1. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 1
DE 20
Colocar
sintaxe
do
ip
route
Conteúdo
1.
Iniciando a Configuração...........................................................................................................................1
Interagindo com a CLI do Roteador ..............................................................................................................2
1.3.
Modos de configuração .......................................................................................................................3
1.1.1
Modo Usuário (router>)...............................................................................................................3
1.1.2
Modo Privilegiado (router #) .......................................................................................................3
1.1.3
Modo Configuração Global (router (config)#) ............................................................................4
1.1.4
ENTRANDO NAS INTERFACES Ethernet, Fast Ethernet e Seriais.........................................5
2.
Configurar banners.....................................................................................................................................6
3.
Modificando o hostname............................................................................................................................6
4.
Configurar endereços IP ............................................................................................................................7
5.
Descrições de interfaces.............................................................................................................................8
6.
Configurando as senhas .............................................................................................................................9
6.1.
Telnet...................................................................................................................................................9
6.2.
Configurando senha de console...........................................................................................................9
6.3.
Senha para modo enable....................................................................................................................10
7.
Armazenando senhas de forma criptografada..........................................................................................10
8.
Definindo timeouts...................................................................................................................................10
9.
Salvar as configurações............................................................................................................................11
10.
Rotas estáticas.......................................................................................................................................11
11.
Configurando Rota default....................................................................................................................11
12.
Configurando DHCP............................................................................................................................12
13.
Rota dinâmica com RIP: .......................................................................................................................13
14.
Rota dinâmica com OSPF:....................................................................................................................14
15.
Configuração de switchs.......................................................................................................................14
1. Iniciando a Configuração
Para iniciar esta configuração e ter acesso ao roteador é necessário usar a porta de console
disponível no roteador. Para isso você usará um cabo de console(rollover) o qual será ligado na porta
serial do seu microcomputador (ou USB) e na porta de console do roteador. Porém a porta serial do
computador precisa de um conversor, o qual terá um conector DB-9 ou DB-25 na ponta.
Para fazer a configuração inicial do roteador deverá ser utilizado o programa de emulação de
terminal “Hyper Terminal” disponível no Windows.
A configuração do programa usa geralmente os seguintes parâmetros:
Velocidade = 9600bps
Bits de dados = 8
Paridade = nenhuma
Bit de parada = 1
Sem controle de fluxo
2. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 2
DE 20
Estando com o Hyper Terminal devidamente configurado, ligue o roteador, então ele executará o POST e
como não será detectada uma configuração válida, o IOS inicia um diálogo interativo chamado System
Configuration Dialog, no qual sera mostrado na tela do Hyper Terminal que você está usando para acessar
a console.
Interagindo com a CLI do Roteador
A Cisco usa o acrônimo CLI para referir-se à interface de linha de comando do terminal de usuário
para o IOS. O termo CLI significa que o usuário está digitando comandos em um terminal, em um
emulador de terminal ou em uma conexão remota Telnet. Para acessar a CLI, usa-se um dos métodos,
conforme a figura abaixo:
Figura – Formas de acesso à CLI
Independente do método de acesso utilizado, quando se configura o roteador é possível faze-lo de
vários modos. Os modos definem como esta configuração será feita.
Vejamos os modos existentes:
User EXEC Mode (Modo Usuário)
Privileged EXEC Mode (Modo Privilegiado)
Global Configuration Mode (Modo de Configuração Global)
Observação: A CLI (Command Line Interface) dos roteadores Cisco tem uma grande vantagem quando se
trata de digitação de comandos. Você poderá digitar as primeiras letras de um comando e já pressionar
ENTER para que ele identifique e interprete o comando. Para alguns comandos basta digitar duas letras,
mas para outros é necessário digitar mais. Isso varia pois, como existem diversos comandos cujas
primeiras letras são idênticas, ele não saberá que comando deverá interpretar. Veja abaixo um exemplo
dos comandos enable e disable.
Router> en
Router # disa
Router >
3. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 3
DE 20
Note que no caso do “disable” foi necessário digitar as quatro primeiras letras, isso porque existe
um comando chamado “disconnect” no modo privilegiado que se você digitar os três primeiros gerará
conflito.
Dica: Para otimizar o trabalho também é possível digitar os primeiros caracteres, pressionar a tecla TAB e
será preenchido o comando completo para que você veja que comando foi digitado.
Estando no Modo Privilegiado é possível entrar no Modo Configuração Global onde os comandos e
as configurações irão afetar o sistema como um todo.
