29 de dez. de 2009

Videos sobre Gerenciamento de Redes

Olá pessoal,

Primeiramente gostaria de desejar boas festas a todos e que 2010 possa ser um ano de grandes realizações!

Seguindo o bom conselho que o Adilson tem dado sobre o inglês, estava dando uma bisbilhotada na net com a finalidade de desenferrujar o meu, foi quando encontrei uns vídeos interessantes sobre NMS (Network Management Systems) no site da Solarwinds.



Eles postaram vários vídeos técnicos interessantes, como:

- SolarWinds Head Geek provides helpful tips for enabling NetFlow on Cisco routers
- Integrated Performance & Config Management
- Using IP SLA Monitor with Orion NPM
- Helpful tips for easily mapping users to switch ports using SNMP
- Learn how to leverage WMI to monitor your servers and applications
- Learn how to use your existing Nagios scripts to monitor applications within Orion APM
- Windows App & Server Management Using WMI
- Learn how to use NetFlow to analyze traffic on your network and shutdown bandwidth hogs
- Learn how to use our free VM Monitor to monitor VMware ESX Servers and virtual machines


Além desses, há vários outros, de boa qualidade que certamente irão ajudá-los no inglês e também a conhecer um pouco mais sobre gerenciamento de redes. Aí vai o link: http://www.solarwinds.com/geek/videos/tech_talks.aspx
Um abraço,
Sandro Leite.

28 de dez. de 2009

Laboratório - Desafio CCNP

Venho ministrando os módulos do CCNP com a utilização do GNS3 já há algum tempo e tenho sentido falta de um laboratório mais abrangente, que pudesse contemplar as principais configurações vistas durante a Formação CCNP.
Afinal de contas, Roteamento, Switching, QoS e Segurança (principais tópicos dos cursos de BSCI, BMSN, ONT e ISCW respectivamente) não são coisas isoladas e, no mundo real, estão sempre juntas !
O Mega laboratório CCNP descrito na figura acima aborda as seguintes configurações:
  • EIGRP
  • OSPF
  • IS-IS
  • Redistribuição
  • IPv6
  • Multicasting
  • ADSL
  • VPN
  • IDS/IPS
  • Firewall
  • AAA
  • Syslog
  • SNMP
  • MPLS
  • VLAN
  • STP
  • HSRP
  • GLBP
  • Segurança em Switches
  • VoIP
  • QoS
  • Wireless LAN

Vc pode ir construindo o cenário aos poucos, já que ao Router Core estão ligados 4 segmentos independentes. Algumas coisas como a configuração de Wireless ou configurações avançadas de Switching ainda não tem suporte no GNS3/Dynamips, mas reunir tudo isso num único cenário ainda é muito desafiador.

Para baixar o PDF com o Lab, clique na figura abaixo:

Para maiores informações sobre o uso do GNS3 com múltiplas instâncias, recomendo:

http://blog.ccna.com.br/2009/12/27/colocando-o-gns-3-a-prova-literalmente/

Agora,vcs já tem um bom Lab para passar tempo nas Férias !

Que o lado Router da Força esteja com vcs !!!

Como evitar ataques TTL-Expiry

Dando sequência a nossa discussão sobre o campo TTL, se o roteador, ao receber um pacote IP com TTL baixo (menor ou igual a 1), irá decrementar o campo e gerar uma mensagem de ICMP Time Exceed, isto abre uma brecha para ataques de negação de serviço baseados em TTL-expiry, visto que a geração destas respostas ICMP terão prioridade sobre o envio do tráfego normal da rede.

Como evitar o recebimento em excesso de pactes com tempo de vida muito curto ? Uma solução é criar uma Lista de Controle de Acesso (ACL) que bloqueie tais pacotes. A ACL abaixo bloqueia a entrada de pacotes num roteador de borda com TTL menor que 16:

!
ip access-list extended

ACL-BLOCK-LOW-TTL
deny ip any any ttl lt 16
permit ip any any
!
interface FastEthernet0
ip access-group ACL-BLOCK-LOW-TTL in
!
Para verificar se tivemos pacotes em excesso que foram negados pela ACL, podemos usar o comando abaixo:

Router#show access-lists

ACL-BLOCK-LOW-TTL
Extended IP access list

ACL-BLOCK-LOW-TTL
10 deny ip any any ttl lt 16 (3003 matches)
20 permit ip any any (2670 matches)
Router#

