O VTP – VLAN Trunk Protocol, é um protocolo de camada 2, criado pela Cisco, utilizado para manter a consistência na configuração de VLANs e facilitar a administração das mesmas. Com o VTP criamos uma estrutura Client-Server, onde todas as alterações devem ser realizadas no Server, e automaticamente são replicadas para os dispositivos Clients. Sem o VTP, quando vamos criar uma VLAN, temos que entrar em todos os switches da rede e adicioná-la. Da mesma forma, para remover ou editar uma VLAN temos que entrar em cada switch, e efetuar a operação manualmente. Com o VTP este processo é automatizado. Após criar/deletar/editar a VLAN no VTP Server, a informação é replicada para os VTP Clients. Além de agilizar o trabalho do administrador, o VTP também garante a consistência na configuração (as mesmas VLANs existirão em todos os switches) e minimiza as chances de erro. As mensagens enviadas pelo VTP Server possuem um número de revisão, assim, quando o switch Client recebe o anúncio VTP, ele compara com a revisão que ele já possui. Se o número da revisão for maior ele utiliza o anúncio e consolida as alterações. Se o número da revisão for menor, o anúncio é apenas retransmitido. Para o VTP funcionar precisamos criar um domínio, definir o VTP Server e os Clients, bem como configurar a versão do VTP (1, 2 ou 3). Opcionalmente também podemos configurar uma senha para o domínio. Importante: Os anúncios VTP são transmitidos apenas por links Trunks. VTP Modes VTP Server: Em um switch no modo VTP Server podemos criar, editar e deletar VLANs, e definir outros parâmetros, como número da revisão e o Pruning. As opções configuradas no VTP Server são replicadas para todos os switches no domínio VTP. Neste modo o switch recebe e transmite os anúncios VTPs e guarda as informações das VLANs na NVRAM. VTP Client: Possuem as mesmas configurações realizadas no VTP Server, mas nestes equipamentos não podemos criar, editar e deletar as VLANs. Recebe e transmite os anúncios VTPs, e não salva as informações de VLANs na NVRAM. VTP Transparent: Neste modo o switch não participa do VTP. Podemos criar, editar e deletar VLANs, mas estas alterações são válidas apenas para o próprio equipamento (as configurações não são divulgadas para o domínio VTP). Quando um switch está no modo VTP Transparent ele apenas transmite os anúncios recebidos, sem utilizá-los. Salva as configurações de VLAN na NVRAM. Off: Este modo existe apenas no CatOS, e o funcionamento é igual ao modo Transparent, porém os anúncios não são retransmitidos. VTP Pruning O Pruning é uma funcionalidade do VTP, que permite evitar o tráfego desnecessário na rede. Se todos os switches possuem todas as VLANs, sempre que um broadcast for enviado ele será transmitido por toda a rede. No entanto, podemos ter switches que não tem nenhuma porta em uma determinada VLAN, e assim esse broadcast seria desnecessário. Na figura abaixo, apenas os switches A e D possuem portas na VLAN Red, mas o tráfego broadcast é enviado para dos os switches da rede pois o VTP Pruning não está habilitado. Já neste outro cenário, com o VTP Pruning, o tráfego destinado a VLAN Red fica restrito. O VTP Pruning é habilitado no VTP Server e então todo o domínio VTP passa a contar com o Pruning. Observe no entanto que o tráfego das VLANs 1 e acima de 1002 nunca são “pruned” (Pruning-ineligible). Cuidado com o VTP! Quando utilizamos VTP temos que ter cuidado ao adicionar novos equipamentos a rede. Como dito acima, o VTP trabalha com número de revisão, assim, se um novo switch (com o mesmo domínio configurado) entrar na rede com o número de revisão maior do que o número utilizado na rede, os switch irão aprender as informações deste novo equipamento, que sobrescreverão as informações corretas (caso não esteja configurada senha no VTP domain). Antes de adicionar um switch na rede, devemos configurar o VTP mode como Transparent, e depois voltar para Client (ao configurar o modo Transparent o número da revisão vai para 0). No site da Cisco tem uma animação em flash sobre o VTP, e outras informações também podem ser encontradas aqui. Até a próxima.