1.3. Modos de configuração
1.1.1 Modo Usuário (router>)
SÍMBOLO = “ > ”
Comandos:
Enable – acesso para o modo privilegiado – aceita comandos Show´s
enable acesso para o modo privilegiado
disable Turn off privileged commands
exit Exit from the EXEC
logout Exit from the EXEC
ping Send echo messages
show Show running system information
telnet Open a telnet connection
traceroute Trace route to destination Reload – reinicia
1.1.2 Modo Privilegiado (router #)
SÍMBOLO = “ # ”
show Show running system information
configure Enter configuration mode
copy Copy from one file to another
disable Turn off privileged commands
disconnect Disconnect an existing network connection
erase Erase a filesystem
exit Exit from the EXEC
logout Exit from the EXEC
ping Send echo messages
reload Halt and perform a cold restart
ssh Open a secure shell client connection
telnet Open a telnet connection
traceroute Trace route to destination
vlan Configure VLAN parameters
Principais comandos do MODO PRIVILEGIADO
Configure terminal - acesso para o modo configuração global (conf t)
show running-config – exibe as configurações da memória RAM – (sh run)
show startup-config – exibe as configurações que estão salva na NVRAM (configurações salvas) - (sh
start)
4. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 4
DE 20
show ip interface brief - Relacionado a Configuração - Apresenta resumo da interface: endereço IP,
status do link físico e lógico.
show ip route – exibe as rotas apreendidas (cadastradas).
show interface <interface> Relacionado a Hardware - Apresenta status do link, endereço IP, clock rate,
MTU, e protocolos da camada física e de enlace rodando (ex: LCP, NCP no PPP).
show ip interface <interface> Relacionado a Configuração - Apresenta dados como: status da conexão
física e lógica, endereço IP, MTU, ACLs, NAT e diversos outros parâmetros.
show protocols - Relacionado a Configuração - Apresenta status do link e endereço IP, deste.
show ip protocols - Relacionado a Protocolos de Roteamento - Apresenta todas informações relevantes
aos protocolos de roteamento em uso: parâmetros de configuração, rotas anunciadas, última atualização.
show ip route
Tabela de Roteamento à São as redes aprendidas (dinâmica ou estaticamente), [distância
administrativa/métrica], o IP e a interface vinculada para realizar as rotas.
Show version – exibe informação sobre versão do IOS, interfaces, config-register etc – (sh ver)
Show sessions – exibe as sessões de telnet abertas no momento – (sh sess)
Show cdp nei – exibe os router´s vizinhos – (sh cdp nei)
Show flash – exibe o conteúdo existente na memória flash – (sh flash)
Show memory – exibe informações sobre a memória do router – (sh mem)
Show history – mostra históricos dos comandos executados.
Show arp – mostra a tabela ARP
Salvando Configurações:
Copy running-config startup-config – SALVA o conteúdo da RAM para NVRAM
Copy running-config tftp – copia o conteúdo da RAM para um servidor de TFTP.
Copy flash tftp – copia o conteúdo da flash para um servidor de TFTP.
Copy tftp startup-config – copia o aruivo de configuração do TFTP para a NVRAM.
Copy tftp flash – copia o IOS do servidor de TFTP para flash.
Wr – salva as configurações
Service password-encryption – deixa todas a senha criptografadas.
1.1.3 Modo Configuração Global (router (config)#)
SÍMBOLO = (CONFIG)#
Hostname – seta um nome ao router
Enable secret – seta a principal senha do router (criptografada)
Banner motd – montagem de um banner
Interface – entra na interface desejada (colocar o tipo da interface E0 ou S0)
access-list Add an access list entry
banner Define a login banner
cdp Global CDP configuration subcommands
clock Configure time-of-day clock
config-register Define the configuration register
5. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 5
DE 20
crypto Encryption module
do To run exec commands in config mode
dot11 IEEE 802.11 config commands
enable Modify enable password parameters
end Exit from configure mode
exit Exit from configure mode
hostname Set system's network name
interface Select an interface to configure
ip Global IP configuration subcommands
ipv6 Global IPv6 configuration commands
line Configure a terminal line
logging Modify message logging facilities
login Enable secure login checking
mac-address-table Configure the MAC address table
spanning-tree Spanning Tree Subsystem
login Enable secure login checking
mac-address-table Configure the MAC address table
router Enable a routing process
secure Secure image and configuration archival commands
security Infra Security CLIs
service Modify use of network based services
snmp-server Modify SNMP engine parameters
spanning-tree Spanning Tree Subsystem
1.1.4 ENTRANDO NAS INTERFACES Ethernet, Fast Ethernet e Seriais
SÍMBOLO = “ (CONFIG-IF)# ”
ETHERNET E FAST ETHERNET
Ip address – seta ip na interface (lembra de colocar o IP e máscara)
Description – coloca uma descrição para a interface. Ex: LINK DO ROUTER SP COM RJ 100
Mbps
No shutdown – restart na interface (comando dado toda vez que é setado um ip na interface)
SERIAIS
Ip address – seta ip na interface (lembra de colocar o IP e máscara)
Encapsulation ppp – seta o protocolo de encapsulamento ppp, podendo ser HDCL, Frame
Relay e ISDN.
