(Updating…) Há 5 anos fiz um post mostrando como configurar a interface 3G do roteador 819, mas houve uma atualização no hardware deste equipamento (agora usa um outro modelo de modem) e aquela configuração já não serve para os novos modelos. Naquela época não falavamos de IoT, mas agora, com esse novo “hype”, este equipamento voltou a ficar em evidência. Então acho que vale o update. Configurando 3G/4G Apesar desta configuração ter sido realizada no 819 com suporte a 3G, acredito que não mude muito para os demais modelos, mesmo os com suporte a 4G. 1) No modo de configuração global, configure o script de inicialização do modem. Recomendo copiar e colar esta linha para não haver erro. brain819(config)#chat-script GSM “” “AT!SCACT=1,1” TIMEOUT 60 “OK” 2) No modo de configuração privilegiado, crie um profile GSM, informando o número do profile, o nome da APN, tipo de autenticação, usuário e senha. brain819#cellular 0 GSM profile create 1 claro.com.br CHAP claro claro Observe que foi utilizado um SIM Card da Claro. Faça as devidas alterações para usar outra operadora. 3) Configure o DDR – Dial-on-Demand Routing. Aqui podemos especificar que tipo de tráfego vai iniciar a conexão 3G/4G. brain819(config)#access-list 1 permit any brain819(config)#dialer-list 1 protocol ip list 1 4) Configure a line 3 para permitir a conexão 3G, usando o profile criado anteriormente. Deve ser utilizada sempre a line 3. brain819(config)#line 3 brain819(config-line)# exec-timeout 0 0 brain819(config-line)# script dialer GSM brain819(config-line)# modem InOut 5) Entre no modo de configuração da interface, configure o encapsulamento SLIP, IP address, async mode e os parâmetros de dialer. brain819(config)#interface Cellular0 brain819(config-if)#description 3G SIM brain819(config-if)#ip address negotiated brain819(config-if)#no ip unreachables brain819(config-if)#ip nat outside brain819(config-if)#ip virtual-reassembly in brain819(config-if)#encapsulation slip brain819(config-if)#dialer in-band brain819(config-if)#dialer idle-timeout 300 brain819(config-if)#dialer string GSM brain819(config-if)#dialer-group 1 brain819(config-if)#no peer default ip address brain819(config-if)#async mode interactive 6) A configuração do 3G/4G foi finalizada no passo 5. Agora basta fazer a configuração comum para navegação (rota e NAT). brain819(config)#access-list 101 permit ip any any brain819(config)# ip nat inside source list 101 interface Cellular0 overload brain819(config)# ip route 0.0.0.0 0.0.0.0 Cellular0 brain819(config)# int cellular 0 brain819(config-if)#ip nat outside brain819(config)#int vlan 1 brain819(config-if)#ip nat inside Do roteador podemos dar um ping 8.8.8.8 source vlan 1 para que a conexão seja inicializada. Verificando o status do 3G/4G Para verificar o status da interface e modem 3G/4G, podemos usar os comandos abaixo. brain819#show cellular 0 radio Radio power mode = ON Current Band = WCDMA 850, Channel Number = 4437 Current RSSI = -75 dBm Band Selected = Auto Number of nearby cells = 1 Cell 1 Primary Scrambling Code = 0x1E RSCP = -69 dBm, ECIO = -11 dBm brain819#show cellular 0 security Active SIM = 1 SIM switchover attempts = 0 Card Holder Verification (CHV1) = Disabled SIM Status = OK SIM User Operation Required = None Number of CHV1 Retries remaining = 3 brain819#show cellular 0 profile Profile 1 = ACTIVE* ** ——– PDP Type = IPv4 PDP address = 187.70.34.163 Access Point Name (APN) = claro.com.br Authentication = CHAP Username: claro Password: claro Primary DNS address = 200.169.117.221 Secondary DNS address = 200.169.117.222 Profile 2 = INACTIVE ——– PDP Type = IPv4 Access Point Name (APN) = bandalarga.claro.com.br Authentication = PAP Username: claro Password: claro * – Default profile Configured default profile for active SIM 1 is profile 1. brain819# Outro comando bastante útil é o debug chat, que mostra a inicialização do modem e a conexão. brain819#debug chat *Jan 29 19:53:34.271: %TRACK-6-STATE: 10 ip sla 10 state Up -> Down *Jan 29 19:53:34.279: %HA_EM-6-LOG: SIM_FAILOVER: Carrier is Claro BR *Jan 29 19:53:34.295: %HA_EM-6-LOG: SIM_FAILOVER: Claro Network Issue. Switching to Vivo *Jan 29 19:53:34.375: CHAT3: Attempting async line dialer script *Jan 29 19:53:34.375: CHAT3: Dialing using Modem script: GSM & System script: none *Jan 29 19:53:34.379: CHAT3: process started *Jan 29 19:53:34.379: CHAT3: Asserting DTR *Jan 29 19:53:34.379: CHAT3: Chat script GSM started *Jan 29 19:53:34.379: CHAT3: Sending string: AT!SCACT=1,1 *Jan 29 19:53:34.379: CHAT3: Expecting string: OK *Jan 29 19:53:42.743: CHAT3: Completed match for expect: OK *Jan 29 19:53:42.743: CHAT3: Chat script GSM finished, status = Success *Jan 29 19:53:44.743: %LINK-3-UPDOWN: Interface Cellular0, changed state to up *Jan 29 19:53:45.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Cellular0, changed state to up Mais informações sobre configuração do 4G no 819 neste link. Até a próxima.
Instalando licença em roteadores Cisco
(Quase 10 anos atrasado) Já há alguns anos (com o lançamento dos ISRG2) a Cisco passou a usar um novo modelo de licenciamento para ativar funcionalidades nos roteadores. O IOS conta com todas as funcionalidades e para usá-las basta instalar e ativar as licenças necessárias, sem a necessidade de trocar o software. A maioria das licenças não precisa nem reiniciar o equipamento. Instalando licença nos ISRg2 e ISR 4K Neste exemplo instalei a licença HSEC (requer a licença Tecnology Package SecurityK9), mas o procedimento é o mesmo para as demais Features Licenses. O primeiro passo depois de comprar a licença é baixá-la do site da Cisco (www.cisco.com/go/license). Você vai precisar informar o Prodcut ID e o Serial Number. Importante: quando for gerar a licença, informe o serial number verificado através do comando show license udi, que é diferente do serial # do equipamento. BrainRT01#show license udi SlotID PID SN UDI ——————————————————————————– * ISR4351/K9 FDO21350D13 ISR4351/K9:FDO21350D13 Com o arquivo em mão, podemos transferí-lo para a flash via TFTP ou usando um Pen Drive. BrainRT01#copy usb0:/FDO21350D13_201802010758456350_4351_HSEC.lic bootflash: Na sequencia basta instalar a licença. BrainRT01#license install bootflash:FDO21350D13_201802010758456350.lic Installing licenses from “bootflash:FDO21350D13_201802010758456350.lic” Installing…Feature:hseck9…Successful:Supported 1/1 licenses were successfully installed 0/1 licenses were existing licenses 0/1 licenses were failed to install Podemos verificar o status da licenças com os comandos abaixo. BrainRT01#show license feature Feature name Enforcement Evaluation Subscription Enabled RightToUse appxk9 yes yes no yes yes uck9 yes yes no no yes securityk9 yes yes no yes yes ipbasek9 no no no yes no FoundationSuiteK9 yes yes no yes yes AdvUCSuiteK9 yes yes no no yes cme-srst yes yes no no yes hseck9 yes no no yes no throughput yes yes no no yes internal_service yes no no no no BrainRT01#sh license Index 1 Feature: appxk9 Period left: Life time License Type: Permanent License State: Active, In Use License Suite: FoundationSuiteK9 License Count: Non-Counted License Priority: Medium Index 2 Feature: uck9 Period left: Not Activated Period Used: 0 minute 0 second License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 3 Feature: securityk9 Period left: Life time License Type: Permanent License State: Active, In Use License Suite: FoundationSuiteK9 License Count: Non-Counted License Priority: Medium Index 4 Feature: ipbasek9 Period left: Life time License Type: Permanent License State: Active, In Use License Count: Non-Counted License Priority: Medium Index 5 Feature: FoundationSuiteK9 Period left: Life time License Type: Permanent License State: Active, In Use License Count: Non-Counted License Priority: Medium Index 6 Feature: AdvUCSuiteK9 Period left: Not Activated Period Used: 0 minute 0 second License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 7 Feature: cme-srst Period