Como podemos notar, mais de 3000 pacotes com TTL baixo foram negados. Para saber mais sobre o assunto, consulte o site da Cisco na referência abaixo.
Fonte:

http://www.cisco.com/web/about/security/intelligence/ttl-expiry.html

27 de dez. de 2009

Entendendo o campo TTL - Time to Live

O TTL - Time to Live - é um campo existente em um pacote IP que tem por finalidade impedir que este pacote fique em Looping infinito. Este campo possui 1 byte de comprimento (valores de 0 a 255). O valor inicial do campo depende do Sistema Operacional e do protocolo usados no remetente, conforme ilustra a tabela abaixo:

Ao passar por cada roteador, o valor do Campo TTL deve ser decrementado até que se atinja um valor igual ou menor que zero, quando então será emitida uma mensagem ICMP Time Exceed de volta a origem e o pacote é descartado, isto garante que o mesmo não ficará dando voltas sem chegar a lugar algum.

Pois bem, há uma certa confusão com relação ao TTL que faz muita gente relaciona-lo com o numero de saltos, visto que, ao passar por cada gateway, ao menos um valor de TTL deve ser decrementado, ainda que o pacote não tenha ficado por lá por 1 segundo. Entretanto, o roteador pode decrementar mais de uma unidade TTL por segundo que este pacote tenha permanecido por lá. Assim, o TTL realmente expressa unidades de tempo e não de saltos.

Assim, como o TTL inicial pode ser qualquer um dos valores da tabela acima, e os pacotes de ECHO REQUEST e ECHO REPLY podem seguir caminhos diferentes, também não podemos usar o TTL para mensurar quantos saltos existem entre dois hosts quaisquer.

Vale lembrar que o TTL padrão dos Sistemas Operacionais é usado por ferramentas como o NMAP que procuram "adivinhar" o S.O. da vitima, talvez seja interessante mudar este valor default.

Utilitários como o Traceroute e o PathPing também utilizam o TTL para "Traçar" o caminho entre dois hosts.

Originalmente, eu me baseei numa discussão no GTER archives sobre uma questão de concurso público abordando TTL.Vale a pena conferir estas discussões nos links abaixo:

Referências:

http://eng.registro.br/pipermail/gter/2009-December/028568.html

http://www.binbert.com/blog/2009/12/default-time-to-live-ttl-values/

http://www.freesoft.org/CIE/RFC/1812/110.htm

http://www.maxi-pedia.com/time+to+live

26 de dez. de 2009

Nas Férias, aprenda Brincando !!!

A Cisco mantém um site chamado AcademyNetspace, (https://www.academynetspace.com) uma espécie de rede social que procura reunir alunos, ex-alunos, Instrutores e fãs de Redes em geral. Além de poder encontrar pessoas da mais diversas academias espalhadas pelo globo, o site mantém uma série de games que ensinam de forma lúdica conceitos relacionados a Internet e infra-estrutura de redes. Confira algumas destas ferramentas:
Netspace Chalenge: Um jogo de perguntas e respostas, a cada dia, um bateria de 50 questões está disponivel, cada questão vale uma certa quantidade de pontos, que são acumulados e podem ser trocados por uma série de "brindes digitais" (papéis de parede, avatares, etc). Há um ranking com os mais pontuados e um Hall da fama mensal para homenagear os campeões.
As questões são bem variadas e há muito conteudo de Provas CCNA, ou mesmo CCNP que figuram no banco de dados. Vale a pena conferir !!!

Netspace Skills Pursuit: Analise um cenário real de implantação de uma rede LAN/WAN. Através deste game, vc elabora uma solução para os problemas apresentados, a medida que explora a topologia da rede atual e analisa as mudanças no modelo proposto. O game exige a utilização do Packet Tracer para a resolução das questões.

The Healthy Network: Construa a infra-estrutura necessária para uma rede hospitalar com o auxilio do Packet Tracer. Há um video disponivel no YouTube que mostra como instalar e integrar o game ao simulador de redes da Cisco.

Confira em http://www.youtube.com/watch?v=OwT9qEZ9wo4.

Tech's WareHouse: Focado para estudantes do IT Essentials, propõe ensinar como atender as necessidades de cliente dono de um PC doméstico e com um orçamento limitado para a compra de periféricos e peças de substituição.

Obs: Os games, é claro, estão em Inglês !

Have Fun !!!

24 de dez. de 2009

Desejos de Natal !!!

Gostaria de agradecer a todos os que colaboram direta ou indiretamente para que este Blog continue a existir. Espero que os Posts tenham contribuido de alguma forma para seu crescimento pessoal e profissional.

Para mim tem sido muito gratificante a troca de experiências com os velhos amigos e também com os novos que ganhei graças a este espaço.

