pt ewan slm v4030

Este documento é de propriedade exclusiva da Cisco Systems, Inc. É concedida permissão para imprimir e copiar este documento para distribuição não comercial e uso exclusivo dos instrutores no curso CCNA Exploration: Acessando a WAN como parte do programa oficial Cisco Networking Academy.

Laboratório 1.4.1: Revisão avançada

Diagrama de topologia

Tabela de endereçamento

Dispositivo Interface Endereço IP Máscara de sub-rede Gateway padrão

R1

Fa0/1 N/A N/A N/A

Fa0/1.10 192.168.10.1 255.255.255.0 N/A

Fa0/1.12 10.12.12.1 255.255.255.0 N/A

Fa0/1.13 10.13.13.1 255.255.255.0 N/A

S0/0/0 10.1.1.1 255.255.255.252 N/A

R2

Fa0/1 N/A N/A N/A

Fa0/1.12 10.12.12.2 255.255.255.0 N/A

Fa0/1.20 192.168.20.1 255.255.255.0 N/A

S0/0/0 10.1.1.2 255.255.255.252 N/A

S0/0/1 10.2.2.1 255.255.255.252 N/A

R3 Fa0/1 N/A N/A N/A

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 1 de 4

CCNA Exploration Acessando a WAN: Introdução a WANs Laboratório 1.4.1: Revisão avançada

Fa0/1.13 10.13.13.3 255.255.255.0 N/A Fa0/1.30 192.168.30.1 255.255.255.0 N/A

S0/0/1 10.2.2.2 255.255.255.252 N/A

S1 VLAN10 192.168.10.2 255.255.255.0 192.168.10.1

S2 VLAN20 192.168.20.2 255.255.255.0 192.168.20.1

S3 VLAN30 192.168.30.2 255.255.255.0 192.168.30.1

PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1

PC3 Placa de rede 192.168.30.10 255.255.255.0 192.168.30.1

Objetivos de aprendizagem Para concluir este laboratório:

• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Perform basic configuration tasks on a router. • Configurar e ativar interfaces. • Configurar Spanning Tree Protocol. • Configurar servidores e cliente VTP. • Configurar VLANs nos switches. • Configurar o roteamento RIP em todos os roteadores. • Configurar o roteamento OSPF em todos os roteadores. • Configurar o roteamento EIGRP em todos os roteadores.

Cenário Neste laboratório, você irá revisar os conceitos básicos de roteamento e de comutação. Tente fazer o máximo possível sozinho. Consulte o material anterior quando você não conseguir continuar sozinho.

Nota: configurar três protocolos de roteamento separados – RIP, OSPF e EIGRP – para rotear a mesma rede não é efetivamente uma prática recomendada. Essa deve ser considerada uma prática não recomendada, não sendo algo que deveria ser feito em uma rede de produção. Isso é feito aqui para que você possa examinar os principais protocolos de roteamento antes de continuar, além de ver uma ilustração clara do conceito de distância administrativa.

Tarefa 1: Preparar a rede

Etapa 1: Cabear uma rede de maneira semelhante à presente no diagrama de topologia.

Etapa 2: Apagar todas as configurações existentes nos roteadores.

Tarefa 2: Executar configurações básicas do dispositivo. Configure os roteadores R1, R2 e R3 e os switches S1, S2, S3 de acordo com as seguintes diretrizes:

• Configure o hostname.

• Desabilite o DNS lookup.



• Configure uma senha no modo EXEC como "class".

• Configure o seguinte banner de mensagem do dia: “Acesso não autorizado é expressamente proibido e será punido nos termos da lei".

• Configure uma senha para as conexões de console.

• Configure o log síncrono.

• Configure uma senha para as conexões vty.

• Salve a configuração de execução na NVRAM.

Tarefa 3: Configurar e ativar endereços Ethernet e Serial

Etapa 1: Configurar interfaces em R1, R2 e R3.

Etapa 2: Verificar endereçamento IP e interfaces.

Etapa 3: Configurar a interface VLAN de gerenciamento em S1, S2 e S3.

Etapa 4: Configurar as interfaces Ethernet PC1 e PC3.

Etapa 5: Testar conectividade entre os PCs

Tarefa 4: Configurar STP

Etapa 1: Configurar S1 para ser sempre a raiz.

Etapa 2: Verificar se S1 é raiz.

Tarefa 5: Configurar VTP

Etapa 1: Configurar S1 como o servidor VTP e criar um nome de domínio e senha.

Nota: o nome de domínio é "cisco" e a senha vtp é "cisco".

Etapa 2: Configurar S2 e S3 como clientes VTP e atribuir nomes de domínio e senhas.

Etapa 3: Verificar a configuração.

Tarefa 6: Configurar VLANs

Etapa 1: Configurar S1 com VLANs.

Etapa 2: Verificar se S2 e S3 receberam configurações VLAN de S1.

Etapa 3: Atribuir portas às VLANs apropriadas.

Tarefa 7: Configurar o roteamento RIP

Etapa 1: Configurar roteamento RIP em R1, R2 e R3.




Etapa 2: Testar conectividade executando ping em todos os endereços na Tabela de endereçamento.

Etapa 3: Verificar a tabela de roteamento.

Tarefa 8: Configurar o roteamento OSPF

Etapa 1: Configurar roteamento OSPF em R1, R2 e R3.

Etapa 2: Verificar se rotas OSPF substituíram rotas RIP por causa da menor distância administrativa.

Em que as decisões de roteamento se diferem do OSPF em execução?

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

Etapa 3: Verificar se RIP ainda está em execução.

Tarefa 9: Configurar roteamento EIGRP

Etapa 1: Configurar roteamento EIGRP em R1, R2 e R3.

Etapa 2: Verificar se rotas EIGRP substituíram rotas OSPF por causa da menor distância administrativa.

Etapa 3: Verificar se OSPF ainda está em execução.

Tarefa 10: Documentar as configurações do roteador

Tarefa 11: Limpar Apague as configurações e recarregue os roteadores. Desconecte e guarde o cabeamento. Para hosts PC normalmente conectados a outras redes (como a LAN escolar ou a Internet), reconecte o cabeamento apropriado e restaure as configurações TCP/IP.

Laboratório 2.5.1: Laboratório de configuração PPP básica



Dispositivo Interface Endereço IP Máscara de sub-rede

Gateway padrão

R1 Fa0/1 192.168.10.1 255.255.255.0 N/A

S0/0/0 10.1.1.1 255.255.255.252 N/A

R2

Lo0 209.165.200.225 255.255.255.224 N/A

S0/0/0 10.1.1.2 255.255.255.252 N/A

S0/0/1 10.2.2.1 255.255.255.252 N/A

R3 Fa0/1 192.168.30.1 255.255.255.0 N/A

S0/0/1 10.2.2.2 255.255.255.252 N/A

PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1

PC3 Placa de rede 192.168.30.10 255.255.255.0 192.168.30.1


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica

Objetivos de aprendizagem Após concluir este laboratório, você será capaz de:

• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Executar tarefas de configuração básica em um roteador. • Configurar e ativar interfaces. • Configurar o roteamento OSPF em todos os roteadores. • Configurar o encapsulamento PPP em todas as interfaces seriais. • Obter informações sobre os comandos debug ppp negotiation e debug ppp packet. • Saber como alterar o encapsulamento nas interfaces seriais de PPP para HDLC. • Interrromper intencionalmente e restaurar o encapsulamento PPP CHAP. • Configurar a autenticação PPP PAP e CHAP. • Interromper intencionalmente e restaurar a autenticação PPP PAP e CHAP.

Cenário Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriais usando a rede mostrada no diagrama da topologia. Você também aprenderá a restaurar links seriais aos seus encapsulamentos de HDLC padrão. Preste atenção especial na saída do roteador quando você interrrompe intencionalmente o encapsulamento PPP. Isso o ajudará no laboratório de identificação e solução de problemas associado a este capítulo. Por fim, você irá configurar as autenticações PPP PAP e PPP CHAP.



Você pode utilizar qualquer roteador atual em seu laboratório contanto que ele tenha as interfaces exigidas mostradas no diagrama da topologia.

Nota: se você utilizar roteadores 1700, 2500 ou 2600, as saídas do comando do roteador e as descrições da interface serão exibidas de maneira diferente.


Tarefa 2: Executar as configurações básicas do roteador Configure os roteadores R1, R2 e R3 de acordo com as seguintes diretrizes:

• Configure o nome de host do roteador.

• Desabilite a pesquisa DNS.

• Configure uma senha no modo EXEC.

• Configure um banner da mensagem do dia.






Tarefa 3: Configurar e ativar endereços Ethernet e Serial


Configure as interfaces nos roteadores R1, R2 e R3 com os endereços IP da tabela de endereçamento no início do laboratório. Não se esqueça de incluir o clock rate nas interfaces DCE seriais.

Etapa 2: Verificar endereçamento IP e interfaces.

Utilize o comando show ip interface brief para verificar se o endereçamento IP está correto e se as interfaces estão ativas. Quando você terminar, não se esqueça de salvar a configuração de execução na NVRAM do roteador.

Etapa 3: Configurar as interfaces Ethernet de PC1 e PC3.

Configure as interfaces Ethernet de PC1 e PC3 com os endereços IP e os gateways padrão da tabela de endereçamento.

Etapa 4: Testar a configuração, executando ping para o gateway padrão a partir do PC.

Tarefa 4: Configurar OSPF nos roteadores Se você precisar revisar os comandos OSPF, consulte Exploration 2, módulo 11.

Etapa 1: Habilitar roteamento OSPF em R1, R2 e R3.

Utilize o comando router ospf com um ID de processo 1. Não se esqueça de anunciar as redes. R1(config)#router ospf 1 R1(config-router)#network 192.168.10.0 0.0.0.255 area 0 R1(config-router)#network 10.1.1.0 0.0.0.3 area 0 *Aug 17 17:49:14.689: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from LOADING to FULL, Loading Done R1(config-router)# R2(config)#router ospf 1 R2(config-router)#network 10.1.1.0 0.0.0.3 area 0 *Aug 17 17:48:40.645: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done R2(config-router)#network 10.2.2.0 0.0.0.3 area 0 R2(config-router)#network 209.165.200.224 0.0.0.31 area 0 R2(config-router)# *Aug 17 17:57:44.729: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-router)# R3(config)#router ospf 1 R3(config-router)#network 10.2.2.0 0.0.0.3 area 0 *Aug 17 17:58:02.017: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3(config-router)#network 192.168.30.0 0.0.0.255 area 0 R3(config-router)#


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica Etapa 2: Verificar se você tem total conectividade de rede.

Use os comandos show ip route e ping para verificar a conectividade. R1#show ip route <saída do comando omitida> O 192.168.30.0/24 [110/1563] via 10.1.1.2, 00:33:56, Serial0/0/0 C 192.168.10.0/24 is directly connected, FastEthernet0/1 209.165.200.0/27 is subnetted, 1 subnets O 209.165.200.225 [110/782] via 10.1.1.2, 00:33:56, Serial0/0/0 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks O 10.2.2.0/30 [110/1562] via 10.1.1.2, 00:33:56, Serial0/0/0 C 10.1.1.0/30 is directly connected, Serial0/0/0 R1#ping 192.168.30.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms R1# R2#show ip route <saída do comando omitida> O 192.168.30.0/24 [110/782] via 10.2.2.2, 00:33:04, Serial0/0/1 O 192.168.10.0/24 [110/782] via 10.1.1.1, 00:33:04, Serial0/0/0 209.165.200.0/27 is subnetted, 1 subnets C 209.165.200.224 is directly connected, Loopback0 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks C 10.2.2.0/30 is directly connected, Serial0/0/1 C 10.1.1.0/30 is directly connected, Serial0/0/0 R2#ping 192.168.30.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R2#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R2# R3#show ip route <saída do comando omitida> C 192.168.30.0/24 is directly connected, FastEthernet0/1 O 192.168.10.0/24 [110/1563] via 10.2.2.1, 00:32:01, Serial0/0/1 209.165.200.0/27 is subnetted, 1 subnets


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica O 209.165.200.225 [110/782] via 10.2.2.1, 00:32:01, Serial0/0/1 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.2.2.0/30 is directly connected, Serial0/0/1 O 10.1.1.0/30 [110/1562] via 10.2.2.1, 00:32:01, Serial0/0/1 R3#ping 209.165.200.225 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 209.165.200.225, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R3#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms R3#

Tarefa 5: Configurar o encapsulamento PPP em interfaces seriais

Etapa 1: Utilizar o comando show interface para verificar se HDLC é o encapsulamento serial padrão. R1#show interface serial0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <saída do comando omitida> R2#show interface serial 0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <saída do comando omitida> R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <saída do comando omitida>


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica R3#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set <saída do comando omitida>

Etapa 2: Utilizar comandos de depuração em R1 e R2 para ver os efeitos da configuração de PPP. R1#debug ppp negotiation PPP protocol negotiation debugging is on R1#debug ppp packet PPP packet display debugging is on R1# R2#debug ppp negotiation PPP protocol negotiation debugging is on R2#debug ppp packet PPP packet display debugging is on R2#

Etapa 3: Alterar o encapsulamento das interfaces seriais de HDLC para PPP.

Altere o tipo de encapsulamento no link entre R1 e R2 e observe os efeitos. Se você começar a receber muitos dados de depuração, utilize o comando undebug all para desativá-la. R1(config)#interface serial 0/0/0 R1(config-if)#encapsulation ppp R1(config-if)# *Aug 17 19:02:53.412: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached R1(config-if)# *Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is DOWN, Setup *Aug 17 19:02:53.416: Se0/0/0 PPP: Using default call direction *Aug 17 19:02:53.416: Se0/0/0 PPP: Treating connection as a dedicated line *Aug 17 19:02:53.416: Se0/0/0 PPP: Session handle[E4000001] Session id[0] *Aug 17 19:02:53.416: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open *Aug 17 19:02:53.424: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10 *Aug 17 19:02:53.424: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE) R1(config-if)# *Aug 17 19:02:55.412: Se0/0/0 PPP: Outbound cdp packet dropped *Aug 17 19:02:55.432: Se0/0/0 LCP: TIMEout: State REQsent *Aug 17 19:02:55.432: Se0/0/0 LCP: O CONFREQ [REQsent] id 2 len 10 *Aug 17 19:02:55.432: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE) *Aug 17 19:02:56.024: Se0/0/0 PPP: I pkt type 0x008F, datagramsize 24 link[illegal] *Aug 17 19:02:56.024: Se0/0/0 UNKNOWN(0x008F): Non-NCP packet, discarding


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica R1(config-if)# *Aug 17 19:02:57.252: Se0/0/0 PPP: I pkt type 0x000F, datagramsize 84 link[illegal] *Aug 17 19:02:57.252: Se0/0/0 UNKNOWN(0x000F): Non-NCP packet, discarding *Aug 17 19:02:57.448: Se0/0/0 LCP: TIMEout: State REQsent *Aug 17 19:02:57.448: Se0/0/0 LCP: O CONFREQ [REQsent] id 3 len 10 *Aug 17 19:02:57.448: Se0/0/0 LCP: MagicNumber 0x63B994DE (0x050663B994DE) R1(config-if)# *Aug 17 19:02:58.412: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R2(config)#interface serial 0/0/0 R2(config-if)#encapsulation ppp R2(config-if)# *Aug 17 19:06:48.848: Se0/0/0 PPP: Phase is DOWN, Setup *Aug 17 19:06:48.848: Se0/0/0 PPP: Using default call direction *Aug 17 19:06:48.848: Se0/0/0 PPP: Treating connection as a dedicated line *Aug 17 19:06:48.848: Se0/0/0 PPP: Session handle[C6000001] Session id[0] *Aug 17 19:06:48.848: Se0/0/0 PPP: Phase is ESTABLISHING, Active Open *Aug 17 19:06:48.856: Se0/0/0 LCP: O CONFREQ [Closed] id 1 len 10 *Aug 17 19:06:48.856: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) *Aug 17 19:06:48.860: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14 link[ppp] *Aug 17 19:06:48.860: Se0/0/0 LCP: I CONFACK [REQsent] id 1 len 10 R2(config-if)# *Aug 17 19:06:48.860: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) R2(config-if)# *Aug 17 19:06:50.864: Se0/0/0 LCP: TIMEout: State ACKrcvd *Aug 17 19:06:50.864: Se0/0/0 LCP: O CONFREQ [ACKrcvd] id 2 len 10 *Aug 17 19:06:50.864: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) *Aug 17 19:06:50.868: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14 link[ppp] *Aug 17 19:06:50.868: Se0/0/0 LCP: I CONFREQ [REQsent] id 61 len 10 *Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BDB9A8 (0x050663BDB9A8) *Aug 17 19:06:50.868: Se0/0/0 LCP: O CONFACK [REQsent] id 61 len 10 *Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BDB9A8 (0x050663BDB9A8) *Aug 17 19:06:50.868: Se0/0/0 PPP: I pkt type 0xC021, datagramsize 14 link[ppp] *Aug 17 19:06:50.868: Se0/0/0 LCP: I CONFACK [ACKsent] id 2 len 10 *Aug 17 19:06:50.868: Se0/0/0 LCP: MagicNumber 0x63BD388C (0x050663BD388C) *Aug 17 19:06:50.868: Se0/0/0 LCP: State is Open *Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is FORWARDING, Attempting Forward *Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is ESTABLISHING, Finish LCP *Aug 17 19:06:50.872: Se0/0/0 PPP: Phase is UP *Aug 17 19:06:50.872: Se0/0/0 IPCP: O CONFREQ [Closed] id 1 len 10 *Aug 17 19:06:50.872: Se0/0/0 IPCP: Address 10.1.1.2 (0x03060A010102)


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica *Aug 17 19:06:50.872: Se0/0/0 CDPCP: O CONFREQ [Closed] id 1 len 4 *Aug 17 19:06:50.872: Se0/0/0 PPP: Process pending ncp packets *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8021, datagramsize 14 link[ip] *Aug 17 19:06:50.876: Se0/0/0 IPCP: I CONFREQ [REQsent] id 1 len 10 *Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.1 (0x03060A010101) *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8207, datagramsize 8 link[cdp] *Aug 17 19:06:50.876: Se0/0/0 IPCP: O CONFACK [REQsent] id 1 len 10 *Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.1 (0x03060A010101) *Aug 17 19:06:50.876: Se0/0/0 CDPCP: I CONFREQ [REQsent] id 1 len 4 *Aug 17 19:06:50.876: Se0/0/0 CDPCP: O CONFACK [REQsent] id 1 len 4 *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8021, datagramsize 14 link[ip] *Aug 17 19:06:50.876: Se0/0/0 IPCP: I CONFACK [ACKse R2(config-if)#nt] id 1 len 10 *Aug 17 19:06:50.876: Se0/0/0 IPCP: Address 10.1.1.2 (0x03060A010102) *Aug 17 19:06:50.876: Se0/0/0 IPCP: State is Open *Aug 17 19:06:50.876: Se0/0/0 PPP: I pkt type 0x8207, datagramsize 8 link[cdp] *Aug 17 19:06:50.876: Se0/0/0 IPCP: Install route to 10.1.1.1 *Aug 17 19:06:50.880: Se0/0/0 CDPCP: I CONFACK [ACKsent] id 1 len 4 *Aug 17 19:06:50.880: Se0/0/0 CDPCP: State is Open *Aug 17 19:06:50.880: Se0/0/0 PPP: O pkt type 0x0021, datagramsize 80 *Aug 17 19:06:50.880: Se0/0/0 IPCP: Add link info for cef entry 10.1.1.1 *Aug 17 19:06:50.884: Se0/0/0 PPP: I pkt type 0x0021, datagramsize 80 link[ip] *Aug 17 19:06:51.848: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)# *Aug 17 19:06:51.888: Se0/0/0 LCP-FS: I ECHOREQ [Open] id 1 len 12 magic 0x63BDB9A8 *Aug 17 19:06:51.888: Se0/0/0 LCP-FS: O ECHOREP [Open] id 1 len 12 magic 0x63BD388C <saída do comando omitida> *Aug 17 19:07:00.936: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done

O que acontece quando uma extremidade do link serial é encapsulado com PPP e a outra extremidade do link é encapsulado com HDLC?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________



Por quais etapas o PPP passa quando a outra extremidade do link serial em R2 está configurada com encapsulamento PPP?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

O que acontece quando o encapsulamento PPP é configurado em cada extremidade do link serial?

_____________________________________________________________________

_____________________________________________________________________

Etapa 4: Desativar depuração.

Desative a depuração caso você ainda não tenha utilizado o comando undebug all. R1#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off R1# R2#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off R2#

Etapa 5: Alterar o encapsulamento de HDLC para PPP nas duas extremidades do link serial entre R2 e R3. R2(config)#interface serial0/0/1 R2(config-if)#encapsulation ppp R2(config-if)# *Aug 17 20:02:08.080: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached R2(config-if)# *Aug 17 20:02:13.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# *Aug 17 20:02:58.564: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)#


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica *Aug 17 20:03:03.644: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-if)# *Aug 17 20:03:46.988: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R3(config)#interface serial 0/0/1 R3(config-if)#encapsulation ppp R3(config-if)# *Aug 17 20:04:27.152: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up *Aug 17 20:04:30.952: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done

Quando o protocolo de linha no link serial é ativado e a adjacência OSPF é restaurada?

_____________________________________________________________________

_____________________________________________________________________

Etapa 6: Verificar se PPP agora é o encapsulamento nas interfaces seriais. R1#show interface serial0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP open Open: CDPCP, IPCP, loopback not set <saída do comando omitida> R2#show interface serial 0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP open Open: CDPCP, IPCP, loopback not set <saída do comando omitida> R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP open Open: CDPCP, IPCP, loopback not set <saída do comando omitida> R3#show interface serial 0/0/1


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.2.2.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP open Open: CDPCP, IPCP, loopback not set <saída do comando omitida>

Tarefa 6: Interromper e restaurar encapsulamento PPP Interrompendo o encapsulamento PPP intencionalmente, você obterá informações sobre as mensagens de erro geradas. Isso ajudará posteriormente no laboratório de Identificação e solução de problemas.

Etapa 1: Restaurar o encapsulamento HDLC padrão nas duas interfaces seriais de R2. R2(config)#interface serial 0/0/0 R2(config-if)#encapsulation hdlc R2(config-if)# *Aug 17 20:36:48.432: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached *Aug 17 20:36:49.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R2(config-if)# *Aug 17 20:36:51.432: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)#interface serial 0/0/1 *Aug 17 20:37:14.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R2(config-if)#encapsulation hdlc R2(config-if)# *Aug 17 20:37:17.368: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached *Aug 17 20:37:18.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# *Aug 17 20:37:20.368: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 17 20:37:44.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)#

Por que é útil interromper uma configuração intencionalmente?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________



Por que as duas interfaces seriais são desativadas, ativadas, e então desativadas novamente?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Você consegue pensar em outra forma de alterar o encapsulamento de uma interface serial do PPP para o encapsulamento HDLC padrão que não seja utilizando o comando encapsulation hdlc? (Dica: isso tem a ver com o comando no.)

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Etapa 2: Restaurar o encapsulamento PPP nas duas interfaces seriais de R2. R2(config)#interface s0/0/0 R2(config-if)#encapsulation ppp *Aug 17 20:53:06.612: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)# interface s0/0/1 *Aug 17 20:53:10.856: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done R2(config-if)#encapsulation ppp *Aug 17 20:53:23.332: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 17 20:53:24.916: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-if)#

Tarefa 7: Configurar autenticação PPP

Etapa 1: Configurar autenticação PPP PAP no link serial entre R1 e R2. R1(config)#username R1 password cisco R1(config)#int s0/0/0 R1(config-if)#ppp authentication pap R1(config-if)# *Aug 22 18:58:57.367: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to down R1(config-if)#


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica *Aug 22 18:58:58.423: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached R1(config-if)#ppp pap sent-username R2 password cisco

O que acontece quanto a autenticação PPP PAP é configurada somente em uma extremidade do link serial?

_____________________________________________________________________

_____________________________________________________________________

R2(config)#username R2 password cisco R2(config)#interface Serial0/0/0 R2(config-if)#ppp authentication pap R2(config-if)#ppp pap sent-username R1 password cisco R2(config-if)# *Aug 23 16:30:33.771: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)# *Aug 23 16:30:40.815: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.1 on Serial0/0/0 from LOADING to FULL, Loading Done R2(config-if)#

O que acontece quando a autenticação PPP PAP é configurada nas duas extremidades do link serial?

_____________________________________________________________________

_____________________________________________________________________

Etapa 2: Configurar autenticação PPP CHAP no link serial entre R2 e R3.

Na autenticação PAP, a senha não é criptografada. Embora isso seja certamente melhor do que nenhuma autenticação, ainda é altamente preferível criptografar a senha que estiver sendo enviada pelo link. O protocolo CHAP criptografa a senha. R2(config)#username R3 password cisco R2(config)#int s0/0/1 R2(config-if)#ppp authentication chap R2(config-if)# *Aug 23 18:06:00.935: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)# *Aug 23 18:06:01.947: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached R2(config-if)# R3(config)#username R2 password cisco *Aug 23 18:07:13.074: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R3(config)#int s0/0/1 R3(config-if)#


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica *Aug 23 18:07:22.174: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3(config-if)#ppp authentication chap R3(config-if)#

Observe que o protocolo de linha na interface serial 0/0/1 altera o estado para UP mesmo antes da interface ser configurada para autenticação CHAP. Você pode adivinhar por que isso acontece?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Etapa 3: Revisar a saída do comando debug.

