A cerca de três anos atrás a Cisco lançou os switches 2960 com software Lan Lite, que é a versão enxugada do IOS Lan Base. Com menos funções os switches com o software Lan Lite são também mais baratos. Mas quais são as diferenças das duas versões de efetivamente? Quanto a hardware as diferenças são poucas: Os equipamentos que possuem software Lan Lite não têm suporte a fonte externa (RPS), têm menos opções de SFPs e o modelo 2960-24-S não possui nenhuma porta de uplink (Gigabit). Quanto ao software, basicamente as funcionalidades de QoS e Segurança são limitadas (no Lan Lite), e ele também não suporta IPv6. Veja mais detalhadamente as diferenças na tabela abaixo: Funcionalidades Cisco Catalyst 2960 LAN Lite Cisco Catalyst 2960 LAN Base Flex Link 32 / 128 MB 32 / 128 MB RPS Support No Yes Jumbo Frames Yes Yes VLANs 64 255 Voice VLAN Yes Yes VTPv2 Yes Yes Cisco Discovery Protocol v2 Yes Yes LLDP Yes Yes (+MED) 802.3ad LACP Yes Yes Scanning Tree protocol Instances 64 128 802.1w / 802.1s Yes Yes PVST / PVRST+ Yes Yes Port Fast / Uplink Fast Yes Yes Flex Link No Yes Link State Tracking No Yes Port CoS Trust and Override Yes Yes Trusted Boundary No Yes ACL Classification No Yes Ingress Policing (1MB incr.) No Yes Auto QoS No Yes 802.1p queues 4 4 Scheduling SRR SRR Priority Queuing Yes Yes Configure CoS Priority Queues Yes Yes Configure Queue Weights No Yes Configure Buffers and Thresholds No Yes Class & Policy Maps No Yes Modify CoS and DSCP Mapping No Yes DSCP Transparency Yes Yes Weighted Tail Drop Yes Yes SSH, SSL , and SCP Yes Yes RADIUS and TACACS+ Yes Yes SNMPv3 crypto Yes Yes 802.1x Yes Yes 802.1x Accounting / MIB Yes Yes 802.1x w/ Port Security Yes Yes 802.1x w/ Voice VLAN Yes Yes 802.1x Guest VLAN Yes Yes 802.1x VLAN assignment Yes Yes 802.1x Auth-Fail VLAN No Yes 802.1x AAA Fail Open No Yes 802.1x WOL No Yes 802.1x MAC-Auth Bypass Yes Yes 802.1x Web-Auth No Yes 802.1x Multi-Domain Auth No No 802.1x w/ download ACLs No No Layer 2-4 ACLs (Port, Time, andDSCP-based) No Yes BPDU / Root Guard Yes (voice aware) Yes (voice aware) Port Security Yes (voice aware) Yes (voice aware) DHCP Snooping No Yes Dynamic ARP Inspection No No IP Source Guard No No DHCP Option 82 No Yes DHCP Server No Yes Private VLAN Edge Yes Yes Storm Control Yes Yes Block unknown unicast and multicast Yes Yes IPv6 Host No Yes IPv6 MLD Snooping No Yes MVR No Yes IGMP Snooping Yes Yes IGMP Filter / Throttle Yes Yes Auto-MDIX Yes Yes TDR Yes Yes UDLD Yes Yes IP SLA Responder No Yes Layer 2 / IP Traceroute Yes Yes SPAN (# of sessions) Yes (1) Yes (2) RSPAN No Yes Express Setup Yes Yes Device Manager Yes Yes Cisco Network Assistant Yes Yes Smartports + Advisor Yes Yes Troubleshooting Advisor Yes Yes Drag-and-drop Cisco IOS® Upgrade Yes Yes IP Address DHCP Yes Yes Autoinstall with saved configuration Yes (future) Yes (future) Configuration Replace Yes (future) Yes (future) DHCP Auto Image Upgrade Yes (future) Yes (future) DHCP Port Based Allocation Yes Yes Error Disable MIB Yes Yes Não é possível alterar o software de Lan Lite para Lan Base ou vice-versa, e outra funcionalidades podem ser verificadas no www.cisco.com/go/fn. Em alguns cenários os equipamentos com Lan Lite até podem ser utilizados, mas não sei se compensa investir em um equipamentos sem suporte a IPv6 atualmente. Até a próxima.