Em 2010, faço votos para que cada um de nós possa:

  • Rir muito mais;
  • Ser ainda mais feliz;
  • Concretizar sonhos;
  • Ter novos sonhos;
  • Passar mais tempo com pessoas queridas;
  • Superar todos os obstáculos;
  • Acreditar mais no poder do amor;
Feliz Natal e um 2010 repleto de Realizações !!!

23 de dez. de 2009

A Hora e a vez ... do INGLÊS !!!

Poiszé PessoALL !!!

Como vcs podem conferir no post anterior, nos próximos anos a bola da vez estará nas tecnologias relacionadas a transmissão de video pela Internet, principalmente para quem atua no eixo Rio-São Paulo, palco da Copa de 2014 e das Olimpiadas de 2016.

Entretanto, estes eventos terão um impacto na vida dos Profissionais de TI do qual muitos ainda não se deram conta: a demanda por Profissionais que se comuniquem em Inglês !!!

Tenho ouvido comentários no mundo acadêmico que o governo brasileiro pretende investir muito dinheiro em programas de formação de jovens e adultos com foco na Lingua Inglesa nos próximos 4 anos. No estilo PROUNI e Escola da Familia, estes projetos visarão atender a demanda gerada pelo grande fluxo de turistas que por aqui devem chegar.

Não é nenhuma novidade que as empresas de TI privilegiam candidatos que dominem o Inglês, programas de Trainee como os da Microsoft e Dell tem o domínio da lingua inglesa como pré-requisito indispensável, já dei aulas para estudantes que tiveram sua Formação CCNA paga com bolsa de 100% por empresas graças a fluência no Inglês !!!

Agora eu lhes pergunto, depois que esta onda de incentivos ao aprendizado do Inglês e os eventos que vão origina-la passar, como ficarão os Profissionais de TI que insistem em não serem fluentes ???

Serão totalmente defasados ! E já haverá uma nova geração que manja Inglês em número suficiente para deixar os retardatários de lado !!!

Não se torne um modelo obsoleto, invista o quanto antes em seu Inglês !!! Vc só tem a ganhar, há muitas opções gratuitas na própria Internet, basta esforço e dedicação. Se vc puder fazer um curso presencial, pagar um professor particular, fazer um intercâmbio, FAÇA !!! Garanto que não irá se arrepender !

Abs,

Os Planos da Cisco


Em entrevista à Revista IP, Marco Barcellos, diretor de Marketing e Relações Públicas da Cisco do Brasil, fala das novas oportunidades para o fornecimento de equipamentos e soluções para banda-larga, comunicações e infra-estrutura no país.


Barcelos vê novas oportunidades para a Cisco no fornecimento de equipamentos e soluções para banda-larga, comunicações e infra-estrutura, alavancadas não só pelos próximos eventos esportivos, que devem concentrar investimentos no Rio de Janeiro e em São Paulo, mas pela própria demanda por desenvolvimento em outras regiões do país.


Revista IP - Há pouco mais de um ano, a Cisco intensificou seus esforços para oferecer soluções para a área de videosegurança, aproveitando o reconhecido knowhow em redes. Como vocês pretendem se posicionar nesse novo mercado?


Marco Barcellos - Um dos principais drivers do mercado atual de tráfego na Internet é o vídeo. O vídeo, como aplicativo final para o usuário, traz algumas vantagens de confiança, segurança e afins. Nossa entrada nessa área de videosegurança é exatamente por causa da nossa plataforma. Ou seja, todas as mídias possíveis são transmitidas via protocolo IP. O vídeo é mais uma aplicação que pode ser transmitida através do protocolo IP. Usando a mesma rede de comunicações, todo o conceito de convergência que a gente tem no mercado, você aproveita as características da rede de comunicação de dados e trafega vários tipos de aplicação. O vídeo é mais uma dessas aplicações e talvez o principal driver que vai mudar os níveis de comunicação de agora em diante. E nós temos as integrações das ferramentas de vídeo, que nos permitem usar todo o tráfego de monitoramento de uma rede. Ou seja, você não só tem um conceito de videosegurança como alternativas no mercado, mas tudo isso integrado no mesmo sistema de gerenciamento e transmitido através do protocolo IP. Todas as vantagens que você tem transmitindo no mesmo conceito da Internet você usa mantendo toda a parte de segurança e confiabilidade numa rede IP da Cisco.


IP - Qual o perfil dos clientes que devem primeiro recorrer a esse tipo de solução?