Para compreender o processo CHAP, exiba a saída do comando debug ppp authentication em R2 e R3. Em seguida, desative a interface serial 0/0/1 em R2 e emita o comando no shutdown na interface serial 0/0/1 em R2. R2#debug ppp authentication A depuração da autenticação PPP está ativa R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int s0/0/1 R2(config-if)#shutdown R2(config-if)# *Aug 23 18:19:21.059: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached R2(config-if)# *Aug 23 18:19:23.059: %LINK-5-CHANGED: Interface Serial0/0/1, changed state to administratively down *Aug 23 18:19:24.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R2(config-if)#no shutdown *Aug 23 18:19:55.059: Se0/0/1 PPP: Using default call direction *Aug 23 18:19:55.059: Se0/0/1 PPP: Treating connection as a dedicated line *Aug 23 18:19:55.059: Se0/0/1 PPP: Session handle[5B000005] Session id[49] *Aug 23 18:19:55.059: Se0/0/1 PPP: Authorization required *Aug 23 18:19:55.063: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to up *Aug 23 18:19:55.063: Se0/0/1 CHAP: O CHALLENGE id 48 len 23 from "R2" *Aug 23 18:19:55.067: Se0/0/1 CHAP: I CHALLENGE id 2 len 23 from "R3" *Aug 23 18:19:55.067: Se0/0/1 CHAP: Using hostname from unknown source *Aug 23 18:19:55.067: Se0/0/1 CHAP: Using password from AAA *Aug 23 18:19:55.067: Se0/0/1 CHAP: O RESPONSE id 2 len 23 from "R2" *Aug 23 18:19:55.071: Se0/0/1 CHAP: I RESPONSE id 48 len 23 from "R3" *Aug 23 18:19:55.071: Se0/0/1 PPP: Sent CHAP LOGIN Request *Aug 23 18:19:55.071: Se0/0/1 PPP: Received LOGIN Response PASS


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica *Aug 23 18:19:55.071: Se0/0/1 PPP: Sent LCP AUTHOR Request *Aug 23 18:19:55.075: Se0/0/1 PPP: Sent IPCP AUTHOR Request *Aug 23 18:19:55.075: Se0/0/1 LCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:55.075: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:55.075: Se0/0/1 CHAP: O SUCCESS id 48 len 4 *Aug 23 18:19:55.075: Se0/0/1 CHAP: I SUCCESS id 2 len 4 *Aug 23 18:19:55.075: Se0/0/1 PPP: Sent CDPCP AUTHOR Request *Aug 23 18:19:55.075: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:55.079: Se0/0/1 PPP: Sent IPCP AUTHOR Request *Aug 23 18:19:56.075: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 23 18:20:05.135: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R3#debug ppp authentication A depuração da autenticação PPP está ativa R3# *Aug 23 18:19:04.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to down R3# *Aug 23 18:19:04.494: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached *Aug 23 18:19:05.494: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down R3# *Aug 23 18:19:36.494: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to up *Aug 23 18:19:36.494: Se0/0/1 PPP: Using default call direction *Aug 23 18:19:36.494: Se0/0/1 PPP: Treating connection as a dedicated line *Aug 23 18:19:36.494: Se0/0/1 PPP: Session handle[3C000034] Session id[52] *Aug 23 18:19:36.494: Se0/0/1 PPP: Authorization required *Aug 23 18:19:36.498: Se0/0/1 CHAP: O CHALLENGE id 2 len 23 from "R3" *Aug 23 18:19:36.502: Se0/0/1 CHAP: I CHALLENGE id 48 len 23 from "R2" *Aug 23 18:19:36.502: Se0/0/1 CHAP: Using hostname from unknown source *Aug 23 18:19:36.506: Se0/0/1 CHAP: Using password from AAA *Aug 23 18:19:36.506: Se0/0/1 CHAP: O RESPONSE id 48 len 23 from "R3" *Aug 23 18:19:36.506: Se0/0/1 CHAP: I RESPONSE id 2 len 23 from "R2" R3# *Aug 23 18:19:36.506: Se0/0/1 PPP: Sent CHAP LOGIN Request *Aug 23 18:19:36.506: Se0/0/1 PPP: Received LOGIN Response PASS *Aug 23 18:19:36.510: Se0/0/1 PPP: Sent LCP AUTHOR Request *Aug 23 18:19:36.510: Se0/0/1 PPP: Sent IPCP AUTHOR Request *Aug 23 18:19:36.510: Se0/0/1 LCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:36.510: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS *Aug 23 18:19:36.510: Se0/0/1 CHAP: O SUCCESS id 2 len 4 *Aug 23 18:19:36.510: Se0/0/1 CHAP: I SUCCESS id 48 len 4 *Aug 23 18:19:36.514: Se0/0/1 PPP: Sent CDPCP AUTHOR Request *Aug 23 18:19:36.514: Se0/0/1 PPP: Sent IPCP AUTHOR Request *Aug 23 18:19:36.514: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS R3# *Aug 23 18:19:37.510: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica R3# *Aug 23 18:19:46.570: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3#

Tarefa 8: Interromper intencionalmente e restaurar autenticação PPP CHAP

Etapa 1: Interromper autenticação PPP CHAP.

No link serial entre R2 e R3, altere o protocolo de autenticação na interface serial 0/0/1 para PAP. R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int s0/0/1 R2(config-if)#ppp authentication pap R2(config-if)#^Z R2# *Aug 24 15:45:47.039: %SYS-5-CONFIG_I: Configured from console by console R2#copy run start Destination filename [startup-config]? Building configuration... [OK] R2#reload

Alterar o protocolo de autenticação para PAP na interface serial 0/0/1 interrompe a autenticação entre R2 e R3?

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

Etapa 2: Restaurar autenticação PPP CHAP no link serial.

Observe que não é necessário dar reload no roteador para que essa alteração entre em vigor. R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int s0/0/1 R2(config-if)#ppp authentication chap R2(config-if)# *Aug 24 15:50:00.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R2(config-if)# *Aug 24 15:50:07.467: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.30.1 on Serial0/0/1 from LOADING to FULL, Loading Done R2(config-if)#

Etapa 3: Interromper intencionalmente autenticação PPP CHAP, alterando a senha em R3. R3#conf t Enter configuration commands, one per line. End with CNTL/Z. R3(config)#username R2 password cisco R3(config)#^Z R3#


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica *Aug 24 15:54:17.215: %SYS-5-CONFIG_I: Configured from console by console R3#copy run start Destination filename [startup-config]? Building configuration... [OK] R3#reload

Após dar o comando reload, qual é o status do protocolo de linha na serial 0/0/1?

_____________________________________________________________________

_____________________________________________________________________

Etapa 4: Restaurar autenticação PPP CHAP, alterando a senha em R3. R3#conf t Enter configuration commands, one per line. End with CNTL/Z. R3(config)#username R2 password cisco R3(config)# *Aug 24 16:11:10.679: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R3(config)# *Aug 24 16:11:19.739: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/1 from LOADING to FULL, Loading Done R3(config)#

Tarefa 9: Documentar as configurações do roteador Em cada roteador, emita o comando show run e capture as configurações.

R1#show run !<saída do comando omitida> ! hostname R1 ! ! enable secret class ! ! ! no ip domain lookup ! username R1 password 0 cisco ! ! ! interface FastEthernet0/1 ip address 192.168.10.1 255.255.255.0 no shutdown ! ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 encapsulation ppp


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica clockrate 64000 ppp authentication pap ppp pap sent-username R2 password 0 cisco no shutdown ! ! ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 ! ! banner motd ^CCUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R2#show run !<saída do comando omitida> ! hostname R2 ! ! enable secret class ! ! no ip domain lookup ! username R3 password 0 cisco username R2 password 0 cisco ! ! ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 encapsulation ppp ppp authentication pap ppp pap sent-username R1 password 0 cisco no shutdown !


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.1: Laboratório de configuração PPP básica interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 encapsulation ppp clockrate 64000 ppp authentication chap no shutdown ! ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 network 209.165.200.224 0.0.0.31 area 0 ! ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R3#show run !<saída do comando omitida> ! hostname R3 ! ! enable secret class ! ! ! no ip domain lookup ! username R2 password 0 cisco ! ! ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no shutdown ! ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 encapsulation ppp ppp authentication chap no shutdown




! router ospf 1 network 10.2.2.0 0.0.0.3 area 0 network 192.168.30.0 0.0.0.255 area 0 ! ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end

Tarefa 10: Limpar Apague as configurações e recarregue os roteadores. Desconecte e guarde o cabeamento. Para PCs normalmente conectados a outras redes, como a LAN escolar ou a Internet), reconecte o cabeamento apropriado e restaure as configurações TCP/IP.

Laboratório 2.5.2: Configuração PPP avançada




Gateway padrão

R1

Fa0/1 10.0.0.1 255.255.255.128 N/A

S0/0/0 172.16.0.1 255.255.255.252 N/A

S0/0/1 172.16.0.9 255.255.255.252 N/A

R2

Lo0 209.165.200.161 255.255.255.224 N/A

S0/0/0 172.16.0.2 255.255.255.252 N/A

S0/0/1 172.16.0.5 255.255.255.252 N/A

R3 Fa0/1 10.0.0.129 255.255.255.128 N/A


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.2: Configuração PPP avançada

S0/0/0 172.16.0.10 255.255.255.252 N/A

S0/0/1 172.16.0.6 255.255.255.252 N/A

PC1 Placa de rede 10.0.0.10 255.255.255.128 10.0.0.1

PC3 Placa de rede 10.0.0.139 255.255.255.128 10.0.0.129


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Executar tarefas de configuração básica em um roteador. • Configurar e ativar interfaces. • Configurar o roteamento OSPF em todos os roteadores. • Configurar o encapsulamento PPP em todas as interfaces seriais. • Alterar o encapsulamento nas interfaces seriais de PPP para HDLC. • Interrompa e restaure o encapsulamento PPP CHAP intencionalmente. • Configurar autenticação PPP CHAP. • Interromper e restaurar autenticação PPP CHAP intencionalmente.

Cenário Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriais usando a rede mostrada no diagrama de topologia. Você também configurará a autenticação CHAP do PPP. Se você precisar de assistência, consulte o laboratório de configuração PPP básico, mas tente fazer isso por conta própria.














Tarefa 3: Configurar e ativar endereços Ethernet e serial


Etapa 2: Verificar o endereçamento IP e interfaces.


Etapa 4: Testar conectividade entre os PCs

Tarefa 4: Configurar o OSPF em roteadores

Etapa 1: Habilitar roteamento OSPF nos roteadores.

Etapa 2: Verificar se você tem total conectividade de rede.

Tarefa 5: Configurar o encapsulamento PPP em interfaces seriais

Etapa 1: Configurar PPP nas interfaces seriais de todos os três roteadores.

Etapa 2: Verificar se todas as interfaces seriais estão utilizando encapsulamento PPP.

Tarefa 6: Interromper e restaurar encapsulamento PPP intencionalmente

Etapa 1: Escolher uma forma de interromper encapsulamento PPP na rede.

Etapa 2: Restaurar conectividade completa com a rede.

Etapa 3: Verificar a conectividade completa com a rede.

Tarefa 7: Configurar autenticação PPP CHAP

Etapa 1: Configurar autenticação PPP CHAP em todos os links seriais.

Etapa 2: Verificar autenticação PPP CHAP em todos os links seriais.

Tarefa 8: Interromper e restaurar autenticação PPP CHAP intencionalmente

Etapa 1: Escolher uma forma de interromper autenticação PPP CHAP em um ou mais links seriais.

Etapa 2: Verificar se autenticação PPP CHAP foi desfeita.

Etapa 3: Restaurar autenticação PPP CHAP em todos os links seriais.

Etapa 4: Verificar autenticação PPP CHAP em todos os links seriais.



Laboratório 2.5.3: Identificação e solução de problemas de configuração PPP




Gateway padrão

R1

Fa0/1 10.0.0.1 255.255.255.128 N/A

S0/0/0 172.16.0.1 255.255.255.252 N/A

S0/0/1 172.16.0.9 255.255.255.252 N/A

R2

Lo0 209.165.200.161 255.255.255.224 N/A

S0/0/0 172.16.0.2 255.255.255.252 N/A

S0/0/1 172.16.0.5 255.255.255.252 N/A


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.3: Identificação e solução de problemas de configuração PPP

R3

Fa0/1 10.0.0.129 255.255.255.128 N/A

S0/0/0 172.16.0.10 255.255.255.252 N/A

S0/0/1 172.16.0.6 255.255.255.252 N/A

PC1 Placa de rede 10.0.0.10 255.255.255.128 10.0.0.1

PC3 Placa de rede 10.0.0.139 255.255.255.128 10.0.0.129


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Carregue roteadores com scripts. • Localize e corrija todos os erros de rede. • Documentar a rede corrigida.

Cenário Os roteadores da sua empresa foram configurados por um engenheiro de rede sem experiência. Vários erros na configuração resultaram em problemas de conectividade. Seu chefe lhe pediu para solucionar problemas, corrigir os erros de configuração e documentar seu trabalho. Com seus conhecimentos de PPP e métodos de teste padrão, identifique e corrija os erros. Certifique-se de que todos os links seriais usem autenticação PPP CHAP e de que todas as redes sejam alcançáveis.

Tarefa 1: Carregar os roteadores com os scripts fornecidos

R1 enable configure terminal ! hostname R1 ! enable secret class ! no ip domain lookup ! username R2 password 0 cisco ! interface FastEthernet0/0 ip address 10.0.0.1 255.255.255.128 shutdown duplex auto speed auto ! interface FastEthernet0/1 duplex auto speed auto ! interface Serial0/0/0


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.3: Identificação e solução de problemas de configuração PPP ip address 172.16.0.1 255.255.255.248 no fair-queue clockrate 64000 ! interface Serial0/0/1 ip address 172.16.0.9 255.255.255.252 encapsulation ppp ppp authentication pap ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.127 area 0 network 172.16.0.4 0.0.0.3 area 0 network 172.16.0.8 0.0.0.3 area 0 ! ip classless ! ip http server ! control-plane ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R2 enable configure terminal ! hostname R2 ! enable secret class ! no ip domain lookup ! username R1 password 0 cisco username R3 password 0 class ! interface Loopback0 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.3: Identificação e solução de problemas de configuração PPP ! interface FastEthernet0/1 ip address 209.165.200.161 255.255.255.224 shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.0.2 255.255.255.252 encapsulation ppp no fair-queue ppp authentication chap ! interface Serial0/0/1 ip address 172.16.0.5 255.255.255.252 ! router ospf 1 log-adjacency-changes network 172.16.0.0 0.0.0.3 area 0 network 172.16.0.4 0.0.0.3 area 0 network 209.165.200.128 0.0.0.31 area 0 ! ip classless ! ip http server ! control-plane ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end R3 enable configure terminal ! hostname R3 ! enable secret class ! no ip domain lookup ! username R1 password 0 cisco username R3 password 0 ciscco !


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.3: Identificação e solução de problemas de configuração PPP interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.0.129 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.0.10 255.255.255.252 no fair-queue clockrate 64000 ! interface Serial0/0/1 encapsulation ppp ppp authentication pap ! router ospf 1 log-adjacency-changes network 10.0.0.128 0.0.0.127 area 0 network 192.16.0.4 0.0.0.3 area 0 network 192.16.0.8 0.0.0.3 area 0 ! ip classless ! ip http server ! control-plane ! banner motd ^CUnauthorized access strictly prohibited and prosecuted to the full extent of the law^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end


CCNA Exploration Acessando a WAN: PPP Laboratório 2.5.3: Identificação e solução de problemas de configuração PPP


Tarefa 2: Localizar e corrigir todos erros de rede

Tarefa 3: Documentar a rede corrigida Agora que você corrigiu todos os erros e testou a conectividade em toda a rede, documente a configuração final de cada dispositivo.



Laboratório 3.5.1: Frame Relay básico




Gateway padrão

R1 Fa0/0 192.168.10.1 255.255.255.0 N/A

S0/0/1 10.1.1.1 255.255.255.252 N/A

R2 S0/0/1 10.1.1.2 255.255.255.252 N/A

Lo 0 209.165.200.225 255.255.255.224 N/A

S1 VLAN1 192.168.10.2 255.255.255.0 192.168.10.1

PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão.

CCNA Exploration

Acessando a WAN: Frame Relay Laboratório 3.5.1: Frame Relay básico


• Execute tarefas de configuração básica em um roteador. • Configurar e ativar interfaces. • Configure o roteamento EIGRP em todos os roteadores. • Configure encapsulamento Frame Relay em todas as interfaces seriais. • Configurar um roteador como um switch de Frame Relay. • Compreender a saída dos comandos show frame-relay. • Aprender os efeitos do comando debug frame-relay lmi. • Interromper intencionalmente e restaurar um link de Frame Relay. • Alterar o tipo de encapsulamento Frame Relay do padrão Cisco para IETF. • Alterar o tipo de LMI Frame Relay de Cisco para ANSI. • Configurar uma subinterface Frame Relay.

Cenário Neste laboratório, você irá aprender a configurar o encapsulamento Frame Relay em links seriais usando a rede mostrada no diagrama de topologia. Você também aprenderá a configurar um roteador como um switch frame relay. Há padrões Cisco e padrões abertos que se aplicam ao Frame Relay. Você aprenderá ambos. Preste atenção especial na seção de laboratório em que você divide intencionalmente as configurações de Frame Relay. Isso o ajudará no laboratório de solução de problemas associado a este capítulo.



Você pode utilizar qualquer roteador atual em seu laboratório contanto que ele tenha as interfaces exigidas mostradas na topologia. Os laboratórios de Frame Relay, diferentemente dos outros laboratórios em Exploration 4, têm dois links DCE no mesmo roteador. Não se esqueça de alterar seu cabeamento para refletir o diagrama da topologia. Nota: Se você utilizar roteadores 1700, 2500 ou 2600, a saída do comando do roteador e as descrições da interface serão exibidas de maneira diferente.


Tarefa 2: Executar as configurações básicas do roteador Configure os roteadores R1 e R2, além do switch S1, de acordo com as seguintes diretrizes:







• Configure endereços IP em R1 e R2.

Importante: deixe as interfaces seriais desativadas.

• Habilite EIGRP AS 1 em R1 e R2 em todas as redes.

CCNA Exploration



Basic configurations for all routers

enable configure terminal hostname [R1, R2, FR-Switch]

no ip domain-lookup enable secret class banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! ! ! line console 0 logging synchronous password cisco login ! line vty 0 4 password cisco login end copy running-config startup-config

Basic configurations for switch

enable configure terminal hostname [S1]

no ip domain-lookup enable secret class banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! ! ! line console 0 logging synchronous password cisco login ! line vty 0 15 password cisco login end copy running-config startup-config

CCNA Exploration



R1

interface serial 0/0/1 ip address 10.1.1.1 255.255.255.252 shutdown

!As interfaces seriais devem permanecer desativadas até que o !switch Frame Relay seja configurado

interface fastethernet 0/0 ip address 192.168.10.1 255.255.255.0 no shutdown router eigrp 1 no auto-summary network 10.0.0.0 network 192.168.10.0

!

R2

interface serial 0/0/1 ip address 10.1.1.2 255.255.255.252 shutdown

!As interfaces seriais devem permanecer desativadas até que o !switch Frame Relay seja configurado

interface loopback 0 ip address 209.165.200.225 255.255.255.224 router eigrp 1 no auto-summary network 10.0.0.0 network 209.165.200.0

!

Tarefa 3: Configurar Frame Relay Agora você irá configurar uma conexão Frame Relay ponto a ponto básica entre os roteadores 1 e 2. Você primeiro precisa configurar FR Switch como um switch Frame Relay e criar DLCIs.

O que DLCI significa? _________________________________________________________________________

Para que um DLCI é utilizado? _____________________________________________________________________________ _____________________________________________________________________________

CCNA Exploration



O que é um PVC e como ele é utilizado? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

Etapa 1: Configurar FR Switch como um switch Frame Relay e criar um PVC entre R1 e R2.

Este comando permite a comutação Frame Relay globalmente no roteador, permitindo encaminhar quadros com base no DLCI de entrada, e não no endereço IP:

FR-Switch(config)#frame-relay switching

Altere o tipo de encapsulamento da interface para Frame Relay. Assim como HDLC ou PPP, Frame Relay é um protocolo da camada de enlace que especifica o enquadramento do tráfego da Camada 2.

FR-Switch(config)#interface serial 0/0/0 FR-Switch(config)#clock rate 64000

FR-Switch(config-if)#encapsulation frame-relay

A alteraração do tipo de interface para DCE solicita ao roteador que envie keepalives LMI e permite aplicar instruções de rota Frame Relay. Você não pode configurar PVCs utilizando o comando frame-relay route entre duas interfaces DTE Frame Relay.

FR-Switch(config-if)#frame-relay intf-type dce

Nota: os tipos de interface Frame Relay não precisam corresponder ao tipo de interface física subjacente. Uma interface serial DTE física pode funcionar como uma interface DCE Frame Relay e uma interface DCE física pode funcionar como uma interface DTE Frame Relay lógica.

Configure o roteador para encaminhar tráfego de entrada na interface serial 0/0/0 com DLCI 102 para serial 0/0/1 com uma DLCI de saída 201.

FR-Switch(config-if)#frame-relay route 102 interface serial 0/0/1 201 FR-Switch(config-if)#no shutdown

Essa configuração cria dois PVCs: uma de R1 para R2 (DLCI 102) e uma de R2 para R1 (DLCI 201). Você pode verificar a configuração utilizando o comando show frame-relay pvc.

FR-Switch(config-if)#interface serial 0/0/1 FR-Switch(config)#clock rate 64000 FR-Switch(config-if)#encapsulation frame-relay FR-Switch(config-if)#frame-relay intf-type dce FR-Switch(config-if)#frame-relay route 201 interface serial 0/0/0 102 FR-Switch(config-if)#no shutdown

FR-Switch#show frame-relay pvc

Estatísticas PVC de interface Serial0/0/0 (Frame Relay DCE) Active Inactive Deleted Static Local 0 0 0 0 Switched 0 1 0 0 Unused 0 0 0 0 DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/0

CCNA Exploration



input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:03:33, last time pvc status changed 00:00:19 Estatísticas PVC de interface Serial0/0/1 (Frame Relay DCE) Active Inactive Deleted Static Local 0 0 0 0 Switched 0 1 0 0 Unused 0 0 0 0 DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/1 input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:02:02, last time pvc status changed 00:00:18

Observe o 1 na coluna Inativa. O PVC criado não tem nenhuma extremidade configurada. O switch Frame Relay sabe disso e marcou o PVC como Inativo.

Emita o comando show frame-relay route. Esse comando mostra uma rota Frame Relay existente, suas interfaces, DLCIs e status. Essa é a rota de Camada 2 que o tráfego Frame Relay transporta pela rede. Não o confunda com roteamento IP de Camada 3. FR-Switch#show frame-relay route

Input Intf Input Dlci Output Intf Output Dlci Status Serial0/0/0 102 Serial0/0/1 201 inativo

CCNA Exploration



Serial0/0/1 201 Serial0/0/0 102 inativo

Etapa 2: Configurar R1 para Frame Relay.

Inverse ARP permite a extremidades distantes de um link Frame Relay detectar dinamicamente umas as outras e fornece um método dinâmico de mapeamento de endereços IP para DLCIs. Embora seja útil, o inverse ARP nem sempre é confiável. A prática recomendada é mapear estaticamente endereços IP para DLCIs e desabilitar inverse-arp.

R1(config)#interface serial 0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#no frame-relay inverse-arp

Por que você desejaria mapear um endereço IP para um DLCI? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

O comando frame-relay map mapeia estaticamente um endereço IP para um DLCI. Além de mapear o IP para um DLCI, o software Cisco IOS permite mapear vários outros endereços do protocolo da Camada 3. A palavra-chave broadcast no comando a seguir envia um tráfego de multicast ou broadcast com destino a este link pelo DLCI. A maioria dos protocolos de roteamento exige a palavra-chave broadcast para funcionar corretamente em Frame Relay. Você pode utilizar a palavra-chave broadcast em vários DLCIs na mesma interface. O tráfego é replicado para todos os PVCs.

R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast

Para que o roteador seja capaz de executar ping na interface, um segundo mapa deve ser criado para mapear o DLCI para a interface local.

R1(config-if)#frame-relay map ip 10.1.1.1 102

O DLCI é mapeado para o endereço IP local ou o endereço IP na outra extremidade do PVC? _____________________________________________________________________________

R1(config-if)#no shutdown

Por que o comando no shutdown é utilizado depois do comando no frame-relay inverse-arp? _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________ _________________________________________________________________________

Etapa 3: Configurar R2 para Frame Relay. R2(config)#interface serial 0/0/1 R2(config-if)#encapsulation frame-relay R2(config-if)#no frame-relay inverse-arp

CCNA Exploration



R2(config-if)#frame-relay map ip 10.1.1.1 201 broadcast

Para que o roteador seja capaz de executar ping na interface, um segundo mapa deve ser criado para mapear o DLCI para a interface local. R2(config-if)#frame-relay map ip 10.1.1.2 201 R2(config-if)#no shutdown

A esta altura, você recebe mensagens indicando que as interfaces foram ativadas e que a adjacência de vizinho EIGRP foi estabelecida.

R1#*Sep 9 17:05:08.771: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency

R2#*Sep 9 17:05:47.691: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1 (Serial0/0/1) is up: new adjacency

O comando show ip route mostra tabelas de roteamento completas.