Clockrate – seta o sincronismo nos router´s (lembrando que quando utilizamos modems não é
necessário)
Description – coloca uma descrição para a interface. Ex: LINK DO R3 com R2
No shutdown – restart na interface (comando dado toda vez que é setado um ip na interface)
Bandwidth – seta a velocidade. Ex: bandwidth 1000 significa uma velocidade 1 Mbps.
EXEMPLOS:
CONFIGURANDO INTERFACE FAST-ETHERNET
Router> enable
Router#configure terminal
Router(config)hostname Router_A // atribui o nome Router_A ao router
Router(config)#interface fastethernet 0/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#description DEPTO RH001
Router(config-if)#no shutdown
Router(config-if)#exit
6. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 6
DE 20
CONFIGURANDO INTERFACE SERIAL
Router(config)#interface serial 2/0
Router(config-if)#ip address 10.10.2.1 255.255.255.0
Router(config-if)#encapsulation ppp
Router(config-if)#clock rate 64000
Router(config-if)#description Interligacao com Filial_SP
Router(config-if)#bandwidth 1000
Router(config-if)#no shutdown
CTRL + Z
Router#copy running-config startup-config // copia configuração RAM para memória NVRAM
2. Configurar banners
Os banners são mensagens exibidas para usuários quando eles tentam se conectar ao roteador pela rede.
Através destas mensagens você pode avisá-los sobre manutenção, regras relacionadas ao uso, instruções
de segurança, etc.
Existem alguns tipos diferentes de banners que podem ser configurados no IOS:
• exec: A mensagem do tipo exec é exibida quando uma sessão exec é iniciada;
• incoming: Esta mensagem é exibida para usuários que se conectem ao roteador através do
console ou linha auxiliar;
• login: Este banner é apresentado depois do motd e antes de aparecer o prompt e é exibido em
todos os terminais conectados;
• motd: O banner motd (message of the day, mensagem do dia) é o banner mais comum e utilizado
em dispositivos Cisco. A mensagem definida como motd, será exibida para todos os que tentarem
se conectar ao seu roteador não importando a forma (Telnet, console, auxiliar, etc.).
Como você já deve ter percebido, a diferença entre os tipos de banners é o momento em que eles são
exibidos. Como o motd é o único que sempre é exibido, não importa o modo de conexão, geralmente é ele
o mais usado.
Para configurar o banner motd:
Osiris(config)# banner <tipo do banner> <caracter delimitador da mensagem>
Depois de definir o tipo do banner, você deve indicar qual caracter delimitará a mensagem que você vai
digitar, ou seja, o caracter indicado no comando irá definir o fim da mensagem do banner. Por exemplo:
Osiris(config)# banner motd @ Acesso restrito somente a equipe de redes da empresa XYZ S/A
Se nao esta autorizado recomendamos sua desconexao imediata.
Este sistema é auditado permanentemente @
No exemplo acima, a mensagem definida é “Acesso restrito somente a equipe ...”. O “@” não é
considerado parte da mensagem. Vale lembar que o caracter que você escolher não pode aparecer no
texto que você quer definir como sendo o conteúdo do banner.
3. Modificando o hostname
O hostname que você configura direto no roteador tem relevância apenas localmente, ou seja, outros
roteadores na sua rede não poderão se referir ao seu roteador pelo nome que você definir através do
comando “hostname”. Para que seja possível definir um nome com relevância global (permitindo que
7. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 7
DE 20
outros roteadores utilizem o nome escolhido para a comunicação com este roteador) você deve alterar a
zona correspondente no seu servidor DNS.
Para configurar o hostname, você deve acessar o seu roteador (se você ainda não configurou a senha
para o telnet, você poderá apenas acessá-lo através do console. Mais adiante neste post você irá
aprender a definir todas as senhas necessárias para acessar o dispositivo através da rede) e ir para o
modo de configuração:
Router> enable
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
O comando “configure terminal” o levará para o modo de configuração global do IOS. Aqui você pode
alterar todas as configurações do sistema, por exemplo, definir os IP’s das interfaces, habilitar/desabilitar
interfaces, definir rotas, configurar protocolos de roteamento dinâmico (como RIPv2, OSPF, etc), definir
banners, etc.
Estando no modo de configuração, execute o seguinte comando para definir o hostname:
Router(config)# hostname NomeDesejado
Por exemplo,
Router(config)# hostname Osiris
Osiris(config)#
Note que, logo após você modificar o hostname, ele já passa a ser utilizado no prompt. Porém, não se
engane: se você reiniciar o roteador agora o nome “desaparecerá”. Para que o nome fique configurado
permanentemente no roteador, você deve salvar as configurações. Veremos como fazer isso mais adiante
no post.
4. Configurar endereços IP
Por motivos óbvios, você precisa configurar endereços IP em todas as interfaces que estão sendo
utilizadas pelo seu roteador.
