A Cisco divulgou ontem (08/10/14) uma lista de vulnerabilidades que afetam as versões 7.2, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 9.0, 9.1, 9.2 e 9.3 de software do ASA. Parte destas vulnerabilidades estão relacionadas a funcionalidades que são habilitadas por padrão, e outras estão relacionadas a VPN. Ou seja, a lista impactada em quase todos os ASAs em uso. Equipamentos afetados: Cisco ASA 5500 Series Adaptive Security Appliances Cisco ASA 5500-X Series Next-Generation Firewalls Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers Cisco ASA 1000V Cloud Firewall Cisco Adaptive Security Virtual Appliance (ASAv) Lista de vulnerabilidades: Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability Cisco ASA VPN Denial of Service Vulnerability Cisco ASA IKEv2 Denial of Service Vulnerability Cisco ASA Health and Performance Monitor Denial of Service Vulnerability Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability Cisco ASA DNS Inspection Engine Denial of Service Vulnerability Cisco ASA VPN Failover Command Injection Vulnerability Cisco ASA VNMC Command Input Validation Vulnerability Cisco ASA Local Path Inclusion Vulnerability Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability Explorar as vulnerabilidades SQL*NET Inspection Engine Denial of Service Vulnerability, Cisco ASA VPN Denial of Service Vulnerability, Cisco ASA IKEv2 Denial of Service Vulnerability, Cisco ASA Health and Performance Monitor Denial of Service Vulnerability, Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability, Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability, and Cisco ASA DNS Inspection Engine Denial of Service Vulnerability pode fazer o dispositivo reiniciar. Já as vulnerabilidades Cisco ASA VPN Failover Command Injection Vulnerability, Cisco ASA VNMC Command Input Validation Vulnerability, and Cisco ASA Local Path Inclusion Vulnerability podem resultar no total comprometimento do sistema. A exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability pode permitir o vazamento de informações internas e causar o reload do equipamento, enquanto a exploração da vulnerabilidade Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability pode levar a alguns tipos de ataque, como cross-site scripting (XSS), roubo de credenciais, e redirecionamento dos usuários para páginas maliciosas, entre outras. Por fim, explorar com sucesso a vulnerabilidade Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability, permite ao atacante ter acesso a rede interna e acesso administrativo ao equipamento. Abaixo temos a tabela das versões de software afetadas e a primeira release que contém a correção, para cada versão. Os administradores devem atualizar para um versão igual ou superior à listada na tabela, sendo que na última coluna temos a versão 9.3(1.1), que será lançada dia 20 de outubro e corrigirá todas as vulnerabilidades. Por exemplo, se seu equipamento está na versão 8.4(3) ele está vulnerável, como podemos ver na coluna “8.4”. Você pode fazer o upgrade para a versão 8.4.(7.23) e corrigir todos os problemas. Ou ainda ir para uma versão mais nova que também corrija o problema (9.0(4.24), 9.1(5.12) ou 9.3(1.1)). A versão de software com a correção destas vulnerabilidades é liberada pela Cisco gratuitamente. Outra opção, para alguns destes itens, seria desabilitar a funcionalidade, mas acredito que na maioria dos casos isso é inviável. Verificando quais vulnerabilidades afetam seu equipamento Para saber quais destas vulnerabilidades afetam seu equipamento basta usar os comandos abaixo. Caso haja retorno (algum output do comando) seu equipamento está vulnerável. Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability ciscoasa# show service-policy | include sqlnet Inspect: sqlnet, packet 0, drop 0, reset-drop 0 (AFETADO) Cisco ASA VPN Denial of Service Vulnerability ciscoasa# show running-config crypto map | include interface crypto map outside_map interface outside (AFETADO) Cisco ASA IKEv2 Denial of Service Vulnerability ciscoasa# show running-config crypto ikev2 | include enable crypto ikev2 enable outside (AFETADO) ciscoasa# show running-config crypto map | include interface crypto map outside_map interface outside (AFETADO) Cisco ASA Health and Performance Monitor Denial of Service Vulnerability ciscoasa# show running-config | include hpm hpm topn enable (AFETADO) Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability ciscoasa# show service-policy | include gtp Inspect: gtp, packet 0, drop 0, reset-drop 0 (AFETADO) Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerabilityciscoasa# show service-policy | include sunrpc Inspect: sunrpc, packet 0, drop 0, reset-drop 0 (AFETADO) Cisco ASA DNS Inspection Engine Denial of Service Vulnerabilityciscoasa# show service-policy | include dns Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0 (AFETADO) Cisco ASA VPN Failover Command Injection Vulnerability ciscoasa# show running-config webvpn | include anyconnect enable anyconnect enable Ou ciscoasa# show run crypto map | include interface crypto map outside_map interface outside E ciscoasa# show failover Failover On […](AFETADO) Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability ciscoasa# show running-config webvpn webvpn enable outside […] E ciscoasa# show running-config http http server enable 444 (AFETADO) Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA crypto ca trustpoint _SmartCallHome_ServerCA crl configure (AFETADO) Note que as vulnerabilidades Cisco ASA VNMC Command Input Validation Vulnerability e Cisco ASA Local Path Inclusion Vulnerability afetam todos os equipamentos com as referidas versões de software. Todas as informações sobre estas vulnerabilidades, instruções para obter a versão que corrige o problema e mais informações neste link. Até a próxima.
Vulnerabilidade “Shellshock” afeta produtos Cisco
Depois do Heartbeat é a vez do Shellshock deixar os administradores de redes e aplicações preocupados. Uma vasta lista de dispositivos que utilizam o Bash Shell do Unix, de diversas empresas, foram afetados. O shell é como um mensageiro, facilitando a comunicação entre você e seu computador. É uma forma de você enviar os comandos ou requisições para o computador de uma forma que ele possa entender. Já o Bash é um shell básico, com poucos recursos, e apesar de não ser o shell padrão, ele está disponível em todos os sistemas Linux para compatibilidade com programas UNIX. O Shellshock, também conhecido como Bashdoor, é um grupo de bugs de segurança, sendo o primeiro deles divulgado em 24 de setembro 2014. Essas vulnerabilidades permitem um invasor executar comandos, podendo até obter acesso administrativo do sistema. Produtos Cisco afetados A Cisco divulgou a lista de dispositivos afetados, não afetados e outros que estão sob investigação. Abaixo a lista dos produtos que possuem a vulnerabilidade. Collaboration and Social Media Cisco WebEx Meetings Server (CWMS) [CSCur02916] Meraki Products Cisco Enterprise Linux [CSCur05384] Network Application, Service, and Acceleration Cisco ACE Application Control Engine Module for the Cisco Catalyst 6500 [CSCur02931] Cisco ASA CX and Cisco Prime Security Manager [CSCur01959] Cisco Application and Content Networking System (ACNS) [CSCur05564] Cisco GSS 4492R Global Site Selector [CSCur02747] Cisco NAC Appliance [CSCur03364] Cisco Sourcefire Defense Center and Sensor Products *See Details Section Cisco Visual Quality Experience Server [CSCur06775] Cisco Visual Quality Experience Tools Server [CSCur06775] Cisco Wide Area Application Services (WAAS) [CSCur02917] Network and Content Security Devices Cisco Identity Services Engine (ISE) [CSCur00532] Cisco Intrusion Prevention System Solutions (IPS) [CSCur00552] Cisco IronPort Encryption Appliance [CSCur02831] Cisco NAC Guest Server [CSCur05629] Cisco Physical Access Gateway [CSCur05343] Cisco Physical Access Manager [CSCur05357] Cisco Secure Access Control Server (ACS) [CSCur00511] Network Management and Provisioning Cisco Access Registrar Appliance Cisco Prime Access Registrar Appliance [CSCur10557] Cisco Digital Media Manager (DMM) [CSCur05123] Cisco Enterprise