R1: R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C 192.168.10.0/24 is directly connected, FastEthernet0/0 D 209.165.200.0/24 [90/20640000] via 10.1.1.2, 00:00:07, Serial0/0/1 10.0.0.0/30 is subnetted, 1 subnets C 10.1.1.0 is directly connected, Serial0/0/1

R2: R2#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

D 192.168.10.0/24 [90/20514560] via 10.1.1.1, 00:26:03, Serial0/0/1 209.165.200.0/27 is subnetted, 1 subnets C 209.165.200.224 is directly connected, Loopback0 10.0.0.0/30 is subnetted, 1 subnets C 10.1.1.0 is directly connected, Serial0/0/1

CCNA Exploration



Tarefa 4: Verificar as configurações Agora você deve ser capaz de executar ping de R1 para R2. Pode demorar vários segundos para que o PVC seja ativado após a ativação das interfaces. Você também pode ver rotas EIGRP para cada roteador.

Etapa 1: Executar ping entre R1 e R2.

Assegure-se de que você possa executar ping do roteador R2 no roteador R1.

R1#ping 10.1.1.2

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms R2#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms

Etapa 2: Obter informações de PVC.

O comando show frame-relay pvc exibe as informações de todos os PVCs configurados no roteador. A saída do comando também inclui o DLCI associado.

R1: R1#show frame-relay pvc PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Active Inactive Deleted Static Local 1 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 5 output pkts 5 in bytes 520 out bytes 520 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 10:26:41, last time pvc status changed 00:01:04

CCNA Exploration



R2: R2#show frame-relay pvc PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Active Inactive Deleted Static Local 1 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 5 output pkts 5 in bytes 520 out bytes 520 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 10:25:31, last time pvc status changed 00:00:00

Switch FR: FR-Switch#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DCE) Active Inactive Deleted Static Local 0 0 0 0 Switched 1 0 0 0 Unused 0 0 0 0 DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 10:28:31, last time pvc status changed 00:03:57

CCNA Exploration



PVC Statistics for interface Serial0/0/1 (Frame Relay DCE) Active Inactive Deleted Static Local 0 0 0 0 Switched 1 0 0 0 Unused 0 0 0 0 DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 10:27:00, last time pvc status changed 00:04:03

Etapa 3: Verificar mapeamentos Frame Relay.

O comando show frame-relay map exibe informações sobre os mapeamentos estáticos e dinâmicos de endereços da Camada 3 para DLCIs. Como o ARP inverso foi desativado, só há mapas estáticos.

R1: R1#show frame-relay map Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static, broadcast, CISCO, status defined, active

R2: R2#show frame-relay map Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static, broadcast, CISCO, status defined, active

Switch FR:

Como FR Switch funciona como um dispositivo de Camada 2, não há necessidade de mapear endereços da Camada 3 para DLCIs da Camada 2.

CCNA Exploration



Etapa 4: Depurar a LMI Frame Relay.

Para que serve a LMI em uma rede Frame Relay? _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

Quais são os três tipos diferentes de LMI? _____________________________________________________________________________

Que DLCI a LMI Cisco opera? _____________________________________________________________________________

Execute o comando debug frame-relay lmi. A saída do comando fornece informações detalhadas sobre todos os dados LMI. Como keepalives são enviados a cada 10 segundos, talvez você precise aguardar até ver uma saída do comando.

A saída do comando debug mostra dois pacotes LMI: o primeiro de saída e o segundo de entrada.

R1#debug frame-relay lmi Frame Relay LMI debugging is on Displaying all Frame Relay LMI data R1# *Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up *Aug 24 06:19:15.920: datagramstart = 0xE73F24F4, datagramsize = 13 *Aug 24 06:19:15.920: FR encap = 0xFCF10309 *Aug 24 06:19:15.920: 00 75 01 01 00 03 02 C4 C3 *Aug 24 06:19:15.920: *Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21 *Aug 24 06:19:15.924: RT IE 1, length 1, type 0 *Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196 *Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0 R1#undebug all Port Statistics for unclassified packets is not turned on. All possible debugging has been turned off

Observe que a saída do comando mostra um pacote LMI de saída com um número de sequência 196. A última mensagem LMI recebida do FR Switch tinha o número de sequência 195.

CCNA Exploration



*Aug 24 06:19:15.920: Serial0/0/1(out): StEnq, myseq 196, yourseen 195, DTE up

Esta linha indica uma mensagem LMI de entrada do FR Switch para R1 com número de sequência 196.

*Aug 24 06:19:15.924: Serial0/0/1(in): Status, myseq 196, pak size 21

FR Switch enviou isso como número de sequência 196 (myseq), e a última mensagem LMI recebida pelo FR-Switch de R1 tinha o número de sequência 196 (yourseq).

*Aug 24 06:19:15.924: KA IE 3, length 2, yourseq 196, myseq 196

DLCI 102 é o único DLCI neste link, sendo o atualmente ativo.

*Aug 24 06:19:15.924: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0

Tarefa 5: Identificação e solução de problemas Frame Relay. Há várias ferramentas disponíveis para identificação e solução de problemas de conectividade Frame Relay. Para obter informações sobre como identificar e solucionar problemas, você irá encerrar a conexão Frame Relay estabelecida anteriormente e, em seguida, restabelecê-la.

Etapa 1: Remover o mapa de quadro de R1. R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#no frame-relay map ip 10.1.1.2 102 broadcast

Agora que você removeu a instrução do mapa de quadro de R1, tente executar ping no roteador R1 a partir do roteador R2. Você não obterá nenhuma resposta. R2#ping 10.1.1.1

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)

Além disso, você deve obter mensagens da console informando que a adjacência EIGRP é ativada e desativada.

R1(config-if)#*Sep 9 17:28:36.579: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is down: Interface Goodbye received

R1(config-if)#*Sep 9 17:29:32.583: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is up: new adjacency

R1(config-if)#*Sep 9 17:32:37.095: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.2 (Serial0/0/1) is down: retry limit exceeded

R2#*Sep 9 17:29:15.359: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1 (Serial0/0/1) is down: holding time expired

Emita o comando debug ip icmp em R1: R1#debug ip icmp

ICMP packet debugging is on

CCNA Exploration



Agora execute ping na interface serial de R1 novamente. A mensagem de depuração a seguir é exibida em R1: R2#ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5) R1#*Sep 9 17:42:13.415: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2 R1#*Sep 9 17:42:15.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2 R1#*Sep 9 17:42:17.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2 R1#*Sep 9 17:42:19.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2 R1#*Sep 9 17:42:21.411: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

Conforme mostrado por essa mensagem de depuração, o pacote ICMP de R2 está atingindo R1.

Por que há falha no ping? _____________________________________________________________________________ _____________________________________________________________________________

Emitir o comando show frame-relay map retorna uma linha em branco. R1#show frame-relay map

R1#

Desative toda a depuração com o comando undebug all e reaplique o comando frame-relay map ip, mas sem utilizar a palavra-chave broadcast. R1#undebug all

Port Statistics for unclassified packets is not turned on.

All possible debugging has been turned off

R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0/1 R1(config-if)#encapsulation frame-relay R1( frame-relay map ip 10.1.1.2 102 config-if)#R2#ping 10.1.1.1

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/41/44 ms

Observe que, muito embora haja êxito nos pings, a adjacência EIGRP continua “caindo” (sendo ativada e desativada).

CCNA Exploration







Por que a adjacência EIGRP continua caindo? _____________________________________________________________________________ _____________________________________________________________________________

Substitua a instrução do mapa Frame Relay e inclua a palavra-chave broadcast desta vez. Verifique se a tabela de roteamento completa é restaurada e se você tem conectividade fim-a-fim completa. R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0/1 R1(config-if)#encapsulation frame-relay R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.10.0/24 is directly connected, FastEthernet0/0 209.165.200.0/27 is subnetted, 1 subnets

D 209.165.200.224 [90/20640000] via 10.1.1.2, 00:00:05, Serial0/0/1 10.0.0.0/30 is subnetted, 1 subnets

C 10.1.1.0 está conectado diretamente, Serial0/0/1

Etapa 2: Alterar o tipo de encapsulamento Frame Relay.

O software IOS Cisco dá suporte a dois tipos de encapsulamento Frame Relay: o encapsulamento Cisco padrão e o encapsulamento IETF . Altere o encapsulamento Frame Relay em serial0/0/1 no R2 para IETF.

R2(config-if)#encapsulation frame-relay ietf

Observe se a interface não é desativada. Você pode se surpreender com isso. Os roteadores Cisco podem interpretar corretamente quadros Frame Relay que utilizam o encapsulamento Frame Relay Cisco padrão ou o encapsulamento Frame Relay IETF. Se a rede for composta integralmente de roteadores Cisco, não fará nenhuma diferença utilizar o encapsulamento Frame Relay Cisco padrão ou o IETF. Os roteadores Cisco compreendem ambos os tipos de quadros de entrada. No entanto, se você tiver roteadores de fornecedores diferentes que utilizam Frame Relay, o padrão IETF deverá ser utilizado. O comando encapsulation frame-relay ietf força o roteador Cisco a encapsular seus quadros de

CCNA Exploration



saída utilizando o padrão IETF. Esse padrão pode ser compreendido corretamente pelo roteador de outro fornecedor.

R2#show interface serial 0/0/1 Serial0/0/1 is up, line protocol is up Hardware is GT96K Serial Internet address is 10.1.1.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation FRAME-RELAY IETF, loopback not set <saída do comando omitida>

FR-Switch#show int s0/0/0 Serial0/0/0 is up, line protocol is up Hardware is GT96K Serial MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation FRAME-RELAY, loopback not set

Observe a diferença na saída entre os dois comandos show interface. Também observe se a adjacência EIGRP ainda está ativada. Embora estejam utilizando tipos de encapsulamento diferentes, FR Switch e R2 ainda estão passando tráfego.

Altere o tipo de encapsulamento novamente para o padrão:

R2(config-if)#encapsulation frame-relay

Etapa 4: Alterar o tipo LMI.

Em R2, altere o tipo LMI para ANSI. R2#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface serial 0/0/1 R2(config-if)#encapsulation frame-relay R2(config-if)#frame-relay lmi-type ansi R2(config-if)#^Z R2#copy run start Destination filename [startup-config]? Building configuration... [OK]

*Sep 9 18:41:08.351: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to down

*Sep 9 18:41:08.351: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1 (Serial0/0/1) is down: interface down

R2#show interface serial 0/0/1

Serial0/0/1 is up, line protocol is down

R2#show frame-relay lmi

LMI Statistics for interface Serial0/0/1 (Frame Relay DTE) LMI TYPE = ANSI

CCNA Exploration



Invalid Unnumbered info 0 Invalid Prot Disc 0 Invalid dummy Call Ref 0 Invalid Msg Type 0 Invalid Status Message 0 Invalid Lock Shift 0 Invalid Information ID 0 Invalid Report IE Len 0 Invalid Report Request 0 Invalid Keep IE Len 0 Num Status Enq. Sent 1391 Num Status msgs Rcvd 1382 Num Update Status Rcvd 0 Num Status Timeouts 10 Last Full Status Req 00:00:27 Last Full Status Rcvd 00:00:27

Se continuar emitindo o comando show frame-relay lmi, você observará um aumento nos tempos realçados . Após 60 segundos, a interface altera seu estado para Up Down, porque R2 e FR Switch deixaram de trocar keepalives ou outras informações sobre status do link.

Execute o comando debug frame-relay lmi. Observe que os pacotes LMI deixam de ser mostrados em pares. Enquanto todas as mensagens LMI de saída são registradas em log, nenhuma mensagem de entrada é mostrada. Isso porque R2 está esperando ANSI LMI, e FR Switch está enviando Cisco LMI.

R2#debug frame-relay lmi

*Aug 25 04:34:25.774: Serial0/0/1(out): StEnq, myseq 20, yourseen 0, DTE down *Aug 25 04:34:25.774: datagramstart = 0xE73F2634, datagramsize = 14 *Aug 25 04:34:25.774: FR encap = 0x00010308 *Aug 25 04:34:25.774: 00 75 95 01 01 00 03 02 14 00 *Aug 25 04:34:25.774:

Deixe a depuração ativada e restaure o tipo LMI para Cisco em R2. R2(config-if)#frame-relay lmi-type cisco *Aug 25 04:42:45.774: Serial0/0/1(out): StEnq, myseq 2, yourseen 1, DTE down *Aug 25 04:42:45.774: datagramstart = 0xE7000D54, datagramsize = 13 *Aug 25 04:42:45.774: FR encap = 0xFCF10309 *Aug 25 04:42:45.774: 00 75 01 01 01 03 02 02 01 *Aug 25 04:42:45.774: *Aug 25 04:42:45.778: Serial0/0/1(in): Status, myseq 2, pak size 21 *Aug 25 04:42:45.778: RT IE 1, length 1, type 0 *Aug 25 04:42:45.778: KA IE 3, length 2, yourseq 2 , myseq 2 *Aug 25 04:42:45.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0 *Aug 25 04:42:55.774: Serial0/0/1(out): StEnq, myseq 3, yourseen 2, DTE up *Aug 25 04:42:55.774: datagramstart = 0xE7001614, datagramsize = 13 *Aug 25 04:42:55.774: FR encap = 0xFCF10309 *Aug 25 04:42:55.774: 00 75 01 01 01 03 02 03 02 *Aug 25 04:42:55.774: *Aug 25 04:42:55.778: Serial0/0/1(in): Status, myseq 3, pak size 21 *Aug 25 04:42:55.778: RT IE 1, length 1, type 0 *Aug 25 04:42:55.778: KA IE 3, length 2, yourseq 1 , myseq 3 *Aug 25 04:42:55.778: PVC IE 0x7 , length 0x6 , dlci 201, status 0x2 , bw 0 *Aug 25 04:42:56.774: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up

Como você pode ver, o número de sequência LMI foi redefinido como 1, e R2 começou a compreender as mensagens LMI que chegam do FR Switch. Após a troca de mensagens LMI entre FR Switch e R2, a interface alterou seu estado para Up.

CCNA Exploration



Tarefa 6: Configurar uma subinterface Frame Relay Frame Relay dá suporte a dois tipos de sub-interfaces: ponto-a-ponto e ponto-a-multiponto. As interfaces ponto-a-multiponto dão suporte a topologias multiacesso não broadcast. Por exemplo, uma topologia hub-and-spoke utilizaria uma sub-interface ponto-a-multiponto. Neste laboratório, você irá criar uma sub-interface ponto-a-ponto.

Etapa 1: Em FR Switch, criar um novo PVC entre R1 e R2. FR-Switch(config)#interface serial 0/0/0 FR-Switch(config-if)#frame-relay route 112 interface serial 0/0/1 212 FR-Switch(config-if)#interface serial 0/0/1 FR-Switch(config-if)#frame-relay route 212 interface serial 0/0/0 112

Etapa 2: Criar e configurar uma sub-interface ponto-a-ponto em R1.

Crie subinterface 112 como uma interface ponto-a-ponto. Para que as sub-interfaces sejam criadas, o encapsulamento Frame Relay deve ser especificado na interface física. R1(config)#interface serial 0/0/1.112 point-to-point R1(config-subif)#ip address 10.1.1.5 255.255.255.252 R1(config-subif)#frame-relay interface-dlci 112

Etapa 3: Criar e configurar uma sub-interface ponto-a-ponto em R2. R2(config)#interface serial 0/0/1.212 point-to-point R2(config-subif)#ip address 10.1.1.6 255.255.255.252 R2(config-subif)#frame-relay interface-dlci 212

Etapa 4: Verificar conectividade.

Você deve ser capaz de executar ping em todo o novo PVC. R1#ping 10.1.1.6 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.6, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms R2#ping 10.1.1.5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.5, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms

Você também pode verificar a configuração utilizando os comandos show frame-relay pvc e show frame-relay map na Tarefa 4.

R1: R1#show frame-relay pvc

PVC Statistics for interface Serial0/0/1 (Frame Relay DTE)

CCNA Exploration



Active Inactive Deleted Static Local 2 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 319 output pkts 279 in bytes 20665 out bytes 16665 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 193 out bcast bytes 12352 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 04:43:35, last time pvc status changed 01:16:05 DLCI = 112, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1.112 input pkts 15 output pkts 211 in bytes 2600 out bytes 17624 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 200 out bcast bytes 16520 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:19:16, last time pvc status changed 00:18:56

R2: R2#show frame-relay pvc

PVC Statistics for interface Serial0/0/1 (Frame Relay DTE) Active Inactive Deleted Static Local 2 0 0 0 Switched 0 0 0 0 Unused 0 0 0 0 DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 331 output pkts 374 in bytes 19928 out bytes 24098 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 331 out bcast bytes 21184 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 05:22:55, last time pvc status changed 01:16:36

CCNA Exploration



DLCI = 212, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1.212 input pkts 217 output pkts 16 in bytes 18008 out bytes 2912 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 6 out bcast bytes 1872 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:19:37, last time pvc status changed 00:18:57

Switch FR: FR-Switch#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DCE) Active Inactive Deleted Static Local 0 0 0 0 Switched 2 0 0 0 Unused 0 0 0 0 DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 input pkts 335 output pkts 376 in bytes 20184 out bytes 24226 dropped pkts 2 in pkts dropped 2 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 333 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 2 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 05:23:43, last time pvc status changed 01:18:32 DLCI = 112, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 input pkts 242 output pkts 18 in bytes 20104 out bytes 3536 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 242 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0

CCNA Exploration



in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:21:41, last time pvc status changed 00:21:22 PVC Statistics for interface Serial0/0/1 (Frame Relay DCE) Active Inactive Deleted Static Local 0 0 0 0 Switched 2 0 0 0 Unused 0 0 0 0 DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 376 output pkts 333 in bytes 24226 out bytes 20056 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 376 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 05:23:14, last time pvc status changed 01:39:39 DLCI = 212, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/1 input pkts 18 output pkts 243 in bytes 3536 out bytes 20168 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 18 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt too big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:21:36, last time pvc status changed 00:21:20

R1: R1#show frame-relay map

Serial0/0/1 (up): ip 10.1.1.2 dlci 102(0x66,0x1860), static, broadcast, CISCO, status defined, active Serial0/0/1.112 (up): point-to-point dlci, dlci 112(0x70,0x1C00), broadcast status defined, active

CCNA Exploration



R2: R2#show frame-relay map

Serial0/0/1 (up): ip 10.1.1.1 dlci 201(0xC9,0x3090), static, broadcast, CISCO, status definido, ativo Serial0/0/1.212 (up): point-to-point dlci, dlci 212(0xD4,0x3440), broadcast status defined, active

FR Switch: FR-Switch#show frame-relay route

Input Intf Input Dlci Output Intf Output Dlci Status Serial0/0/0 102 Serial0/0/1 201 ativo Serial0/0/0 112 Serial0/0/1 212 ativo Serial0/0/1 201 Serial0/0/0 102 ativo Serial0/0/1 212 Serial0/0/0 112 ativo

Agora depure a LMI Frame Relay. R1#debug frame-relay lmi

*Aug 25 05:58:50.902: Serial0/0/1(out): StEnq, myseq 136, yourseen 135, DTE up *Aug 25 05:58:50.902: datagramstart = 0xE7000354, datagramsize = 13 *Aug 25 05:58:50.902: FR encap = 0xFCF10309 *Aug 25 05:58:50.902: 00 75 01 01 00 03 02 88 87 *Aug 25 05:58:50.902: *Aug 25 05:58:50.906: Serial0/0/1(in): Status, myseq 136, pak size 29 *Aug 25 05:58:50.906: RT IE 1, length 1, type 0 *Aug 25 05:58:50.906: KA IE 3, length 2, yourseq 136, myseq 136 *Aug 25 05:58:50.906: PVC IE 0x7 , length 0x6 , dlci 102, status 0x2 , bw 0 *Aug 25 05:58:50.906: PVC IE 0x7 , length 0x6 , dlci 112, status 0x2 , bw 0 Observe que são listados dois DLCIs na mensagem LMI de FR Switch para R1. R2#debug frame-relay lmi

*Aug 25 06:08:35.774: Serial0/0/1(out):StEnq, myseq 7,yourseen 4,DTE up *Aug 25 06:08:35.774: datagramstart = 0xE73F28B4, datagramsize = 13 *Aug 25 06:08:35.774: FR encap = 0xFCF10309 *Aug 25 06:08:35.774: 00 75 01 01 00 03 02 07 04 *Aug 25 06:08:35.774: *Aug 25 06:08:35.778: Serial0/0/1(in): Status, myseq 7, pak size 29 *Aug 25 06:08:35.778: RT IE 1, length 1, type 0 *Aug 25 06:08:35.778: KA IE 3, length 2, yourseq 5 , myseq 7 *Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 201, status 0x2, bw 0 *Aug 25 06:08:35.778: PVC IE 0x7,length 0x6, dlci 212, status 0x2, bw 0

CCNA Exploration



Configurações finais R1#show run <saída do comando omitida> ! hostname R1 enable secret class no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 no shutdown ! interface Serial0/0/1 ip address 10.1.1.1 255.255.255.252 encapsulation frame-relay frame-relay map ip 10.1.1.2 102 broadcast no frame-relay inverse-arp no shutdown ! interface Serial0/0/1.112 point-to-point ip address 10.1.1.5 255.255.255.252 frame-relay interface-dlci 112 ! router eigrp 1 network 10.0.0.0 network 192.168.10.0 no auto-summary ! ! banner motd ^CUnauthorized access prohibited, violators will be prosecuted to the full extent of the law.^C ! line con 0 password cisco logging synchronous login line aux 0 line vty 0 4 login password cisco ! end R2#show run <saída do comando omitida> ! hostname R2 ! ! enable secret class ! ! no ip domain lookup

CCNA Exploration



! ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! ! interface Serial0/0/1 ip address 10.1.1.2 255.255.255.252 encapsulation frame-relay frame-relay map ip 10.1.1.1 201 broadcast no frame-relay inverse-arp frame-relay lmi-type cisco no shutdown ! interface Serial0/0/1.212 point-to-point ip address 10.1.1.6 255.255.255.252 frame-relay interface-dlci 212 ! router eigrp 1 network 10.0.0.0 network 209.165.200.0 no auto-summary ! ! line con 0 password cisco logging synchronous login line aux 0 line vty 0 4 password cisco login ! end FR-Switch#show run <saída do comando omitida> ! hostname FR-Switch ! enable secret class ! no ip domain lookup switch frame relay ! ! ! ! interface Serial0/0/0 no ip address encapsulation frame-relay clockrate 64000 frame-relay intf-type dce frame-relay route 102 interface Serial0/0/1 201 frame-relay route 112 interface Serial0/0/1 212 no shutdown

CCNA Exploration



! interface Serial0/0/1 no ip address encapsulation frame-relay clock rate 64000 frame-relay intf-type dce frame-relay route 201 interface Serial0/0/0 102 frame-relay route 212 interface Serial0/0/0 112 no shutdown ! ! line con 0 password cisco login line aux 0 line vty 0 4 password cisco login ! end

Laboratório 3.5.2: Configuração avançada de Frame Relay




R1 Fa0/1 172.16.1.254 255.255.255.0 N/A

S0/0/0 10.1.2.1 255.255.255.252 N/A

R2 Fa0/1 172.16.2.254 255.255.255.0 N/A

S0/0/1 10.1.2.2 255.255.255.252 N/A

PC1 Placa de rede 172.16.1.1 255.255.255.0 172.16.1.254

PC3 Placa de rede 172.16.2.1 255.255.255.0 172.16.2.254


CCNA Exploration Acessando a WAN: Frame Relay Laboratório 3.5.2: Configuração avançada de Frame Relay


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Execute tarefas de configuração básica em um roteador. • Configurar e ativar interfaces. • Configure o roteamento EIGRP em todos os roteadores. • Configurar o encapsulamento Frame Relay em todas as interfaces seriais. • Configurar um PVC Frame Relay. • Interromper intencionalmente e restaurar um PVC Frame Relay. • Configurar subinterfaces Frame Relay. • Interromper e restaurar o PVC intencionalmente.

Cenário Neste laboratório, você irá configurar o Frame Relay usando a rede mostrada no diagrama de topologia. Se você precisar de assistência, consulte o laboratório de Frame Relay básico. No entanto, tente fazer o máximo possível.














Tarefa 3: Configurar endereços IP

Etapa 1: Configurar endereços IP em todos os links de acordo com a tabela de endereçamento.

Etapa 2: Verificar o endereçamento IP e interfaces.

Etapa 3. Ativar interfaces Ethernet de R1 e R2. Não ative as interfaces seriais.


Etapa 5: Testar a conectividade entre os PCs e seus roteadores locais.

Tarefa 4: Configurar o EIGRP nos roteadores R2 e R2.

Etapa 1: Habilitar EIGRP em R1 e R2 para todas as sub-redes.

Tarefa 5: Configurar PVC de Frame Relay entre R1 e R2

Etapa 1: Configurar interfaces em FR-Switch para criar o PVC entre R1 e R2.

Utilize as DLCIs no diagrama de topologia.

Etapa 2: Configurar interfaces físicas em R1 e R2 para encapsulamento Frame Relay.

Não detecte endereços IP automaticamente na extremidade dos links. Ative o link depois de toda a configuração.

Etapa 3: Configurar mapas Frame Relay em R1 e R2 com DLCIs próprios. Habilite tráfego de broadcast nos DLCIs.

Etapa 4. Verificar a conectividade fim-a-fim utilizando PC1 e PC2.

Tarefa 6: Interromper o PVC e restaurá-lo intencionalmente.

Etapa 1: Por meio da sua seleção, interrompa o PVC entre R1 e R2.

Etapa 2: Restaurar conectividade completa com a rede.