Barcellos - Esse tipo de solução tem utilidade para quaisquer tipos de empresas que precisem de um nível de monitoramento, seja ele qual for. O que a gente tem sentido muito é a necessidade por parte de segurança pública. Ou seja, da parte de videosegurança pública. Porque, quando você tem uma área muito grande a ser coberta, você precisa ter um sistema de controle bem efetivo e automatizado. Então, utilizando a estrutura de comunicação de dados, você consegue fazer isso de uma forma mais integrada. Então, a gente tem sentido bastante, e confirmou durante o Futurecom 2009, muito interesse na parte de videosegurança pública.


IP - E quando os clientes ainda não têm um parque tecnológico IP, trabalhando ainda com o analógico, como vocês fazem para lidar com isso?


Barcellos - Nosso sistema de videosegurança utiliza tanto tecnologias atuais, mais modernas, da própria Cisco ou de quaisquer outros fabricantes, quanto qualquer tipo de tecnologia, mesmo câmeras analógicas. Isso dá uma flexibilidade para que o cliente possa fazer essa integração paulatinamente. Na parte de transmissão de dados, já é uma realidade que todas as empresas estão migrando para comunicação IP. Então nossa solução permite que o cliente utilize o seu legado com câmeras analógicas e faça a integração. O grande segredo é o sistema de gerenciamento de vídeo, que tem uma série de algoritmos que otimizam as aplicações de segurança.


IP – Durante a Futurecom, foram apresentadas no estande algumas salas com sistemas de telepresença.


Barcellos - O sistema de telepresença já se tornou uma realidade. No Brasil, tem uma série de empresas utilizando e usufruindo seus benefícios. No Futurecom, aproveitamos a oportunidade para lançar um novo modelo. Na verdade, é um lançamento mundial: a CTS 1300. Trata-se de um modelo com uma tela só, mas que tem todas as características dos modelos de maior porte. Exatamente para você ter várias combinações de empresas, aplicações, e necessidades que sejam atendidas pelas soluções de telepresença.


IP - Qual o tamanho da tela desse modelo?


Barcellos - 65 polegadas. É a mesma tela que usamos no sistema 3000, que já havia sido lançado antes. O objetivo é que você tenha, no caso da 1300, uma sala de reunião onde você pode compartilhar até seis pessoas utilizando esse mesmo sistema de telepresença. É importante destacar que a 1300, ou o modelo menor, que é a CTS 500, que a gente também demonstrou no Futurecom, podem se interligar com quaisquer modelos. Ou seja, uma empresa pode ter algumas unidades de cada tipo de aplicação e de acordo com a utilização que ela vai dar àquela sala.


IP – Nesse sentido, que outras vantagens vocês tentam destacar para vender sistemas de telepresença?


Barcellos - O grande benefício que uma empresa passa a ter com a tecnologia da telepresença é a parte de colaboração. Você consegue reunir pessoas que, geograficamente, não estão num mesmo local. Obviamente, a maioria das empresas busca, num primeiro momento, a economia, porque é possível reduzir gastos com viagens e deslocamentos, e aumentar a produtividade. Então, o maior benefício talvez seja a parte de colaboração. Conseguimos agregar isso a uma maior necessidade do cliente, que é a economia e redução de custos com comunicação e viagens e deslocamentos de executivos e funcionários. Então, num primeiro momento, a empresa consegue notar retorno sobre esse investimento de uma forma muito rápida e, partir daí, ela passa a ter os benefícios adicionais em colaboração e integração com outras soluções da própria empresa, em diversas localidades.


IP - Como o mercado tem se posicionado em relação à demanda por soluções mais simples?


Barcellos - A gente tem soluções até mais, digamos, portáveis, como a solução Webex, passando por videoconferência. A tecnologia de telepresença é sim uma tecnologia disruptiva. Ela é a primeira tecnologia que consegue realmente entregar o que a videoconferência, entre aspas, prometeu. Através da telepresença, você tem realmente a sensação de um contato presencial. Ela realmente simula um contato presencial. A videoconferência transmite o vídeo, mas não transmite nenhuma das sensações de comunicação corporal que você normalmente tem. A telepresença basicamente entrega a promessa da videoconferência, assim como outro ponto fundamental nos dias de hoje, que é simplicidade. A telepresença faz parte das nossas soluções de comunicações unificadas e é como se fosse um ramal de um sistema de telefonia IP. Ou seja, para você fazer uma conexão, basta ligar para o número de uma sala de telepresença, e é atendido imediatamente. Não requer agendamentos anteriores ou pedir apoio de suporte técnico, dependendo de qualidade de link. A simplicidade da utilização faz com que o sistema de telepresença seja a grande tendência para a parte de conjugação visual.


IP - Como a Cisco se desempenhou no Brasil nos últimos 12 meses?