Este processo é bem simples, não leva nem 5 minutos. Para isso, você deve saber exatamente quais
interfaces existem em seu roteador e quais delas você deseja configurar. Para isso, utilize o comando:
Osiris# show interfaces
Além do nome, várias informações relacionadas às interfaces são exibidas. Guarde bem os nomes das
interfaces que você deseja configurar e vá para o modo de configuração global:
Osiris# configure terminal
Osiris(config)#
Uma vez no modo de configuração global, você precisa entrar no contexto da interface que você quer
configurar. Para isso, basta utilizar o comando “interface” seguido do nome dela:
8. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 8
DE 20
Osiris(config)# interface FastEthernet 0/0
Osiris(config-if)#
Neste modo, como você já viu, você poderá configurar todas as opções desta interface apenas. Para
configurar opções de outras placas, você deve entrar no contexto de configuração delas. Para configurar o
endereço IP nesta interface faça o seguinte:
Osiris(config-if)# ip address 192.168.1.1 255.255.255.0
Este comando já define tanto o endereço IP que será utilizado nesta interface quanto a máscara de sub-
rede.
As interfaces de roteadores Cisco por padrão estão sempre desabilitadas. Depois que você fizer a
configuração delas, você deve ativá-las se não, mesmo que tudo tenha sido configurado corretamente,
você não será capaz de acessar a rede. Seguindo o padrão Cisco, basta você colocar um “no” na frente do
comando “shutdown” no contexto de configuração da interface para que ela seja ativada:
Osiris(config-if)# no shutdown
Como você já deve ter deduzido, para desabilitar a interface você deve executar o comando “shutdown” no
modo de configuração da interface específica. O status de todas as interfaces do dispositivo pode ser
visualizado utilizando-se o comando “show interfaces” ou “show interfaces FastEthernet 0/0″ no modo
enable. A seguinte linha:
FastEthernet0/0 is administratively down, line protocol is down
Indica uma interface desabilitada. Sempre que uma interface está parada por decisão do administrador do
sistema, o status terá “administratively down”. Caso esta expressão não apareça, é muito provável que
algum outro problema está impedindo o correto funcionamento (um problema no cabo, por exemplo). Uma
interface ativa mostraria uma linha parecida com:
FastEthernet0/0 is up, line protocol is up
5. Descrições de interfaces
Se você configura muitos roteadores diferentes, pode acabar ficando meio difícil lembrar exatamente a
qual rede uma determinada interface está conectada, ou qual o papel de uma determinada interface. Para
isso, o IOS permite que você adicione descrições sobre cada interface presente em seu roteador.
Esta configuração também deve ser feita no contexto de configuração da interface em questão, utilizando
o comando “description”. Por exemplo:
Osiris(config-if)# description Interface que liga o roteador a rede do provedor.
Você pode definir uma configuração de no máximo 240 caracteres. Pode utilizar espaços, porém não é
bom utilizar acentuação. A descrição que você utiliza com o comando “description” pode ser vista quando
você digita o comando “show interfaces” no modo enable:
Osiris# show interfaces
FastEthernet0/0 is administratively down, line protocol is down
Hardware is AmdFE, address is c800.342d.0000 (bia c800.342d.0000)
Description: Interface que liga o roteador a rede do provedor
Internet address is 192.168.1.1/24
…
9. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 9
DE 20
Como já disse, isso é opcional mas pode ajudar muito você ou quem for administrar o roteador e ainda não
o conheça.
6. Configurando as senhas
Antes de você configurar qualquer senha no roteador, o IOS não permite qualquer tipo de conexão remota
a ele: apenas o console permite que você se conecte a ele para que você consiga configurar o roteador.
Então, para permitir que você utilize o Telnet para administrar o roteador daqui para frente, vou te mostrar
aqui como configurar as senhas para esse serviço.
6.1. Telnet
No IOS, você deve referir-se ao Telnet como linhas VTY. A quantidade de linhas VTY varia de modelo para
modelo, não há uma quantidade fixa. Para descobrir quantas linhas o seu roteador disponibiliza para você,
faça o seguinte. No modo de configuração global:
Osiris(config)# line vty ?
<0-4> First Line number
No dispositivo que estou usando, existem 5 linhas numeradas de 0 a 4. Para definir a senha:
Osiris(config)# line vty 0 4
Osiris(config-line)# login
Osiris(config-line)# password senha
Agora, quando você tentar se conectar ao seu roteador através do Telnet basta fornecer a senha que você
especificou no comando “password”, não importa qual o número da linha à qual você está se conectando.
Se você quiser permitir que logins sejam feitos através de Telnet mesmo que uma senha não tenha sido
configurada (o que não é nada recomendado), basta negar o comando “login” no contexto de configuração
da linha:
Osiris(config-line)# no login
E você poderá se logar no roteador sem precisar de uma senha.
Embora o Telnet seja o padrão para administração remota de roteadores e switches Cisco, ele não é nada
seguro. Todo o tráfego trocado entre cliente e servidor é transmitido em texto claro, permitindo que alguém
sniffe a conexão e consiga descobrir o seu usuário e senha. Para mitigar este problema, o mais
recomendado atualmente é configurar o SSH no dispositivo e utilizá-lo ao invés de usar o Telnet. Já
expliquei como funciona este processo em outro post.