left: Not Activated Period Used: 0 minute 0 second License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: 0/0 (In-use/Violation) License Priority: None Index 8 Feature: hseck9 Period left: Life time License Type: Permanent License State: Active, In Use License Count: Non-Counted License Priority: Medium Index 9 Feature: throughput Period left: Not Activated Period Used: 0 minute 0 second License Type: EvalRightToUse License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 10 Feature: internal_service BrainRT01# No caso das licenças do tipo Technology Package (securityk9, datak9/appxk9, uck9) é necessário reiniciar (reload) o roteador se ela já não estiver em uso como trial. Licenças Trial / Evaluation Para ativar uma feature temporariamente, para fins de teste, usamos comandos diferentes. Ativando licença Evaluation em ISRG2. BrainRT01> enable BrainRT01# configure terminal BrainRT01(config)# license boot module c2900 technology-package data PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR LICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCH PRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWING TERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUND BY ALL THE TERMS SET FORTH HEREIN. You hereby acknowledge and agree that the product feature license is terminable and that the product feature enabled by such license may be shut down or terminated by Cisco after expiration of the applicable term of the license (e.g., 30-day trial period). Cisco reserves the right to terminate or shut down any such product feature electronically or by any other means available. While alerts or such messages may be provided, it is your sole responsibility to monitor your terminable usage of any product feature enabled by the license and to ensure that your systems and networks are prepared for the shut down of the product feature. You acknowledge and agree that Cisco will not have any liability whatsoever for any damages, including, but not limited to, direct, indirect, special, or consequential damages related to any product feature being shutdown or terminated. By clicking the “accept” button or typing “yes” you are indicating you have read and agree to be bound by all the terms provided herein. ACCEPT? [yes/no]: yes % use ‘write’ command to make license boot config take effect on next boot BrainRT01(config)#exit BrainRT01#wr BrainRT01#reload Nos novos roteadores da série 4K, usamos o comando license boot level license-level. Mais detalhes sobre as licenças aqui. Até a próxima.
Cisco Umbrella no Brasil
(Quente) No jornalismo usam os termos “pauta quente” e “pauta fria” para designar conteúdo que tem que ser publicado imediatamente e material que pode ser deixado para depois. Conto isso porque já era para eu ter escrito sobre o Cisco Umbrella, mas era um assunto que podia falar a qualquer momento, sem compromisso com data, e por isso acabei deixando para depois. Agora tem um conteúdo “quente” relacionado a este tema e estou um pouco arrependido. Fazer o que né?! Essa semana a Cisco disponibilizou a resolução de nomes via Umbrella aqui no Brasil. Anteriormente quando faziamos uma consulta DNS usando os servidores 208.67.222.222 e 208.67.220.220 a resolução de nome era feita no exterior, e por isso havia uma certa latência (entre 100 e 140 milisegundos segundo o DNSperf). Agora, com servidores aqui na terrinha as consultas são mais rápidas, levando entre 20 e 70 milisegundos. No gráfico histórico do DNSperf o resultado ainda está em torno de 70 ms (veja a queda no dia 14), mas podemos ver na imagem abaixo o query time atual em 24 ms. Esse resultado coloca os servidores Cisco Umbrella como os mais rápidos também aqui no Brasil (já são no resto do mundo). Bom, existem outras razões para usar o Umbrella (e falarei sobre isso em outro post, juro), mas com certeza a baixa latência já é um ótimo motivo para apontar a resolução de nome para os IPs 208.67.222.222 e 208.67.220.220. Até a próxima.
