Nos access-points Cisco, das séries 1100 e 1200, quando ocorre uma falha no IOS (ou quando você deleta a imagem sem querer) podemos restaurar a imagem usando o botão MODE ou via linha de comando, através do “ap mode”. Na primeira opção, via botão MODE, podemos fazer o upload através da rede, sendo necessário apenas um servidor TFTP com o novo IOS e conexão de rede entre o PC e o AP. Recuperando o access-point através do botão MODE: Antes de continuar cuidado: Este procedimento fará todas as configurações voltarem aos padrões de fábrica, resetando inclusive chaves WEP/WPA, senhas e SSIDs. 1°) Configure um IP do range 10.0.0.2 a 10.0.0.30 no PC com o TFTP Server. 2°) Conecte o cabo de rede entre o PC e o AP. 3°) Desligue o access-point, segure a botão MODE e ligue o AP. Mantenha o botão MODE pressionado por cerca de 30 segundos, então solte-o. 4°) Espere o access-point bootar, observando os leds. Todos devem ficar verdes e em seguida o led status piscará verde. 5°) Pronto, você já pode acessar o access-point, via linha de comando ou Web-browser (usando o IP padrão de fabrica). Se este processo não funcionar, você pode tentar via “ap mode”. Este modo é representado pelo prompt ap:, e é semelhante ao “switch mode” (switch:). Recuperando o access-point através do AP MODE: 1°) Acesse a console do access-point, desligue e ligue o AP. Quando começar a descomprimir a imagem, pressione ESC. 2°) Você verá o prompt ap:, onde será possível configurar um IP, máscara e gateway no AP. ap: set IP_ADDR 192.168.0.5 ap: set NETMASK 255.255.255.0 ap: set DEFAULT_ROUTER 192.168.0.1 ÉOBRIGATÓRIO o uso de letras maiúsculas, como indicado acima. 3°) Prepare o access-point para usar o TFTP. ap: tftp_init 4°) Agora entre com o comando para fazer o download da imagem (.tar) do TFTP server e descompactá-la na flash. ap: tar -xtract tftp://192.168.0.1/c1240-rcvk9w8-tar.123-7.JX9.tar flash: 5°) Começará a ser exibida a descompactação dos arquivos. Quando o terminal ficar cheio e aparecer a mensage —More—, pressione a barra de espaço. Isto é muito importante, pois o processo para e aguarda você pressionar a barra de espaço para continuar. Se a barra de espaço não for pressionada pode dar timeout no processo. 6°) Indique o novo IOS para ser usado no boot. ap: set BOOT flash:/c1240-rcvk9w8-tar.123-7.JX9/c1240-rcvk9w8-tar.123-7.JX9 7°) Verifique as configurações de boot, com o comando set. ap: set BOOT=flash:/c1240-rcvk9w8-tar.123-7.JX9/c1240-rcvk9w8-tar.123-7.JX9 DEFAULT_ROUTER=192.168.133.1 IP_ADDR=192.168.133.160 NETMASK=255.255.255.0 8°) Se estiver tudo Ok basta dar o comando boot para o access-point inicializar com a nova imagem. ap: boot O documento original para este procedimento pode ser encontrado aqui. Até a próxima.
(ASA) Enviando syslog por email
Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail. Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS. Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado. Nível de severidade para mensagens syslog: 0 or emergencies—System is unusable 1 or alerts—Immediate action needed 2 or critical—Critical conditions 3 or errors—Error conditions 4 or warnings—Warning conditions 5 or notifications—Normal but significant conditions 6 or informational—Informational messages 7 or debugging—Debugging messages O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0. Exemplo: Configurando o ASA para enviar mensagens syslog por email. BrainFW01(config)# logging enable BrainFW01(config)# logging mail critical BrainFW01(config)# logging from-address brainfw01@brainwork.com.br BrainFW01(config)# logging recipient-address operador@brainwork.com.br BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51 Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51. Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados. BrainFW01(config)# logging list log-mail-list 100100-100110 BrainFW01(config)# logging list log-mail-list level critical BrainFW01(config)# logging mail log-mail-list Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address. BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2 BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0 Outras informações no Command Reference 8.2, do ASA.