Etapa 3: Verificar a conectividade completa com a rede.

Tarefa 7: Configurar subinterfaces Frame Relay

Etapa 1: Remover o endereço IP e a configuração do frame map das interfaces físicas em R1 e R2.

Etapa 2: Configurar subinterfaces ponto-a-ponto Frame Relay em R1 e R2 com os mesmos endereços IP e DLCI utilizados anteriormente nas interfaces físicas.

Etapa 3: Verificar conectividade completa fim-a-fim.




Tarefa 8: Interromper o PVC e restaurá-lo intencionalmente.

Etapa 1: Interromper o PVC utilizando um método diferente do utilizado na Tarefa 6.

Etapa 2: Restaurar o PVC.

Etapa 3: Verificar conectividade completa fim-a-fim.



Laboratório 3.5.3: Identificação e solução de problemas de Frame Relay




R1 Lo0 172.18.11.254 255.255.255.0 N/A

S0/0/0 172.18.221.1 255.255.255.252 N/A

R2 Lo0 172.18.111.254 255.255.255.0 N/A

S0/0/1 172.18.221.2 255.255.255.252 N/A

Objetivos de aprendizagem Praticar habilidades de identificação e solução de problemas de Frame Relay.


CCNA Exploration Acessando a WAN: Frame Relay Laboratório 3.5.3: Identificação e solução de problemas de Frame Relay

Cenário Neste laboratório, você irá praticar a solução de problemas em um ambiente de Frame Relay configurado incorretamente. Carregue ou peça ao instrutor para carregar as configurações abaixo em seus roteadores. Localize e repare todos os erros nas configurações e estabeleça a conectividade fim-a-fim. Sua configuração final deve corresponder ao diagrama de topologia e à tabela de endereçamento. Todas as senhas são definidas como cisco, exceto a senha enable secret, definida como class.




Etapa 3: Importar as configurações.

Roteador 1 ! hostname R1 ! enable secret class ! no ip domain lookup ! ! ! ! interface Loopback0 ip address 172.18.11.254 255.255.255.0 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/1 no ip address shutdown no fair-queue ! interface Serial0/0/0 ip address 172.18.221.1 255.255.255.252 encapsulation frame-relay frame-relay map ip 172.18.221.2 678 broadcast no frame-relay inverse-arp no shutdown


CCNA Exploration Acessando a WAN: Frame Relay Laboratório 3.5.3: Identificação e solução de problemas de Frame Relay ! router eigrp 1 network 172.18.221.0 network 172.18.11.0 no auto-summary ! ! ! line con 0 password cisco logging synchronous linha auxiliar 0 line vty 0 4 password cisco login ! end Roteador 2 ! hostname R2 ! enable secret class ! no ip domain lookup ! interface Loopback0 ip address 172.18.111.254 255.255.255.0 ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown no fair-queue ! interface Serial0/0/1 ip address 172.18.221.2 255.255.255.252 encapsulation frame-relay frame-relay map ip 172.18.221.1 181 no frame-relay inverse-arp frame-relay lmi-type ansi ! router eigrp 1 network 172.18.221.0 network 172.18.111.0


CCNA Exploration Acessando a WAN: Frame Relay Laboratório 3.5.3: Identificação e solução de problemas de Frame Relay no auto-summary ! ! ! line con 0 password cisco logging synchronous linha auxiliar 0 line vty 0 4 login ! end FR-Switch ! Nome do host FR-Switch ! ! enable secret class ! ! ! no ip domain lookup switch frame relay ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address encapsulation frame-relay no fair-queue clockrate 125000 frame-relay intf-type dce frame-relay route 182 interface Serial0/0/1 181 no shutdown ! interface Serial0/0/1 no ip address clockrate 125000 encapsulation frame-relay frame-relay intf-type dce no shutdown !


CCNA Exploration Acessando a WAN: Frame Relay Laboratório 3.5.3: Identificação e solução de problemas de Frame Relay


! line con 0 password cisco logging synchronous line aux 0 line vty 0 4 password cisco login ! end

Tarefa 2: Identificar e solucionar problemas de conexão Frame Relay entre R1 e R2.


Tarefa 4: Limpar Apague as configurações e recarregue os roteadores. Desconecte e guarde o cabeamento. Para hosts PC normalmente conectados a outras redes, como a LAN escolar ou a Internet), reconecte o cabeamento apropriado e restaure as configurações TCP/IP.

Laboratório 4.6.1: Configuração básica de segurança




R1 Fa0/1 192.168.10.1 255.255.255.0 N/A S0/0/0 10.1.1.1 255.255.255.252 N/A

R2

Fa0/1 192.168.20.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 N/A

R3 Fa0/1 192.168.30.1 255.255.255.0 N/A S0/0/1 10.2.2.2 255.255.255.252 N/A

S1 VLAN10 192.168.10.2 255.255.255.0 N/A S3 VLAN20 192.168.30.2 255.255.255.0 N/A


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança

PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1 PC3 Placa de rede 192.168.30.10 255.255.255.0 192.168.30.1

Servidor TFTP Placa de rede 192.168.20.254 255.255.255.0 192.168.20.1


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Executar tarefas de configuração básica em um roteador. • Configurar a segurança básica de roteador. • Desabilitar os serviços e as interfaces Cisco não usados. • Proteja redes de empresa de ataques externos e internos básicos. • Entender e gerenciar os arquivos de configuração do Cisco IOS e o sistema de arquivos da Cisco. • Configurar e utilizar o Cisco SDM (Security Device Manager) e o SDM Express para configurar a

segurança básica do roteador. • Configurar VLANs nos switches.

Cenário Neste laboratório, você irá aprender a configurar a segurança de rede básica usando a rede mostrada no diagrama de topologia. Você saberá como configurar segurança do roteador de três maneiras diferentes: utilizando a CLI, o recurso auto-secure e o Cisco SDM. Você também aprenderá a gerenciar o software IOS Cisco.



Você pode utilizar qualquer roteador atual em seu laboratório contanto que ele tenha as interfaces exigidas mostradas na topologia.

Nota: Este laboratório foi desenvolvido e testado utilizando-se roteadores 1841. Se você usar roteadores da série 1700, 2500 ou 2600, as saídas do roteador e as descrições de interface poderão ser diferentes.


Etapa 2: Executar configurações básicas do roteador

Etapa 1: Configurar roteadores.

Configure os roteadores R1, R2 e R3 de acordo com as seguintes diretrizes:

• Configure o nome de host do roteador de acordo com o diagrama de topologia.


• Configure um banner de mensagem do dia.

• Configure endereços IP em R1, R2 e R3.

• Habilite o RIP versão 2 em todos os roteadores de todas as redes.



• Crie uma interface de loopback em R2 para simular a conexão com a Internet.

• Configure um servidor TFTP no PC2. Se você precisar baixar o software do servidor TFTP, uma opção será: http://tftpd32.jounin.net/

Etapa 2: Configurar interfaces Ethernet.

Configure as interfaces Ethernet do PC1, do PC3 e do Servidor TFTP com os endereços IP e os gateways na Tabela de endereçamento no início do laboratório.

Etapa 3: Testar a configuração do PC, executando ping no gateway padrão em todos os PCs e no servidor TFTP.

Tarefa 3: Proteger o roteador do acesso não autorizado

Etapa 1: Configurar senhas seguras e autenticação AAA.

Utilize um banco de dados local em R1 para configurar senhas seguras. Use ciscoccna para todas as senhas deste laboratório. R1(config)#enable secret ciscoccna Como a configuração de uma senha enable secret ajuda a impedir que um roteador seja comprometido por um ataque?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

O comando username cria um nome de usuário e uma senha armazenados localmente no roteador. O nível de privilégio padrão do usuário é 0 (o menor volume de acesso). Você pode alterar o nível de acesso para um usuário, adicionando a palavra-chave privilege 0-15 antes da palavra-chave password. R1 (config)#username ccna password ciscoccna

O comando aaa permite AAA (Autenticação, Autorização e Auditoria) globalmente no roteador. Ele é utilizado durante a conexão com o roteador. R1(config)#aaa new-model Você pode criar uma lista de autenticação acessada quando alguém tenta fazer login no dispositivo depois de aplicá-la às linhas vty e de console. A palavra-chave local indica que o banco de dados do usuário está armazenado localmente no roteador. R1(config)#aaa authentication login LOCAL_AUTH local Nota: LOCAL_AUTH é um nome de etiqueta que diferencia maiúsculas de minúsculas e que deve corresponder a todos os usos.

Os comandos a seguir informam ao roteador que os usuários que estão tentando se conectar a ele devem ser autenticados utilizando-se a lista recém-criada. R1(config)#line console 0 R1(config-lin)#login authentication LOCAL_AUTH


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R1(config-lin)#line vty 0 4 R1(config-lin)#login authentication LOCAL_AUTH

O que você observa não ser seguro quanto à seguinte seção da configuração de execução: R1#show run <saída de comando omitida> ! enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1 ! aaa new-model ! aaa authentication login LOCAL_AUTH local ! username ccna password 0 ciscoccna ! <saída de comando omitida> ! banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! line con 0 login authentication LOCAL_AUTH linha auxiliar 0 line vty 0 4 login authentication LOCAL_AUTH !

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Para aplicar criptografia simples às senhas, digite o seguinte comando no modo de configuração global: R1(config)#service password-encryption Verifique isso com o comando show run. R1#show run service password-encryption ! enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1 ! aaa new-model ! aaa authentication login LOCAL_AUTH local ! username ccna password 7 0822455D0A1606141C0A <saída de comando omitida> ! banner motd ^CCUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C ! line con 0


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança login authentication LOCAL_AUTH linha auxiliar 0 line vty 0 4 login authentication LOCAL_AUTH !

Etapa 2: Proteger as linhas de console e VTY.

O roteador pode fazer logout em uma linha ociosa por um determinado período. Se um engenheiro de rede tiver feito login em um dispositivo de rede e for chamado repentinamente, este comando fará o logout do usuário automaticamente depois do período especificado. Os seguintes comandos causam o logout na linha após 5 minutos. R1(config)#line console 0 R1(config-lin)#exec-timeout 5 0 R1(config-lin)#line vty 0 4 R1(config-lin)#exec-timeout 5 0 O seguinte comando impede tentativas de login de força bruta. O roteador bloqueará tentativas de login durante 5 minutos se houver falha em duas tentativas de login em 2 minutos. Ele é especialmente definido baixo para este laboratório. Uma medida adicional é registrar em log sempre que isso acontecer. R1(config)#login block-for 300 attempt 2 within 120 R1(config)#security authentication failure rate 2 log Para verificar isso, tente se conectar a R1 em R2 via Telnet com um nome de usuário e senha incorretos.

Em R2: R2#telnet 10.1.1.1 Trying 10.1.1.1 ... Open Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law

User Access Verification Username: cisco Password: % Authentication Failed User Access Verification Username: cisco Password: % Authentication Failed [Connection to 10.1.1.1 closed by foreign host] R2#telnet 10.1.1.1 Trying 10.1.1.1 ... % Connection refused by remote host


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Em R1: *Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 12:40:11 UTC Mon Sep 10 2007

Tarefa 4: Acesso seguro à rede

Etapa 1: Impedir a propagação da atualização de roteamento RIP.

Quem pode receber atualizações RIP em um segmento de rede onde o RIP esteja habilitado? Essa é a configuração mais desejável?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

O comando passive-interface impede roteadores de enviar atualizações de roteamento a todas as interfaces, exceto as interfaces configuradas para participar das atualizações de roteamento. Esse comando é emitido como parte da configuração RIP.

O primeiro comando coloca todas as interfaces no modo passivo (a interface só recebe atualizações RIP). O segundo comando passa interfaces específicas do modo passivo para o ativo (enviando e recebendo atualizações RIP).

R1 R1(config)#router rip R1(config-router)#passive-interface default R1 (config-router)#no passive-interface s0/0/0

R2 R2(config)#router rip R2(config-router)#passive-interface default R2(config-router)#no passive-interface s0/0/0 R2(config-router)#no passive-interface s0/0/1 R3 R3(config)#router rip R3(config-router)#passive-interface default R3(config-router)#no passive-interface s0/0/1

Etapa 2: Impedir a recepção não autorizada de atualizações RIP.

Impedir atualizações RIP desnecessárias em toda a rede é a primeira etapa para proteger o RIP. A próxima é proteger a senha de atualizações RIP. Para isso, você deve primeiro configurar uma chave a ser utilizada. R1(config)#key chain RIP_KEY R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco

Ela precisa ser adicionada a todos os roteadores que receberão atualizações RIP. R2(config)#key chain RIP_KEY R2(config-keychain)#key 1 R2(config-keychain-key)#key-string cisco

R3(config)#key chain RIP_KEY


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R3(config-keychain)#key 1 R3(config-keychain-key)#key-string cisco

Para utilizar a chave, todas as interfaces que participam de atualizações RIP precisam ser configuradas. Elas serão as mesmas interfaces habilitadas utilizando-se o comando no passive-interface anterior.

R1 R1(config)#int s0/0/0 R1(config-if)#ip rip authentication mode md5 R1(config-if)#ip rip authentication key-chain RIP_KEY A esta altura, R1 deixa de receber atualizações RIP de R2, porque R2 ainda não foi configurado para utilizar uma chave para atualizações de roteamento. Você pode exibir isso em R1, utilizando o comando show ip route e confirmando se não há nenhuma rota de R2 exibida na tabela de roteamento.

Limpe rotas IP com clear ip route * ou aguarde o timeout das rotas. R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, *- candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 1 subnets, 1 masks C 10.1.1.0/24 is directly connected, Serial0/0/0 C 192.168.10.0 is directly connected, Serial0/0/0

Configure R2 e R3 para utilizar a autenticação de roteamento. Lembre-se de que todas as interfaces ativas devem ser configuradas.

R2 R2(config)#int s0/0/0 R2(config-if)#ip rip authentication mode md5 R2(config-if)#ip rip authentication key-chain RIP_KEY R2(config)#int s0/0/1 R2(config-if)#ip rip authentication mode md5 R2(config-if)#ip rip authentication key-chain RIP_KEY R3 R3(config)#int s0/0/1 R3(config-if)#ip rip authentication mode md5 R3(config-if)#ip rip authentication key-chain RIP_KEY

Etapa 3: Verificar se o roteamento RIP ainda funciona.

Depois de todos os três roteadores serem configurados para utilizar a autenticação de roteamento, as tabelas de roteamento devem ser preenchidas novamente com todas as rotas RIP. Agora R1 deve ter todas as rotas via RIP. Confirme isso com o comando show ip route.

R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, *-candidate default, U-per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set R 192.168.30.0/24 [120/2] via 10.1.1.2, 00:00:16, Serial0/0/0 C 192.168.10.0/24 is directly connected, FastEthernet0/1 R 192.168.20.0/24 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0 10.0.0.0/8 is variably subnetted, 2 subnets, 1 masks R 10.2.2.0/24 [120/1] via 10.1.0.2, 00:00:16, Serial0/0/0 C 10.1.1.0/24 is directly connected, Serial0/0/0

Tarefa 5: Registrando a Atividade em Log com protocolo de gerenciamento de rede comum (SNMP)

Etapa 1: Configurar registro em log SNMP no servidor syslog.

O registro em log SNMP pode ser útil na monitoração da atividade de rede. As informações capturadas podem ser enviadas para um servidor syslog na rede, onde podem ser analisadas e arquivadas. Você deve tomar cuidado ao configurar o registro em log (syslog) no roteador. Ao escolher o host de log designado, lembre-se de que o host de log deve ser conectado a uma rede confiável ou protegida ou à interface de um roteador isolada e dedicada.

Neste laboratório, você irá configurar PC1 como o servidor syslog para R1. Use o comando logging para escolher o endereço IP do dispositivo para o qual mensagens SNMP são enviadas. Neste exemplo, o endereço IP do PC1 é utilizado. R1(config)#logging 192.168.10.10

Nota: PC1 deverá ter software de syslog instalado e em execução se você quiser exibir mensagens de syslog.

Na próxima etapa, você definirá o nível de gravidade para mensagens a serem enviadas para o servidor syslog.

Etapa 2: Configurar o nível de gravidade SNMP.

O nível de mensagens SNMP pode ser ajustado para permitir ao administrador determinar que tipos de mensagens são enviados para o dispositivo syslog. Roteadores oferecem suporte a níveis diferentes de registro em log. Os oito níveis vão de 0 (emergências), indicando que o sistema está instável, a 7 (depuração), que envia mensagens que incluem informações do roteador. Para configurar os níveis de gravidade, você utiliza a palavra-chave associada ao nível, conforme mostrado na tabela.

Nível de gravidade Palavra-chave Descrição 0 emergencies Sistema inutilizável

1 alerts Ação imediata obrigatória

2 critical Condições críticas

3 errors Condições de erro

4 warnings Condições de aviso

5 notifications Condição normal, mas significativa



6 informational Mensagens informativas

7 debugging Depurando mensagens O comando logging trap define o nível de gravidade. O nível de gravidade inclui o nível especificado e qualquer coisa abaixo dele (gravidade). Defina R1 para o nível 4 a fim de capturar mensagens com os níveis de gravidade 4, 3, 2 e 1. R1(config)#logging trap warnings Qual é o perigo de definir o nível de gravidade muito alto ou baixo?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Nota: se você tiver instalado software syslog em PC1, gere e procure em um software syslog as mensagens.

Tarefa 6: Desabilitando serviços de rede Cisco não utilizados

Etapa 1: Desabilitar interfaces não utilizadas.

Por que você deve desabilitar interfaces não utilizadas em dispositivos de rede?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

No diagrama de topologia, você pode ver que R1 só deve utilizar as interfaces S0/0/0 e Fa0/1. Todas as outras interfaces em R1 devem ser desativadas administrativamente utilizando-o o comando de configuração da interface shutdown.

R1(config)#interface fastethernet0/0 R1(config-if)#shutdown R1(config-if)# interface s0/0/1 R1(config-if)#shutdown *Sep 10 13:40:24.887: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down *Sep 10 13:40:25.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down

Para verificar se R1 tem todas as interfaces inativas desativadas, utilize o comando show ip interface brief. As interfaces desativadas manualmente são listadas como desativadas administrativamente. R1#sh ip interface brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset administratively down down FastEthernet0/1 192.168.10.1 YES manual up up Serial0/0/0 10.1.1.1 YES manual up up


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Serial0/0/1 unassigned YES unset administratively down down

Etapa 2: Desabilitar serviços globais não utilizados.

Muitos serviços não são necessários na maioria das redes modernas. Deixar serviços não utilizados habilitados mantém portas abertas, que podem ser utilizadas para comprometer uma rede. Desabilite todos esses serviços em R1. R1(config)#no service pad R1(config)#no service finger R1(config)#no service udp-small-server R1(config)#no service tcp-small-server R1(config)#no ip bootp server R1(config)#no ip http server R1(config)#no ip finger R1(config)#no ip source-route R1(config)#no ip gratuitous-arps R1(config)#no cdp run

Etapa 3: Desabilitar serviços da interface não utilizados.

Estes comandos são digitados no nível da interface, devendo ser aplicados a todas as interfaces em R1. R1(config-if)#no ip redirects R1(config-if)#no ip proxy-arp R1(config-if)#no ip unreachables R1(config-if)#no ip directed-broadcast R1(config-if)#no ip mask-reply R1(config-if)#no mop enabled

Etapa 4: Utilizar o AutoSecure para proteger um roteador Cisco.

Utilizando um único comando no modo CLI, o recurso AutoSecure permite desabilitar serviços IP comuns que podem ser explorados para ataques de rede e habilitar serviços IP e recursos que podem ajudar na defesa de uma rede sob ataque. O AutoSecure simplifica a configuração de segurança de um roteador e protege a configuração do roteador.

Utilizando o recurso AutoSecure, você pode aplicar os mesmos recursos de segurança que acabou de aplicar (exceto a proteção do RIP) a um roteador muito mais rapidamente. Como você já protegeu R1, utilize o comando auto secure em R3.

R3#auto secure --- AutoSecure Configuration --- ***AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Is this router connected to internet? [no]: yes Enter the number of interfaces facing the internet [1]: 1 Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset down down FastEthernet0/1 192.168.30.1 YES manual up up Serial0/0/0 unassigned YES manual down down Serial0/0/1 10.2.2.2 YES manual up up Enter the interface name that is facing the internet: Serial0/0/1 Securing Management plane services... Disabling service finger Disabling service pad Disabling udp & tcp small servers Enabling service password encryption Enabling service tcp-keepalives-in Enabling service tcp-keepalives-out Disabling the cdp protocol Disabling the bootp server Disabling the http server Disabling the finger service Disabling source routing Disabling gratuitous arp Enable secret is either not configured or Is the same as enable password Enter the new enable password: ciscoccna Confirm the enable password: ciscoccna Enter the new enable passwor ccnacisco d:Confirm the enable password: ccnacisco Configuration of local user database Enter the username: ccna Enter the password: ciscoccna Confirm the password: ciscoccna Configuring AAA local authentication Configuring Console, Aux and VTY lines for local authentication, exec-timeout, and transport Securing device against Login Attacks Configure the following parameters Blocking Period when Login Attack detected: 300 Maximum Login failures with the device: 5 Maximum time period for crossing the failed login attempts: 120 Configure SSH server? Yes Enter domain-name: cisco.com Configuring interface specific AutoSecure services Disabling the following ip services on all interfaces: no ip redirects no ip proxy-arp


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança no ip unreachables no ip directed-broadcast no ip mask-reply Disabling mop on Ethernet interfaces Securing Forwarding plane services... Enabling CEF (This might impact the memory requirements for your platform) Enabling unicast rpf on all interfaces connected to internet Configure CBAC firewall feature: no Tcp intercept feature is used prevent tcp syn attack On the servers in the network. Create autosec_tcp_intercept_list To form the list of servers to which the tcp traffic is to be observed Enable TCP intercept feature: yes This is the configuration generated: no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps no ip identd security passwords min-length 6 security authentication failure rate 10 log enable password 7 070C285F4D061A061913 username ccna password 7 045802150C2E4F4D0718 aaa new-model aaa authentication login local_auth local line con 0 login authentication local_auth exec-timeout 5 0 transport output telnet linha auxiliar 0 login authentication local_auth exec-timeout 10 0 transport output telnet line vty 0 4 login authentication local_auth transport input telnet line tty 1 login authentication local_auth exec-timeout 15 0 line tty 192 login authentication local_auth exec-timeout 15 0


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança login block-for 300 attempts 5 within 120 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone logging facility local2 logging trap debugging service sequence-numbers logging console critical logging buffered interface FastEthernet0/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface FastEthernet0/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface Serial0/0/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/0/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/1/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/1/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply ip cef access-list 100 permit udp any any eq bootpc interface Serial0/0/1 ip verify unicast source reachable-via rx allow-default 100 ip tcp intercept list autosec_tcp_intercept_list ip tcp intercept drop-mode random ip tcp intercept watch-timeout 15 ip tcp intercept connection-timeout 3600 ip tcp intercept max-incomplete low 450 ip tcp intercept max-incomplete high 550


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança ! end Apply this configuration to running-config? [yes]:yes The name for the keys will be: R3.cisco.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] R3# 000045: *Nov 16 15:39:10.991 UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device Como você pode ver, o recurso AutoSecure é muito mais rápido a configuração linha por linha. No entanto, há vantagens em fazer isso manualmente, como você verá no laboratório de identificação e solução de problemas. Ao utilizar o AutoSecure, você pode desabilitar um serviço de que precisa. Antes de utilizar o AutoSecure, sempre tome cuidado e pense nos serviços obrigatórios.

Tarefa 7: Gerenciando arquivos de configuração e do IOS Cisco

Etapa 1: Mostrar arquivos do IOS Cisco.

IOS Cisco é o software utilizado por roteadores para operar. O roteador pode ter memória suficiente para armazenar várias imagens do IOS Cisco. É importante saber quais são os arquivos armazenados no roteador.

Emita o comando show flash para exibir o conteúdo da memória flash do roteador.

Cuidado: tenha muito cuidado ao emitir comandos que envolvam a memória flash. A digitação errada de um comando pode resultar na exclusão da imagem do IOS Cisco. R1#show flash -#- --length-- -----date/time------ path 1 13937472 May 05 2007 21:25:14 +00:00 c1841-ipbase-mz.124-1c.bin 2 1821 May 05 2007 21:40:28 +00:00 sdmconfig-18xx.cfg 3 4734464 May 05 2007 21:41:02 +00:00 sdm.tar 4 833024 May 05 2007 21:41:24 +00:00 es.tar 5 1052160 May 05 2007 21:41:48 +00:00 common.tar 8679424 bytes available (23252992 bytes used) Basta observarmos essa lista, e já podemos determinar o seguinte:

• A imagem é para um roteador 1841 (c1841-ipbase-mz.124-1c.bin). • O roteador está utilizando a imagem IP base (c1841-ipbase-mz.124-1c.bin). • A versão do IOS Cisco é 12.4(1c) (c1841-ipbase-mz.124-1c.bin). • O SDM está instalado no dispositivo (sdmconfig-18xx.cfg, sdm.tar).