6.2. Configurando senha de console
Se você se conectar ao roteador através da porta de console, o padrão é não ter senha para que você
consiga configurar o switch assim que ele sai da caixa. Porém, é uma boa prática proteger esta conexão
com uma senha.
No caso do console, a linha utilizada se chama console e geralmente existe apenas 1: a porta 0. Para
configurá-la, você deve fazer o seguinte:
Osiris(config)# line console 0
Osiris(config-line)# password senha
10. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 10
DE 20
Agora, sempre que você se conectar ao console você deverá digitar a senha informada ao comando
“password” como descrito acima.
6.3. Senha para modo enable
Além de senhas para as linhas, também é possível definir uma senha para proteger o modo enable, que
dá mais poderes ao usuário.
Para definir esta senha, acesse o modo de configuração global e utilize o comando “enable secret”:
Osiris(config)# enable secret senha
Isso irá criar uma senha criptografada que será utilizada sempre que você tentar acessar o modo enable
do roteador, não importa a forma pela qual você se conecte ao dispositivo. Você também pode criar uma
senha não-criptografada utilizando o comando “enable password”:
Osiris(config)# enable password senha
Se você definir tanto a secret quanto a password, a senha secret sempre terá preferência e é ela a que
sempre será utilizada. Embora você tenha a opção de utilizar uma senha não-criptografada, é
recomendado que você utilize apenas a senha criptografada com o comando “enable secret”.
7. Armazenando senhas de forma criptografada
Por padrão, a única senha criptografada no IOS é a senha definida pelo comando “enable secret”. Todas
as outras são exibidas em texto claro através do comando “show running-config”. Para impedir que isso
aconteça, você deve ativar o serviço de criptografia de senhas. É muito importante que você ative este
serviço, já que ele é praticamente a sua única proteção para as senhas armazenadas na memória do
roteador.
Habilitar o serviço é muito simples. No modo de configuração global, execute o seguinte comando:
Osiris(config)# service password-encryption
E pronto, agora sempre que as suas senhas forem ser exibidas, apenas o hash da criptografia aparecerá
melhorando um pouco mais a segurança do sistema.
8. Definindo timeouts
Como medida de segurança, não apenas no IOS mas também em qualquer outro sistema que você
acesse remotamente, é interessante que você defina timeouts para fazer com que sessões ociosas sejam
terminadas automaticamente depois de um determinado tempo. Esses timeouts são configurados para
cada linha, ou seja, o timeout do console pode ser diferente do timeout da VTY.
Como a configuração pode ser diferente para cada linha, você deve estar no contexto de configuração da
linha para poder modificar o parâmetro. Uma vez no contexto correto, basta utilizar o comando “exec-
timeout”:
Osiris(config)# line vty 0 4
Osiris(config-line)# exec-timeout <MINUTOS> <SEGUNDOS>
Por exemplo, para definir o timeout em 1:30s você deveria executar o comando:
Osiris(config-line)# exec-timeout 1 30
11. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 11
DE 20
Para desabilitar o timeout, basta informar “0 0″ para minutos e segundos.
9. Salvar as configurações
Todas as configurações que você acabou de fazer não são salvas automaticamente. Você precisa instruir
o IOS a salvá-las para que você não perca tudo caso o roteador reinicie por algum motivo.
Para fazer essa cópia, você deve utilizar o seguinte comando (no modo enable):
Osiris# copy running-config startup-config
Destination filename [startup-config]?
Ele irá te perguntar qual será o nome do arquivo que será criado com as configurações. O padrão, que
geralmente é o aceito, é startup-config. Para aceitar o padrão basta pressionar a tecla enter. A seguinte
mensagem irá confirmar que a operação foi efetuada com sucesso:
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration…
[OK]
OBS: pode usar o comando WR também
10.Rotas estáticas
Router(config)#ip route 192.168.200.0 255.255.255.0 10.10.10.2 // insere uma rota estática indicando
qual o próximo salto.
Router(config)# ip route 192.168.200.0 255.255.255.0 s2/0 // insere uma rota estática indicando para
qual interface o router deve encaminhar.
Router(config)# no ip route 192.168.200.0 255.255.255.0 10.10.10.2 // deleta rota estática.
Router(config)# ip route 192.168.200.0 255.255.255.0 10.10.10.2 10 // insere uma métrica(peso) a
rota estática, por default a métrica é 1.
OBS: sempre a menor métrica é a preferida.
