9 Passos para Configurar um Cisco Router

>th>Downloads>br>>p>98740.zipbr>Resumo Executivo:
p>Trabalhar com um router Cisco e o Cisco Internetworking Operating System (IOS) é uma óptima maneira de experimentar conceitos e equipamentos de rede e pode ser boa para o desenvolvimento da sua carreira. Aprenda os passos básicos da criação de um router Cisco para fornecer acesso à Internet a uma pequena rede.br>

Trabalhar com um router Cisco e o Cisco Internetworking Operating System (IOS) é uma óptima maneira de experimentar conceitos e equipamentos de rede e pode ser bom para o desenvolvimento da sua carreira. Pode obter alguma experiência prática com o IOS instalando um router Cisco na borda da Internet no seu laboratório de testes no trabalho ou no seu escritório em casa. Um router Cisco permite-lhe uma maior flexibilidade (com controlos mais granulares do que o hardware Linksys ou NETGEAR normalmente utilizado nos escritórios domésticos) se mais tarde quiser expandir a sua configuração para incluir, digamos, uma firewall Microsoft ISA Server no back end.

Vamos percorrer os passos básicos da configuração de um router Cisco para fornecer acesso à Internet a uma pequena rede. Assumirei que tem alguns conhecimentos básicos de IOS, incluindo como iniciar sessão e como guardar e limpar configurações. Suponho também que tem um sólido conhecimento de rede, incluindo o que é Network Address Translation (NAT). Não cobrirei itens como a criação de acesso Secure Shell (SSH) e o endurecimento das listas de acesso. Pode expandir-se para essas áreas à medida que se sentir confortável e quiser experimentar mais.

O que vai precisar

Necessita de um router Cisco com pelo menos duas interfaces Ethernet. Um 806, 836, 851, ou 871 é ideal para uma instalação em casa ou num pequeno escritório – de facto, é para isso que esses modelos estão orientados. Pode comprar um 851 por algumas centenas de dólares a vários retalhistas online. No entanto, um 2610 funciona igualmente bem, e poderá ter um no caixote do lixo do equipamento no seu escritório que poderá pedir emprestado.

p>O seu router deverá ter IOS 12.2 ou posterior. Este artigo é baseado num Cisco 851W com IOS 12.4, incluindo o conjunto de funcionalidades de firewall IOS.

P>Precisa também de um cabo de consola Cisco (por vezes chamado cabo de capotamento). Uma extremidade tem um conector modular de oito posições e oito condutores para ligar ao router; a outra extremidade tem um conector série DB-9. Nos últimos anos, os cabos da consola que a Cisco enviou com o seu equipamento têm sido azul claro.

P>Precisa de um computador com uma porta série DB-9. Na minha experiência, os conversores USB-para-série funcionam muito bem para esta aplicação. Também é necessário um computador com um programa de emulação de terminal. O HyperTerminal de Hilgraeve está disponível com Windows XP, mas foi removido do Windows Vista. Os utilizadores do Vista podem descarregar o Hyper- Terminal Private Edition 6.3 em www.hilgraeve.com/htpe/download.html. Os utilizadores de Mac OS X podem fazer o Google para ZTerm, e os utilizadores de Linux, para minicom.

Conectar o router ao PC, e iniciar um programa de emulação de terminal

Conectar o router ao PC com o cabo da consola, e iniciar o seu programa de emulação de terminal. As definições das portas são 9600,8,N,1. Se nunca antes acedeu a um dispositivo directamente através de uma ligação em série assíncrona, talvez queira pedir ajuda a um veterano da Cisco.

Inicie com o comando permitir entrar no modo privilegiado EXEC. Depois digite o comando apagar-config para obter uma configuração em branco. Em seguida, reiniciar o router com o comando recarregar. Certifique-se de dizer não a uma solicitação IOS que lhe pergunte se gostaria de entrar no diálogo de configuração inicial.

Estes passos podem parecer confusos se tiver trabalhado apenas com dispositivos Cisco que estão a funcionar em produção. Nesse caso, está provavelmente mais habituado a utilizar Telnet, ou de preferência SSH, para configurar o equipamento. Isso não é uma opção quando pretende começar com uma configuração em branco, o que impedirá qualquer acesso Telnet ou SSH ao equipamento por enquanto.