Você pode utilizar o comando dir all para mostrar todos os arquivos no roteador. R1#dir all Directory of archive:/ No files in directory No space information available Directory of system:/


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança 3 dr-x 0 <no date> memory 1 -rw- 979 <no date> running-config 2 dr-x 0 <no date> vfiles No space information available Directory of nvram:/ 189 -rw- 979 <no date> startup-config 190 ---- 5 <no date> private-config 191 -rw- 979 <no date> underlying-config 1 -rw- 0 <no date> ifIndex-table 196600 bytes total (194540 bytes free) Directory of flash:/ 1 -rw- 13937472 May 05 2007 20:08:50 +00:00 c1841-ipbase-mz.124-1c.bin 2 -rw- 1821 May 05 2007 20:25:00 +00:00 sdmconfig-18xx.cfg 3 -rw- 4734464 May 05 2007 20:25:38 +00:00 sdm.tar 4 -rw- 833024 May 05 2007 20:26:02 +00:00 es.tar 5 -rw- 1052160 May 05 2007 20:26:30 +00:00 common.tar 6 -rw- 1038 May 05 2007 20:26:56 +00:00 home.shtml 7 -rw- 102400 May 05 2007 20:27:20 +00:00 home.tar 8 -rw- 491213 May 05 2007 20:27:50 +00:00 128MB.sdf 9 –rw- 398305 May 05 2007 20:29:08 +00:00 sslclient-win-1.1.0.154.pkg 10 -rw- 1684577 May 05 2007 20:28:32 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 31932416 bytes total (8679424 bytes free)

Etapa 2: Transferir arquivos com TFTP.

O TFTP é utilizado durante o arquivamento e a atualização do software IOS Cisco de um dispositivo. Neste laboratório, no entanto, não utilizamos arquivos do IOS Cisco reais porque qualquer equívoco feito na digitação dos comandos poderia ocasionar a exclusão da imagem do IOS Cisco do dispositivo. Ao final desta seção, há um exemplo de como deve ser uma transferência TFTP no IOS Cisco.

Por que é importante ter uma versão atualizada do software IOS Cisco?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Durante a transferência de arquivos via TFTP, é importante assegurar que o servidor TFTP e o roteador consigam se comunicar. Uma maneira de testar isso é executando ping entre esses dispositivos.

Para começar a transferência do software IOS Cisco, crie um arquivo no servidor TFTP chamado test na pasta raiz TFTP. Cada programa TFTP muda de acordo com o local no qual os arquivos estão armazenados. Consulte o arquivo de ajuda do servidor TFTP para determinar a pasta raiz.

Em R1, recupere o arquivo e salve-o na memória flash. R1#copy tftp flash Address or name of remote host []? 192.168.20.254 (endereço IP do servidor TFTP) Source filename []? Test (nome do arquivo criado e salvo no servidor TFTP)


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Destination filename [test]? test-server (Um nome arbitrário para o arquivo quando salvo no roteador) Accessing tftp://192.168.20.254/test... Loading test from 192.168.20.254 (via FastEthernet0/1): ! [OK - 1192 bytes] 1192 bytes copied in 0,424 secs (2811 bytes/sec) Verifique a existência do arquivo na memória flash com o comando show flash. R1#show flash -#- -- length-- -----date/time------ path 1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin 2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg 3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar 4 833024 May 05 2007 21:30:42 +00:00 es.tar 5 1052160 May 05 2007 21:31:10 +00:00 common.tar 6 1038 May 05 2007 21:31:36 +00:00 home.shtml 7 102400 May 05 2007 21:32:02 +00:00 home.tar 8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf 9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg 11 1192 Sep 12 2007 07:38:18 +00:00 test-server 8675328 bytes available (23257088 bytes used) Os roteadores também podem funcionar como servidores TFTP. Isso poderá ser útil se houver um dispositivo que precise de uma imagem e você tiver um que já esteja usando essa imagem. Tornaremos R2 um servidor TFTP para R1. Lembre-se de que essas imagens do IOS Cisco são específicas de plataformas de roteador e requisitos de memória. Tome cuidado ao transferir uma imagem do IOS Cisco de um roteador para outro.

A sintaxe do comando é: tftp-server nvram: [nome de arquivo1 [alias nome de arquivo2]

O comando abaixo configura R2 como um servidor TFTP. R2 fornece seu arquivo de configuração de inicialização para dispositivos que o solicitam via TFTP (estamos utilizando a configuração de inicialização por conta da simplicidade e da facilidade). A palavra-chave alias permite a dispositivos solicitar o arquivo utilizando o alias test, e não o nome de arquivo completo. R1(config)#tftp-server nvram:startup-config alias test Agora podemos solicitar o arquivo em R2 utilizando R1. R1#copy tftp flash Address or name of remote host []? 10.1.1.2 Source filename []? teste Destination filename []? test-router Accessing tftp://10.1.1.2/test... Loading test from 10.1.1.2 (via Serial0/0/0): ! [OK - 1192 bytes] 1192 bytes copied in 0,452 secs (2637 bytes/sec) Novamente, verificar se o arquivo test foi copiado com êxito com o comando show flash


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R1#show flash -#- --length-- -----date/time------ path 1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin 2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg 3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar 4 833024 May 05 2007 21:30:42 +00:00 es.tar 5 1052160 May 05 2007 21:31:10 +00:00 common.tar 6 1038 May 05 2007 21:31:36 +00:00 home.shtml 7 102400 May 05 2007 21:32:02 +00:00 home.tar 8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf 9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg 11 1192 Sep 12 2007 07:38:18 +00:00 test-server 12 1192 Sep 12 2007 07:51:04 +00:00 test-router 8671232 bytes available (23261184 bytes used)

Como você não deseja que arquivos não utilizados ocupem espaço importante da memória, exclua-os agora da memória flash de R1. Tome muito cuidado ao fazer isso! Apagar a memória flash acidentalmente irá significar a necessidade de reinstalação de toda a imagem do IOS do roteador. Se o roteador solicitar erase flash, será sinal de que algo está muito errado. É raro você desejar apagar toda a memória flash. O único momento legítimo em que isso acontece é quando você está atualizando o IOS para uma imagem de IOS maior. Se você vir o prompt erase flash como neste exemplo, PARE IMEDIATAMENTE. NÃO pressione enter. Peça ajuda ao seu instrutor IMEDIATAMENTE. Erase flash: ?[confirm] no

R1#delete flash:test-server Delete filename [test-server]? Delete flash:test? [confirm] R1#delete flash:test-router Delete filename [test-router]? Delete flash:test-router? [confirm] Verifique se os arquivos foram excluídos, emitindo o comando show flash. R1#show flash -#- --length-- -----date/time------ path 1 13937472 May 05 2007 21:13:20 +00:00 c1841-ipbase-mz.124-1c.bin 2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg 3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar 4 833024 May 05 2007 21:30:42 +00:00 es.tar 5 1052160 May 05 2007 21:31:10 +00:00 common.tar 6 1038 May 05 2007 21:31:36 +00:00 home.shtml 7 102400 May 05 2007 21:32:02 +00:00 home.tar 8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf 9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg 8679424 bytes available (23252992 bytes used) Este é um exemplo de uma transferência TFTP de um arquivo de imagem do IOS Cisco.

NÃO complete nos roteadores. Apenas leia.


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R1#copy tftp flash Address or name of remote host []? 10.1.1.2 Source filename []? c1841-ipbase-mz.124-1c.bin Destination filename []? flash:c1841-ipbase-mz.124-1c.bin Accessing tftp://10.1.1.2/c1841-ipbase-mz.124-1c.bin... Loading c1841-ipbase-mz.124-1c.bin from 10.1.1.2 (via Serial0/0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <saída de comando omitida> !!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 13937472 bytes] 13937472 bytes copied in 1113,948 secs (12512 bytes/sec)

Etapa 3: Recuperar uma senha utilizando ROMmon.

Se, por alguma razão, não conseguir mais acessar um dispositivo porque você não sabe, perdeu, ou esqueceu uma senha, você ainda assim poderá obter acesso, alterando o registro de configuração. O registro de configuração informa ao roteador que configuração carregar durante a inicialização. No registro de configuração, você pode instruir o roteador a inicializar a partir de uma configuração em branco não protegida por senha.

A primeira etapa da alteração do registro de configuração é exibir a configuração atual utilizando o comando show version. Essas etapas são executadas em R3.

R3#show version Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Tue 25-Oct-05 17:10 by evmiller ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) R3 uptime is 25 minutes System returned to ROM by reload at 08:56:50 UTC Wed Sep 12 2007 System image file is "flash:c1841-ipbase-mz.124-1c.bin" Cisco 1841 (revision 7.0) with 114688K/16384K bytes of memory. Processor board ID FTX1118X0BN 2 FastEthernet interfaces 2 Low-speed serial(sync/async) interfaces DRAM configuration is 64 bits wide with parity disabled. 191K bytes de NVRAM. 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 Em seguida, recarregue o roteador e envie uma interrupção durante a inicialização. A tecla Break é diferente em computadores diferentes. Normalmente, ela fica no canto superior direito do teclado. Uma interrupção faz o dispositivo entrar em um modo chamado ROMmon. Esse modo não exige do dispositivo ter acesso a um arquivo de imagem do IOS Cisco.

Nota: o Hyperterminal exige uma sequência Ctrl-Break. Para outro software de emulação de terminal, verifique as combinações padrão da sequência da tecla Break.


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R3#reload Proceed with reload? [confirm] *Sep 12 08:27:28.670: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command. System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c1841 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Readonly ROMMON initialized rommon 1 >

Altere o registro de configuração para um valor que carrega a configuração inicial do roteador. Essa configuração não tem uma senha configurada, mas dá suporte a comandos do IOS Cisco. Altere o valor do registro de configuração para 0x2142. rommon 1 > confreg 0x2142 Agora que ele foi alterado, podemos inicializar o dispositivo com o comando reset.

rommon 2 > reset program load complete, entry point: 0x8000f000, size: 0xcb80 program load complete, entry point: 0x8000f000, size: 0xcb80 program load complete, entry point: 0x8000f000, size: 0xd4a9a0 Self decompressing the image : ########################################################### ############################################################################## [OK] <saída de comando omitida> --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started!

Etapa 4: Restaurar o roteador.

Agora copiamos a configuração de inicialização para a configuração de execução, restauramos a configuração e alteramos o registro de configuração novamente para o padrão (0x2102).

Para copiar a configuração de inicialização da NVRAM para a memória de execução, digite copy startup-config running-config. Tome cuidado! Não digite copy running-config startup-config, ou você apagará a configuração de inicialização.

Router#copy startup-config running-config Destination filename [running-config]? {enter} 2261 bytes copied em 0,576 secs (3925 bytes/sec)


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R3#:show running-config <saída de comando omitida> enable secret 5 $1$31P/$cyPgoxc0R9y93Ps/N3/kg. ! <saída de comando omitida> ! key chain RIP_KEY key 1 key-string 7 01100F175804 username ccna password 7 094F471A1A0A1411050D ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown duplex auto speed auto ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY ! <saída de comando omitida> ! line con 0 exec-timeout 5 0 logging synchronous login authentication transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end

Nessa configuração, o comando shutdown é exibido em todas as interfaces porque todas elas estão desativadas no momento. Mas o mais importante é que agora você pode ver as senhas (senha de enable, enable secret, VTY, senhas de console) em um formato criptografado ou desprotegido. Você pode reutilizar senhas não-criptografadas. Você deve alterar senhas criptografadas para uma nova senha.


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#enable secret ciscoccna R3(config)#username ccna password ciscoccna

Emita o comando no shutdown em todas as interfaces que você deseja utilizar. R3(config)#interface FastEthernet0/1 R3(config-if)#no shutdown R3(config)#interface Serial0/0/1 R3(config-if)#no shutdown

Você pode emitir um comando show ip interface brief para confirmar se a configuração da interface está correta. Todas as interfaces que você deseja usar devem ser exibidas como ativadas. R3#show ip interface brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES NVRAM administratively down down FastEthernet0/1 192.168.30.1 YES NVRAM up up Serial0/0/1 unassigned YES NVRAM administratively down down Serial0/0/0 10.2.2.2 YES NVRAM up up

Digite config-register valor do registro de configuração. A variável valor do registro de configuração é o valor registrado na Etapa 3 ou 0x2102. Salve a configuração de execução.

R3(config)#config-register 0x2102 R3(config)#end R3#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK]

Quais são as desvantagens da recuperação de senha?

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Tarefa 8: Utilizando o SDM para proteger um roteador

Nesta tarefa, você utilizará o Security Device Manager (SDM), a interface gráfica do usuário, para proteger o roteador R2. O SDM é mais rápido que digitar cada comando e oferece mais controle que o recurso AutoSecure.

Verifique se o SDM foi instalado no roteador: R2#show flash -#- --length-- -----date/time------ path 1 13937472 Sep 12 2007 08:31:42 +00:00 c1841-ipbase-mz.124-1c.bin 2 1821 May 05 2007 21:29:36 +00:00 sdmconfig-18xx.cfg 3 4734464 May 05 2007 21:30:14 +00:00 sdm.tar 4 833024 May 05 2007 21:30:42 +00:00 es.tar 5 1052160 May 05 2007 21:31:10 +00:00 common.tar 6 1038 May 05 2007 21:31:36 +00:00 home.shtml 7 102400 May 05 2007 21:32:02 +00:00 home.tar 8 491213 May 05 2007 21:32:30 +00:00 128MB.sdf


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança 9 1684577 May 05 2007 21:33:16 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 10 398305 May 05 2007 21:33:50 +00:00 sslclient-win-1.1.0.154.pkg 11 2261 Sep 25 2007 23:20:16 +00:00 Tr(RIP) 12 2506 Sep 26 2007 17:11:58 +00:00 save.txt Se NÃO estiver instalado no roteador, o SDM deverá ser instalado para continuar. Consulte o seu instrutor para obter instruções.

Etapa 1: Conectar-se ao R2 utilizando o servidor TFTP.

Crie um nome de usuário e senha em R2. R2(config)#username ccna password ciscoccna

Habilite o servidor http seguro em R2 e conecte-se a R2 utilizando um navegador no servidor TFTP. R2(config)#ip http secure-server % Generating 1024 bit RSA Keys, Keys Will be non-exportable... [OK] R2(config)# *Nov 16 16:01:07.763: %SSH-5-ENABLED: SSH 1.99 has been enabled *Nov 16 16:01:08.731: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate R2(config)#end R2#copy run start No servidor TFTP, abra um navegador e navegue até https://192.168.20.1/. Faça login com o nome de usuário e senha configurados anteriormente:

nome de usuário: ccna

senha: ciscoccna

Selecione Cisco Router and Security Device Manager

Abra o Internet Explorer e digite o endereço IP para R2 na barra de endereços. Uma nova janela é aberta. Verifique se todos os bloqueadores de popup foram desativados no navegador. Também verifique se o JAVA está instalado e atualizado.


https://192.168.20.1/

CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Depois de concluído o carregamento, uma nova janela é aberta para o SDM.

Etapa 2: Navegar até o recurso Security Audit.

Clique no botão Configure no canto superior esquerdo da janela.

Agora navegue no painel à esquerda até Security Audit e clique nele.

Quando você clicar em Security Audit, outra janela é aberta.


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Etapa 3: Executar uma auditoria de segurança.

Ela oferece uma rápida explicação do que o recurso Security Audit faz. Clique em Next para abrir a janela Security audit interface configuration.

Uma interface deverá ser classificada como externa (não confiável) se você não tiver certeza da legitimidade do tráfego que chega à interface. Nesse exemplo, FastEthernet0/1 e Serial0/1/0 não são confiáveis porque Serial0/1/0 está diante da Internet e Fastethernet0/1 está diante da parte de acesso da rede, e tráfego não legítimo pode ser gerado.

Depois de selecionar as interfaces externa e interna, clique em Next. Uma nova janela é aberta indicando que o SDM está realizando uma auditoria de segurança.




Como você pode ver, a configuração padrão não é segura. Clique no botão Close para continuar.

Etapa 4: Aplicar configurações ao roteador.

Clique no botão Fix All para fazer todas as alterações de segurança sugeridas. Em seguida, clique no botão Next.



Digite em uma mensagem de banner a ser utilizada como a mensagem do dia para o roteador e clique em Next.

Em seguida, defina o nível de gravidade dos traps de log que o roteador deve enviar ao servidor syslog. O nível de gravidade é definido como depuração para este cenário. Clique em Next para exibir uma sumarização das alterações a serem feitas no roteador.

CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.1: Configuração básica de segurança Etapa 5: Aplicar a configuração ao roteador.

Depois de revisar as alterações a serem feitas, clique em Finish.




Clique em OK e saia do SDM.


Tarefa 10: Limpar Apague as configurações e recarregue os roteadores. Desconecte e guarde o cabeamento. Para hosts de PC normalmente conectados a outras redes (como a rede local escolar ou a Internet), reconecte o cabeamento apropriado e restaure as configurações TCP/IP.

Laboratório 4.6.2: Configuração avançada de segurança




R1 Fa0/1 192.168.10.1 255.255.255.0 N/A S0/0/1 10.1.1.1 255.255.255.252 N/A

R2 Fa0/1 192.168.20.1 255.255.255.0 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 N/A

R3 Fa0/1 192.168.30.1 255.255.255.0 N/A S0/0/1 10.2.2.2 255.255.255.252 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A

S1 VLAN10 192.168.10.2 255.255.255.0 N/A S3 VLAN30 192.168.30.2 255.255.255.0 N/A




CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.2: Configuração avançada de segurança


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Executar tarefas de configuração básica em um roteador. • Configurar e ativar interfaces. • Configurar a segurança básica do roteador. • Desabilitar os serviços e as interfaces Cisco não usados. • Proteja redes de empresa de ataques externos e internos básicos. • Entender e gerenciar os arquivos de configuração do Cisco IOS e o sistema de arquivos

da Cisco. • Configurar e utilizar o Cisco SDM (Security Device Manager) para configurar a

segurança básica do roteador.

Cenário Neste laboratório, você irá configurar a segurança usando a rede mostrada no diagrama de topologia. Se você precisar de assistência, consulte o laboratório de segurança básico. No entanto, tente fazer o máximo possível. Para este laboratório, não use a proteção por senha ou login em nenhuma linha de console porque isso pode causar o logout acidental. No entanto, você ainda deve proteger a linha de console usando outros meios. Use ciscoccna para todas as senhas deste laboratório.




Etapa 2: Executar configurações básicas do roteador

Etapa 1: Configurar roteadores.

Configure os roteadores R1, R2 e R3 de acordo com as seguintes diretrizes:




• Configure endereços IP em interfaces em R1, R2 e R3.

• Habilite RIPv2 em todos os roteadores para todas as redes.

• Crie uma interface de loopback em R2 para simular a conexão com a Internet. • Crie VLANs nos switches S1 e S3 e configure as respectivas interfaces para participar

das VLANs.

• Configure roteador R3 para conectividade segura de SDM.

• Instale SDM em PC3 ou R3 caso ele ainda não esteja instalado.


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.2: Configuração avançada de segurança Etapa 2: Configurar interfaces Ethernet.

Configure as interfaces Ethernet do PC1, do PC3 e do Servidor TFTP com os endereços IP e os gateways na tabela de endereçamento no início do laboratório.

Etapa 3: Testar a configuração do PC, executando ping no gateway padrão em todos os PCs e no servidor TFTP.

Tarefa 3: Acesso seguro a roteadores

Etapa 1: Configurar senhas seguras e autenticação AAA utilizando um banco de dados local.

Crie uma senha segura para o acesso ao roteador. Crie o nome de usuário ccna para ser armazenado localmente no roteador. Configure o roteador para utilizar o banco de dados de autenticação local. Lembre-se de usar ciscoccna para todas as senhas deste laboratório.

Etapa 2: Proteger as linhas de console e vty.

Configure as linhas de console e vty para bloquear um usuário que digita um nome de usuário incorreto e uma senha cinco vezes em 2 minutos. Bloqueie tentativas de login adicionais por 2 minutos.

Etapa 3: Verificar se tentativas de conexão são negadas após o limite de tentativas com falha ser atingido.

Tarefa 4: Acesso seguro à rede

Etapa 1: Proteger o protocolo de roteamento RIP.

Não envie atualizações RIP para roteadores que não estejam na rede (qualquer roteador que não esteja neste cenário). Autentique e criptografe atualizações RIP.

Etapa 2: Verificar se o roteamento RIP ainda funciona.

Tarefa 5: Registrando a atividade em log com protocolo de gerenciamento de rede comum (SNMP)

Etapa 1: Configurar registro em log SNMP no servidor syslog em 192.168.10.250 em todos os dispositivos.

Etapa 2: Registrar mensagens em log com nível de gravidade 4 no servidor syslog.

Tarefa 6: Desabilitando serviços de rede Cisco não utilizados

Etapa 1: Desabilitar interfaces não utilizadas em todos os dispositivos.

Etapa 2: Desabilitar serviços globais não utilizados em R1.

Etapa 3: Desabilitar serviços da interface não utilizados em R1.

Etapa 4: Utilizar AutoSecure para proteger R2.

Lembre-se de usar ciscoccna para todas as senhas deste laboratório.


CCNA Exploration Acessando a WAN: Segurança de rede Laboratório 4.6.2: Configuração avançada de segurança


Tarefa 7: Gerenciando arquivos de configuração e do IOS Cisco

Etapa 1: Identificar onde o arquivo de configuração de execução está localizado na memória do roteador.

Etapa 2: Transferir o arquivo de configuração de execução de R1 para R2 utilizando TFTP.

Etapa 3: Interromper R1 e recuperá-lo utilizando ROMmon.

Copie e cole os seguintes comandos em R1 e recupere R1 utilizando ROMmon.

line vty 0 4 exec-timeout 0 20 line console 0 exec-timeout 0 20 end copy run start exit

Etapa 4: Restaurar o arquivo de configuração salvo em R1 de R2 utilizando TFTP.

Etapa 5: Apagar a configuração salva em R2.

Tarefa 8: Utilizando SDM para proteger R3

Etapa 1: Conectar-se a R3 utilizando PC3.

Etapa 2: Navegar até o recurso Security Audit.

Etapa 3: Executar uma auditoria de segurança.

Etapa 4: Escolher configurações a serem aplicadas ao roteador.

Etapa 5: Aplicar a configuração ao roteador.



Laboratório 4.6.3: Identificação e solução de problemas de configuração de segurança




R1 Fa0/1 192.168.10.1 255.255.255.0 N/A S0/0/1 10.1.1.1 255.255.255.252 N/A

R2 Fa0/1 192.168.20.1 255.255.255.0 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 N/A

R3 Fa0/1 192.168.30.1 255.255.255.0 N/A S0/0/1 10.2.2.2 255.255.255.252 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A

S1 VLAN10 192.168.10.2 255.255.255.0 N/A S3 VLAN30 192.168.30.2 255.255.255.0 N/A




CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e restaurar o estado padrão de todos os roteadores. • Carregar roteadores com scripts fornecidos. • Localize e corrija todos os erros de rede. • Documentar a rede corrigida.

Cenário Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns problemas de segurança na rede com configurações incorretas e omissões. Seu chefe lhe pediu para corrigir os erros que o novo engenheiro cometeu ao configurar os roteadores. Enquanto corrige os problemas, verifique se todos os dispositivos estão seguros, mas ainda acessíveis para administradores, e que todas as redes são alcançáveis. Todos os roteadores devem ser acessíveis com SDM em PC1. Verificar se um dispositivo é seguro usando ferramentas como Telnet e ping. O uso não autorizado dessas ferramentas deve ser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.

Tarefa 1: Carregar roteadores com os scripts fornecidos Carregue as configurações a seguir nos dispositivos da topologia.

R1: no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login local_auth local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero no ip source-route


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança no ip gratuitous-arps ip cef ! no ip dhcp use vrf connected ! no ip bootp server ! key chain RIP_KEY key 1 key-string cisco username ccna password ciscoccna ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.10.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no shutdown ! ! interface Serial0/0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown no fair-queue clockrate 125000 ! interface Serial0/0/1 ip address 10.1.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface Serial0/1/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown clockrate 2000000


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança ! interface Serial0/1/1 no ip address no ip redirects no ip unreachables no ip proxy-arp no shutdown ! router rip version 2 passive-interface default no passive-interface Serial0/0/0 network 10.0.0.0 network 192.168.10.0 no auto-summary ! ip classless ! no ip http server ! logging 192.168.10.150 no cdp run ! line con 0 exec-timeout 5 0 logging synchronous transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication LOCAL_AUTH transport output telnet line vty 0 4 exec-timeout 5 0 logging synchronous login authentication LOCAL_AUTH transport input telnet ! end R2: no service pad service timestamps debug datetime msec service timestamps log datetime msec ! hostname R2 ! security authentication failure rate 10 log security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login local_auth local ! aaa session-id common


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no ip source-route no ip gratuitous-arps ip cef ! no ip dhcp use vrf connected ! no ip bootp server ! ! username ccna password ciscoccna ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast duplex auto speed auto no shutdown ! interface Serial0/0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown no fair-queue ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY clockrate 128000 no shutdown ! interface Serial0/1/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown ! interface Serial0/1/1 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast shutdown clockrate 2000000 ! router rip version 2 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.20.0 network 209.165.200.224 no auto-summary ! ip classless ! no ip http server ! logging trap debugging logging 192.168.10.150 ! line con 0 exec-timeout 5 0 logging synchronous transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication LOCAL_AUTH transport output telnet line vty 0 4 exec-timeout 0 0 logging synchronous login authentication LOCAL_AUTH transport input telnet ! end R3: no service pad


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! security authentication failure rate 10 log security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login local_auth local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero no ip source-route no ip gratuitous-arps ip cef ! ! no ip dhcp use vrf connected ! no ip bootp server ! key chain RIP_KEY key 1 key-string Cisco ! interface FastEthernet0/0 no ip address no ip redirects no ip proxy-arp no ip directed-broadcast duplex auto speed auto shutdown ! interface FastEthernet0/1 ip address 192.168.30.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast no shutdown duplex auto


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast clockrate 125000 ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip directed-broadcast ! router rip version 2 passive-interface default no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.30.0 no auto-summary ! ip classless ! ip http server ! logging trap debugging logging 192.168.10.150 no cdp run ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous transport output telnet line aux 0 exec-timeout 15 0 logging synchronous login authentication LOCAL_AUTH transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication LOCAL_AUTH transport input telnet ! end


CCNA Exploration Laboratório 4.6.3: Identificação e solução Acessando a WAN: Segurança de rede de problemas de configuração de segurança


Tarefa 2: Localizar e corrigir todos erros de rede Com o uso de métodos de solução de problemas padrão, encontre, documente e corrija todos os erros.