NetAcademy para a comunidade Manguinhos (RJ)
O Centro Vocacional Tecnológico (CVT) da comunidade Manguinhos, no Rio de Janeiro, contará com o curso Network Academy, da Cisco System, entre outros. Este CVT, inaugurado no dia 29 de maio/09, é a maior escola de ensino profissional do país, e possibilitará a formação de 2.445 alunos por anos. A iniciativa é uma parceria entre o Governo do Estado do RJ e FAETEC (Fundação de Apoio à Escola Técnica), e com a ajuda da Cisco fornecerá o treinamento NetAcademy para 180 alunos. O anúncio do curso Network Academy foi feito durante a cerimônia de inauguração do CVT, que contou com a presença do governador do RJ, Sergio Cabral e do Gerente para Setor Público da Cisco Brasil, Amos Maidantchik. Também participaram da cerimônia o presidente Luiz Inácio Lula da Silva, a Chefe da Casa Civil, Dilma Roussef e o prefeito do Rio de Janeiro, Eduardo Paes. "A ampliação do conhecimento e capacitação em TI desses cidadãos ajudará a aprimorar o conjunto de talentos disponível para o mercado do Rio de Janeiro. A educação constrói capacidade e qualifica a força de trabalho ao aumentar a produtividade de cada trabalhador. Estamos confiantes de que essa iniciativa oferecerá resultados positivos rapidamente para a comunidade de Manguinhos", discursou Maidantchik, da Cisco. Os alunos do NetAcademy assistirão a 100 horas de treinamentos, que devem ser divididos em 25 semanas, e pode ser acompanhado presencialmente, no CVT Correios (nome do CVT da comunidade Manguinhos) ou online, via e-learning. Até a próxima.
Gerenciando o módulo AIP-SSC-5
Como mencionei no post IPS no ASA5505 o módulo AIP-SSC-5 não possui nenhuma interface, mas mesmo assim podemos configurá-lo via console ou acesso remoto, através de seu IP de gerência. 1°) Acessando via console Acesse o ASA via linha de comando, e digite session 1. Com isso você entrará na console do módulo. asa# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is ‘CTRL-^X’. Login: cisco Password: ***NOTICE*** This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ***LICENSE NOTICE*** There is no license key installed on the system. Please go to http://www.cisco.com/go/license to obtain a new license or install a license. aip-ssm# 2°) Através do IP de Gerência O módulo não tem interface física, mas podemos criar uma interface VLAN no ASA e através dele chegar ao IPS, para gerência. Para isso siga o procedimento abaixo: !Por padrão a VLAN 1 é a VLAN de gerência do ASA (interface inside), mas devemos desabilitá-la hostname(config)# interface vlan 1 hostname(config-if)# no allow-ssc-mgmt ! Crie um interface VLAN qualquer e defina o nome hostname(config-if)# interface vlan 20 hostname(config-if)# nameif inside ! Coloque o IP para gerência do ASA e o security-level hostname(config-if)# ip address 10.1.1.1 255.255.255.0 hostname(config-if)# security-level 100 ! Configure a interface para permitir a gerência do módulo e habilite a interface hostname(config-if)# allow-ssc-mgmt hostname(config-if)# no shutdown ! Configure a interface para servir apenas para gerência hostname(config-if)# management-only ! Configure o IP de gerência do módulo e seu gateway hostname(config)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1 ! Especifique quem pode acessar o módulo para administração (10.1.1.30, neste exemplo) hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255 ! Associe a VLAN a uma interface física do ASA e habilite a interface hostname(config)# interface ethernet 0/0 hostname(config-if)# switchport access vlan 20 hostname(config-if)# no shutdown Com esta configuração acima, podemos acessar o ASA através do IP 10.1.1.1 e o módulo IPS através do IP 10.1.1.2. Observe porém, que nesta configuração apenas o host 10.1.1.30 poderá acessar o IPS. Após acessar o módulo, pela console ou pelo IP de gerência, basta digitar setup que será apresentado um prompt interativo para que a configuração inicial seja realizada, assim como nos demais módulos e appliances IPS. Por padrão o módulo AIP-SSC-5 vem configurado com usuário e senha cisco, IP administrativo 192.168.1.2/24, gateway 192.168.1.1 e permite o acesso remoto da rede 192.168.1.0/24. Direcionando o tráfego para inspeção no IPS A configuração do ASA5505 para enviar o tráfego para inspeção no módulo AIP-SSC-5 é exatamente igual a configuração realizada nos ASA5510, ASA5520 e ASA5540 para inspeção nos módulos AIP-SSM. Exemplo: Configuração do ASA (5505, 5510, 5520 ou 5540) para envio de tráfego para o módulo IPS (AIP-SSC-5, AIP-SSM10 ou AIP-SSM20) ! Conecte no ASA e entre no modo de configuração global asa# configure terminal ! Crie uma access-list selecionando o tráfego que será inspecionado (neste exemplo, todo o tráfego) asa(config)# access-list aclips permit ip any any ! Crie um class-map que identificará o tráfego que será enviado para o módulo asa(config)# class-map ips_class ! Dentro do class-map indique a access-list criada acima para seleção do tráfego asa(config-cmap)# match access-list aclips ! Agora crie um policy-map, que definirá a ação que será tomada com relação ao tráfego selecionado asa(config-cmap)# policy-map ips_policy ! Dentro do policy-map especifique o class-map criado anteriormente asa(config-pmap)# class ips_class ! Especifique se o IPS trabalhará inline ou em modo promíscuos e como o tráfego será tratado se o IPS falhar Observação: fail-close: Se o IPS falhar todo o tráfego selecionado para inspeção será bloqueado fail-open: Se o IPS falhar todo o tráfego selecionado para inspeção será liberado asa(config-pmap-c)# ips inline fail-open ! Ative o service policy em uma interface ou em modo global asa(config)# service-policy ips_policy outside Com esta configuração todo o tráfego ip que entrar ou sair pela interface outside, será enviado para inspeção no módulo IPS. Se o módulo parar de funcionar o tráfego será enviado para seu destino normalmente, sem a análise do IPS no entanto. O guia completo para configuração de IPS pode ser encontrado no site da Cisco. Até a próxima.