Identificar as interfaces do router

Dê uma vista de olhos na parte de trás do seu router e identifique quais as portas Ethernet que irá utilizar para quê. Uma ligar-se-á ao seu dispositivo WAN, tal como um modem por cabo; outra ligar-se-á à sua LAN. Se estiver a utilizar um 851W, como eu, notará que as portas estão etiquetadas para si-FastEthernet4 é a interface WAN e FastEthernet0 através de FastEthernet3 são as interfaces LAN. O 851 inclui um switch de quatro portas incorporado, daí as quatro interfaces LAN.

Se as interfaces do seu router não estiverem rotuladas, pode digitar o comando

show ip interface brief

do modo EXEC privilegiado para encontrar os nomes.

Configurar endereços IP

Agora pode começar a configuração real. Deve ainda estar em modo EXEC privilegiado (se não, introduzir o comando enable), e iniciar o modo de configuração do terminal introduzindo

configure terminal

Digite o comando

no ip domain lookup

para evitar que o IOS tente converter quaisquer erros ortográficos que cometa em nomes de domínio. Pode saltar este passo se for um datilógrafo perfeito, suponho.

p>P>Pode também querer introduzir o comando

no logging console

para evitar que o IOS envie mensagens do syslog para a consola enquanto está a trabalhar. Estas podem interferir muito com a sua digitação.

Agora está pronto para configurar um endereço IP para a interface LAN. No caso do 851W em que este artigo se baseia, fá-lo numa interface virtual chamada BVI1 que se relaciona com as interfaces LAN físicas. Noutros routers, poderá fazer isto na interface física real. Tipo

interface 

para entrar no modo de configuração para essa interface. Para o 851W, o comando foi

interface BVI1

Agora, atribua à interface um endereço IP:

ip address 

Estou a usar 192.168.100.1 com uma máscara de Classe C, pelo que o meu comando ficou assim:

ip address 192.168.100.1 255.255.255.0

(O comando está em duas linhas para fins de publicação, mas não se esqueça de introduzir tudo numa só linha). Também pode utilizar a notação Classless Inter-Domain Routing (CIDR) se preferir, que se pareceria com isto:

ip address 192.168.100.1/24

Terá também de definir a interface WAN para utilizar DHCP para obter o seu endereço IP. Para o fazer, digite

interface FastEthernet4

segundo o comando

ip address dhcp

segundo o comando de saída para sair do modo de configuração da interface.

Configurar listas de acesso

Next, é necessário configurar duas listas de acesso, ambas as quais serão aplicadas na direcção de entrada. Note-se que no resto deste artigo, utilizo frequentemente os termos inbound e outbound. Como mostra a Figura 1, a entrada refere-se ao tráfego que entra na interface; a saída refere-se ao tráfego que sai da interface.

Figure 1: Tráfego de entrada e saída do router

Lista 1 mostra as duas listas de acesso: A primeira será aplicada à interface LAN (no meu caso, BVI1), e a segunda será aplicada à interface WAN (no meu caso, FastEthernet4).

Lista de acesso 100 será aplicada à interface LAN. A primeira linha configura a lista de acesso e coloca o router no modo de configuração da lista de acesso. A linha seguinte permite que qualquer tráfego IP que corresponda à rede (192.168.100.0/24) passe para a interface. Se a máscara de sub-rede lhe parecer estranha, isso não é uma gralha. O IOS utiliza máscaras de sub-rede inversas nas suas listas de acesso. Pode calculá-las manualmente muito facilmente, subtraindo cada octeto da sua máscara padrão de 255. Assim, a máscara 255.255.252.0 torna-se 0.0.3.255, 255.252.0.0 torna-se 0.3.255.255, e assim por diante.

A terceira linha nega qualquer outro tráfego de entrada na interface LAN. Embora todas as listas de acesso tenham uma negação implícita de tudo no final, incluindo uma linha de negação explícita é uma boa prática para que saiba onde termina a sua lista de acesso e para ajudar à legibilidade da sua configuração. A linha final retira o router do modo de configuração da lista de acesso.

Acesso à lista 101 será aplicada à interface WAN. A primeira linha configura a lista de acesso e coloca o router em modo de configuração da lista de acesso. Utilizo um modem por cabo, pelo que a linha seguinte permite que o tráfego DHCP (bootps e bootpc) entre na interface WAN. Sem esta entrada, a minha interface WAN nunca receberia um endereço IP público, e eu nunca entraria na Internet. Pode usar a mesma configuração num laboratório de testes desde que tenha um servidor DHCP configurado e a sua equipa de rede esteja bem com o que está a fazer. A terceira e quarta linhas permitem que qualquer tráfego TCP e UDP de qualquer fonte destinado a qualquer lugar entre na interface WAN.