Instale o Chrome OS
Após a Microsoft lançar seu novo sistema operacional (Windows 7), o Google deve adiantar o lançamento do Chrome OS, seu sistema operacional, que estava previsto, inicialmente, para o segundo semestre de 2010. O código do Chrome OS já está disponível para a colaboração de desenvolvedores do projeto Open Source, e pode ser encontrado na Internet. Este SO, que esta sendo desenvolvido como uma extensão do browser Chrome, deverá ser utilizado principalmente em netbooks e trará serviços baseados na nuvem. Mas se você está ansioso para este novo lançamento da Google, e não quer esperar o lançamento da versão final, já é possível experimentá-lo. Veja abaixo. Instalando o Chrome OS em uma VM Para instalar o Chrome você vai precisar do VirtualBox, para criar uma máquina virtual onde o Chrome será instalado. O Virutal Box é gratuito e pode ser baixado aqui. Após o download do VirtualBox, faça o download do Chrome (compilação que vai rodar no VirtualBox em Windows) aqui. Descompacte o arquivo (chrome-os-0.4.22.8-gdgt.vmdk). Agora que temos os arquivos necessários, instale o VirtualBox (Next > Next > Finish). Ele vai perguntar se você quer se registrar, mas não é obrigatório. Processo de instalação 1°) No VirtualBox clique em Novo e em seguida em Próximo; 2°) Digite um nome para a Máquina Virtual que será criada, por exemplo Chrome OS; 3°) Em Tipo de Sistema coloque Other em Sistema Operacional e Other/Unknown em Versão; 4°) Agora selecione a quantidade de memória para a VM. Utilize 64 MB ou acima; 5°) No tela Disco Rígido Virtual selecione Utilizar disco rígido existente e selecione o arquivo chrome-os-0.4.22.8-gdgt.vmdk, que foi baixado e descompactado anteriormente; 6°) Clique em Finalizar. Basta clicar em Iniciar, no VirtualBox para a VM com o Chrome iniciar. Na tela inicial informe seu e-mail do Gmail e senha. Ainda tem poucos aplicativos, como podemos ver, mas com o tempo outros utilitários devem ser incorporados, principalmente se considerarmos que é um projeto open source. E ainda tem gente que não acredita que o Google vai dominar o mundo…rsrsrsr Até a próxima.
O que é ICMP Redirects?
O ICMP – Internet Control Message Protocol, é um protocolo para o controle do tráfego, como o nome sugere. Ele é utilizado para verificar o caminho e possíveis problemas no roteamento, por exemplo. O ICMP Redirects é um tipo de mensagem utilizada pelos roteadores para informar ao host, no mesmo segmento, que existe um caminho melhor para dado destino. Na topologia abaixo, o gateway da rede é o roteador R1, que está configurado com o IP 192.168.1.35. Este equipamento tem uma rota default para a Internet e uma rota para a rede 10.10.10.0/24, onde está o host H2. Esta rota aponta para o roteador R2 (IP 192.168.1.254), no mesmo segmento de R1 e H1. Todo tráfego do host H1 enviado para outras redes é destinado ao R1. Mesmo quando H1 tenta se comunicar com H2 o tráfego é enviado para R1, mas neste caso R1 verifica (pela tabela de roteamento) que a rota para a rede 10.10.10.0/24 é através de 192.168.1.254. Então R1 envia o tráfego para R2 e envia para H1 uma mensagem ICMP Redirects. Na mensagem R1 informa H1 que o melhor caminho para a rede 10.10.10.0 é através de 192.168.1.254 (R2). Com esta informação H1 passa enviar o tráfego para H2 direto pelo R2. Verificando o redirect: Habilite o debug ip icmp em R1, para ver os logs do redirect BrainRT01#debug ip icmp *Nov 13 17:03:49.691: ICMP: redirect sent to 192.168.1.45 for dest 10.10.10.1, use gw 192.168.1.254 BrainRT01# O ICMP Redirects é habilitado por padrão nos roteadores Cisco (menos nas interfaces configuradas com com HSRP). Para desabilitá-lo, entre na interface desejada e digite no ip redirects. Informações adicionais no site da Cisco. Até a próxima.