Content Delivery Service [CSCur02848] Cisco MXE Series [CSCur05088] Cisco Media Experience Engines (MXE) [CSCur05088] Cisco Prime LAN Management Solution [CSCur05125] Cisco Prime License Manager [CSCur05098] Cisco Prime Network Services Controller [CSCur05617] Cisco Quantum SON Suite [CSCur05662] Cisco Quantum Virtualized Packet Core [CSCur05662] Cisco Show and Share (SnS) [CSCur05123] Cisco UCS Central [CSCur05093] Cisco Unified Intelligence Center (CUIC) [CSCur02891] Data Center Analytics Framework (DCAF) [CSCur09685] Digital Media Manager (DMM) [CSCur03217] Local Collector Appliance (LCA) [CSCur05780] Network Configuration and Change Management [CSCur05794] Routing and Switching – Enterprise and Service Provider Cisco ASR 5000 Series [CSCur05102] Cisco Application Policy Infrastructure Controller [CSCur01249] Cisco Connected Grid Routers (CGR) [CSCur04898] Cisco IOS-XE for ASR1k, ASR903, ISR4400, CSR1000v [CSCur02734] Cisco IOS-XE for Catalyst 3k, 4k, and AIR-CT5760 [CSCur03368] Cisco MDS [CSCur01099] Cisco Network Convergence System (NCS) 6000 [CSCur02177] Cisco Nexus 1000 Virtual Supervisor Module (VSM) [CSCur04438] Cisco Nexus 1010 [CSCur04510] Cisco Nexus 3000 / 3500 [CSCur05529] Cisco Nexus 4000 [CSCur05610] Cisco Nexus 5000/6000 [CSCur05017] Cisco Nexus 7000 Series Switches [CSCur04856] Cisco Nexus 7000 [CSCuq98748] Cisco Nexus 9000 [CSCur02102] Cisco Nexus 9000 running NxOS [CSCur02700] Cisco OnePK All-in-One VM [CSCur04925] Cisco Service Control Engine 1010 [CSCur05021] Cisco Service Control Engine 2020 [CSCur05021] Cisco Service Control Engine 8000 [CSCur05021] Unified Computing Cisco Standalone rack server CIMC [CSCur03816] Cisco UCS Director [CSCur02877] Cisco UCS Invicta Appliance [CSCur05026] Cisco UCS [CSCur01379] Cisco Virtualization Experience Client 6215 [CSCur05844] Voice and Unified Communications Devices Cisco Emergency Responder [CSCur05434] Cisco Hosted Collaboration Mediation Fulfillment [CSCur05477] Cisco IM and Presence Service (CUPS) [CSCur05454] Cisco IP Interoperability and Collaboration System (IPICS) [CSCur05245] Cisco MediaSense [CSCur02875] Cisco Paging Server (Informacast) [CSCur04834] Cisco Paging Server [CSCur04834] Cisco SocialMiner [CSCur02880] Cisco Unified Communications Domain Manager [CSCur01180] Cisco Unified Communications Manager (CUCM) [CSCur00930] Cisco Unified Contact Center Express (UCCX) [CSCur02861] Cisco Unity Connection (UC) [CSCur05328] Video, Streaming, TelePresence, and Transcoding Devices Cisco AutoBackup Server [CSCur09315] Cisco D9036 Modular Encoding Platform [CSCur03243] Cisco D9036 Modular Encoding Platform [CSCur04504] Cisco Digital Media Players [CSCur05628] Cisco Download Server (DLS) (RH Based) [CSCur09318] Cisco Edge 300 Digital Media Player [CSCur02761] Cisco Edge 340 Digital Media Player [CSCur02751] Cisco PowerVu D9190 Conditional Access Manager (PCAM) [CSCur05774] Cisco Show and Share [CSCur03539] Cisco TelePresence Conductor [CSCur02103] Cisco TelePresence IP Gateway Series [CSCur04984] Cisco TelePresence ISDN Link [CSCur05025] Cisco TelePresence Manager (CTSMan) [CSCur05104] Cisco TelePresence Recording Server (CTRS) [CSCur05038] Cisco TelePresence TE Software (for E20 – EoL) [CSCur05162] Cisco TelePresence Video Communication Server (VCS/Expressway) [CSCur01461] Cisco TelePresence endpoints (C series, EX series, MX series, MXG2 series, SX series) and the 10″ touch panel [CSCur02591] Cisco Video Distribution Suite for Internet Streaming VDS-IS [CSCur05320] Cisco Video Surveillance Media Server [CSCur05423] Cisco Videoscape Distribution Suite Transparent Caching [CSCur06304] Cisco Hosted Services Cisco Intelligent Automation for Cloud [CSCur05134] Cisco Proactive Network Operations Center [CSCur05856] Cisco Universal Small Cell CloudBase [CSCur05647] Cisco WebEx Node for MCS [CSCur07169] Web Element Manager [CSCur09009] WebEx PCNow [CSCur05742] WebEx QuickBooks [CSCur05740] Outro equipamentos e software ainda estão sob investigação, e esta lista é atualizada periodicamente. Mais informações neste link. Até a próxima.