As quinta, sexta e sétima linhas permitem que qualquer tráfego de Protocolo de Mensagens de Controlo da Internet (ICMP) que seja de qualquer fonte; seja dirigido para qualquer destino; e seja uma mensagem de eco-resposta, ultrapassada no tempo, ou inalcançável para entrar na interface WAN. Deve ser cauteloso sobre que tipos de tráfego ICMP permite na sua rede porque o ICMP pode ser utilizado para várias explorações, especialmente ataques de Negação de Serviço (DoS). No entanto, necessita destas três linhas para utilizar o ping e o traceroute para a resolução de problemas. As duas últimas linhas são as mesmas da lista de acesso LAN.

Configurar inspecção básica TCP/UDP/ ICMP

A minha versão IOS inclui o conjunto de funcionalidades de firewall IOS. Se a sua também o fizer, vai definitivamente querer utilizá-lo. Embora a firewall do IOS não ofereça a inspecção profunda da camada de aplicação que, digamos, uma firewall do Servidor ISA oferece, habilitando-a é uma boa ideia por duas razões. A primeira é assegurar que o tráfego que se afirma ser TCP, UDP, ou ICMP é de facto TCP, UDP, ou ICMP. A segunda é que permitir esta inspecção também permite o Controlo de Acesso Baseado no Contexto. O CBAC permite ao IOS criar entradas de lista de acesso dinâmicas que permitem que o tráfego de retorno flua através do router. Embora as nossas listas de acesso acima sejam muito genéricas (por exemplo, todas as TCP são permitidas), uma vez que a sua configuração esteja a funcionar, irá certamente querer endurecê-las, configurar servidores internos acessíveis a partir da Internet, e assim por diante. Depois de o ter feito, o CBAC permitirá que o tráfego de retorno passe através do router. Por exemplo, se navegar para Amazon.com, o CBAC irá dinamicamente colocar entradas na lista de acesso de entrada aplicada à sua interface externa (WAN) para permitir que o tráfego de retorno da Amazon.com entre no router. Quando a ligação é fechada, estas entradas são dinamicamente removidas.

P>Primeiro, defina um limite de tempo limite do TCP SYN para ajudar a mitigar os ataques do SYN DoS:

ip tcp synwait-time 30

Este comando diz ao IOS para largar qualquer sessão TCP que não esteja estabelecida dentro de 30 segundos.

P>Próximo, estabeleça uma regra de inspecção para ICMP, TCP, e UDP:

ip inspect name InspectRule icmp ip inspect name InspectRule tcp ip inspect name InspectRule udp

(Pode substituir um nome que prefira por InspectRule.)

Aplique as listas de acesso e as regras de inspecção

Agora, aplique tanto as listas de acesso como as regras de inspecção às interfaces apropriadas na direcção de entrada. Para a interface WAN – no meu caso, FastEthernet4- primeiro entre no modo de configuração da interface:

interface FastEthernet4

Aplique então a lista de acesso:

ip access-group 101 in

(Note que utiliza o grupo de acesso, não a lista de acesso aqui.) Depois aplicar a regra de inspecção:

ip inspect InspectRule in

E por fim, sair do modo de configuração da interface:

exit

Next, para a interface LAN (BVI1, neste exemplo), digitar:

interface BVI1 ip access-group 100 in ip inspect InspectRule in exit

alguns de vós os sharpies podem estar a pensar se poderiam aplicar a regra de inspecção IP na direcção de saída, bem como ou no lugar da direcção de entrada. A resposta é sim, pode.

Configurar NAT

Tem agora de configurar NAT para traduzir endereços entre a rede interna 192.168.100.0/24 e a Internet pública. Primeiro, configure uma lista de acesso a ser utilizada apenas para NAT:

ip access-list standard 10 permit 192.168.100.0 0.0.0.255 deny any exit

As antes, a primeira linha coloca o router em modo de configuração de lista de acesso. Note-se que a lista de acesso aqui é padrão e não é alargada. As listas de acesso padrão permitem apenas o tráfego de endereços IP ou redes específicas a ser permitido ou negado. Não permitem especificar o destino ou o tipo de tráfego como as listas de acesso alargadas permitem. A segunda linha identifica o tráfego que se pretende traduzir. O código acima permite que qualquer tráfego na LAN interna seja traduzido para a Internet. A terceira linha impede que qualquer outro tráfego seja traduzido, e a quarta linha retira o router do modo de configuração da lista de acesso.