Barcellos - A crise é uma realidade. Aconteceu e, apesar de tudo, o Brasil teve um resultado bastante expressivo, e acabou acelerando algumas prioridades em termos de visibilidade da Cisco no mundo. Os países emergentes são os primeiros que estão saindo dessa situação. O Brasil já havia sido elencado como uma das prioridades da corporação em Julho do ano passado, e isso acelerou os investimentos no Brasil. Apesar da situação financeira mundial, o Brasil teve uma participação que fez aumentar seu nível de visibilidade.


IP – Quais as perspectivas de investimentos no Brasil, considerando-se eventos esportivos programados e o recente desenvolvimento econômico do país?


Barcellos - Quanto à economia, estamos com claros sinais de recuperação em diversos segmentos do mercado brasileiro. Naturalmente, o epicentro dessa crise foi nos Estados Unidos, então sofremos o impacto dessa crise global. Até pela velocidade da Internet, essa crise foi muito mais divulgada e a solução também vem de uma forma mais colaborativa. O que estamos vendo para os próximos anos, e vem de encontro ao que comentamos sobre o Brasil ter sido elencado como prioridade, é que temos eventos importantes, como você citou - tem os Jogos Militares, com vários atletas de todo o mundo, que acontece em 2011 no Rio de Janeiro, Copa do Mundo em 2014, e agora as Olimpíadas de 2016. Isso nos dá uma oportunidade muito grande, porque a gente trabalha com infra-estrutura de comunicação. Temos vários desafios como país, mas é uma grande oportunidade para a Cisco no desenvolvimento de capilaridade de banda larga, equipamentos, novas estruturas de comunicação, e toda a parte que precisa de infra-estrutura no país, que também vai ser uma nova oportunidade de negócios para a Cisco. Tudo isso é válido especialmente para a parte de transportes, hotelaria, enfim, serviços agregados que o país vai precisar ofertar para esses eventos esportivos. E a Cisco está preparada para ajudar a construir essa rede.


IP – Corre-se o risco de os investimentos se concentrarem nos estados do Rio de Janeiro e São Paulo?


Barcellos - Há várias atividades ocorrendo simultâneas. Além desses eventos esportivos, há uma necessidade cada vez mais premente em relação ao aumento da capacidade de banda larga e interconexão das escolas no país. Talvez haja uma concentração no Rio e São Paulo nessa área de esportes, mas o Brasil tem muita coisa a crescer em termos de infra-estrutura. Temos bons desafios e boas oportunidades pela frente.


Fonte:

http://www.revistaip.com.br/article.php?a=386

19 de dez. de 2009

Planet Lab na RNP

O Planet Lab é um laboratório virtual para experimento de novas tecnologias e protocolos de rede. Foi inaugurado em 2002, tendo a Intel, a HP e o Google como parceiros, e hoje possui mais de 900 nós abrigados em 470 endereços, proporcionando o desenvolvimento de projetos em redes que dificilmente poderiam ser montadas em instituições comuns. Com isso, constitui um grande veículo de distribuição de aplicações e permite que organizações entrem em contato com o ambiente de outros órgãos e pesquisas do mundo todo.

A Rede Nacional de Ensino e Pesquisa (RNP) entrou como parceira do projeto em 2004, com a implantação de três nós nos pontos de presença (PoPs) da rede Ipê no Rio de Janeiro, no Ceará e no Rio Grande do Sul. Os seis equipamentos instalados nos PoPs (dois para cada um) foram cedidos pela Intel.

A RNP possui um conjunto de slices no Planet Lab, para serem distribuídas entre os seus usuários. A partir de um slice, tem-se acesso a todos os nós que compõem a rede do Planet Lab.

Cada slice tem dois meses de duração, renováveis. Nos slices, cada usuário coloca suas aplicações e monta sua própria rede, conectando-se a outros nós espalhados pelo mundo. As instituições usuárias da rede acadêmica brasileira podem ter acesso a esse ambiente através da RNP, submetendo uma proposta de projeto.

Como os recursos são limitados, os pedidos serão avaliados pelo Laboratório Nacional de Redes de Computadores (Larc). Uma vez aprovados, será gerado um slice para hospedar o projeto. Poderão ser criadas, no mesmo slice, quantas contas forem necessárias, a fim de que outros participantes possam também trabalhar neste ambiente.

Antes de submeter seu projeto, conheça melhor o Planet Lab:

18 de dez. de 2009

Tire dúvidas técnicas com o ChatZilla !!!


Quem me deu esta dica foi o Amaro, aluno do 5o. semestre de Redes noturno, na UNICID.