Backplane, switching bandwidth, forwarding rate: Qual a capacidade do switch?
Depois de muito tempo sem postar nada, vai aqui um post especial, escrito a quatro mãos com a ajuda do amigo também aqui do blog Leandro Oliveira. Quando olhamos a documentação de um switch, encontramos um série de números que mostram a capacidade de processamento/encaminhamento de pacotes do equipamento. O problema é que cada fabricante usa um termo diferente para a mesma coisa, e as vezes não fica claro o que é cada item. São Gbps pra um lado, Mpps pra outro… O que significam esses números? Quanto maior melhor? Vamos tentar esclarecer alguns pontos, primeiro temos o backplane, ou switch fabric, ou ainda switching bandwidth. Estes termos referem-se a “largura do barramento” do equipamento, onde estão ligadas as portas e, representando no desenho abaixo com a nomenclatura “Switching bus”. Quando o barramento (ou switching bus) tem largura igual ou maior do que a soma das portas do switches, dizemos que ele é “wire speed” ou “non-blocking”. Isso quer dizer que mesmo que todas as portas estivessem transmitindo ao mesmo tempo em sua velocidade máxima, ainda assim o backplane seria suficiente para dar vazão ao tráfego. Exemplo 2960X-48TD-L (equipamento non-blocking) Vamos pegar o Cisco 2960X, LAN Base, de 48 portas Gigabit + 2 TenGigabit. Ele tem 216 Gbps de switching bandwidth (ou backplane). Se multiplicarmos o número de portas (48) pela velocidade (1000) e por 2 (full duplex) teremos 96 Gbps. Somando as portas de uplink (2 portas * 10Gbps * 2) temos 136 Gbps. Mais a banda usada pelo módulo de empilhamento (80 Gbps) chegamos aos 216 Gbps. Observe que aumentar o switching bandwidth deste equipamento para 400 Gbps não traria nenhum benefício, umas vez que ele consegue encaminhar “apenas” 216 Gbps. É desejável que o equipamento tenha condição de enviar o tráfego total simultaneamente, mas equipar o switch com o “barramento” com banda maior do que a soma das portas não melhora em nada a performance do equipamento. Isso para switches não modulares!!! Em switches modulares até faz sentido termos um switching bandwidth maior, pois assim ele pode suportar módulos lançados posteriormente. Isso posto, sigamos. Outro número importante no dimensionamento do switch é o forwarding rate, ou a capacidade de encaminhamentos de pacotes, expresso em Mpps – Milhões de Pacotes Por Segundo, afinal a função do switch é encaminhar pacotes. O mesmo switch do exemplo acima pode encaminhar 130.9 Mpps. Considerando-se que tenhamos pacotes de 64 Bytes, ele tem throughput de 62.41 Gbps. Mpps para Gbps A conta é: capacidade de encaminhamento de pacotes vezes o tamanho do pacote e vezes 8 para termos o número em bits por segundo. Então convertemos para chegar a Gigabits por segundo. 130.900.000 * 64 * 8 = 67.020.800.000 bps 67.020.800.000 / 1000 = 67.020.800 Kbps 67.020.800 / 1000 = 67.020,8 Mbps 67.020,8 / 1000 = 67,02 Gbps Podemos notar que a capacidade deste equipamento é menor do que seu hardware permite, certo? Errado. Veja que neste cálculo usamos pacotes de 64 bytes, que é o menor permitido pelo padrão ethernet (qualquer coisa menor do que isso é descartado pelo switch), porém normalmente os pacotes são maiores do que isso (e podem chegar até 9216 bytes neste modelo de switch especificamente). Se repetirmos esta conta, e considerarmos pacotes de 500 bytes, este switch teria 487,64 Gbps de throughput! Teria, pois como já vimos que a soma das interfaces (e também o switching bandwidth) chega no máximo a 216 Gbps. OBS: Ai que entra outro componente muito importante nos switches: Buffers. Os switches de boa qualidade contam com buffers (memórias específicas) em cada interface, o que permite que os pacotes sejam armazenados temporariamente até que possam ser encaminhados. Sem buffer (ou com pouco buffer) os pacotes que excederem a capacidade de encaminhamento são descartados, e devem ser retransmitidos pelo host de origem. E como saber qual switch atende minhas necessidades? Bom… ai já é