11.Configurando Rota default
Para criar uma rota "default", use a sintaxe:
roteador(config)# ip default-network 192.168.76.1 ou
roteador(config)# ip route 0.0.0.0 0.0.0.0 192.168.76.1
Uma rota padrão (Default Route), também conhecida
como “gateway de último recurso”, é a rota de rede
utilizada por um roteador quando não há nenhuma
outra rota conhecida existente para o endereço de
destino de um pacote IP. Todos os pacotes para
destinos desconhecidos pela tabela do roteador são
enviados para o endereço de rota padrão. Esta rota
geralmente direciona para outro roteador, que trata o
pacote da mesma forma: Se a rota é conhecida, o pacote será direcionado para a rota conhecida. Se não,
o pacote é direcionado para o “default route” desse roteador que geralmente direciona a outro roteador. E
assim sucessivamente.
Comando: ip route 0.0.0.0 0.0.0.0 serial0/0
12. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 12
DE 20
12.Configurando DHCP
A máquina pergunta na rede quem é o servidor DHCP, o serviço se identifica e fornece um IP para
máquina ou host solicitante. O DHCP pode ser um computador, um modem ou um roteador.
Comandos:
Router(config)#ip dhcp pool MEU_DHCP_SERVER
Router(dhcp-config)#network 192.168.0.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.0.1
Router(config)#ip dhcp excluded-address 192.168.0.1
DHCP- COMANDOS RESUMIDOS
Router(config)#ip dhcp pool DHCP_SERVER
Router(dhcp-config)#net 192.168.0.0 255.255.255.0
Router(dhcp-config)#default 192.168.0.1
Router(dhcp-config)#dns-server 192.168.0.12 (se tiver presente)
Router(dhcp-config)#exit
Router(config)#ip dhcp exc 192.168.0.1
Embora existam diversas soluções de mercado para serviços DHCP bem mais robustas, o serviço DHCP
embutido no Cisco IOS pode ser bastante útil em ambientes “SOHO” (Small Office Home Office), termo que
significa "pequeno escritório ou escritório montado em casa", e em redes de pequeno porte, que dependam
somente de um único roteador.
O papel do DHCP na rede é atribuir endereços IP automaticamente às estações de trabalho (ou outros
dispositivos). Além de atribuir dinamicamente endereços IP, o DHCP pode também configurar uma gama de
parâmetros TCP/IP nestas estações, como os endereços dos servidores DNS, endereço do default gateway da
rede, dentre outros. A configuração de um roteador Cisco para que ele funcione como um servidor DHCP é
bastante simples e é ilustrada a seguir.
Passo 1: Certifique-se que a porta que se conecta à rede local (LAN) esteja devidamente configurada e
ativada e ative o serviço DHCP no roteador:
Router(config)# interface ethernet0/0
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# service dhcp
Passo 2: Crie o “pool” onde será especificado os endereços IP que você deseja distribuir para os hosts em
sua rede:
Router(config)# ip dhcp pool meupooldeenderecos
Passo 3: Especifique os endereços que serão disponibilizados para os hosts:
Router(dhcp-config)# network 192.168.10.0 255.255.255.0
Passo 4: Especifique o domínio a ser configurado nos hosts:
Router(dhcp-config)#domain-name nomedodominio.com
13. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 13
DE 20
Passo 5: Especifique os servidores DNS (até 8 endereços podem ser configurados):
Router(dhcp-config)#dns-server 192.168.10.2 192.168.10.3
Passo 6: Especifique o endereço do default gateway da rede (até 8 endereços podem ser configurados):
Router(dhcp-config)#default-router 192.168.10.1 (endereço IP do próprio roteador, no caso)
Passo 7: Especifique o tempo de duração do lease, ou seja, quanto tempo o host pode ficar com o endereço
antes de re-checar com o DHCP:
Router(dhcp-config)#lease 7 (tempo em dias, no exemplo)
OBS: Em relação ao lease, por default, a configuração é de 1 dia.
Passo 8: Exclua os endereços IP que não devem ser oferecidos aos hosts. No exemplo abaixo, os IPs
192.168.10.1 até 192.168.10.10 não serão oferecidos aos hosts pelo DHCP.
Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
Pronto! Seu roteador agora responderá às solicitações DHCP de hosts na rede, e estes hosts receberão um
endereço IP dentro do intervalo de 192.168.10.11 a 192.168.10.254.
Monitorando o serviço DHCP
Os seguintes comandos possibilitam o gerenciamento do serviço DHCP em um roteador Cisco:
• “show ip dhcp binding”: Lista os IPs já fornecidos para as estações de trabalho.
• “show ip dhcp conflict”: Lista eventuais conflitos de endereços IP.
• “show ip dhcp database”: Lista o DHCP database.
• “show ip dhcp pool”: Lista todo o conteúdo dos pools configurados.
• “show ip dhcp relay information trusted-sources”: Lista as informações sobre o relay DHCP.
• “show ip dhcp server statistics”: Mostra as estatísticas do tráfego DHCP.
Em caso de problemas, as seguintes opções para debugging estão disponíveis:
• “debug ip dhcp server events”: Muito útil para mostrar os “empréstimos” e “expirations” dos
endereços IP.
• “debug ip dhcp server linkage”: Server para diagnosticar eventos em situações onde existem relações
entre dois ou mais servidores DHCP (esquema “parent/child”, tais como radix tree).
