O fluxo do tráfego é previsivel
• Caminhos redundantes podem ser facilmente contruidos

Desvantagens:

• São necessários mais disppositivos de roteamento
• Usuarios pertencem ao mesmo dominio de Broadcast quando estão no mesmo local

Caracteristicas de VLANs estáticas:

• Segura
• Facil de configurar
• Trabalham bem em ambientes onde movimentação e adição são raras de ocorrer.
• Os dispositivos conectados não têm conhecimento de VLANs.

A cada vez que uma VLAN é modificada o Revison Number e Configuration Revision Database mudam

Caracteristicas de VLANs dinamicas:

• Vlans dinamicas requer um VMPS (vlan membeship policy server)
• Dispositivos permanecem na mesma VLAN independente da porta que se mudam

STP - Port Fast

Use the spanning-tree portfast em modo global configuration command to globally enable the PortFast feature on all non-trunking ports

Portfast é usado em ambos STP e RSTP host ports
Portfast pode tambem ser congigurado em trunk ports

STP - Spanning tree Protocol

Padrões STP:

STP = Versão original
CST = Uma instancia inteira para a rede
PVST e PVST+ = Prove separadas STP instancias para cada vlan
MSTP = Mapeia multiplas vlans na mesma instancia
RSTP = STP com rapida convergência
Rapid PVST+ =

Tipos de BPDU

• CONFIGURATION BPDUS: usado para calcular o STP
• TCN BPDUs: Usado para informar sobre mudanças na topologia de rede

Eleição do ROOT BRIDGE:

• Os switches trocam BPDU entre eles
• Torna-se root bridge o switch com o menor bridge ID
• Bridge ID é composto da menor prioridade e do menor MAC Address
• Bridge Priority é composta de 2 bytes sendo o numero default de 32768 tendo o intervalo e inicio em 4096

Operação:

• STP é habilitado em switches CISCO por default
• Envia mensagens a cada 2 segundos, chamadas BPDU
• Prioridade default: 32768

Estados das Portas:

Blocking > Recebe BPDU ( indefinido se tem um loop )

Listening > Recebe  BPDU - Envia BPDU ( Delay de 15 segundos)

Learning > Recebe BPDU - Envia BPDU - Aprende o MAC ( Delay - 15 segundos )

Forwarding > Recebe BPDU - Envia BPDU - Aprende MAC - Recebe Dados - Envia Dados

Disabled > Não envia e recebe nada ( Não participa do frame STP)

O commando spanning-tree loopguard default de disable para enable

Timers STP:

• Hello Timers = 2 segundos
• Forwarding delay = 15 segundos
• Max_Age timers = 20 segundos

MSTP - Multiple Instance Spanning Tree Protocol

STP Standard:  IEEE 802.1S

A instancia MST carrega um Extended System ID no Bridge ID

• MST estende o padrão IEEE 802.1w Rapid Spanning-tree em múltiplas instancias

• O Principal propósito do MSTP é reduzir o numero total de instancias do spanning-tree

• MST é construído com o conceito de mapear uma ou mais Vlans em uma mesma instancia

• Múltiplas instancias podem ser criadas suportando diferentes grupos de vlans

• MST region é um grupo de MST que aparecem como um unico virtual bridge

• Habilitando MST com o comando spanning-tree mode mst global configuration também habilita RSTP.

• Por Default todas as vlans pertencem a instancia MST00

Exemplo de distribuição das vlans com as regions do MST

Switches na MST Regions trocam as seguintes informações:

• Name
• Revison number
• VLAN association table

Exemplos de Configuração:

As configurações do MST devem ser configuradas manualmente  em cada switch da MST region

• MST configuration name = (32 Caracteres)
• MST configuration revision number = (0 to 65535)
• MST instance-to-vlan mappin gtable = (4096 entradas)

Switch(config)# spanning-tree mode mst (habilita o switch para utilizar o MST)

Switch(config)# spanning-tree mst configuration (entra no modo de configuração do MST)

Switch(config-mst)# name "name" (configura o nome da region)

Switch(config-mst)# revision number (habilita o numero da revisão)

Switch(config-mst)# instance "ID" vlan "vlan list" ( cria a instancia e atribui as vlans dentro da dela)

Definindo a prioridade MST:

Switch(config)# spanning-tree mst 1 root primary

Switch(config)# spanning-tree mst 2 root secondary

Verificando:

Switch# show spanning-tree summary

Switch(config-mst)# show current (verificar a configuração do MST)

Switch(config-mst)# show pending  (verificar a configuração do MST)

Switch# show spanning-tree mst configuration digest (verifica a consistência do MST)

Switch# show spanning-tree mst 1 (verifica os estados das portas STP na region)

MST Port Priority:

MST usa esta sequencia de critério para escolher o melhor caminho

• Menor BID
• Menor root path cost
• Menor sender BID
• Menor sender port ID

Switch(config-if)# spanning-tree mst 1 port-priority 32 (define MST port prioriy para uma devida instancia)

Switch# show spanning-tree mst 1 (verifica os estados das portas STP na region)

MST Path Cost:

MST define default cost baseado na velocidades e midia das interfaces

Switch(config-if)# spanning-tree mst 1 cost 1000000 (define MST cost para uma devida instancia)

Switch# show spanning-tree mst  (verifica path cost configuration)