Criando atalhos (alias) no Cisco IOS
Quem vive nas linhas de comandos do Cisco IOS pode agilizar o trabalho criando atalhos (alias) para os comandos mais utilizados. Já falei disso aqui no blog, mas não custa relembrar… Aliás, usamos alias sem perceber, pois o IOS já conta com atalhos padrões, como os abaixo: help: h logout: lo ping: p show: s undebug: u ou un where: w Um alias pode ser criado para qualquer comandos do IOS, não podendo apenas mudar de modo de configuração, ser configurado para usar senha e executar itens interativos. Para criar um atalho, entre no modo de configuração global e use a string alias. Especifique o modo onde o comando será executado, coloque o atalho e o comando original. Exemplo: Criando um atalho (shintb) para o comando Show Ip interface brief BrainRT01#conf t BrainRT01(config)#alias exec shintb Show Ip interface brief BrainRT01(config)#end BrainRT01#shintb Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 unassigned YES NVRAM up up GigabitEthernet0/0.20 10.10.20.1 YES NVRAM up up Service-Engine0/1 10.10.20.1 YES TFTP up up GigabitEthernet0/1 unassigned YES NVRAM administratively down down Serial0/1/0 189.156.31.30 YES NVRAM up up Dialer0 unassigned YES NVRAM up up Loopback0 10.10.11.1 YES NVRAM up up Loopback1 10.10.16.1 YES NVRAM up up Loopback100 200.205.150.20 YES NVRAM up up BrainRT01# Com a criação do alias o “comando” shintb pode ser utilizado, sem impedir que o comando na forma convencional seja executado. Outros exemplos de aliases: son : Show ip ospf neighbor BraintRT01(config)#alias exec son show ip ospf neigh c : Config Terminal BraintRT01(config)#alias exec c config terminal w : Write mem BraintRT01(config)#alias exec w write mem sri : Show Running-Config | Include BraintRT01(config)# alias exec sri show running-config | include srint : Show Running-Config Interface BraintRT01(config)# alias exec srint show running-config interface Para ver os aliases já criados no equipamento utilize o comando show aliases. Mais informações no site da Cisco. Até a próxima.
Filtrando comandos show no IOS
O Cisco IOS permite exibir todas as configurações através dos comandos shows, o que é uma bênção. Mas encontrar a parte que você precisa, quando a configuração é extensa, pode ser trabalhoso. Para facilitar o processo, e encontrar a informação desejada rapidamente, é possível realizar filtros/modificadores, onde manipulamos como será exibido o resultado do comando show. As opções de modificadores são exibidas após inserirmos o pipe “|”. Append: Com o Append podemos criar um arquivo com o resultado do comando show executado, e salvar o resultado de vários “shows” em um arquivo na flash, por exemplo. BrainRT01#show ver | append flash:teste.txt BrainRT01#dir Directory of flash:/ 1 -rw- 12262 May 12 2010 16:03:52 -03:00 app_faxmail_onramp.2.0.1.3.tcl 2 -rw- 59478200 Jun 8 2010 12:04:40 -03:00 c2800nm-adventerprisek9-mz.124-24.T3.bin 3 1788 Sep 01 2010 18:44:02 teste.txt 63995904 bytes total (1929216 bytes free) BrainRT01# Begin: Permite que seja exibida a configuração a partir da primeira linha onde está uma determinada palavra. Podemos fazer com que seja exibida a configuração