HP compra 3Com
Foi anunciado hoje, 11/11/09, que HP e 3Com entraram em acordo para que a HP adquira a fabricante de equipamentos de redes, por 2,7 bilhões de dólares. Com a aquisição a HP espera acelerar a estratégia de criar sua linha infra estrutura convergente. Confirmando-se a compra, a HP estenderá consideravelmente sua linha de produtos de redes, que hoje já conta com a família de switches ProCurve e passará a encarar a Cisco de frente, em um segmento dominando pela empresa de São Francisco. A HP deve aproveitar sua grande rede de distribuidores e revendas para aumentar as vendas dos produtos 3Com, e aumentar sua participação no mercado chinês. Aliás, esse vai ser o verdadeiro negócio da China. A Cisco pagou 2,9 bilhões de dólares na Starent (fabricante de equipamentos wireless), e ofereceu 3 bilhões para a Tandberg, que ainda está “pensando” se vai aceitar. O anúncio oficial pode ser visto no site da HP, clicando aqui.
Validando um arquivo com o MD5
O MD5 – Message-Digest 5, é um algoritmo desenvolvido pela RSA que calcula o hash para a verificação da integridade de arquivos e mensagens. Com ele podemos gerar o hash de um arquivo em dois momentos e compará-los, verificando assim se ocorreu alguma mudança. Os equipamentos Cisco (roteadores, switches e access-points pelo menos) tem suporte a funcionalidade MD5 File Validation, que permite gerar o hash MD5 para um arquivo armazenado no equipamento. Quando fazemos o download de um IOS no site da Cisco o MD5 é informado. Após colocar o arquivo no equipamento, podemos gerar o hash novamente e comparar. Com isso garantimos que o arquivo não foi alterado/corrompido. Para gerar o MD5 para um arquivo no roteador basta utilizar o comando verify /md5 e informar o local e o nome do arquivo. Exemplo: Gerando hash MD5 no roteador BrainRT01#verify /md5 flash:c1700-advsecurityk9-mz.123-26.bin …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………….. verify /md5 (flash:c1700-advsecurityk9-mz.123-26.bin) = 17d562ad2c7117e6e805f744896251dc BrainRT01# Se compararmos o hash gerado no roteador do exemplo com o hash da imagem acima, veremos que a string é igual, o que garante que o arquivo não foi alterado/corrompido. Esta função é utilizada principalmente durante a atualização do IOS. Depois de fazer o upload do IOS para o roteador, antes de dar o boot, devemos conferir o MD5. Até a próxima.
Autenticação para o RIP
Para usar autenticação no RIP, é necessário trabalhar com a versão 2, já que o RIPv1 não tem suporte a esta funcionalidade. Após habilitar o RIPv2, devemos criar uma key-chain, onde cadastraremos as chaves que serão utilizadas para autenticação, e em seguida, em cada interface que faz parte do processo de roteamento indicaremos qual key-chain utilizar e se a autenticação será em “clear text” ou em “md5”. Configuração 2801: ! key chain RIP_CHAIN_NAME key 1 key-string cisco123 ! interface FastEthernet0/0 ip address 192.168.20.2 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_CHAIN_NAME ! router rip version 2 network 1.0.0.0 network 192.168.20.0 ! Configuiração 3750: ! key chain RIP_CHAIN_NAME key 1 key-string cisco123 ! interface FastEthernet1/0/1 ip address 172.16.1.6 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_CHAIN_NAME ! interface FastEthernet1/0/2 ip address 192.168.20.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_CHAIN_NAME ! router rip version 2 network 172.16.0.0 network 192.168.20.0 ! Configuração 3550: ! key chain RIP_CHAIN_NAME key 1 key-string cisco123 ! interface FastEthernet0/1 ip address 172.16.1.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_CHAIN_NAME ! interface FastEthernet0/2 ip address 172.16.1.5 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_CHAIN_NAME ! router rip version 2 network 172.16.0.0 network 192.168.1.0 ! As chaves devem ser utilizadas em pares, ou seja, a interface do 2801 e do 3750, por onde se comunicam, devem utilizar a mesma chave. Já as interface do 3750 e do 3550 poderiam ser configuradas com outro key chain. Outras opções de configuração para o RIP aqui. Até a próxima.