Nota: durante a identificação e solução de problemas de uma rede de produção que não esteja funcionando, muitos equívocos menores podem impedir que tudo funcione corretamente. O primeiro item a ser verificado é a ortografia e a maiúsculas ou minúsculas de todas as senhas, nomes de cadeias de chave e chaves, além dos nomes da lista de autenticação. Costuma ser um equívoco no uso de maiúsculas/minúsculas ou na ortografia a causa da falha total. A prática recomendada é iniciar com o mais básico e ir avançando. Primeiro pergunte se todos os nomes e chaves correspondem. Em seguida, se a configuração utilizar uma lista ou cadeia de chaves, verifique se o item referenciado efetivamente existe e se é o mesmo em todos os dispositivos. Configurar algo uma vez em um dispositivo, copiar e colá-lo em outro dispositivo é a melhor maneira de assegurar que a configuração é exatamente a mesma. Em seguida, pensando em desabilitar ou restringir serviços, pergunte quais são os serviços utilizados e se eles são necessários. Também peça as informações sobre o que o roteador deve enviar. Quem deve e quem não deve receber essas informações. Por fim, pergunte quais serviços são permitidos aos usuários e se eles devem ser capazes de usá-los. Em geral, se pensar em uma forma de abuso do serviço, você deverá seguir as etapas para impedir isso.

Tarefa 3: Documentar a rede corrigida


Laboratório 5.5.1: Listas de controle de acesso básico




Gateway padrão

R1 Fa0/0 192.168.10.1 255.255.255.0 N/A

Fa0/1 192.168.11.1 255.255.255.0 N/A

S0/0/0 10.1.1.1 255.255.255.252 N/A

R2

Fa0/1 192.168.20.1 255.255.255.0 N/A

S0/0/0 10.1.1.2 255.255.255.252 N/A

S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 N/A

R3 Fa0/1 192.168.30.1 255.255.255.0 N/A

S0/0/1 10.2.2.2 255.255.255.252 N/A

S1 Vlan1 192.168.10.2 255.255.255.0 192.168.10.1


CCNA Exploration

Acessando a WAN: ACLs Laboratório 5.5.1: Listas de controle de acesso básico

S2 Vlan1 192.168.11.2 255.255.255.0 192.168.11.1

S3 Vlan1 192.168.30.2 255.255.255.0 192.168.30.1

PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1

PC2 Placa de rede 192.168.11.10 255.255.255.0 192.168.11.1

PC3 Placa de rede 192.168.30.10 255.255.255.0 192.168.30.1

Servidor Web Placa de rede 192.168.20.254 255.255.255.0 192.168.20.1


• Crie o padrão nomeado e as ACLs estendidas nomeadas. • Aplique o padrão nomeado e as ACLs estendidas nomeadas. • Testar as ACLs de nomenclatura padrão e estendida. • Solucionar problemas das ACLs de nomenclatura padrão e estendida.

Cenário Neste laboratório, você irá aprender a configurar a segurança de rede básica utilizando listas de controle de acesso. Você irá aplicar ACLs padrão e estendidas.



Você pode utilizar qualquer roteador atual em seu laboratório contanto que ele tenha as interfaces exigidas mostradas no diagrama de topologia.

Nota: este laboratório foi desenvolvido e testado utilizando-se 1.841 roteadores. Se você usar roteadores da série 1700, 2500 ou 2600, as saídas do roteador e as descrições de interface poderão ser diferentes. Em roteadores mais antigos, ou versões do IOS anteriores ao 12.4, alguns comandos podem ser diferentes ou inexistentes.


Etapa 2: Executar configurações básicas do roteador Configure os roteadores R1, R2, R3, S1, S2 e S3 e os switches de acordo com as seguintes diretrizes:



• Configure uma senha class no modo EXEC. • Configure um banner de mensagem do dia.

• Configure uma senha cisco para as conexões de console.

• Configure uma senha para as conexões VTY.

• Configure endereços IP e máscaras em todos os dispositivos.

• Habilite o OSPF área 0 com um ID de processo 1 em todos os roteadores de todas as redes.


CCNA Exploration


• Configure uma interface de loopback em R2 para simular o ISP.

• Configure endereços IP para a interface VLAN 1 em cada switch.

• Configure cada switch usando o gateway padrão apropriado.

• Verificar a conectividade completa do IP usando o comando ping.

Tarefa 3: Configurando uma ACL padrão As ACLs padrão só podem filtrar tráfego com base no endereço IP de origem. Uma prática recomendada típica é configurar uma ACL padrão o mais próximo possível do destino. Nesta tarefa, você está configurando uma ACL padrão. A ACL foi projetada para impedir o tráfego da rede 192.168.11.0/24 localizada em um laboratório de aluno de acessar uma rede local em R3.

Esta ACL será aplicada à interface serial do R3. Lembre-se de que toda ACL tem um “deny all” implícito que faz com que todo o tráfego não correspondente a uma instrução na ACL seja bloqueado. Por isso, adicione a instrução permit any ao final da ACL.

Antes de configurar e aplicar essa ACL, não se esqueça de testar a conectividade de PC1 (ou a interface Fa0/1 em R1) para PC3 (ou a interface Fa0/1 em R3). Os testes de conectividade devem ser bem-sucedidos antes da aplicação da ACL.

Etapa 1: Criar a ACL no roteador R3.

No modo de configuração global, crie uma ACL nomeada padrão chamada STND-1. R3(config)#ip access-list standard STND-1

No modo de configuração ACL padrão, adicione uma instrução que nega qualquer pacote com um endereço de origem 192.168.11.0/24 e imprime uma mensagem na console de cada pacote correspondido.

R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log

Permita todos os demais tráfegos. R3(config-std-nacl)#permit any

Etapa 2: Aplicar a ACL.

Aplique a ACL STND-1 como um filtro em pacotes que entram em R3 pela interface serial 0/0/1.

R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 in R3(config-if)#end R3#copy run start

Etapa 3: Testar a ACL.

Antes de testar a ACL, verifique se a console de R3 é visível. Isso permitirá ver as mensagens do log da lista de acesso quando o pacote for negado.

Testar a ACL executando ping do PC2 para o PC3. Considerando que a ACL foi projetada para bloquear tráfego com endereços de origem da rede 192.168.11.0/24, PC2 (192.168.11.10) não deve ser capaz de executar ping em PC3.

Você também pode utilizar um ping estendido da interface Fa0/1 em R1 para a interface Fa0/1 em R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]:


CCNA Exploration


Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.11.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.11.1 U.U.U Success rate is 0 percent (0/5)

Você deve ver a mensagem a seguir na console de R3:

*Sep 4 03:22:58.935: %SEC-6-IPACCESSLOGNP: list STND-1 denied 0 0.0.0.0 -> 192.168.11.1, 1 packet

No modo EXEC privilegiado em R3, emita o comando show access-lists. Você vê a saída de dados semelhante ao seguinte. Cada linha de uma ACL tem um contador associado que mostra quantos pacotes corresponderam à regra.

Standard IP access list STND-1 10 deny 192.168.11.0, wildcard bits 0.0.0.255 log (5 matches) 20 permit any (25 matches)

A finalidade desta ACL foi bloquear hosts da rede 192.168.11.0/24. Qualquer outro host, como os na rede 192.168.10.0/24, deve ter permissão para acessar as redes em R3. Faça outros testes entre PC1 e PC3 para assegurar que esse tráfego não esteja bloqueado.

Você também pode utilizar um ping estendido da interface Fa0/0 em R1 para a interface Fa0/1 em R3. R1#ping ip Target IP address: 192.168.30.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.10.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: Packet sent with a source address of 192.168.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/44 ms

Tarefa 4: Configurando uma ACL estendida Quando for exigida uma maior granularidade, você deve utilizar uma ACL estendida. As ACLs estendidas podem filtrar o tráfego com base em mais de um endereço de origem. As ACLs estendidas podem filtrar o protocolo, os endereços IP de origem e de destino, além dos números de porta de origem e de destino.


CCNA Exploration


Uma política adicional desta rede informa que apenas dispositivos da LAN 192.168.10.0/24 têm permissão para alcançar redes internas. Os computadores nesta LAN não podem acessar a Internet. Portanto, o acesso desses usuários ao endereço IP 209.165.200.225 deve ser bloqueado. Como este requisito precisa ser aplicado na origem e no destino, uma ACL estendida é obrigatória.

Nesta tarefa, você está configurando uma ACL estendida em R1 que impede tráfego com origem em qualquer dispositivo na rede 192.168.10.0/24 de acessar o host 209.165.200.255 (o ISP simulado). Esta ACL será aplicada à saída da interface serial 0/0/0 do R1. Uma prática recomendada típica para aplicar ACLs estendidas é colocá-las o mais próximo possível da origem.

Antes de começar, verifique se você consegue executar ping em 209.165.200.225 no PC1.

Etapa 1: Configurar uma ACL estendida nomeada.

No modo de configuração global, crie uma ACL estendida padrão chamada EXTEND-1. R1(config)#ip access-list extended EXTEND-1

Observe que o prompt do roteador é alterado para indicar que agora você está no modo de configuração ACL estendido. Nesse prompt, adicione as instruções necessárias para bloquear o tráfego da rede 192.168.10.0/24 para o host. Use a palavra-chave host ao definir o destino.

R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

Lembre-se de que "deny all" implícito bloqueia todos os demais tráfegos sem a instrução permit adicional. Adicione a instrução permit para garantir que outro tráfego não esteja bloqueado.

R1(config-ext-nacl)#permit ip any any


Com ACLs padrão, a prática recomendada é colocar a ACL o mais perto possível do destino. As ACLs estendidas costumam ser colocadas próximas da origem. A ACL EXTEND-1 será colocada na interface Serial e filtrará o tráfego de saída.

R1(config)#interface serial 0/0/0 R1(config-if)#ip access-group EXTEND-1 out R1(config-if)#end R1#copy run start


Em PC1, execute ping na interface de loopback em R2. Esses pings devem falhar, pois todo o tráfego da rede 192.168.10.0/24 será filtrado quando o destino for 209.165.200.225. Se o destino for qualquer outro endereço, os pings devem ter êxito. Confirme-a, executando ping em R3 a partir do dispositivo de rede 192.168.10.0/24.

Nota: o recurso de ping estendido em R1 não pode ser utilizado para testar essa ACL, porque o tráfego terá origem dentro de R1 e jamais será testado em relação à ACL aplicada à interface serial R1.

Você pode ainda verificar isto emitindo o comando show ip access-list em R1 depois de executar ping. R1#show ip access-list Extended IP access list EXTEND-1 10 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 (4 matches) 20 permit ip any any

Tarefa 5: Controlar acesso às linhas VTY com uma ACL padrão É uma prática recomendada restringir o acesso a linhas VTY do roteador à administração remota. Uma ACL pode ser se aplicada às linhas VTY, o que permite restringir acesso a hosts específicos ou redes.


CCNA Exploration


Nesta tarefa, você irá configurar uma ACL padrão para permitir que hosts de duas redes acessem as linhas VTY. Todos os demais hosts são negados.

Verifique se você pode enviar um telnet ao R2 do R1 e do R3.

Etapa 1: Configurar os ACL.

Configure uma ACL padrão nomeada em R2 que permita tráfego entre 10.2.2.0/30 e 192.168.30.0/24. Negue todos os demais tráfegos. Chame a ACL TASK-5.

R2(config)#ip access-list standard TASK-5 R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3 R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255


Entre no modo de configuração das linhas VTY de 0 a 4. R2(config)#line vty 0 4

Use o comando access-class para aplicar a ACL às linhas vty na direção de entrada. Observe que ele é diferente do comando que costumava aplicar ACLs a outras interfaces.

R2(config-line)#access-class TASK-5 in R2(config-line)#end R2#copy run start

Etapa 3: Testar a ACL

Telnet de R1 para R2. Observe que R1 não tem endereços IP no intervalo de endereços listado nas instruções de permissão ACL TASK-5. Deve haver falha nas tentativas de conexão.

R1# telnet 10.1.1.2 Trying 10.1.1.2 … % Connection refused by remote host

Em R3, execute telnet em R2. Será apresentado a você um prompt para a senha de linha VTY. R3# telnet 10.1.1.2 Trying 10.1.1.2 … Open CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law. User Access Verification Password:

Por que as tentativas de conexão de outras redes falham mesmo não estando especificamente listadas na ACL?

_________________________________________________________________________________

_________________________________________________________________________________

Tarefa 6: Identificação e solução de problemas de ACLs Quando uma ACL é configurada ou aplicada de modo inadequado para a interface errada ou na direção errada, o tráfego da rede pode ser afetado de uma maneira indesejável.

Etapa 1: Remover ACL STND-1 de S0/0/1 de R3.


CCNA Exploration


Em uma tarefa anterior, você criou e aplicou uma ACL padrão nomeada em R3. Use o comando show running-config para exibir a ACL e sua localização. Você deve ver que uma ACL chamada STND-1 foi configurada e aplicada de entrada na Serial 0/0/1. Lembre-se de que essa ACL foi criada para impedir todo o tráfego da rede com um endereço de origem da rede 192.168.11.0/24 de acessar a rede local em R3.

Para remover a ACL, vá para o modo de configuração da interface serial 0/0/1 no R3. Utilize o comando no ip access-group STND-1 in para remover a ACL da interface.

R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group STND-1 in

Utilize o comando show running-config para confirmar se a ACL foi removida da Serial 0/0/1.

Etapa 2: Aplicar ACL STND-1 em S0/0/1 de saída.

Para testar a importância do sentido da filtragem ACL, reaplique a ACL STND-1 à interface Serial 0/0/1. Desta vez, a ACL filtrará o tráfego de saída em vez do tráfego de entrada. Lembre-se de usar a palavra-chave out ao aplicar a ACL.

R3(config)#interface serial 0/0/1 R3(config-if)#ip access-group STND-1 out


Testar a ACL executando ping do PC2 para o PC3. Como alternativa, use um ping estendido em R1. Observe que ping é executado com êxito desta vez e os contadores ACL não são incrementados. Confirme-a, emitindo o comando show ip access-list em R3.

Etapa 4: Restaurar a configuração original da ACL.

Remova a ACL da direção de saída e reaplique-a na direção de entrada.

R3(config)#interface serial 0/0/1 R3(config-if)#no ip access-group STND-1 out R3(config-if)#ip access-group STND-1 in

Etapa 5: Aplicar TASK-5 à interface R2 serial 0/0/0 de entrada. R2(config)#interface serial 0/0/0 R2(config-if)#ip access-group TASK-5 in


Tente se comunicar com qualquer dispositivo conectado a R2 ou R3 de R1 ou redes conectadas. Observe que toda a comunicação é bloqueada; no entanto, os contadores ACL não são incrementados. Isso ocorre por causa do "negar tudo" implícito no final de cada ACL. Essa instrução deny impedirá todo o tráfego de entrada para serial 0/0/0 de qualquer origem que não seja R3. Essencialmente, isso causará a remoção de R1 da tabela de roteamento.

Você deve ver mensagens semelhantes às impressas a seguir nas consoles de R1 e R2 (como demorará um pouco para que o relacionamento de vizinho OSPF seja desativado, tenha paciência):

*Sep 4 09:51:21.757: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.11.1 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Dead timer expired

Quando você receber essa mensagem, emita o comando show ip route em R1 e R2 para ver quais rotas foram removidas da tabela de roteamento.

Remova a ACL TASK-5 da interface e salve as configurações.

R2(config)#interface serial 0/0/0


CCNA Exploration


R2(config-if)#no ip access-group TASK-5 in R2(config)#exit R2#copy run start


Configurações Roteador 1

hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip access-group EXTEND-1 out clockrate 64000 no shutdown ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ip access-list extended EXTEND-1 deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225 permit ip any any ! banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 password cisco login !

Roteador 2


CCNA Exploration


hostname R2 ! enable secret class ! no ip domain lookup ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 no shutdown ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 clockrate 125000 no shutdown ! router ospf 1 no auto-cost network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 network 192.168.20.0 0.0.0.255 area 0 network 209.165.200.224 0.0.0.31 area 0 ! ip access-list standard TASK-5 permit 10.2.2.0 0.0.0.3 permit 192.168.30.0 0.0.0.255 ! banner motd ^Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 access-class TASK-5 in password cisco login ! Roteador 3 hostname R3 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/1


CCNA Exploration



ip address 192.168.30.1 255.255.255.0 no shutdown ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 ip access-group STND-1 in no shutdown ! router ospf 1 network 10.2.2.0 0.0.0.3 area 0 network 192.168.30.0 0.0.0.255 area 0 ! ip access-list standard STND-1 deny 192.168.11.0 0.0.0.255 log permit any ! banner motd ^Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law.^ ! line con 0 password cisco logging synchronous login ! line vty 0 4 password cisco login ! end


Laboratório 5.5.2: Listas de controle de acesso avançado




R1 S0/0/0 10.1.0.1 255.255.255.0 N/A

Fa0/1 10.1.1.254 255.255.255.0 N/A

R2 S0/0/0 10.1.0.2 255.255.255.0 N/A

S0/0/1 10.3.0.1 255.255.255.0 N/A

Lo 0 10.13.205.1 255.255.0.0 N/A

R3 S0/0/1 10.3.0.2 255.255.255.0 N/A

Fa0/1 10.3.1.254 255.255.255.0 N/A

PC 1 Placa de rede 10.1.1.1 255.255.255.0 10.1.1.254

PC 3 Placa de rede 10.3.1.1 255.255.255.0 10.3.1.254


CCNA Exploration

Acessando a WAN: ACLs Laboratório 5.5.2: Listas de controle de acesso avançado

Objetivos de aprendizagem

Para concluir este laboratório:

• Crie o padrão nomeado e as ACLs estendidas nomeadas. • Aplique o padrão nomeado e as ACLs estendidas nomeadas. • Testar as ACLs de nomenclatura padrão e estendida. • Solucionar problemas das ACLs de nomenclatura padrão e estendida.



Você pode utilizar qualquer roteador atual em seu laboratório contanto que ele tenha as interfaces exigidas mostradas no diagrama de topologia.

Nota: se você utilizar um roteador 1700, 2500 ou 2600, as saídas do comando do roteador e as descrições de interface poderão ser diferentes.


Tarefa 2: Executar configurações básicas do roteador. Configure os roteadores R1, R2 e R3 de acordo com as seguintes diretrizes:






• Configure uma senha para as conexões VTY.

• Configure endereços IP em todos os dispositivos.

• Crie uma interface de loopback em R2.

• Habilite o OSPF área 0 em todos os roteadores de todas as redes.

• Verificar a conectividade completa do IP usando o comando ping.

Tarefa 3: Configurando ACLs padrão Configure as ACLs padrão nomeadas nas linhas VTY de R1 e R3, permitindo a hosts diretamente conectados em suas sub-redes FastEthernet obter acesso Telnet. Negue e registre em log todas as outras tentativas de conexão. Documente os seus procedimentos de teste.

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________


CCNA Exploration

Acessando a WAN: ACLs Laboratório 5.5.2: Listas de controle de acesso avançado


Tarefa 4: Configurando ACLs estendidas Com o uso de ACLs estendidas em R2, atenda às seguintes exigências:

• As redes locais conectadas a R1 e R3 são utilizadas em laboratórios de computador de aluno. O administrador de rede notou que os alunos nesses laboratórios estão jogando jogos pela WAN com os alunos remotos. Verifique se a ACL impede a rede local conectada a R1 de alcançar a rede local em R3 e se a rede local em R3 não pode alcançar a rede local em R1. Seja específico quanto às instruções para que uma nova rede local adicionada a R1 ou R3 não seja afetada.

• Permita todo o tráfego OSPF.

• Permita tráfego ICMP para as interfaces locais R2.

• Todo o tráfego da rede com destino à porta TCP 80 deve ser permitido e registrado em log. Qualquer outro tráfego deve ser negado.

• Qualquer tráfego não especificado acima deve ser negado.

Nota: isso pode exigir várias listas de acesso. Verifique a configuração e documente o procedimento de testes.

Por que a ordem das instruções access list é tão importante? __________________________________________________________________________________

__________________________________________________________________________________

Tarefa 5: Verificando uma ACL Teste todos os protocolos que você está tentando bloquear e assegure-se de que esse tráfego seja permitido.



Laboratório 5.5.3: Identificação e solução de problemas de listas de controle de acesso




R1 S0/0/0 10.1.0.1 255.255.255.0 N/A

Fa0/1 10.1.1.254 255.255.255.0 N/A

R2 S0/0/0 10.1.0.2 255.255.255.0 N/A

S0/0/1 10.3.0.5 255.255.255.0 N/A

Lo 0 10.13.205.1 255.255.0.0 N/A

R3 S0/0/1 10.3.0.6 255.255.255.0 N/A

Fa0/1 10.3.1.254 255.255.255.0 N/A


CCNA Exploration Acessando a WAN: ACLs Laboratório 5.5.3: Identificação e solução de problemas de listas de controle de acesso

PC 1 Placa de rede 10.1.1.1 255.255.255.0 10.1.1.254

PC 3 Placa de rede 10.3.1.1 255.255.255.0 10.3.1.254


• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Carregue roteadores com scripts. • Localize e corrija todos os erros de rede. • Documentar a rede corrigida.

Cenário Você trabalha para uma operadora regional com clientes que recentemente passaram por várias falhas na segurança. Algumas políticas de segurança foram implementadas que não atendiam às necessidades específicas dos clientes. O departamento foi solicitado a examinar a configuração, realizar testes e alterar a configuração conforme necessário para proteger os roteadores do cliente.

Assegure-se de que as configurações finais implementem as seguintes políticas de segurança:

• Clientes R1 e R3 solicitam que apenas os PCs locais possam acessar linhas VTY. Registre em log todas as tentativas por outros dispositivos para acessar as linhas VTY.

• As redes locais R1 e R3 não devem ter permissão para enviar ou receber tráfego entre si. Todo o tráfego restante deve ter permissão entre R1 e R3.

Um mínimo de instruções ACL deve ser utilizado e aplicado de entrada nas interfaces seriais de R2. OSPF é utilizado para distribuir informações de roteamento. Todas as senhas, exceto a senha secreta de habilitar, são definidas como cisco. A senha secreta de habilitar é definida como class.

Tarefa 1: Carregar os roteadores com os scripts fornecidos Seu instrutor carregará os dispositivos antes deste laboratório ou lhe fornecerá as configurações.

Tarefa 2: Localizar e corrigir todos erros de rede Localize e corrija todos os erros na configuração. Documente as etapas utilizadas na identificação e solução de problemas da rede e observe cada erro encontrado.

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________


CCNA Exploration Acessando a WAN: ACLs Laboratório 5.5.3: Identificação e solução de problemas de listas de controle de acesso


__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

__________________________________________________________________________________

Tarefa 3: Documentar a rede corrigida Agora que você corrigiu todos os erros e testou a conectividade em toda a rede, documente a configuração final de cada dispositivo.


Laboratório 7.4.1: Configuração básica DHCP e NAT




R1 S0/0/0 10.1.1.1 255.255.255.252

Fa0/0 192.168.10.1 255.255.255.0

Fa0/1 192.168.11.1 255.255.255.0

R2 S0/0/0 10.1.1.2 255.255.255.252

S0/0/1 209.165.200.225 255.255.255.252

Fa0/0 192.168.20.1 255.255.255.0

ISP S0/0/1 209.165.200.226 255.255.255.252


• Prepare a rede. • Execute as configurações básicas de roteador. • Configure um servidor DHCP do Cisco IOS. • Configurar roteamentos estático e padrão • Configure a NAT estática. • Configure NAT dinâmica usando um conjunto de endereços.


CCNA Exploration Acessando a WAN: Serviços de endereçamento IP Laboratório 7.4.1: Configuração básica DHCP e NAT

• Configure sobrecarga NAT.

Cenário Neste laboratório, você irá configurar os serviços DHCP e NAT IP. Um roteador é o servidor DHCP. O outro roteador encaminha solicitações de DHCP ao servidor. Você também definirá as configurações de NAT estáticas e dinâmicas, inclusive sobrecarga de NAT. Quando você concluir as configurações, verifique a conectividade entre os endereços internos e externos.




Nota: se você utilizar um roteador das séries 1700, 2500 ou 2600, as saídas do comando do roteador e as descrições de interface poderão ser diferentes. Em roteadores mais antigos, alguns comandos podem ser diferentes, ou não existem.


Tarefa 2: Executar configurações básicas do roteador Configure os roteadores R1, R2 e ISP de acordo com as seguintes diretrizes:

• Configure o nome de host do dispositivo.


• Configure uma senha no modo EXEC privilegiado.



• Configure uma senha para todas as conexões vty.

• Configure endereços IP em todos os roteadores. Os PCs recebem endereçamento IP de DHCP posteriormente no laboratório.

• Habilite o OSPF com o ID de processo 1 em R1 e R2. Não anuncie a rede 209.165.200.224/27.