a partir da line con0, por exemplo, que está no final da configuração. BrainRT01#show run | begin line con 0 line con 0 escape-character BREAK line aux 0 line vty 0 4 access-class brainTelnet in exec-timeout 5 0 password 7 09184A0D4A011443180F54 escape-character BREAK ! end BrainRT01# Include: Com este filtro apenas as linhas da configuração que contenham a palavra especificada serão exibidas. Ao invés de olhar todo o show run para ver as rotas configuradas, podemos fazer um filtro, pedindo para mostrar apenas as rotas IPs. BrainRT01#show run | include ip route ip route 0.0.0.0 0.0.0.0 189.56.33.25 ip route 10.10.8.0 255.255.252.0 10.10.20.2 ip route 10.10.11.32 255.255.255.224 172.16.1.129 ip route 10.10.16.32 255.255.255.224 10.10.20.2 ip route 192.168.10.0 255.255.255.0 10.10.20.22 BrainRT01# Exclude: Como vocês já devem ter deduzido, funciona de forma contrária ao Include. Este filtro permite visualizar toda a configuração, exceto as linhas que contenham a palavra escolhida. Podemos usá-lo para identificar as interfaces que estão down, por exemplo. BrainRT01#show ip int bri | exclude up Interface IP-Address OK? Method Status Protocol Vlan1 unassigned YES NVRAM administratively down down GigabitEthernet0/1 unassigned YES unset down down GigabitEthernet0/2 unassigned YES unset down down BrainRT01# Redirect: Com este filtro podemos direcionar a saída de um comando para um TFTP, FTP, SCP e até para o USB, caso o equipamento tenha esta opção. BrainRT01#show tech | redirect tftp://10.10.10.5/shTech.txt ! BrainRT01# Section: Este filtro é usado em conjunto com os filtros Include e Exclude. Com ele uma seção é exibida ou excluída, e não apenas a linha que contém a palavra. Para ver a configuração das interfaces podemos usar este filtro. BrainRT01#show run | section include interface interface Loopback0 ip address 10.10.10.10 255.255.255.255 ip flow ingress h323-gateway voip interface h323-gateway voip bind srcaddr 10.10.10.11 interface Loopback1 ip address 10.10.16.1 255.255.255.255 interface GigabitEthernet0/0 no ip address duplex auto speed auto interface GigabitEthernet0/0.20 description Interface Inside encapsulation dot1Q 20 ip address 10.10.20.20 255.255.255.0 BrainRT01# Linenum: Não é exatamente um filtro, mas ajuda. Este comando fará com que as linhas da configuração sejam numeradas. Também pode ser usado em conjunto com outros filtros. BrainRT01#show run linenum Building configuration… Current configuration : 19950 bytes 1 : ! 2 : ! Last configuration change at 16:54:56 GMT Tue Aug 31 2010 by danielf 3 : ! NVRAM config last updated at 16:09:41 GMT Mon Aug 30 2010 by danielf 4 : ! 5 : version 12.4 6 : service timestamps debug datetime msec 7 : service timestamps log datetime msec localtime 8 : no service password-encryption 9 : ! 10 : hostname BrainRT01 11 : ! 12 : boot-start-marker 13 : boot system flash c2800nm-adventerprisek9-mz.124-24.T3.bin 14 : boot-end-marker 15 : ! 16 : logging message-counter syslog 17 : enable secret 5 $1$wzP5$Ebl.gYkGDdSPAI7E3IKMG0 18 : ! 19 : aaa new-model 20 : ! 21 : ! 22 : aaa authentication attempts login 2 –More– Mais informação neste link. Até a próxima.
