O Cisco Discovery Protocol (CDP) é um protocolo layer 2 que funciona independente do meio físico (Ethernet, Frame Relay, …) e do protocolo. Ele é usado para descobrir informações sobre equipamentos Cisco diretamente conectados e está presente em roteadores, switches, APs, firewalls e até em telefones. Um equipamento com CDP ativado passará a enviar mensagens periódicas via multicast, e também receber os anúncios dos outros equipamentos. Desta forma é possível descobrir o nome, IP, modelo e a versão do software de um equipamento vizinho. Podemos habilitar o CDP globalmente, e assim os anúncios passarão a ser enviados por todas as interfaces suportadas, ou podemos configurar apenas nas interfaces desejadas. Por padrão o CDP vem habilitado (globalmente), e já faz os anúncios na versão 2. A versão 2 do CDP traz algumas melhorias e com ela podemos verificar a VLAN nativa, domínio VTP e o modo da porta (duplex/speed) do equipamento diretamente conectado. Habilitando o CDP globalmente BrainGW01#conf t BrainGW01(config)#cdp run BrainGW01(config)# Desabilitando o CDP globalmente BrainGW01#conf t BrainGW01(config)#no cdp run BrainGW01(config)# Habilitando anúncios versão 2 BrainGW01(config)#cdp advertise-v2 Desabilitando anúncios versão 2 BrainGW01(config)#no cdp advertise-v2 Habilitando o CDP em uma interface específica BrainGW01(config)#interface f0/1 BrainGW01(config-if)#cdp enable Desabilitando o CDP em uma interface específica BrainGW01(config)#interface f0/1 BrainGW01(config-if)#no cdp enable Os comandos “shows” são os mais importantes/utilizados do CDP, já que a configuração normalmente não sofre alteração. Verificando o CDP (status padrão) BrainGW01#show cdp Global CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Sending CDPv2 advertisements is enabled BrainGW01# Verificando o CDP em uma interface específica ( timers padrão) BrainGW01#show cdp interface gigabitEthernet 1/0/1 GigabitEthernet1/0/1 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds BrainRT01# Verificando os equipamentos diretamente conectados (sumario) BrainGW01#show cdp neighbors Capability Codes: R – Router, T – Trans Bridge, B – Source Route Bridge S – Switch, H – Host, I – IGMP, r – Repeater, P – Phone, D – Remote, C – CVTA, M – Two-port Mac Relay Device ID Local Intrfce Holdtme Capability Platform Port ID BrainSW1 Gig 1/0/48 152 S I WS-C2960- Gig 0/2 BrainSW8 Gig 1/0/45 121 S I WS-C2960- Gig 0/1 BrainGW02 Gig 1/0/26 179 R S I 2821 Gig 0/1 BrainGW01# Verificando os equipamentos vizinhos (detalhado) BrainGW01#show cdp neighbors detail ————————- Device ID: BrainSW1 Entry address(es): IP address: 10.10.10.59 Platform: cisco WS-C2960-24PC-L, Capabilities: Switch IGMP Interface: GigabitEthernet1/0/48, Port ID (outgoing port): GigabitEthernet0/2 Holdtime : 158 sec Version : Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(50)SE4, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Fri 26-Mar-10 09:14 by prod_rel_team advertisement version: 2 Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27, value=00000000FFFFFFFF01022501000000000000ECC88212D480FF0000 VTP Management Domain: ‘brainwork’ Native VLAN: 1 Duplex: full Management address(es): IP address: 10.10.10.59 Também é possível configurar os timers do CDP, e se necessário acompanhar a troca de pacotes através do comando debug cdp ip e debug cdp packets. Mais informações sobre o CDP aqui e também neste link. Até a próxima. Atualização: O CDP também é muito útil quando temos telefones IPs Cisco e switches também Cisco. Neste cenário o CDP permite que o telefone seja associado a um VLAN de voz automaticamente (e normalmente nesta VLAN temos configurações específicas, como QoS). E como bem lembrou o Fábio, no comentário abaixo, em alguns casos é recomendado que o CDP seja desabilitado, evitando que informações dos seus equipamentos sejam divulgadas e que a banda seja utilizada desnecessariamente.
PuTTY: Mudando as configurações e fazendo backup
O PuTTY é um ótimo emulador de terminal, com cliente SSH/Telnet e também console. Ele é pequeno, leve, tem o código fonte aberto e é gratuito. Também conta com versões para Windows e Windows Mobile, Mac OS, Symbian e Android. Além de permitir acesso aos equipamentos, podemos deixar salvo no PuTTY os hosts que acessamos (IP, tipo de acesso e nome). Porém, talvez, as configurações padrões não sejam as ideais para você (pra mim não é!). Por padrão ele está configurado para mostrar 24 linhas no terminal, e armazenar apenas 200 linhas na memória (scrollback), o que impede te voltar e ver as linhas anteriores. Mudando a configuração padrão Abra o PuTTY e no menu do lado esquerdo selecione Window. Depois mude o campo Row para 40 e o scrollback para 20000. Depois clique em Session (primeira opção no menu do lado esquerdo), selecione Default Settings e então Save. Desta forma sempre que o PuTTy for iniciado ele carregará estas opções como padrão (a configuração alterada não será aplicada as sessões que já estavam salvas). Outras alterações também podem ser feitas, de acordo com suas necessidades. Fazendo backup do PuTTY Com o tempo vamos cadastrando equipamentos no PuTTY, o que agiliza o acesso aos equipamentos, mas em dado momento você formata o computador. E ai? Para não perder as sessões que usamos com frequência, é possível fazer o backup do PuTTY. No Windows, clique em botão Iniciar, e na caixa de pesquisa (ou executar, dependendo da versão do seu Windows) digite “regedit /e c:\PuTTY.reg HKEY_CURRENT_USER\Software\SimonTatham”. Este comando irá criar um arquivo do tipo .reg, chamado PuTTY, no C:. Guarde este arquivo e quando precisar basta dar dois clique para que as configurações do PuTTY sejam restauradas, incluindo as sessões salvas. Até a próxima.