Buscar ajuda para resolver problemas tem sido muito frequente na Rede Mundial e os Chats Técnicos tem papel fundamental para isto. O ChatZilla é um complemento do browser FireFox que permite que vc se conecte a inúmeras redes de Chat e procure grupos de discussão, ou channels, sobre qualquer tema.

Passo 1: No FireFox, vá em Ferramentas - Suplementos e instale o ChatZilla

Passo 2: Feche o browser e abra-o novamente

Passo 3: Vá em Ferramentas e escolha a opção ChatZilla

Passo 4: Em #Client, são exibidas diversas Networks de chat onde vc pode se conectar, eu escolhi DALNET

Passo 5: Dentro da rede escolhida, procure pelos channels de seu interesse, por exemplo: /list *cisco* me trouxe dois channels sobre a empresa

Passo 6: Dentro do channel, vc pode acessar os participantes digitando : e em seguida o nickname ou com botão direito sobre o apelido, opção User Commands.

Para compartilhar código, é util instalar o freeware PasteBin, o qual deixará disponivel a configuração que vc inserir dentro dele para os demais membros do channel. Baixe o PasteBin em:


Vc pode configurar seus channels favoritos para abrirem assim que vc acessar o ChatZilla. Há muitos channels com especialistas em Cisco, Microsoft, Linux e outros. É só tirar algum tempo para "garimpar" channels que satisfaçam suas necessidades.

O único inconveniente é que terás que teclar no Chat in English, ótima oportunidade para treinar suas habilidades nesta língua !

Have Fun !!!

17 de dez. de 2009


A Fundação Getúlio Vargas está oferecendo diversos cursos a distância, incluindo conteúdo na área de gestão e tecnologia da informação.

O conteúdo para a área de tecnologia abrange a gestão da TI, baseada nas estratégias e conceitos, além de técnicas de gerenciamento de projetos. Em metodologia, existe um tópico específico para ciência e tecnologia.

Entre os cursos oferecidos em outras áreas está a Estratégia para Empresas, Gestão Ambiental e Desenvolvimento Sustentável, Gestão de Custo e Recursos Humanos, por exemplo.
Os alunos deverão ter o Adobe Flash Player 9 instalado em suas máquinas para assistir as aulas, caso contrário não conseguirão visualizar o material disponível.
Para acessar o conteúdo, é necessário clicar na opção de curso desejado e efetuar um cadastro. Caso você não tenha uma conta, será necessário preencher um formulário com dados pessoais, além de responder a uma pesquisa sobre suas expectativas em relação ao curso.

Os alunos cadastrados terão direito a imprimir um certificado de conclusão ao final do curso.

http://www5.fgv.br/fgvonline/CursosGratuitos.aspx
Bom, eu já me inscrevi no meu... Aproveitem!
Grande abraço,
Sandro Leite.

Cisco Product Quick Reference Guide

Já está disponivel uma nova versão do Cisco Product Quick Reference Guide, (Setembro/2009) um Guia de Produtos, Tecnologias e Serviços Cisco que qualquer interessado pode baixar gratuitamente fazendo um cadastro em:


É rápido e fácil, o Guia dá uma visão geral em todas as familias e tecnologias Cisco.

Vale a pena conferir !!!

Para baixa-lo sem fazer o cadastro, acesse:

16 de dez. de 2009

Crie ACLs na velocidade da Luz !!!

Criar Listas de Acesso geralmente é um trabalho longo e cansativo. Definir qual a origem o destino, o range de portas...Mas agora, como diria um famoso comercial de TV: Seus problemas terminaram !!! rs rs rs

Com o CISCO IOS ACL CALCULATOR, as sentenças de permit e deny são geradas num piscar de olhos. Bem, na verdade, num clique de mouse.

Vamos lá: suponha que eu queira permitir as seguintes origens:

10.0.0.0/8
172.16.0.0-172.31.255.255
192.168.100.0/24

E os endereços de destino sejam:

200.10.10.1,200.10.10.5,200.10.10.10 (tráfego TCP)

E, por fim o intervalo de portas de destino sejam de 20 a 25

Vamos jogar tudo em nosso ACL Maker e ver no que dá:


Ao clicar no botão Send It, temos:
permit tcp 10.0.0.0 0.255.255.255 host 200.10.10.1 range 20 25
permit tcp 10.0.0.0 0.255.255.255 host 200.10.10.5 range 20 25
permit tcp 10.0.0.0 0.255.255.255 host 200.10.10.10 range 20 25
permit tcp 172.16.0.0 0.15.255.255 host 200.10.10.1 range 20 25
permit tcp 172.16.0.0 0.15.255.255 host 200.10.10.5 range 20 25
permit tcp 172.16.0.0 0.15.255.255 host 200.10.10.10 range 20 25
permit tcp 192.168.100.0 0.0.0.255 host 200.10.10.1 range 20 25
permit tcp 192.168.100.0 0.0.0.255 host 200.10.10.5 range 20 25
permit tcp 192.168.100.0 0.0.0.255 host 200.10.10.10 range 20 25
Agora, seria só inserir o numero da ACL em cada sentença ou inserir tudo numa ACL nomeada.