mais difícil. O ideal seria saber qual o tamanho médio dos pacotes na sua rede e quantos pacotes são enviados por segundos. Como as redes em geral são muito heterogêneas, com hosts diferentes, sistemas operacionais diferentes e aplicações diferentes, é praticamente impossível encontrar esses números. O que alivia essa questão é que os switches possuem hardwares cada vez mais potentes e acabam dando conta com sobras. Também é importante se atentar as questões colocadas acima quando comparamos equipamentos. Não adianta pagar mais porque o switch tem um backplane maior se ele não será usado. Também é preciso prestar atenção na conta do throughput. Um fabricante pode informar o número com base em pacotes de 64 bytes, enquanto outro usa pacotes de 1500 para mostrar um resultado “melhor”. E por fim a questão dos buffers, que acabam sendo mais importantes que outros componentes. Até a próxima.
Configurando Port Monitoring (SPAN) no Nexus 5000
Os switches Cisco Nexus utilizam o software NX-OS, e por vezes a configuração é diferente do IOS tradicional (utilizados por switches Catalyst). A configuração de SPAN – Switched Port Analyzer, que também é chamado de Port Monitoring ou Port Mirroring, é um caso destes. O conceito e utilização do Port Monitoring são os mesmos (já falamos do SPAN em switches Catalyst neste outro post), mudando apenas os comandos para a configuração. No Nexus, além de definir a origem e destino, também é preciso configurar a interface de destino como “monitor” e dar um “no shut” na sessão. Configurando SPAN no Nexus 5k BrainN5K# configure terminal BrainN5K(config)# interface ethernet 1/10 BrainN5K(config-if)# switchport monitor BrainN5K(config-if)# exit BrainN5K(config)# monitor session 1BrainN5K(config-monitor)# source interface ethernet 1/5BrainN5K(config-monitor)# destination interface ethernet 1/10BrainN5K(config-monitor)# no shutBrainN5K(config-monitor)# exitBrainN5K(config)# Se a porta de destino for uma interface fiber-channel a configuração da porta de destino é um pouco diferente. Precisamos configurar ela com o modo SD (SPAN Destination) e velocidade 1000, pois a auto negociação não é suportada neste caso. Configurando um interface fiber-channel como porta de destino BrainN5K# configure terminal BrainN5K(config)# interface fc 1/10 BrainN5K(config-if)# switchport mode SDBrainN5K(config-if)# switchport speed 1000BrainN5K(config-if)# exit Após configurado podemos verificar o funcionamento da sessão SPAN com o comando show monitor. Para terminar, seguem algumas informações sobre as portas de origem e destino. Porta de origem: Pode ser do tipo Ethernet, Fibre Channel, virtual Fibre Channel, port channel, SAN port channel, VLAN e VSAN. Não pode pertencer a múltiplas sessões SPAN. Não pode ser uma porta de destino. Cada porta de origem pode ser configurada com uma direção (ingress, egress ou both). Para VLAN, VSAN, port-channel, e SAN port-channel, a direção monitorada pode ser apenas ingress, e é aplicada para todas as portas no grupo. A opção rx/tx não está disponível para sessões VLAN ou VSAN. Podem estar na mesma VLANs/VSANs ou em em VLANs/VSANs diferentes. Para VLAN ou VSAN, todas as portas ativas na VLAN/VSAN são inclusas como portas de origem. O switch suporta no máximo duas portas egress. Porta de destino: Pode ser do tipo Ethernet, Ethernet (FCoE), ou Fibre-Channel. Porta Fibre Channel Virtual não pode ser uma porta de destino. Não pode ser uma porta de origem. Não pode ser um port-channel ou SAN port-channel group. Não participa do processo Spanning Tree enquanto a sessão SPAN está ativa. É excluída da lista de origem e não é monitorada se pertencer a uma VLAN ou VSAN que é origem. Recebe uma cópia do tráfego de todas as portas de origem. Se a porta de destino tiver velocidade do menor do que a soma de todas as portas de origem, ele pode ficar congestionada. E isto pode atrapalhar o encaminhamento de tráfego nas portas de origem. Mais informações sobre SPAN no NX-OS Software Configuration Guide. Até a próxima.