Next, identifica ao IOS quais as interfaces que participarão na NAT:

interface BVI1 ip nat inside exit interface FastEthernet4 ip nat outside exit

Estas linhas dizem ao IOS que a interface LAN, BVI1, conterá os endereços que precisam de ser traduzidos, enquanto que a interface WAN, FastEthernet4, contém os endereços externos para os quais os endereços internos serão traduzidos.

Finalmente, introduz-se a declaração NAT real (tudo numa linha):

ip nat inside source list 10 interface FastEthernet4 overload

Este comando diz ao IOS para traduzir qualquer endereço identificado na lista de acesso 10 para o endereço atribuído a FastEthernet4. A palavra-chave sobrecarga permite que um endereço público seja partilhado entre vários endereços privados internos.

Interfaces activadas, e desactivar STP

Está quase pronto para testar a sua configuração. Primeiro, porém, é necessário assegurar-se de que cada interface não se encontra em estado de desactivação. Para o fazer para FastEthernet4, digite:

interface FastEthernet4 no shutdown exit

Vai querer fazer isto para cada interface física no seu router.

Neste ponto, pode desligar o cabo da consola e ligar o PC a uma porta LAN no router com um cabo Ethernet. Pode então aceder ao router abrindo uma ligação Telnet (de preferência segura com SSH) ao endereço IP LAN do router. Mantenha o cabo da consola à mão, no entanto, no caso de fazer uma alteração de configuração que proíba o acesso Telnet. Um cliente Telnet está incluído com a maioria dos sistemas operativos.

Também pode querer desactivar o Protocolo Spanning Tree (STP) na(s) sua(s) interface(s) LAN interna(s), se o seu router o permitir. Se planeia configurar uma rede complexa de switches na sua rede, então não desactive o STP; mas para uma rede pequena, desactivar o STP permite que os seus dispositivos LAN internos se liguem ao seu router até 30 segundos mais rapidamente. Para cada interface LAN (no meu caso, FastEthernet0 através de FastEthernet3), introduza

interface FastEthernet0 spanning-tree portfast exit

Teste a tua configuração

Agora é uma boa altura para guardar a tua configuração. Digite

copy running-config startup-config

para guardar o seu trabalho em memória não volátil e garantir que a sua configuração é retida através do reinício do router, falhas de energia, e assim por diante.

Também deve digitar o comando

show running-config

para emitir uma cópia da configuração que acabou de criar para o seu ecrã. Pode copiar e colar esta configuração a um editor de texto para referência posterior. Pode também editar a configuração num editor de texto e colá-la numa sessão terminal para fazer alterações ao router. A sua configuração deve ser semelhante à Listagem 2 neste ponto. Note que a Listagem 2 omite muitas linhas de configuração que são automaticamente inseridas ou incluídas por defeito. A Listagem 2 centra-se nos comandos que introduziu acima.

P>Pode agora ligar um cabo Ethernet à porta WAN do router, e tentar entrar na Internet. Note que os seus hosts LAN internos necessitarão de utilizar endereçamento IP estático se não tiver um servidor DHCP presente.

What’s Next?

As possibilidades a partir daqui são infinitas. Certamente que vai querer configurar nomes de utilizador e palavras-passe para acesso ao seu router, configurar Telnet e/ou acesso SSH (se ainda não o fez), e limitar esse acesso a vários endereços IP. Deverá também considerar a possibilidade de modificar as suas listas de acesso para negar a existência de intervalos de IP privados, não roteáveis (também conhecidos como bogon), desde que possa chegar à sua rede.

Pode também fazer do seu router um servidor DHCP, configurar o acesso VPN com o router como um endpoint, adicionar declarações NAT e entradas de listas de acesso para aceder a um servidor Web na sua rede interna a partir da Internet, ou colocar uma firewall ISA Server entre o seu router e os seus clientes LAN. Com o passar do tempo, afinei a minha configuração para me tornar muito mais complexa do que a apresentada neste artigo. Não tenham medo de ler alguma documentação adicional (sugiro vivamente a série Cisco Field Manual publicada pela Cisco Press), façam perguntas aos vossos gurus Cisco residentes, e experimentem!