Diga adeus ao trabalho manual e repetitivo de redigir cada linha.

Só não dá pra criar sentenças de permit e deny simultaneamente, mas já quebra o maior galho.

Querem experimentar ? Acessem:


15 de dez. de 2009

Ainda sou ... CCNP !!!



Ufa !!! Essa foi por pouco !!!

Ontem, dia 14/12/09, completaram-se exatamente 3 anos que eu havia concluido as 4 Provas do CCNP e conquistado o título (parece que foi ontem). Para renovar a Certificação, é necessário passar em qualquer Prova 642. Se vc não renova, tem que começar da estaca zero: refazer a Prova de CCNA e todas as 4 Provas do CCNP.

Como todo bom brasileiro, deixei a Prova pra última hora, felizmente, deu tudo certo, como vcs podem conferir no Report. Prestei a 642-901, considero uma Prova Dificil, cheia de pegadinhas, e resolvi colocar neste Post tudo o que mais me chamou a atenção no exame:

3 Cenários: Uma redistribuição entre IS-IS e EIGRP (que já havia caido na minha primeira Prova há 3 anos atrás). 1 Virtual-Link OSPFv3 com problemas para acertar (detalhe, para ganhar a pontuação máxima, além de configurar o enlace corretamente deve-se excluir os comandos da configuração incorreta, com "no") e um cenário EIGRP com um comando EIGRP STUB incorreto que impedia a propagação de uma rede local para um vizinho, além do uso do comando ip summary-address eigrp na serial deste vizinho para reduzir a tabela de rotas.

Auto-configuração de um Switch com o uso do comando IP Helper Address. Acesso a Servidores DHCP, DNS e TFTP em outro segmento de rede

DHCP com múltiplos escopos com sub-redes sobrepostas configuradas. ex: 10.0.0.0 255.255.0.0 e 10.0.1.0 255.255.255.0. Gateway e DNS-Server diferentes em cada escopo

Grupos de questões em Flash: 3 questões baseadas na saida um comando show ip eigrp topology all-links que pedem para analisar quais rotas são inseridas na tabela de roteamento, quais estão diferentamente conectadas e quais tem feasible sucessor.

Questões baseadas em Plano de ação: 2 questões tinham um roteiro pré-definido para a implantação de uma rede OSPF prevendo a configuração, teste do link, autenticação e etc. O objetivo era verificar se havia algum outro passo importante a ser colocado no Plano (estilo CCDA, nunca havia visto questões assim no BSCI).

Questão com tunel GRE e Criptografia --> Achei meio deslocado do conteúdo do exame, já que estes assuntos são abordados no ISCW.

Route-maps filtrando tráfego na redistribuição entre um protocolo e outro e na atribuição de diferentes valores de local preference e MED (BGP).

Uso do comando variance para inseir na tabela de rotas múltiplos caminhos com custo desigual.

Tipos de rotas OSPF permitidas e não permitidas em redes stub, NSSA, totally stub, totally NSSA.

Bom, do que eu me lembro, é isso. Aconselho aos Instrutores de plantão que vão prestar a 642-901 até março que estudem e se preparem bem !

No que eu puder ajudar, estou a disposição !!!

Grande abraço !!!

14 de dez. de 2009

Eu recomendo: NetIP-SEC - Onde Redes e Segurança caminham juntos !!!

PessoALL,

Estava procurando algo sobre túneis GRE e me deparei com este Blog com farto material sobre redes. Acho que nada melhor do que o próprio Blog se apresentar. Segue abaixo o texto do link "Sobre" o NetIP-SEC:

" O NetIP-SEC é um Blog voltado à divulgação, discussão (via Forum), ensino e compartilhamento de informações relacionadas aos mais diversos tipos de certificações na área de tecnologia de redes, segurança da informação, eventos, dicas técnicas etc.
As publicações do NetIP-SEC ocorrem geralmente a cada 2 dias para que os leitores tenham tempo de ler cada um, ou conforme a necessidade de divulgação de informações.

O Blog conta com os seguintes recursos:

HD NetIP-SEC: Procure e baixe materiais para “Self-Study”

Forum NetIP-SEC: Participe de nosso Forum abrindo discussões que sejam interesse de todos.