• “debug ip dhcp server packet”: Mostra o tráfego DHCP em tempo real.
13.Rota dinâmica com RIP:
roteador(config)#route rip
roteador(config-router)#network 192.168.30.0
roteador(config-router)#network 192.168.40.0
roteador(config-router)#passive-interface fastethernet 0 à essa interface não envia atualizações RIP
roteador(config-router)#version 2 à passa para a versão 2
14. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 14
DE 20
roteador(config-router)#no auto-summary à não faz sumarização das rotas – usado qdo temos a
presença de subredes .
Sendo que a rede 192.168.30.0 e 192.168.40.0 que são as redes ligadas nas interfaces do ROUTER vão
ser agora compartilhada com os outros roteadores.
*A configuração de todos os outros protocolos de roteamento são parecidas. Por exemplo, para configurar
o IGRP (router igrp 10; network 192.168.30.0) ou o OSPF (router ospf 10; network 10.0.0.0 0.255.255.255
area 0), todos seguem mais ou menos a mesma sintaxe.
Depurando problemas no roteamento:
debug ip rip
no debug rip
no debug all
14.Rota dinâmica com OSPF:
roteador(config)#router ospf 1
roteador(config-router)#network 192.168.0.0 0.0.0.255 area 0
1. Habilitar o processo OSPF no router via comando “router ospf {ID do processo OSPF}”
2. Associar areas OSPF às interfaces, via comando “network {rede ou endereço IP} {wildcard} {area}”
O ID do processo OSPF não precisa ser o mesmo em roteadores distintos, e o mais interessante,
vários processos OSPF podem ser executados em um mesmo router. Este procedimento não é
recomendado, entretanto, já que cada instância consome grandes porções de CPU e memória. Em suma,
um bom design não utilizaria mais de um processo OSPF em um mesmo router.
O parâmetro “network”, diferentemente do que ocorre na configuração de outros protocolos de
roteamento, serve, no OSPF, para indicar quais interfaces participarão do processo, e quais as áreas
OSPF a que pertencem. Esta é uma particularidade do protocolo.
O parâmetro “area”, no comando acima o protocolo irá procurar a rede 192.168.0.0 e colocará todas as
que encontrar dentro da área 0. Outro ponto é que o valor pode ser numérico quanto em formato IP
0.0.0.0.
Verificando as configurações:
Show ip route
Show ip ospf
15. Configuração de switchs
1- Entrar no modo privilegiado
switch>enable
switch#
2- Configurar senhas
switch(config)#enable secret ****** digite a senha
switch(config)#exit
switch(config)#line vty 0 15
switch(config)# login
switch(config)# password ****** digite a senha
15. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 15
DE 20
switch(config)#line console 0
switch(config)# login
switch(config)# password ****** digite a senha
switch(config)#service password-encryption habilita a criptografia
3- Configurar um nome para o Switch.
switch(config)#hostname NOME
switch(config)#exit
4- Configurar velocidade e modo de comunicação da porta.
Switch 2950:
switch(config)#interface fastEthernet 0/1
switch(config-if)#speed auto à modo automatic (100 ou 1000 Mbps)
switch(config-if)#duplex auto à modo automatic (full duplex ou half duplex)
5- Configurar o endereço IP/Máscara/Gateway nos Switchs. (para acesso externo)
switch(config)#interface vlan 1
switch(config-if)#ip address X.X.X.X Y.Y.Y.Y onde X é o endereço IP e Y a máscara de rede
switch(config-if)#exit
switch(config)#ip default-gateway X.X.X.X onde X é o endereço IP do default-gateway
switch(config)#exit
6- Criar VLANs nos Switchs.
switch#config t
switch(config)#vlan 2
switch(config-vlan)#name SW_2347_filial
VLAN
Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente.
Várias VLAN's podem co-existir em um mesmo comutador (switch), de forma a dividir uma rede local
(física) em mais de uma rede (virtual), criando domínios de broadcast separados. Uma VLAN também
torna possível colocar em um mesmo domínio de broadcast, hosts com localizações físicas distintas e
ligados a switches diferentes. Um outro propósito de uma rede virtual é restringir acesso a recursos de
rede sem considerar a topologia da rede, porém este método é questionável.
Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente é
configurada para mapear diretamente uma rede ou sub-rede IP, o que dá a impressão que a camada 3
está envolvida.
16. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 16
DE 20
7- Atribuir portas as VLANs. à Portas 3, 4 e 5 – VLAN 2
switch(config)#interface fastEthernet 0/3
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#interface fastEthernet 0/4
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#interface fastEthernet 0/5
switch(config-if)#switchport access vlan 2
switch(config-if)#exit
switch(config)#exit
switch#show vlan
Configurar várias portas ao mesmo tempo use o comando RANGE
switch(config)#interface range fastEthernet 0/3-10
8- Configurar TRUNK.