ICMPv6–Packet Too Big: Descoberta de MTU e fragmentação
A fragmentação dos pacotes em redes IPv6 é diferente do que ocorre em redes IPv4. Enquanto em redes v4 a fragmentação acontece de salto em salto, sendo cada elemento responsável por fragmentar os pacotes de acordo com o MTU configurado na interface de saída, em redes IPv6 a fragmentação acontece apenas no host de origem. E para isto, é utilizada a mensagem ICMPv6 Packet Too Big. Em redes IPv6, quando um host recebe um pacote maior do que o MTU configurado na interface de saída, este host descarta o pacote e então envia uma mensagem Packet Too Big para a origem, que recria o pacote com o tamanho correto. Este processo pode acontecer em todos os saltos até o destino final, e ao fim o pacote vai sair do host origem já com o tamanho mínimo para percorrer todo o trajeto até o destino. A saber: Segundo a RFC2460 – Internet Protocol, Version 6 (IPv6) Specification, o tamanho mínimo para MTU em redes IPv6 é de 1280 bytes. Podemos ver este comportamento com uma topologia simples, como na figura abaixo. Nos roteadores configuramos IPv6 nas interfaces e rotas, e na interface F0/1 do R2 mudamos o MTU para 1280. Configuração R1: ipv6 unicast-routing!interface FastEthernet0/0ipv6 address 2001:DB8:1::1/64!ipv6 route ::/0 2001:DB8:1::2 Configuração R2: ipv6 unicast-routing!interface FastEthernet0/0ipv6 address 2001:DB8:1::2/64!interface FastEthernet0/1ipv6 address 2001:DB8:2::1/64ipv6 mtu 1280 Configuração R3: ipv6 unicast-routing! interface FastEthernet0/1ipv6 address 2001:DB8:2::2/64!ipv6 route ::/0 2001:DB8:2::1 Após fazer esta configuração basta dar um ping de R1 para R3, com pacotes de 1500. No próprio roteador podemos ver que a primeira reposta do ping foi “B”, que significa que o pacote era maior do que suportado no caminho (pra ser sincero não encontrei nenhuma documentação confirmando isso, mas imagino que o B seja de Big). Mas para ficar mais claro podemos usar também o Wireshark. Bônus Track Encontrei em outro blog um experimento também interessante. Podemos criar uma access-list IPv6 bloqueando as mensagens do tipo ICMP Packet Too Big. E como é de se imaginar, neste caso o ping com pacotes maiores do que 1280 bytes (tamanho máximo neste nosso exemplo) não funciona, pois R1 não sabe que precisa fragmentar. Para este teste crie uma ACL e aplique na interface F0/0 do R1, no sentido in. Configuração R1: ipv6 access-list Block-PTBMdeny icmp any any packet-too-bigpermit icmp any any!interface FastEthernet0/0ipv6 traffic-filter Block-PTBM in Agora o teste. R1#ping 2001:DB8:2::2 size 1500 Type escape sequence to abort.Sending 5, 1500-byte ICMP Echos to 2001:DB8:2::2, timeout is 2 seconds:…..Success rate is 0 percent (0/5)R1# Já havia falado da importância do ICMPv6, e este exemplo mostra isso mais uma vez. Até a próxima.