Nota: em vez de anexar um servidor a R2, você pode configurar uma interface de loopback em R2 para utilizar o endereço IP 192.168.20.254/24. Se fizer isso, você não precisará configurar a interface Fast Ethernet.

Tarefa 3: Configurar PC1 e PC2 para receber um endereço IP por meio de DHCP Em um PC com Windows, vá até Start -> Control Panel -> Network Connections -> Local Area Connection. Clique com o botão direito do mouse em Local Area Connection e selecione Properties.



Role para baixo e realce Internet Protocol (TCP/IP). Clique no botão Properties.

Verifique se o botão está selecionado informando Obtain an IP address automatically.



Quando isso for feito em PC1 e PC2, eles estarão prontos para receber um endereço IP de um servidor DHCP.

Tarefa 4: Configurar um servidor DHCP do IOS Cisco O software IOS Cisco dá suporte a uma configuração de servidor DHCP chamada Easy IP. A meta deste laboratório é ter dispositivos nas redes 192.168.10.0/24 e 192.168.11.0/24 solicitando endereços IP via DHCP de R2.

Etapa 1: Excluir endereços atribuídos estaticamente.

O servidor DHCP presume que todos os endereços IP de uma sub-rede de conjunto de endereços DHCP estejam disponíveis para serem atribuídos a clientes DHCP. Você deve especificar os endereços IP que o servidor DHCP não deve atribuir aos clientes. Esses endereços IP são endereços estáticos normalmente reservados para a interface do roteador, endereço IP de gerenciamento de switch, servidores e impressora em rede local. O comando ip dhcp excluded-address impede o roteador de atribuir endereços IP dentro do intervalo configurado. Os comandos a seguir excluem os primeiros 10 endereços IP de cada conjunto para as redes locais conectadas ao R1. Esses endereços não serão atribuídos a nenhum cliente DHCP. R2(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10 R2(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.10

Etapa 2: Configurar o conjunto.

Crie o conjunto DHCP que usa o comando ip dhcp pool comando e nomeie como R1Fa0. R2(config)#ip dhcp pool R1Fa0

Especifique a sub-rede a ser usada ao atribuir endereços IP. Os conjuntos DHCP são associados automaticamente a uma interface com base na instrução da rede. Agora, o roteador age como um servidor DHCP, entregando endereços na sub-rede 192.168.10.0/24, começando por 192.168.10.1. R2(dhcp-config)#network 192.168.10.0 255.255.255.0

Configure o roteador padrão e o servidor de nome de domínio da rede. Os clientes recebem essas configurações por DHCP, além de um endereço IP. R2(dhcp-config)#dns-server 192.168.11.5 R2(dhcp-config)#default-router 192.168.10.1 Nota: não há nenhum servidor DNS em 192.168.11.5. Você está configurando o comando somente para prática.

Como dispositivos da rede 192.168.11.0/24 também solicitam endereços de R2, um conjunto separado deve ser criado para atender a dispositivos nessa rede. Os comandos são semelhantes aos comandos mostrados acima: R2(config)#ip dhcp pool R1Fa1 R2(dhcp-config)#network 192.168.11.0 255.255.255.0 R2(dhcp-config)#dns-server 192.168.11.5 R2(dhcp-config)#default-router 192.168.11.1

Etapa 3: Testar DHCP

Em PC1 e PC2, teste se cada um recebeu um endereço IP automaticamente. Em cada PC, vá até Start - > Run - > cmd - > ipconfig



Quais são os resultados do teste? ____________________________________ Por que são esses os resultados? _________________________________________

Etapa 4: Configurar um endereço auxiliar.

Os serviços de rede, como DHCP, dependem de broadcasts da Camada 2 para funcionar. Quando estão em uma sub-rede diferente dos clientes, os dispositivos que fornecem esses serviços não podem receber os pacotes de broadcast. Como o servidor DHCP e os clientes DHCP não estão na mesma sub-rede, configure R1 para encaminhar broadcasts DHCP para R2, que é o servidor DHCP, utilizando o comando de configuração da interface ip helper-address.

Observe que ip helper-address deve ser configurado em todas as interfaces envolvidas. R1(config)#interface fa0/0 R1(config-if)#ip helper-address 10.1.1.2 R1(config)#interface fa0/1 R1(config-if)#ip helper-address 10.1.1.2

Etapa 5: Liberar e renovar os endereços IP em PC1 e PC2.

Dependendo dos PCs terem sido utilizados em um laboratório diferente, ou conectado à Internet, eles talvez já tenham aprendido um endereço IP automaticamente de um servidor DHCP diferente. Precisamos limpar esse endereço IP, utilizando os comandos ipconfig /release e ipconfig /renew.

Etapa 6: Verificar a configuração DHCP.

Você pode verificar a configuração do servidor DHCP de vários modos diferentes. Emita o comando ipconfig em PC1 e PC2 para verificar se agora eles receberam um endereço IP dinamicamente. Você pode emitir então os comandos no roteador para obter mais informações. O comando show ip dhcp binding fornece informações sobre todos os endereços DHCP atualmente atribuídos. Por exemplo, a saída a seguir mostra que o endereço IP 192.168.10.11 foi designado para o endereço MAC 3031.632e.3537.6563. O aluguel do IP expira no dia 14 de setembro de 2007 às 19h33. R1#show ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 192.168.10.11 0063.6973.636f.2d30. Sep 14 2007 07:33 PM Automatic



3031.632e.3537.6563. 2e30.3634.302d.566c. 31 O comando show ip dhcp pool exibe informações sobre todas as ferramentas DHCP configuradas atualmente no roteador. Nesta saída do comando, o conjunto R1Fa0 é configurado em R1. Um endereço foi alugado desse conjunto. O próximo cliente a solicitar um endereço receberá 192.168.10.12. R2#show ip dhcp pool Pool R1Fa0 : Utilization mark (high/low) : 100 / 0 Subnet size (first/next) : 0 / 0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index IP address range Leased addresses 192.168.10.12 192.168.10.1 - 192.168.10.254 1

O comando debug ip dhcp server events pode ser extremamente útil durante a identificação e solução de problemas de aluguéis DHCP com um servidor DHCP IOS Cisco. Esta é a saída do comando de depuração em R1 após a conexão com um host. Observe que a porção realçada mostra DHCP informando ao cliente um endereço 192.168.10.12 e uma máscara 255.255.255.0

*Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER: *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 *Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool class: *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80b01010000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 *Sep 13 21:04:18.072: DHCPD: there is no address pool for 192.168.11.1. *Sep 13 21:04:18.072: DHCPD: Sending notification of DISCOVER: R1# *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 *Sep 13 21:04:18.072: DHCPD: Seeing if there is an internally specified pool class: *Sep 13 21:04:18.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:18.072: DHCPD: remote id 020a0000c0a80a01000000000000 *Sep 13 21:04:18.072: DHCPD: circuit id 00000000 R1# *Sep 13 21:04:20.072: DHCPD: Adding binding to radix tree (192.168.10.12) *Sep 13 21:04:20.072: DHCPD: Adding binding to hash tree *Sep 13 21:04:20.072: DHCPD: assigned IP address 192.168.10.12 to client 0063.6973.636f.2d30.3031.632e.3537.6563.2e30.3634.302d.566c.31. *Sep 13 21:04:20.072: DHCPD: Sending notification of ASSIGNMENT: *Sep 13 21:04:20.072: DHCPD: address 192.168.10.12 mask 255.255.255.0 *Sep 13 21:04:20.072: DHCPD: htype 1 chaddr 001c.57ec.0640 *Sep 13 21:04:20.072: DHCPD: lease time remaining (secs) = 86400 *Sep 13 21:04:20.076: DHCPD: Sending notification of ASSIGNMENT: *Sep 13 21:04:20.076: DHCPD: address 192.168.10.12 mask 255.255.255.0 R1# *Sep 13 21:04:20.076: DHCPD: htype 1 chaddr 001c.57ec.0640



*Sep 13 21:04:20.076: DHCPD: lease time remaining (secs) = 86400

Tarefa 5: Configurar roteamentos estático e padrão ISP usa roteamento estático para alcançar todas as redes além de R2. No entanto, R2 traduz endereços particulares em endereços públicos antes de enviar tráfego para ISP. Portanto, o ISP deve ser configurado com os endereços públicos que fazem parte da configuração de NAT no R2. Insira a seguinte rota estática em ISP: ISP(config)#ip route 209.165.200.240 255.255.255.240 serial 0/0/1

Esta rota estática inclui todos os endereços atribuídos ao R2 para uso público.

Configure uma rota padrão em R2 e propague a rota em OSPF. R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.200.226 R2(config)#router ospf 1 R2(config-router)#default-information originate Aguarde alguns segundos até que R1 aprenda a rota padrão de R2 e, em seguida, verifique a tabela de roteamento R1. Você pode limpar a tabela de roteamento com o comando clear ip route *. Uma rota padrão apontando para R2 deve ser exibida na tabela de roteamento R1. Observe que a rota estática configurada no ISP só roteia para os endereços públicos que os hosts de R1 utilizarão depois que o NAT for configurada em R2. Até o NAT ser configurada, a rota estática levará a uma rede desconhecida, causando falha nos pings de R1.

Tarefa 6: Configurar NAT estático

Etapa 1: Mapear estaticamente um endereço IP público para um endereço IP privado.

O servidor interno conectado ao R2 pode ser acessado através de hosts externos além do ISP. Atribua estaticamente o endereço IP público 209.165.200.254 como o endereço NAT a ser usado para mapear pacotes para o endereço IP privado do servidor interior em 192.168.20.254. R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254

Etapa 2: Especificar interfaces NAT internas e externas.

Para que o NAT possa funcionar, você deve especificar quais interfaces estão dentro e quais estão fora.

R2(config)#interface serial 0/0/1 R2(config-if)#ip nat outside R2(config-if)#interface fa0/0 R2(config-if)#ip nat inside Nota: se estiver utilizando um servidor interno simulado, atribua o comando ip nat inside à interface de loopback.

Etapa 3: Verificar a configuração NAT estático.

Em ISP, execute ping no endereço IP público 209.165.200.254.

Tarefa 7: Configurar NAT dinâmica com um conjunto de endereços Embora o NAT estático forneça um mapeamento permanente entre um endereço interno e um endereço público específico, o NAT dinâmico mapeia endereços IP privados para endereços públicos. Esses endereços IP públicos vêm de um conjunto de NAT.



Etapa 1: Definir um conjunto de endereços globais.

Crie um conjunto de endereços para os quais os endereços de origem correspondentes são traduzidos. O comando a seguir cria um conjunto chamado MY-NAT-POOL que traduz endereços comparados em um endereço IP disponível no intervalo 209.165.200.241 a 209.165.200.246. R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248

Etapa 2: Criar uma lista de controle de acesso estendida para identificar quais endereços são traduzidos. R2(config)#ip access-list extended NAT R2(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any R2(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any

Etapa 3: Estabelecer tradução da origem dinâmica, vinculando o conjunto à lista de controle de acesso.

Um roteador pode ter mais de um conjunto NAT e mais de uma ACL. O comando a seguir informa ao roteador qual conjunto de endereços ele deverá usar para traduzir os hosts permitidos pela ACL. R2(config)#ip nat inside source list NAT pool MY-NAT-POOL


Você já especificou as interfaces interna e externa para sua configuração de NAT estático. Agora adicione a interface serial vinculada a R1 como uma interface interior.

R2(config)#interface serial 0/0/0 R2(config-if)#ip nat inside


Ping ISP entre PC1 ou a interface Fast Ethernet em R1 usando ping estendido. Em seguida, use os comandos show ip nat translations e show ip nat statistics no R2 para verificar o NAT. R2#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 209.165.200.241:4 192.168.10.1:4 209.165.200.226:4 209.165.200.226:4 --- 209.165.200.241 192.168.10.1 --- --- --- 209.165.200.254 192.168.20.254 --- --- R2#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 0 extended) Outside interfaces: Serial0/0/1 Inside interfaces: Serial0/0/0, Loopback0 Hits: 23 Misses: 3 CEF Translated packets: 18, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: -- Inside Source [Id: 1] access-list NAT pool MY-NAT-POOL refcount 1 pool MY-NAT-POOL: netmask 255.255.255.248 start 209.165.200.241 end 209.165.200.246 type generic, total addresses 6, allocated 1 (16%), misses 0 Queued Packets: 0



Para identificar e solucionar problemas com NAT, você pode utilizar o comando debug ip nat. Ative a depuração NAT e repita o ping de PC1.

R2#debug ip nat IP NAT debugging is on R2# *Sep 13 21:15:02.215: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [25] *Sep 13 21:15:02.231: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [25] *Sep 13 21:15:02.247: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [26] *Sep 13 21:15:02.263: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [26] *Sep 13 21:15:02.275: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [27] *Sep 13 21:15:02.291: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [27] *Sep 13 21:15:02.307: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [28] *Sep 13 21:15:02.323: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [28] *Sep 13 21:15:02.335: NAT*: s=192.168.10.11->209.165.200.241, d=209.165.200.226 [29] *Sep 13 21:15:02.351: NAT*: s=209.165.200.226, d=209.165.200.241->192.168.10.11 [29] R2#

Tarefa 8: Configurar sobrecarga NAT No exemplo anterior, o que aconteceria se você precisasse de mais que os seis endereços IP públicos que o conjunto permite?

__________________________________________________________________________________

Como os números de porta são monitorados, a sobrecarga NAT permite a vários usuários internos reutilizarem um endereço IP público.

Nesta tarefa, você irá remover o conjunto e a instrução de mapeamento configurada na tarefa anterior. Em seguida, você configurará a sobrecarga de NAT no R2 para que todos os endereços IP internos sejam traduzidos para o endereço R2 S0/0/1 ao conectarem-se a qualquer dispositivo de origem externa.

Etapa 1: Remover o conjunto NAT e a instrução de mapeamento.

Use os comandos a seguir para remover o conjunto de NAT e o mapa para a ACL de NAT. R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 Se você receber a mensagem a seguir, limpe as suas traduções NAT.

%Pool MY-NAT-POOL in use, cannot destroy R2#clear ip nat translation *

Etapa 2: Configurar PAT em R2 utilizando o endereço IP público de interface 0/0/1 serial.

A configuração é semelhante ao NAT dinâmico. A diferença é que, em vez de um conjunto de endereços, a palavra-chave interface é usada para identificar o endereço IP externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave overload permite adicionar o número da porta à tradução.

Como já configurou uma ACL para identificar quais endereços IP devem ser traduzidos, bem como quais interfaces estão dentro e fora, você só precisa configurar o seguinte: R2(config)#ip nat inside source list NAT interface S0/0/1 overload




Ping ISP entre PC1 ou a interface Fast Ethernet em R1 usando ping estendido. Em seguida, use os comandos show ip nat translations e show ip nat statistics no R2 para verificar o NAT. R2#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 209.165.200.225:6 192.168.10.11:6 209.165.200.226:6 209.165.200.226:6 --- 209.165.200.254 192.168.20.254 --- --- R2#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Outside interfaces: Serial0/0/1 Inside interfaces: Serial0/0/0, Loopback0 Hits: 48 Misses: 6 CEF Translated packets: 46, CEF Punted packets: 0 Expired translations: 5 Dynamic mappings: -- Inside Source [Id: 2] access-list NAT interface Serial0/0/1 refcount 1 Queued Packets: 0 Nota: na tarefa anterior, você poderia ter adicionado a palavra-chave overload ao comando ip nat inside source list NAT pool MY-NAT-POOL para permitir mais de seis usuários simultâneos.

Tarefa 9: Documentar a rede Em cada roteador, emita o comando show run e capture as configurações.

R1#show run <saída do comando omitida> ! hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip helper-address 10.1.1.2 no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 ip helper-address 10.1.1.2 no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 125000 ! interface Serial0/0/1 no ip address shutdown



! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ! banner motd ^C *********************************** !!!AUTHORIZED ACCESS ONLY!!! *********************************** ^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 exec-timeout 0 0 password cisco logging synchronous login line vty 0 4 exec-timeout 0 0 password cisco logging synchronous login ! end R2#show run ! hostname R2 ! ! enable secret class ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.10.1 192.168.10.10 ip dhcp excluded-address 192.168.11.1 192.168.11.10 ! ip dhcp pool R1Fa0 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.11.5 ! ip dhcp pool R1Fa1 network 192.168.11.0 255.255.255.0 dns-server 192.168.11.5 default-router 192.168.11.1 ! no ip domain lookup ! interface Loopback0 ip address 192.168.20.254 255.255.255.0



ip nat inside ip virtual-reassembly ! ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ip nat inside ip virtual-reassembly ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ip nat outside ip virtual-reassembly clock rate 125000 ! router ospf 1 network 10.1.1.0 0.0.0.3 area 0 network 192.168.20.0 0.0.0.255 area 0 default-information originate ! ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! ! no ip http server no ip http secure-server ip nat inside source list NAT interface Serial0/0/1 overload ip nat inside source static 192.168.20.254 209.165.200.254 ! ip access-list extended NAT permit ip 192.168.10.0 0.0.0.255 any permit ip 192.168.11.0 0.0.0.255 any ! ! banner motd ^C *********************************** !!!AUTHORIZED ACCESS ONLY!!! *********************************** ^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 exec-timeout 0 0 password cisco logging synchronous login line vty 0 4 exec-timeout 0 0 password cisco logging synchronous login !




end

ISP#show run <saída de comando omitida> ! hostname ISP ! enable secret class ! no ip domain lookup ! interface Serial0/0/1 ip address 209.165.200.226 255.255.255.252 no shutdown ! ! ! ip route 209.165.200.240 255.255.255.240 Serial0/0/1 ! banner motd ^C *********************************** !!!AUTHORIZED ACCESS ONLY!!! *********************************** ^C ! line con 0 exec-timeout 0 0 password cisco logging synchronous login line aux 0 exec-timeout 0 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end


Laboratório 7.4.2: Configuração avançada DHCP e NAT




R1 S0/0/0 172.16.0.1 255.255.255.252

Fa0/0 172.16.10.1 255.255.255.0

Fa0/1 172.16.11.1 255.255.255.0

R2 S0/0/0 172.16.0.2 255.255.255.252

S0/0/1 209.165.201.1 255.255.255.252

Fa0/0 172.16.20.1 255.255.255.0

ISP S0/0/1 209.165.201.2 255.255.255.252


• Prepare a rede. • Execute as configurações básicas de roteador. • Configure um servidor DHCP do Cisco IOS. • Configurar roteamentos estático e padrão. • Configure a NAT estática.


CCNA Exploration Acessando a WAN: Serviços de endereçamento IP Laboratório 7.4.2: Configuração avançada DHCP e NAT

• Configure NAT dinâmica usando um conjunto de endereços. • Configure sobrecarga NAT.

Cenário Neste laboratório, configure os serviços de endereço IP usando a rede mostrada no diagrama de topologia. Se você precisar de assistência, consulte o laboratório de configuração básico de DHCP e NAT. No entanto, tente fazer o máximo possível.




Nota: se você utilizar um roteador das séries 1700, 2500 ou 2600, as saídas do comando do roteador e as descrições de interface poderão ser diferentes.


Tarefa 2: Executar configurações básicas do roteador Configure os roteadores R1, R2 e ISP de acordo com as seguintes diretrizes:

• Configure o nome de host do dispositivo.


• Configure uma senha no modo EXEC privilegiado.



• Configure uma senha para todas as conexões vty.

• Configure endereços IP em todos os roteadores. Os PCs recebem endereçamento IP de DHCP posteriormente no laboratório.

• Habilite o RIP versão 2 em R1 e R2. Não anuncie a rede 209.165.200.224/27.

Nota: em vez de anexar um servidor a R2, você pode configurar uma interface de loopback em R2 para utilizar o endereço IP 172.16.20.254/24. Se fizer isso, você não precisará configurar a interface Fast Ethernet.

Tarefa 3: Configurar um servidor DHCP do IOS Cisco Configure R2 como o servidor DHCP para as duas redes locais de R1.

Etapa 1: Excluir endereços atribuídos estaticamente.

Exclua os três primeiros endereços de cada conjunto.

Etapa 2: Configurar o conjunto DHCP.

Crie dois conjuntos DHCP. Nomeie um deles como R1_LAN10 para a rede 172.16.10.0/24, e o outro como R1_LAN11 para a rede 172.16.11.0/24.

Configure cada conjunto usando um gateway padrão e um DNS simulado em 172.16.20.254.


CCNA Exploration Acessando a WAN: Serviços de endereçamento IP Laboratório 7.4.2: Configuração avançada DHCP e NAT


Etapa 3: Configurar um endereço auxiliar.

Configure endereços auxiliares para que broadcasts dos broadcasts de cliente sejam encaminhados para o servidor DHCP.

Etapa 4: Verificar a configuração DHCP.

Tarefa 4: Configurar roteamentos estático e padrão Configure o ISP com uma rota estática para a rede 209.165.201.0/27. Use a interface de saída como um argumento.

Configure uma rota padrão em R2 e propague a rota em OSPF. Use o endereço IP do próximo salto como um argumento.

Tarefa 5: Configurar NAT estático

Etapa 1: Mapear estaticamente um endereço IP público para um endereço IP privado.

Mapeie estaticamente o endereço IP de servidor interno para o endereço público 209.165.201.30.


Etapa 3: Verificar a configuração NAT estático.

Tarefa 6: Configurar NAT dinâmica com um conjunto de endereços

Etapa 1: Definir um conjunto de endereços globais.

Crie um conjunto nomeado NAT_POOL para os endereços IP 209.165.201.9 até 209.165.201.14 usando uma máscara de sub-rede /29.

Etapa 2: Criar uma lista de controle de acesso nomeada padrão para identificar quais endereços são traduzidos.

Use o nome NAT_ACL e dê permissão a todos os hosts conectados às duas redes locais em R1.

Etapa 3: Estabelecer a tradução de origem dinâmica.

Vincule o conjunto NAT à ACL e permita a sobrecarga NAT.

Etapa 4: Especificar as interfaces NAT internas e externas.

Verificar se as interfaces interna e externa foram especificadas corretamente.


Tarefa 7: Documentar a rede Em cada roteador, emita o comando show run e capture as configurações.


Laboratório 7.4.3: Identificação e solução de problemas de DHCP e NAT




R1 S0/0/0 172.16.0.1 255.255.255.252

Fa0/0 172.16.10.1 255.255.255.0

Fa0/1 172.16.11.1 255.255.255.0

R2 S0/0/0 172.16.0.2 255.255.255.252

S0/0/1 209.165.201.1 255.255.255.252

Fa0/0 172.16.20.1 255.255.255.0

ISP S0/0/1 209.165.201.2 255.255.255.252


• Prepare a rede. • Carregue roteadores com scripts. • Localize e corrija todos os erros de rede. • Documentar a rede corrigida.


CCNA Exploration Acessando a WAN: Serviços de endereçamento IP Laboratório 7.4.3: Identificação e solução de problemas de DHCP e NAT

Cenário

Os roteadores, R1 e R2, da sua empresa foram configurados por um engenheiro de rede sem experiência. Vários erros na configuração resultaram em problemas de conectividade. Seu chefe lhe pediu para solucionar problemas, corrigir os erros de configuração e documentar seu trabalho. Com seus conhecimentos de DHCP, NAT e métodos de teste padrão, identifique e corrija os erros. Certifique-se de que todos os clientes tenham total conectividade. O ISP foi configurado corretamente.

Assegure-se de que a rede dê suporte ao seguinte:

1. O roteador R2 deve funcionar como o servidor DHCP para as redes 172.16.10.0/24 e 172.16.11.0/24 conectadas a R1.

2. Todos os PCs conectados a R1 devem receber um endereço IP na rede correta via DHCP.

3. O tráfego das redes locais R1 que entram pela interface Serial 0/0/0 em R2 e saem pela interface Serial 0/0/1 em R2 devem receber a tradução NAT com um conjunto de endereços fornecidos pelo ISP.

4. O servidor interno deve ser alcançável fora das redes utilizando o endereço IP 209.165.201.30 e dentro das redes utilizando o endereço 172.16.20.254




Etapa 3: Importar as configurações abaixo.

R1 hostname R1 ! enable secret class ! no ip domain lookup ! interface FastEthernet0/0 ip address 172.16.10.1 255.255.255.0 ip helper-address 172.16.0.2 no shutdown ! interface FastEthernet0/1 ip address 172.16.11.1 255.255.255.0 no shutdown ! interface Serial0/0/0 ip address 172.16.0.1 255.255.255.252 clock rate 125000 no shutdown ! router rip version 2 network 172.16.0.0 no auto-summary ! banner motd $AUTHORIZED ACCESS ONLY$



! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end R2 hostname R2 ! enable secret class ! ip dhcp excluded-address 172.16.10.1 172.16.10.3 ip dhcp excluded-address 172.16.11.1 172.16.11.3 ! ip dhcp pool R1_LAN10 network 172.16.10.0 255.255.255.0 dns-server 172.16.20.254 ! ip dhcp pool R1_LAN11 network 172.16.11.0 255.255.255.0 dns-server 172.16.20.254 ! no ip domain lookup ! interface FastEthernet0/0 ip address 172.16.20.1 255.255.255.0 ip nat inside no shutdown ! interface Serial0/0/0 ip address 172.16.0.2 255.255.255.252 no shutdown ! interface Serial0/0/1 ip address 209.165.201.1 255.255.255.252 ip nat outside clock rate 125000 no shutdown ! router rip version 2 network 172.16.0.0 default-information originate no auto-summary ! ip route 0.0.0.0 0.0.0.0 209.165.201.2 ! ip nat pool NAT_POOL 209.165.201.9 209.165.201.14 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL overload



! ip access-list standard NAT_ACL permit 172.16.10.0 0.0.0.255 ! banner motd $AUTHORIZED ACCESS ONLY$ ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end ISP hostname ISP ! enable secret class ! interface Serial0/0/1 ip address 209.165.201.2 255.255.255.252 no shutdown ! ip route 0.0.0.0 0.0.0.0 Serial0/0/1 ! banner motd $AUTHORIZED ACCESS ONLY$ ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login ! end

Tarefa 2: Localizar e corrigir todos erros de rede Quando a rede está configurada corretamente:

• PC1 e PC2 devem ser capazes de receber endereços IP do conjunto DHCP correto conforme evidenciado por ipconfig nos PCs. Além disso; show ip dhcp bindings em R2 agora deve mostrar ambos os PCs têm endereços IP recebidos.