WLAN MAC Filtering
(Ainda usamos) Usar filtro de MAC Address para controlar acesso à rede sem fio não é uma solução muito interessante, mas eventualmente é necessário. Podemos fazer esta configuração diretamente na WLC, cadastrando os MAC Address localmente. Outra opção é usar o Cisco ISE como uma base externa para autenticação, cadastrando os MAC Address nele. É justamente essa configuração que veremos neste vídeo. Até a próxima.
Cisco Champion 2018: Nós somos!
(Passionate Experts, Global Champions for Change) O Cisco Champion é um programa da Cisco para reconhecer, insentivar e criar uma rede de pessoas interessadas em compartilhar conhecimento nas comunidades digitais. Anualmente, entre outubro e dezembro, as inscrições são abertas, e em janeiro do ano seguinte é divulgada a lista com os selecionados. Foi criado em 2014, para selecionar os Campeões de 2015, se não estiver enganado. E no ano passado pela primeira vez um brasileiro foi selecionado: Rodrigo Rovere do blog Cisco Redes (na minha opinião o melhor blog da área nos últimos 3 anos). E foi justamente através do Cisco Redes, que divulgou o programa no intuito de aumentar a comunidade e os selecionados brasileiros, que tomei conhecimento. No fim do ano passado fiz a inscrição, e agora no último dia 19 de janeiro fui informado que tinha sido selecionado como Cisco Champion 2018. O Rodrigo Rovere foi selecionado mais uma vez e continua como Cisco Champion. Outros dois blogs brasileiros que farão parte do programa em 2018 são o theroute2null0.com e o alexandroprado.com. Esperava mais brasileiros este ano. Temos uma boa comunidade nesta área, com dezenas de bons blogs, centenas de pessoas ativas em comunidades no Facebook, grupos no Telegram e também no Support Community da Cisco. Quem sabe no próximo ano… Página do Programa Perguntas Frequentes Cisco Champion Blog Roll Até a próxima.
WPA3 vem aí
(Quando sai uma versão nova de usuários?) O WiFi Alliance, grupo que define os rumos do WiFi, e anunciou no último dia 8, melhoria no WPA – Wi-Fi Protected Access. Formado por fabricantes de equipamentos e software, o WiFi Alliance promete melhorias na configuração, autenticação e criptografia no WPA3. O novo padrão, que estará disponível ainda este ano para equipamento pessoais e empresariais, terá quatro grandes melhorias: Privacidade do usuário em redes abertas através de criptografia de dados individualizada. Proteção contra ataques brute-force dictionary, impedindo várias tentativas usando senhas mais comuns. Segurança simplificada para dispositivos que possuem funcionalidades WiFi limitadas (IoT). Conjunto de segurança de 192 bits para proteger ambientes que requerem níveis mais altos de segurança, como órgãos governamentais e industrias. Dos quatro itens, acredito que o mais relevante seja o primeiro. Parece que teremos algo como uma VPN entre os dispositivos clientes e os APs. A ver. Proteção contra brute-force também é interessante, muito embora esse é um ataque mais teórico do que prático. Achar a senha em um dicionário só funciona para senhas muito fracas/comuns. E o quarto item apenas eleva a barra (WPA2 usa 128 bits), que até o momento ainda não foi alcançada (a criptografia do WPA2 não foi quebrada). Por fim a simplificação na conexão para dispositivos com configurações limitadas faz todo sentido para essa onda IoT que estamos vivendo. WPA2 O WPA2, utilizado desde 2004 (passou a ser obrigatório em dispositivos certificados em 2006), não morreu. Ele é o responsável por garantir a segurança na conexão de bilhões de dispositivos WiFi atualmente, e vai continuar sendo melhorado pelo WiFi Alliance. Apesar de todo barulho que o Krack Attack causou ano passado, o WPA2 proporciona um ótimo nível de segurança, e vai continuar sendo utilizado por um bom tempo. Até a próxima.