ESW500: Novos switches anunciados no Summit
A Cisco anunciou ontem, dia 04/06/2009, no Cisco Partner Summit, que está sendo realizado em Boston/EUA, uma nova família de switches de pequeno porte. A série ESW500 conta com equipamentos de 1RU, são administrados através de interface gráfica, e é destinada ao mercado small business. Esta nova série conta com modelos de 24 e 48 portas, 10/100 e 10/100/1000 com ou sem PoE. Além disso possuem funcionalidades avançadas, como suporte a QoS, 802.1x, Rate Limiting, link aggregation, proteção contra DoS e suporte a fonte redundante externa. Outra característica interessante é a garantia de 5 anos e o suporte do Cisco Small Business Support Center gratuito por 90 dias. Podem ser gerenciados através do browser (HTTP, HTTPS), via Cisco Configuration Assistant 2.0 ou via SNMP. Acredito que estes novos equipamentos poderão atingir um público diferente, permitindo a Cisco concorrer com mais força no mercado small business, principalmente por um motivo: O PREÇO. Lá fora é possível adquirir esses equipamentos por cerca de 500 dólares (modelo ESW-520-24-k9). Outras informações sobre o produto aqui. Até a próxima.
IPS no ASA5505
Enfim o slot do ASA5505 passa a ter utilidade. O appliance pode agora utilizar o módulo AIP-SSC-5 em seu slot e assim contar com IPS integrado. Este é o quarto modelo de ASA que pode ter o IPS integrado, já que os modelos 5510, 5520 e 5540 já tinham essa opção. Diferente dos demais módulos para o ASA o AIP-SSC-5 não conta com nenhuma interface. O acesso administrativo ao módulo pode ser feito através da console do próprio ASA ou pelo IP da VLAN de gerência que é criada para este fim. O AIP-SSC-5 tem 75 Mbps de throughput e fornece proteção para mais de 25.000 ameaças digitais. Até a próxima.
Definindo um caractere para cancelar comando
Essa eu vi no blog Nexthop. Muitas vezes acontece de darmos um comando e ele demora para ser executado, então, no meio do caminho decidimos cancelar o comando. O problema é que normalmente temos que usar combinações estranhas de teclas (como CTRL+SHIFT+6, por exemplo…). No entanto é possível redefinir o caractere de escape, responsável por interromper o comando. Podemos, por exemplo definir que para cancelar o comando basta digitar @. Claro que o recomendo utilizar um combinação (CTRL+c), já que um caractere sozinho pode ser utilizado em outro momento durante a configuração. Para redefinir o caractere o comando utilizado é escape-character, dentro da line ou console. Exemplo: Utilizar o caractere @ como escape, para acesso via line (telnet, ssh) BrainRT01#conf t Enter configuration commands, one per line. End with CNTL/Z. BrainRT01(config)#line vty 0 4 BrainRT01(config-line)#escape-character @ BrainRT01(config-line)#end BrainRT01#ping 200.221.11.100 repeat 10000 Type escape sequence to abort. Sending 10000, 100-byte ICMP Echos to 200.221.11.100, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!.! Success rate is 99 percent (173/174), round-trip min/avg/max = 4/4/12 ms BrainRT01# Observe que o ping terminou muito antes das 10.000 repetições. No caso eu interrompi o comando utilizando a tecla @. Neste link é possível verificar os caracteres e código ASCII para cada tecla ou combinação de teclas. Para definir o CTRL+C, que é a combinação de escape no Linux basta utilizar escape-character 3. Para outra definições referentes ao terminal, acesse Configuring Operating Characteristics for Terminals. Até a próxima.