Hub x Switch: Como funcionam
Fisicamente, hubs e switches são parecidos, mas eles funcionam de forma bem diferente. De um lado temos os hubs, equipamentos simples, com baixo desempenho e segurança. Do outro os switches, com toda a inteligência embutida. Hub Hubs são dispositivos de camada 1 (física) no modelo OSI, e funcionam como repetidores de sinal elétrico. Quando um pulso chega em uma das portas do hub, ele retransmite este pulso para todas as outras portas, criando um único domínio de colisão. Desta forma, quando uma estação transmite, todas as outras recebem o dado transmitido. Como toda banda é ocupada quando um host transmite, apenas um host pode transmitir por vez Por funcionar desta forma os hubs tornam a rede lenta e insegura. Switch Os switches trabalham na camada 2 (enlace) no modelo OSI, com capacidade de identificar a origem e destino do frame (MAC Address). Cada porta do switch é considerada um domínio de colisão. Quando um host transmite, apenas o host destino recebe o frame. Esta característica dos switches permite que vários hosts transmitam simultaneamente, aproveitando melhor a banda da rede. Para ser capaz de identificar o destino do frame, o switch realiza um processo de aprendizagem, constituído por: Learning, Flooding, Filtering, Forwarding e Aging. Learning Learning é o processo pelo qual o switch aprende o MAC Address dos dispositivos. Quando um switch é ligado sua tabela MAC (ou CAM table) está vazia. Cada frame que chega até o switch contém o MAC Address do host que originou o frame. Então o switch armazena este MAC na tabela CAM (Content Addressable Table) e associa a porta pela qual o frame chegou. Flooding Quando o switch não tem uma entrada na CAM table para um endereço (MAC address) específico, ele então encaminha o frame para todas as portas, menos para porta que recebeu o frame. Este procedimento é conhecido com flooding. Filtering Após o switch aprender os MAC address e associá-los as respectivas portas, os benefícios do switch podem ser verificados através do Filtering (Filtro). Quando dois dispositivos conhecidos tentam se comunicar através do switch, o frame do host de origem é encaminhado direta e unicamente para porta do host de destino. Forwarding Forwarding é o encaminhamento de um frame de um host conhecido (que está na CAM table) associado a uma porta para outro host conhecido localizado em uma porta do switch. Aging Além do MAC address e da porta associada a este MAC, o switch também armazena o tempo que determinado MAC foi aprendido (Learning). O Aging do aprendizado permite que o switch se adapte as mudanças de dispositivos (um host pode trocar de porta, ser removido ou ainda um novo equipamento pode ser adicionado na rede). Assim que um MAC é armazenado o switch inicia o aging timer, e cada vez que o switch encaminha ou filtra um frame de determinado dispositivo, o aging timer é reiniciado. Se em período de tempo o switch não verificar o envio de nenhum frame do dispositivo, o MAC é removido da CAM table. O Aging garante que apenas dispositivos ativos permaneçam na CAM table. Apesar disso, ainda hoje, é grande o número de redes que utilizam hubs… Até a próxima.
VLANs através do roteador (bridging)
O roteador é um dispositivo layer 3, e obviamente, usado para rotear. Mas em algumas situações é necessário que ele trabalhe como layer 2. Sim isso é possível. Nos roteadores Cisco, a partir do IOS 11.2, temos uma funcionalidade chamada IRB – Integrated Routing and Bridge, que permite fazer uma bridge entre interfaces, mantendo as informações sobre VLANs, e ainda rotear entre estas interfaces e as demais. Durante o funcionamento normal de um roteador, quando um pacote chega a interface “A” o cabeçalho layer 2 (com informações da VLAN e MAC) é removido, e quando sai, pela interface “B”, um novo cabeçalho é inserido. Quando o IRB é configurado o roteador passa a manter o cabeçalho com informações da VLAN, quando o tráfego é entre interfaces que pertencem ao mesmo grupo. No exemplo abaixo, apesar do PC1 estar em uma interface diferente do PC2, eles estão na mesma rede. Este tipo de configuração permite aumentar a disponibilidade, já que que o roteador poderá ter duas interfaces na mesma rede. Exemplo: Criando uma bridge entre duas interfaces no roteador. BrainRT01#conf t ! Habilite o IRB BrainRT01(config)#bridge irb ! Habilite a bridge BrainRT01(config)#bridge 1 protocol ieee ! Habilite o roteamento para o protocolo IP BrainRT01(config)#bridge 1 route ip ! Associe as interfaces desejadas a um grupo BrainRT01(config)#int f0/0 BrainRT01(config-if)#bridge-group 1 BrainRT01(config)#int f0/1 BrainRT01(config-if)#bridge-group 1 ! Crie uma interface lógica, com o mesmo número do grupo, e defina seu IP BrainRT01(config)#int bvi 1 BrainRT01(config-if)#ip add 192.168.1.1 255.255.255.0 BrainRT01(config-if)#end BrainRT01# Bom notar que o roteamento continua habilitado, e quando o destino é uma interface diferente das que estão na bridge, o pacote é roteador normalmente, utilizando a interface BVI. Mais informações: Understanding and Configuring VLAN Routing and Bridging How to configure IRB Até a próxima. (pois é… switches que fazem roteamento, roteadores que fazem bridge…)