Workshop CCNA Security
Quem está se preparando para tirar o CCNA Security tem uma boa oportunidade com o workshop que será realizado dias 7 e 8 de abril, em São Paulo. O treinamento será realizado pelo instrutor Adilson Florentino, que mantem o blog Netfinders Brasil. O workshop cobrirá os temas exigidos na certificação e terá duração de 16 horas, com o custo de R$ 600,00. Neste valor já está incluso também o ingresso para o Web Security Forum, que acontecerá nos dias 9 e 10 de abril e está sendo organizado pelo Gustavo Lima, do blog Coruja de TI. Veja mais detalhes no post do Netfinders. Livro Cisco Firewalls A Cisco Press acabou de fazer o pré lançamento do livro Cisco Firewalls. A obra tem 800 páginas (em inglês) e aborda os firewalls statefull da Cisco, de rede e aplicação, e mostra como cada um pode agregar segurança ao seu ambiente. Mas o destaque é que este livro foi escrito pelo brasileiro Alexandre M. S. P. Moraes, que é triplo CCIE (R&S, Service Provider e Security), e trabalha na Cisco Brasil. Esta é a primeira publicação de um brasileiro pela editora oficial da Cisco. Quem se interessou pode fazer a reserva na Amazon. (Fonte: Netfinders Brasil) Até a próxima.
Cisco Security Report 2010
A Cisco disponibilizou o Relatório de Segurança 2010 (Cisco 2010 Annual Security Report), com dados dos problemas enfrentados no último ano e as tendências para os próximos meses. O relatório fala da exploração da confiança, através de engenharia social (com ajuda das redes sociais) e do worm Stuxnet, que visa atingir sistemas de controle industrial. Tem uma matéria sobre as “money mule”, que são as pessoas usadas para pegar o dinheiro roubado via Internet (pois é, o cybercriminoso tem acesso a uma conta bancária ou cartão de crédito no mundo virtual, mas ele precisa de alguém para sacar o dinheiro real). O relatório também mostra que os dispositivos móveis tem se tornado alvo dos ataques, graças ao grande número de vulnerabilidades disponíveis. Uma boa notícia é queda no volume total de spam, que ocorre pela primeira vez na história, apesar de alguns países europeus ainda apresentarem crescimento. Apesar da redução de mais de 40%, o Brasil ainda continua como terceiro maior produtor de spam do mundo. Para ver o relatório completo basta acessar aqui. Até a próxima.
IOS para estudo
No ano passado o Ethereal Mind lançou uma petição online para angariar assinaturas pedindo a Cisco que liberasse uma versão free do IOS, para estudo (Cisco IOS free para estudo?). Mas eles tiveram um problema e perderam as “assinaturas”. Veja a mensagem que o Greg Ferro, do Ethermind deixou aqui no brainwork: Hi I lost the original petition and have restarted it. Please come along and sign up again. Now, more than ever, we have chance to make Cisco respond. Please tweet and blog as well, more people is just better. http://etherealmind.com/cisco-ios-petition-reloaded/ Assim, quem tinha participado deve se cadastrar novamente. E quem não tinha, tem a chance de participar agora. Até a próxima.
Verificando erros nas interfaces
Encontrei essa boa dica no tekcert.com. Para verificar a quantidade de erros nas interfaces de um switch Cisco utilize o comando show interfaces | include FastEthernet|error. Com este comando temos um resumo, com todas as interfaces, quantidade e tipo de erro. Exemplo: Usando o comando show interfaces | include FastEthernet|error BrainSW01#show interfaces | include FastEthernet|error 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 3 interface resets 0 input errors, 0 CRC, 0 frame, 0 overrun, 144 ignored 0 output errors, 2 interface resets FastEthernet0/1 is up, line protocol is up (connected) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/2 is down, line protocol is down (notconnect) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/3 is down, line protocol is down (notconnect) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/4 is down, line protocol is down (notconnect) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/5 is up, line protocol is up (connected) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/6 is down, line protocol is down (notconnect) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/7 is down, line protocol is down (notconnect) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/8 is up, line protocol is up (connected) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/9 is up, line protocol is up (connected) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 output errors, 0 collisions, 2 interface resets FastEthernet0/10 is down, line protocol is down (notconnect) 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored –More– Além de trazer exclusivamente as informações buscadas, fica fácil fazer um comparativo entre as interfaces e identificar se alguma está fugindo do padrão. Até a próxima.