• Pings de teste de PC1 e PC2 no ISP devem receber a tradução de sobrecarga NAT conforme evidenciado por um show ip nat translations em R2.

• Pings de teste no servidor interno para ISP devem recebem a tradução NAT estática indicada na topologia. Utilize o comando show ip nat translations para verificar isso.

• Um ping no ISP no endereço global do servidor interno deve ter êxito.




• Pings de teste de ISP e R1 não devem receber a tradução NAT conforme evidenciado por um show ip nat translations or a debug ip nat em R2.



Laboratório 8.3.7: Identificação e solução de problemas de interpretação de papéis


Objetivos de aprendizagem • Criar uma rede • Testar uma rede • Interromper uma rede • Identificar e solucionar problemas • Coletar sintomas • Corrigir o problema • Documentar o problema e a solução

Cenário Nesta atividade, você e outro aluno criarão a rede exibida no diagrama de topologia. Você configurará o NAT, DHCP e OSPF e então verificará a conectividade. Quando a rede estiver funcionando completamente, um aluno apresentará diversos erros. Em seguida, o outro aluno usará técnicas de solução de problemas para isolar e resolver o problema. Em seguida, os alunos inverterão as funções e repetirão o processo. Esta atividade pode ser feita em equipamento real ou com o Packet Tracer.


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.3.7: Identificação e solução de problemas de interpretação de papéis


Tarefa 1: Criar a rede

Etapa 1: Cabear e configurar dispositivos de acordo com o diagrama de topologia.

Etapa 2: Configurar NAT, DHCP e OSPF

Tarefa 2: Testar a rede

Etapa 1: Assegurar que você tenha conectividade fim-a-fim.

Etapa 2: Verificar se DHCP e NAT estão funcionando corretamente.

Etapa 3: Familiarizar-se com todos os dispositivos utilizando os comandos show e debug.

Tarefa 3: Interromper a rede Um aluno deixa a sala, se necessário, enquanto o outro resolve a configuração. Só deve haver um problema. A ideia é ajudar um ao outro a desenvolver habilidades de identificação e solução de problemas. Criar vários problemas aumenta o escopo do trabalho, o que não é a meta do laboratório. A meta é ajudar você a estar atento às várias alterações que podem ocorrer na rede com apenas um problema.

Tarefa 4: Identificar e solucionar problemas O aluno retorna e pergunta ao outro aluno os sintomas do problema. Comece com perguntas gerais e tente restringir o escopo do problema. Quando o aluno perguntado sentir haver informações suficientes, as perguntas poderão parar.

Tarefa 5: Coletar sintomas de dispositivos suspeitos Começa a coletar sintomas utilizando vários comandos show e debug. Utilize o comando show running-config como sua última opção.

Tarefa 6: Corrigir o problema Corrija a configuração e teste a solução.

Tarefa 7: Documentar o problema e a solução. Ambos os alunos devem anotar o problema em seus diários e documentar a solução.

Tarefa 8: Inverter as funções e recomeçar. Agora os alunos devem trocar as funções e recomeçar o processo.


Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1




R1

Fa0/0 192.168.10.1 255.255.255.0 N/A Fa0/1 192.168.11.1 255.255.255.0 N/A S0/0/0 10.1.1.1 255.255.255.252 N/A S0/0/1 10.3.3.1 255.255.255.252 N/A

R2

Fa0/1 192.168.20.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 209.165.200.226

R3

Fa0/1 N/A N/A N/A Fa0/1.11 192.168.11.3 255.255.255.0 N/A Fa0/1.30 192.168.30.1 255.255.255.0 N/A S0/0/0 10.3.3.2 255.255.255.252 N/A S0/0/1 10.2.2.2 255.255.255.252 N/A

S1 VLAN10 DHCP 255.255.255.0 N/A S2 VLAN11 192.168.11.2 255.255.255.0 N/A


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1

S3 VLAN30 192.168.30.2 255.255.255.0 N/A PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1 PC2 Placa de rede 192.168.11.10 255.255.255.0 192.168.11.1 PC3 Placa de rede 192.168.30.10 255.255.255.0 192.168.30.1



• Cabo de rede de acordo com o diagrama de topologia • Apagar a configuração de inicialização e recarregar o estado padrão de um roteador • Carregar os roteadores e os switches com scripts fornecidos • Localizar e corrigir todos os erros de rede • Documentar a rede corrigida

Cenário Foi solicitado que você corrija os erros de configuração na rede da empresa. Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário. Nota: como este laboratório é cumulativo, você utilizará todo o conhecimento e as técnicas de identificação e solução de problemas aprendidas no material anterior para concluir este laboratório com êxito.

Requisitos • S2 é a raiz de spanning tree para VLAN 11, e S3 é a raiz de spanning tree para VLAN 30. • S3 é um servidor VTP com S2 como um cliente. • O link serial entre R1 e R2 é Frame Relay. Verifique se todos os roteadores podem

executar ping em suas interfaces Frame Relay. • O link serial entre R2 e R3 usa encapsulamento HDLC. • O link serial entre R1 e R3 usa PPP. • O link serial entre R1 e R3 é autenticado com o uso de CHAP. • R2 deve ter procedimentos de login seguros por ser o roteador de extremidade da Internet. • Todas as linhas vty, exceto as pertencentes a R2, só permitem conexões das sub-redes

mostradas no diagrama de topologia, excluindo-se o endereço público. Dica: R2# telnet 10.1.1.1 /source-interface loopback 0 Trying 10.1.1.1 ... % Conexão recusada por host remoto • O spoofing do endereço IP de origem deve ser impedido em todos os links que não se

conectam a outros roteadores. • Os protocolos de roteamento devem ser seguros. Todos os roteadores RIP devem

utilizar autenticação MD5. • R3 não deve ser capaz de executar telnet para R2 pelo link serial conectado diretamente. • R3 tem acesso a VLANs 11 e 30 pela porta Fast Ethernet 0/0.



• O servidor TFTP não deve obter nenhum tráfego que possua endereço de origem fora da sub-rede. Todos os dispositivos têm acesso ao servidor TFTP.

• Todos os dispositivos na sub-rede 192.168.10.0 devem ser capazes de obter os endereços IP de DHCP em R1. Isso inclui o S1.

• R1 deve ser acessível via SDM. • Todos os endereços mostrados no diagrama devem ser alcançáveis em todos

os dispositivos.

Tarefa 1: Carregar roteadores com os scripts fornecidos !------------------------------------------ ! R1 !------------------------------------------ no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret 5 ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup ! username R3 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY encapsulation frame-relay clockrate 128000 frame-relay map ip 10.1.1.1 201


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp no shutdown ! interface Serial0/0/1 ip address 10.3.3.1 255.255.255.252 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY encapsulation ppp ppp authentication chap no shutdown ! ! router rip version 2 passive-interface default network 192.168.10.0 network 192.168.11.0 no auto-summary ! ip classless ! no ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !------------------------------------------ ! R2 !------------------------------------------ no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model !


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 aaa authentication login LOCAL_AUTH local aaa session-id common ! ip cef ! no ip domain lookup ! key chain RIP_KEY key 1 key-string cisco username ccna password 0 ciscoccna ! interface Loopback0 description Simulated ISP Connection ip address 209.165.200.245 255.255.255.224 ! interface FastEthernet0/0 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat outside duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside encapsulation frame-relay no keepalive frame-relay map ip 10.1.1.1 201 broadcast no frame-relay inverse-arp ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.0 ip access-group R3-telnet in ip nat inside ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY clockrate 128000 ! ! router rip version 2 passive-interface default no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.20.0 default-information originate


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 no auto-summary ! ip classless ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list NAT interface FastEthernet0/0 overload ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet permit ip any any ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !------------------------------------------ ! R3 !------------------------------------------ no service password-encryption ! hostname R3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model ! ip cef


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 ! no ip domain lookup ! key chain RIP_KEY key 1 key-string cisco username R1 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/1 no shutdown ! interface FastEthernet0/1.11 encapsulation dot1Q 11 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status ! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-spoofing in no snmp trap link-status ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp clockrate 125000 ppp authentication chap ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 ! router rip version 2 passive-interface default no passive-interface FastEthernet0/0.11 no passive-interface FastEthernet0/0.30 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.0.0.0 network 192.168.11.0 network 192.168.30.0 no auto-summary ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY in exec-timeout 15 0 logging synchronous login local ! end !----------------------------------------- ! S1 !----------------------------------------- no service password-encryption ! hostname S1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 !


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------- ! S2 !----------------------------------------- no service password-encryption ! hostname S2 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 24576 spanning-tree vlan 30 priority 28672 ! vlan internal allocation policy ascending


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 ! interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0 no ip route-cache ! ip http server ! control-plane ! line con 0 exec-timeout 0 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------- ! S3 !----------------------------------------- no service password-encryption !


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.1: Identificação e solução de problemas de rede da empresa 1 hostname S3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_troubleshooting vtp mode server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 28672 spanning-tree vlan 30 priority 24576 ! vlan internal allocation policy ascending ! ! interface FastEthernet0/1 switchport trunk allowed vlan 30 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30




ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end


Tarefa 3: Verificar se os requisitos foram totalmente atendidos


Tarefa 5: Limpar Apague as configurações e recarregue os roteadores. Desconecte e guarde o cabeamento. Para PC normalmente conectados a outras redes (como a rede local escolar ou a Internet), reconecte o cabeamento apropriado e restaure as configurações TCP/IP.





Gateway padrão

R1

Fa0/0 192.168.10.1 255.255.255.0 N/A Fa0/1 192.168.11.1 255.255.255.0 N/A S0/0/0 10.1.1.1 255.255.255.252 N/A S0/0/1 10.3.3.1 255.255.255.252 N/A

R2

Fa0/1 192.168.20.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 209.165.200.226

R3


S1 VLAN10 DHCP N/A S2 VLAN11 192.168.11.2 255.255.255.0 N/A S3 VLAN30 192.168.30.2 255.255.255.0 N/A

PC1 Placa de rede DHCP






• Cabo de rede de acordo com o diagrama de topologia • Apagar a configuração de inicialização e recarregar o estado padrão de um roteador • Carregar os roteadores e os switches com scripts fornecidos • Localizar e corrigir todos os erros de rede • Documentar a rede corrigida

Cenário Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste laboratório. Nota: como este laboratório é cumulativo, você utilizará todo o conhecimento e as técnicas de identificação e solução de problemas aprendidas no material anterior para concluir este laboratório com êxito.

Requisitos • S2 é a raiz de spanning tree para VLAN 11, e S3 é a raiz de spanning tree para VLAN 30. • S3 é um servidor VTP com S2 como um cliente. • O link serial entre R1 e R2 é Frame Relay. • O link serial entre R2 e R3 usa encapsulamento HDLC. • O link serial entre R1 e R3 é autenticado com o uso de CHAP. • R2 deve ter procedimentos de login seguros por ser o roteador de extremidade da Internet. • Todas as linhas vty, exceto as pertencentes a R2, só permitem conexões das sub-redes

mostradas no diagrama de topologia, excluindo-se o endereço público. • O spoofing do endereço IP de origem deve ser impedido em todos os links que não se

conectam a outros roteadores. • Os protocolos de roteamento devem ser usados com segurança. O EIGRP é usado

neste cenário. • R3 não deve ser capaz de executar telnet para R2 pelo link serial conectado diretamente. • R3 tem acesso a VLANs 11 e 30 via porta Fast Ethernet 0/1. • O servidor TFTP não deve obter nenhum tráfego que possua endereço de origem fora

da sub-rede. Todos os dispositivos têm acesso ao servidor TFTP. • Todos os dispositivos na sub-rede 192.168.10.0 devem ser capazes de obter os

endereços IP de DHCP em R1. Isso inclui o S1. • Todos os endereços mostrados no diagrama devem ser alcançáveis em todos

os dispositivos.



Tarefa 1: Carregar os roteadores com os scripts fornecidos !------------------------------------------ ! R1 !------------------------------------------ no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup frame-relay switching ! username R2 password ciscoccna username ccna password ciscoccna ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip access-group Anti-spoofing out duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 duplex auto speed auto no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 encapsulation frame-relay no keepalive clockrate 128000 frame-relay map ip 10.1.1.1 201 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp frame-relay intf-type dce no shutdown ! interface Serial0/0/1 ip address 10.3.3.1 255.255.255.0 encapsulation ppp


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 ppp authentication chap no shutdown ! ! router eigrp 10 passive-interface default no passive-interface FastEthernet0/0 no passive-interface FastEthernet0/1 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 10.1.1.0 0.0.0.255 network 10.2.2.0 0.0.0.255 network 192.168.10.0 0.0.0.255 network 192.168.11.0 0.0.0.255 no auto-summary ! ip route 0.0.0.0 0.0.0.0 10.1.1.2 ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !------------------------------------------ ! R2 !------------------------------------------ no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model ! aaa authentication login local_auth local aaa session-id common ! ip cef


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 ! no ip domain lookup ! username ccna password 0 ciscoccna ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ip access-group private in ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat outside no shutdown ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ip nat inside encapsulation frame-relay no keepalive frame-relay map ip 10.1.1.1 201 broadcast frame-relay map ip 10.1.1.2 201 no frame-relay inverse-arp no shutdown ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 ip nat inside clockrate 128000 no shutdown ! ! router eigrp 100 passive-interface default no passive-interface FastEthernet0/1 no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 no passive interface lo0 network 10.1.1.0 0.0.0.3 network 10.2.2.0 0.0.0.3 network 192.168.20.0 0.0.0.255 network 209.165.200.0 0.0.0.7 no auto-summary ! ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list NAT interface FastEthernet0/0 overload ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 ip access-list standard private deny 127.0.0.1 deny 10.0.0.0 0.255.255.255 deny 172.16.0.0 0.15.255.255 deny 192.168.0.0 0.0.255.255 permit any ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !------------------------------------------ ! R3 !------------------------------------------ no service password-encryption ! hostname R3 ! security passwords min-length 6 ! no aaa new-model ! ip cef ! no ip domain lookup ! username R1 password ciscoccna username ccna password ciscoccna ! interface FastEthernet0/1


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 no shutdown ! interface FastEthernet0/1.11 encapsulation dot1Q 11 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status ! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-Spoofin in no shutdown ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp ppp authentication pap ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 no shutdown ! router eigrp 10 network 10.3.3.0 0.0.0.3 network 10.2.2.0 0.0.0.3 network 192.168.11.0 0.0.0.255 network 192.168.30.0 0.0.0.255 no auto-summary ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY out exec-timeout 15 0 logging synchronous


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 login local ! end !----------------------------------------- ! S1 !----------------------------------------- no service password-encryption ! hostname S1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------- ! S2 !----------------------------------------- no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname S2 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode Client vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode mst spanning-tree extend system-id spanning-tree vlan 30 priority 4096 ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk allowed vlan 11,30 switchport mode trunk


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0 no ip route-cache ! ip http server ! control-plane ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------- ! S3 !----------------------------------------- no service password-encryption ! hostname S3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode Server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 4096


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.2: Identificação e solução de problemas de rede da empresa 2 vlan internal allocation policy ascending ! Vlan 11,30 ! interface FastEthernet0/1 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access ! interface FastEthernet0/3 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30 ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end





Tarefa 3: Verificar se os requisitos foram totalmente atendidos







R1

Fa0/0 192.168.10.1 255.255.255.0 N/A Fa0/1 192.168.11.1 255.255.255.0 N/A S0/0/0 10.1.1.1 255.255.255.252 N/A S0/0/1 10.3.3.1 255.255.255.252 N/A

R2

Fa0/1 192.168.20.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A

Lo0 209.165.200.225 255.255.255.224 209.165.200.226

R3


S1 VLAN10 DHCP 255.255.255.0 N/A S2 VLAN11 192.168.11.2 255.255.255.0 N/A S3 VLAN30 192.168.30.2 255.255.255.0 N/A

PC1 Placa de rede 192.168.10.10 255.255.255.0 192.168.10.1






• Cabo de rede de acordo com o diagrama de topologia. • Apagar a configuração de inicialização e recarregar o roteador no estado padrão. • Carregar os roteadores e os switches com scripts fornecidos. • Localize e corrija todos os erros de rede. • Documentar a rede corrigida.

Cenário Para este laboratório, não use a proteção por login ou senha em nenhuma linha de console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário. Nota: como este laboratório é cumulativo, você utilizará todo o conhecimento e as técnicas de identificação e solução de problemas aprendidas no material anterior para concluir este laboratório com êxito.

Requisitos • S2 é a raiz de spanning tree para VLAN 11, e S3 é a raiz de spanning tree para VLAN 30. • S3 é um servidor VTP com S2 como um cliente. • O link serial entre R1 e R2 é Frame Relay. • O link serial entre R2 e R3 usa encapsulamento HDLC. • O link serial entre R1 e R3 é autenticado com o uso de CHAP. • R2 deve ter procedimentos de login seguros por ser o roteador de extremidade da Internet. • Todas as linhas vty, exceto as pertencentes a R2, só permitem conexões das sub-redes

mostradas no diagrama de topologia, excluindo-se o endereço público. • O spoofing do endereço IP de origem deve ser impedido em todos os links que não se

conectam a outros roteadores. • Os protocolos de roteamento devem ser usados com segurança. O OSPF é usado

neste cenário. • R3 não deve ser capaz de executar telnet para R2 pelo link serial conectado diretamente. • R3 tem acesso a VLANs 11 e 30 via porta Fast Ethernet 0/1. • O servidor TFTP não deve obter nenhum tráfego que possua endereço de origem fora

da sub-rede. Todos os dispositivos têm acesso ao servidor TFTP. • Todos os dispositivos na sub-rede 192.168.10.0 devem ser capazes de obter os

endereços IP de DHCP em R1. Isso inclui o S1. • Todos os endereços mostrados no diagrama devem ser alcançáveis em todos

os dispositivos.



Tarefa 1: Carregar os roteadores com os scripts fornecidos !------------------------------------------ ! R1 !------------------------------------------ no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 6 enable secret ciscoccna ! ip cef ! ip dhcp pool Access1 network 192.168.11.0 255.255.255.0 default-router 192.168.10.1 ! no ip domain lookup ! ip dhcp excluded-address 192.168.10.2 192.168.10.254 ! frame-relay switching ! username R3 password 0 ciscoccna username ccna password 0 ciscoccna ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 duplex auto speed auto no shutdown ! interface FastEthernet0/1 ip address 192.168.11.1 255.255.255.0 duplex auto speed auto no shutdown ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 encapsulation frame-relay no keepalive clockrate 128000 frame-relay map ip 10.1.1.1 201 frame-relay map ip 10.1.1.2 201 broadcast no frame-relay inverse-arp frame-relay intf-type dce no shutdown ! interface Serial0/0/1


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 ip address 10.3.3.1 255.255.255.252 encapsulation ppp ppp authentication chap no shutdown ! interface Serial0/1/0 no ip address shutdown clockrate 2000000 ! interface Serial0/1/1 no ip address shutdown ! router ospf 1 log-adjacency-changes passive-interface FastEthernet0/0 network 10.1.1.0 0.0.0.255 area 0 network 10.2.2.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.10.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 line vty 0 4 access-class VTY in login local ! end !------------------------------------------ ! R2 !------------------------------------------ no service password-encryption ! hostname R2 ! security passwords min-length 6 enable secret ciscoccna ! aaa new-model !


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 aaa authentication login local_auth local aaa session-id common ! ip cef ! no ip domain lookup ! username ccna password 0 ciscoccna ! interface Loopback0 ip address 209.165.200.245 255.255.255.224 ip access-group private in ! interface FastEthernet0/1 ip address 192.168.20.1 255.255.255.0 ip access-group TFTP out ip access-group Anti-spoofing in ip nat inside duplex auto speed auto ! ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ip nat outside encapsulation frame-relay no keepalive frame-relay map ip 10.1.1.1 201 broadcast frame-relay map ip 10.1.1.2 201 no frame-relay inverse-arp ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 ip access-group R3-telnet in ip nat outside ! ! router ospf 1 passive-interface FastEthernet0/1 network 10.1.1.0 0.0.0.3 area 0 network 10.2.2.0 0.0.0.3 area 0 ! ip classless ip route 0.0.0.0 0.0.0.0 209.165.200.226 ! no ip http server ip nat inside source list nat interface FastEthernet0/0 ! ip access-list standard Anti-spoofing permit 192.168.20.0 0.0.0.255 deny any ip access-list standard NAT permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 ip access-list standard private


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 deny 127.0.0.1 deny 10.0.0.0 0.255.255.255 deny 172.0.0.0 0.31.255.255 deny 192.168.0.0 0.0.255.255 permit any ! ip access-list extended R3-telnet deny tcp host 10.2.2.2 host 10.2.2.1 eq telnet deny tcp host 10.3.3.2 host 10.2.2.1 eq telnet deny tcp host 192.168.11.3 host 10.2.2.1 eq telnet deny tcp host 192.168.30.1 host 10.2.2.1 eq telnet permit ip any any ! ip access-list standard TFTP permit 192.168.20.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous login authentication local_auth transport output telnet line vty 0 4 exec-timeout 15 0 logging synchronous login authentication local_auth transport input telnet ! end !------------------------------------------ ! R3 !------------------------------------------ no service password-encryption ! hostname R3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model ! ip cef ! no ip domain lookup ! username R1 password ciscoccna username ccna password ciscoccna ! interface FastEthernet0/1 no ip address duplex auto speed auto no shutdown


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 ! interface FastEthernet0/1.11 encapsulation dot1Q 12 ip address 192.168.11.3 255.255.255.0 no snmp trap link-status ! interface FastEthernet0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ip access-group Anti-spoofing in ! ! interface Serial0/0/0 ip address 10.3.3.2 255.255.255.252 encapsulation ppp clockrate 125000 ppp authentication chap no shutdown ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 encapsulation lapb no shutdown ! router ospf 1 passive-interface FastEthernet0/1.30 network 10.2.2.0 0.0.0.3 area 1 network 10.3.3.0 0.0.0.3 area 1 network 192.168.11.0 0.0.0.255 area 1 network 192.168.30.0 0.0.0.255 area 1 ! ip classless ! ip http server ! ip access-list standard Anti-spoofing permit 192.168.30.0 0.0.0.255 deny any ip access-list standard VTY permit 10.0.0.0 0.255.255.255 permit 192.168.10.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ! line con 0 exec-timeout 5 0 logging synchronous line aux 0 exec-timeout 15 0 logging synchronous line vty 0 4 access-class VTY in exec-timeout 15 0 logging synchronous


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 login local ! end !----------------------------------------- ! S1 !----------------------------------------- no service password-encryption ! hostname S1 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode transparent vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10 ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface range FastEthernet0/3-24 ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan10 ip address dhcp no ip route-cache ! ip default-gateway 192.168.10.1 ip http server


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------- ! S2 !----------------------------------------- no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname S2 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode client vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 24576 spanning-tree vlan 30 priority 28672 ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 11 switchport mode access ! interface FastEthernet0/2 switchport access vlan 11 switchport mode access ! interface FastEthernet0/3 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk allowed vlan 11,30


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan11 ip address 192.168.11.2 255.255.255.0 no ip route-cache ! ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end !----------------------------------------- ! S3 !----------------------------------------- no service password-encryption ! hostname S3 ! security passwords min-length 6 enable secret ciscoccna ! no aaa new-model vtp domain CCNA_Troubleshooting vtp mode Server vtp password ciscoccna ip subnet-zero ! no ip domain-lookup ! no file verify auto ! spanning-tree mode rapid-pvst spanning-tree extend system-id spanning-tree vlan 11 priority 28672 spanning-tree vlan 30 priority 24576


CCNA Exploration Acessando a WAN: Identificação e solução de problemas de rede Laboratório 8.5.3: Identificação e solução de problemas de rede da empresa 3 ! vlan internal allocation policy ascending ! vlan 30 ! interface FastEthernet0/1 switchport trunk allowed vlan 11 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport trunk allowed vlan 11,30 switchport mode trunk ! interface range FastEthernet0/5-24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address no ip route-cache ! interface Vlan30 ip address 192.168.30.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.30.1 ip http server ! line con 0 exec-timeout 5 0 logging synchronous line vty 0 4 password ciscoccna login line vty 5 15 no login ! end





Tarefa 3: Verificar se os requisitos foram totalmente atendidos Como as restrições de tempo impedem a solução de um problema em cada tópico, apenas um determinado número de tópicos tem problemas. No entanto, para reforçar e fortalecer habilidades na solução de problemas, você deve verificar se cada requisito é atendido. Para fazer isso, apresente um exemplo de cada requisito (por exemplo um comando show ou debug).



pt ewan slm v4030

Documents

avanada fa01

r3 fa01

r2 fa01

rede etapa

rede gateway padror1

mesma rede

cabo de rede

roteamento rip