Switch 2950:
switch#config t
switch(config)#interface fastEthernet 0/1
switch(config-if)#switchport mode trunk
switch(config-if)#exit
9– Criptografar as senhas console e telnet (configure terminal).
switch(config)# service password-encryption
17. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 17
DE 20
10 - Configurando PORT SECURITY NOS SWITCHS
Todos sabemos que a configuração de port security nos switchs Cisco é muito utilizada para não autorizar
máquinas estranhas à rede corporativa, sem que haja prévia avaliação da equipe responsável, isso é
fundamental para que uma rede tenha os requisitos mínimos de segurança.
Comandos do Switch CTBA:
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address sticky -> guardar o mac-address automaticamente
Switch(config-if)#switchport port-security maximum 1 -> número máximo de violação
Switch(config-if)#switchport port-security violation shutdown -> se violado a inferface ficará desabilitada
Switch(config-if)#switchport port-security -> habilita o port-security
Gere tráfego (com ping PC0 para PC1)
Switch# sh port-security
Switch#sh port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 000C.CF35.4439:1 --> mostra ultimo MAC Address
Security Violation Count : 0
Retire a ligação da FastEthernet 0/1 (ligada ao PC0)e ligue no NOTEBOOK do estagiário que pretende
acessar a rede com seu ativo de rede. A interface ficará UP, mas quando gerar tráfego ela ficará DOWN.
18. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 18
DE 20
11 - Listas de Acesso
ACL - PADRÃO
#configure terminal
(config)#access-list 50 deny 192.168.31.0 0.0.0.255;
(config)#access-list 50 deny 10.21.32.254 0.0.0.0 //ou// (config)#access-list 50 deny host 10.21.32.254;
(config)#access-list 50 permit 10.21.0.0 0.0.255.255;
REMOÇÃO DE ACL
#No access-list 50
APLICANDO A UMA INTERFACE
(config)#int fastEthernet 0/0 // sintaxe = int fast[#/#]
(config-if)# ip access-group 50 in // sintaxe = ip access-group [#ACL] [in / out]
CONTROLE DE ACESSO VIA VTY (TELNET)
Pode-se filtrar usuários que tentam acessar o router via Telnet através de ACLs padrão.
– Cria a ACL padrão
– Aplique diretamente às portas VTY através do comando access-class
CRIANDO A LISTA
(config)#access-list 50 permit 172.16.10.3
APLICANDO NO ACESSO VTY (TELNET)
(config-line)#line vty 0 4
(config-line)#access-class 50 in
ACL - ESTENDIDA
Filtra por protocolo;
Filtra por número de porta;
Permite acesso de usuários a determinada Lan, porém negando acesso a serviços específicos.
19. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 19
DE 20
CRIANDO A LISTA
Router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log
A linha de comando acima bloqueia o acesso do host 172.16.30.2 para o serviço de telnet apenas.
APLICANDO A UMA INTERFACE
(config)#int fastEthernet 0/0 // sintaxe = int fast[#/#]
(config-if)# ip access-group 110 in // sintaxe = ip access-group [#ACL] [in / out]
LISTAS NOMEADAS
CRIANDO A LISTA
Router(config)#ip access-list standard BLOCK-SALES
Router(config-std-acl)#deny 172.16.40.0 0.0.0.255
Router(config-std-acl)#permit any
Router(config-std-acl)#exit
APLICANDO A UMA INTERFACE
Router(config)#int f 0/0
Ip access-group BLOCK-SALES out
12 – Roteamento Dinâmico
RIP
Router(config)#router rip
Router(config-router)#network 1.0.0.0
Router(config-router)#network 2.0.0.0
Router(config-router)#network 5.0.0.0
Router(config-router)#network 10.0.0.0
Router(config-router)#version 2
Router(config-router)#no auto-summary
Router(config-router)#passive-interface f0/0
Router(config-router)#exit
20. MATERIAL DE APOIO - C O M A N D O S P A R A C O N F I G U R A Ç Ã O PÁGINA 20
DE 20
Router(config)#hostname R_Curitiba
R_Curitiba(config)#exit
R_Curitiba# show ip route
OSPF
R_Curitiba(config)#router ospf 1
R_Curitiba(config-router)#network 10.0.0.0 0.255.255.255 area 0
R_Curitiba(config-router)#network 1.0.0.0 0.255.255.255 area 0
R_Curitiba(config-router)#network 2.0.0.0 0.255.255.255 area 0
R_Curitiba(config-router)#network 5.0.0.0 0.255.255.255 area 0
EIGRP
R_Curitiba(config)#router eigrp 1
R_Curitiba(config-router)#network 1.0.0.0 0.255.255.255
R_Curitiba(config-router)#network 2.0.0.0 0.255.255.255
R_Curitiba(config-router)#network 5.0.0.0 0.255.255.255
R_Curitiba(config-router)#network 10.0.0.0 0.255.255.255
R_Curitiba(config-router)#passive-interface f0/0