Transferindo software para o switch via Xmodem
Ai depois de muitos anos precisei fazer um Xmodem… Ao menos rendeu um post rsrsrsrs. Eventualmente pode acontecer do switch não conseguir carregar o IOS (por estar corrompido, ou alguém ter apagado acidentalmente,…) e assim não conseguir iniciar normalmente. Sem o software o equipamento entra em modo “switch”, que é equivalente ao modo rommon dos roteadores, porém ainda mais limitado. O switch tenta iniciar, mas não encontra o software e entra em modo “switch” Error loading “flash:/c2960-lanbasek9-mz.150-2.SE6.bin” Interrupt within 5 seconds to abort boot process.Boot process failed… switch: Neste caso a única maneira de fazer o upload do IOS para o switch, e isso vale para os modelos 2940, 2950/2955, 2970, 3550, 3560, 3750, 3750 e suas variações, é através da porta console, via Xmodem. Recuperando um switch sem software 1) Tire o cabo de força, aperte o botão Mode, e então ligue o switch. Solte o botão Mode quando o LED indicador da porta 1 apagar (apesar da documentação da Cisco dizer isto, já fiz este procedimento remotamente, sem apertar o botão Mode, e funcionou, mas não sei se sempre funciona…). 2) O switch vai entrar em modo “switch”, onde temos o prompt switch:. Neste prompt digite flash_init e então load_helper. switch: flash_initInitializing Flash…flashfs[0]: 21 files, 2 directoriesflashfs[0]: 0 orphaned files, 0 orphaned directoriesflashfs[0]: Total bytes: 7741440flashfs[0]: Bytes used: 4499456flashfs[0]: Bytes available: 3241984flashfs[0]: flashfs fsck took 7 seconds.…done initializing flash.Boot Sector Filesystem (bs:) installed, fsid: 3Parameter Block Filesystem (pb:) installed, fsid: 4switch: load_helperswitch: Se a flash já estiver inicializada você vai receber uma mensagem do tipo “The flash is already initialized”. 3) Você pode confirmar que o software não está na flash, usando o comando dir flash:. switch: dir flash:Directory of flash:/2 -rwx 3823 <date> private-config.text3 -rwx 1064 <date> vlan.dat4 -rwx 105 <date> info5 -rwx 4120 <date> multiple-fs6 -rwx 10782 <date> config.text27972608 bytes available (25600 bytes used) Se o software estiver disponível e íntegro, basta usar o comando boot flash:NOME_DO_IOS.bin. Uma observação aqui: As vezes temos um diretório, e então precisamos indicar o caminho corretamente (boot flash:NOME_DO_DIRETORIO/NOME_DO_IOS.bin). 4) Se não há um software na flash, ou por qualquer motivo ele não inicia, temos que fazer o Xmodem. 4.1) Se há um software que não inicia, primeiro delete ele com o comando delete flash:NOME_DO_SOFTWARE.bin. 4.2) Agora o Xmodem. A) As portas console dos equipamentos Cisco trabalham em 9600 e como vamos transferir um arquivo por esta porta, o primeiro passo (opcional, mas recomendado) é aumentar a velocidade. Use o comando set BAUD 57600 no switch, e então mude a configuração do emulador de terminal (no caso do Tera Term Setup > Serial Port > Baud Rate: 57600). A saber: Um IOS de 11 MB é transferido em cerda de 1h30, usando esta configuração. B) Na console do equipamento digite switch: copy xmodem: flash:NOME_DO_SOFTWARE.bin. switch: copy xmodem: flash:c2960-lanbasek9-mz.150-2.SE6.binBegin the Xmodem or Xmodem-1K transfer now…CC B) Envie o arquivo pelo seu emulador de terminal (No caso do Tera Term File > Transfer > Xmodem > Send e escolha o IOS que vai enviar). Ao término do envio você verá a mensagem de sucesso. switch: copy xmodem: flash:c2960-lanbasek9-mz.150-2.SE6.binBegin the Xmodem or Xmodem-1K transfer now…C…………………………………………………………………………………………………………………………………………………………….………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………File “xmodem:” successfully copied to “flash:c2960-lanbasek9-mz.150-2.SE6.bin” 4.3) Para terminar, verifique que o IOS está na flash (dir flash:) e então boot o switch (boot flash:NOME_DO_IOS.bin). switch: dir flash:Directory of flash:/ 2 -rwx 3823 <date> private-config.text 7 -rwx 11792256 <date> c2960-lanbasek9-mz.150-2.SE6.bin 3 -rwx 1064 <date> vlan.dat 4 -rwx 105 <date> info 5 -rwx 4120 <date> multiple-fs 6 -rwx 10782 <date> config.text 16084992 bytes available (11913216 bytes used) switch: boot flash:c2960-lanbasek9-mz.150-2.SE6.binLoading “flash:c2960-lanbasek9-mz.150-2.SE6.bin”…@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ File “flash:c2960-lanbasek9-mz.150-2.SE6.bin” uncompressed and installed, entry point: 0x3000executing… Restricted Rights Legend Use, duplication, or disclosure by the Government issubject to restrictions as set forth in subparagraph(c) of the Commercial Computer Software – RestrictedRights clause at FAR sec. 52.227-19 and subparagraph(c) (1) (ii) of the Rights in Technical Data and ComputerSoftware clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE6, RELEASE SOFTWARE (fc2)Technical Support: http://www.cisco.com/techsupportCopyright (c) 1986-2014 by Cisco Systems, Inc.Compiled Wed 09-Apr-14 03:40 by prod_rel_teamInitializing flashfs…Using driver version 3 for media type 1mifs[4]: 0 files, 1 directoriesmifs[4]: Total bytes : 3870720 mifs[4]: Bytes used : 1024 mifs[4]: Bytes available : 3869696 mifs[4]: mifs fsck took 0 seconds.mifs[4]: Initialization complete. mifs[5]: 6 files, 1 directoriesmifs[5]: Total bytes : 27998208 mifs[5]: Bytes used : 11913216 mifs[5]: Bytes available : 16084992 mifs[5]: mifs fsck took 0 seconds.mifs[5]: Initialization complete. …done Initializing flashfs.Checking for Bootloader upgrade..Boot Loader upgrade not required (Stage 2) POST: CPU MIC register Tests : BeginPOST: CPU MIC register Tests : End, Status Passed POST: PortASIC Memory Tests : BeginPOST: PortASIC Memory Tests : End, Status Passed POST: CPU MIC interface Loopback Tests : BeginPOST: CPU MIC interface Loopback Tests : End, Status Passed POST: PortASIC RingLoopback Tests : BeginPOST: PortASIC RingLoopback Tests : End, Status Passed extracting front_end/front_end_ucode_info (129 bytes)POST: Inline Power Controller Tests : BeginPOST: Inline Power Controller Tests : End, Status Passed POST: PortASIC CAM Subsystem Tests : BeginPOST: PortASIC CAM Subsystem Tests : End, Status Passed POST: PortASIC Port Loopback Tests : BeginPOST: PortASIC Port Loopback Tests : End, Status Passed Waiting for Port download…Complete This product contains cryptographic features and is subject to UnitedStates and local country laws governing import, export, transfer anduse. Delivery of Cisco cryptographic products does not implythird-party authority to import, export, distribute or use encryption.Importers, exporters, distributors and users are responsible forcompliance with U.S. and local country laws. By using this product youagree to comply with applicable laws and regulations. If you are unableto comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at:http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email toexport@cisco.com. cisco WS-C2960-24PC-L (PowerPC405) processor (revision E0) with 65536K bytes of memory.Processor board ID FOC1442W3SKLast reset from power-on1 Virtual Ethernet interface24 FastEthernet interfaces2 Gigabit Ethernet interfacesThe password-recovery mechanism is enabled. 64K bytes of flash-simulated