Video-Aulas: A cada 15 dias ou conforme necessidade são postadas video-aulas explicativas sobre varios assuntos. Acesse: Video-aulas

Livros: Indicação de livros para estudo, baseando-se nos sites que possuem os melhores preços.
Enquetes: Mensalmente uma enquete é colocada no site, para saber a opinião dos leitores, dessa forma podemos ter uma base sobre que tipo de assunto abordar.

Avatar: Ao criar sua conta você pode colocar uma imagem ou criar seu avatar, basta acessar http://www.gravatar.com/."

Dica: No HD Virtual, muito material para estudo para as Certificações CCNA, CCDA, CCNP, CCIP e muitas outras.

Confira em:

http://www.netip-sec.com.br/

13 de dez. de 2009

Entropia e Cabeamento Estruturado !


A entropia (do grego εντροπία, entropía) é uma grandeza termodinâmica geralmente associada ao grau de desordem. É um eufemismo, uma forma bonita, polida de mensurar o caos, a zona em que o cabeamento estruturado da sua empresa se encontra:

É impressionante ver que grandes empresas, até mesmo multinacionais de renome, gastam milhões para criar sua infra-estrutura de rede e acabam por deixar seu cabeamento no mais completo caos.

Fazer uma simples manobra pode ser uma tarefa quase impossivel em meio a toda esta bagunça. Esta porta no Patch corresponde a que ponto mesmo ? O papel colado com durex na ponta do cabo se soltou !!!

Cinta de Velcro ? Etiquetadora ? Anilhas ? Isto não é pra cabeamento de macho. Quando muito, usar uns "enforca-gato" e pronto !!!

No exterior, uma das certificações mais valorizadas na área de TI é o RCDD, uma espécie de CCIE em Cabeamento, da BICSI (que, pelo que eu sei, abandonou suas operações no Brasil). Tinha um professor da pós que era RCDD e ele disse que teve aulas até de como guardar e transportar suas ferramentas de trabalho. Aqui, infelizmente, temos a cultura de que lançar cabos é coisa de peão e é mais fácil pagar pro "seu Zé", um eletricista aposentado, passar os cabos. Pagar mão-de-obra especializada para quê ???


Afinal de contas, até arame farpado transmite em redes Ethernet e qualquer um que decore a norma "A" e a norma "B" (ou as leve anotadas num papelzinho dentro da carteira) pode passar cabos tranquilamente. Não é mesmo ???

Falta um ponto de rede ? É só desligar um que é pouco usado. Rápido e prático, o duro é se algum dia tiver que conecta-lo de volta.

Mas felizmente, este "efeito espaguete" não esta presente em todas as Empresas. No Blog "Byte que eu Gosto" (masoquista não ???) o Post "O Estado da Arte em Cabeamento Estruturado" mostra fotos de Infra de Redes que são um primor (bem diferente das que exibi acima !).

Confiram em:

http://blog.bytequeeugosto.com.br/o-estado-da-arte-em-cabeamento-estruturado/


Comparem as fotos e vejam a diferença !!!

12 de dez. de 2009

Encontre erros de configuração com ExamDiff

PessoALL,

O ExamDiff é um freeware que roda no Windows 95/98/Me/NT/2000/XP/2003/Vista para comparação visual de arquivos. Ele é muito rápido e simples de usar, agora é possível pesquisar as diferenças entre dois grandes arquivos de configuração e altera-los num piscar de olhos:

Primeiro, baixe a ferramenta em:


http://www.prestosoft.com/edp_examdiff.asp#download


Em seguida,selecione os dois arquivos de configuração a serem comparados:

Agora, é só clicar em OK e verificar as diferenças entre os dois arquivos:


Na tela acima, vemos que o hostname e o ip address de algumas interfaces estão diferentes !!!


Já na tela abaixo,vemos que está faltando os comandos version 2 e no auto-summary no config2 (o que podem ser 2 erros detectados !!!):

Bom, espero que tenham gostado !!! Comentem aqui se acharam a ferramenta útil ou se acharam alguma outra opção interessante nela.

Obs: Para aqueles que preferem o Sistema Operacional do Pinguim, rodei o ExamDiff com o Wine em uma Distro Fedora !!!
Abs,

10 de dez. de 2009

Cisco completa 25 anos !!!

Como bem lembrou André Ortega, do Blog BrainWork, a Cisco completou hoje (10/12/2009) 25 anos de existência.

Confira o post na integra e Clique na imagem da "Cisco Corporate Time-line" para ver a linha do tempo com os fatos mais marcantes da história da Cisco Systems.

Confira em:


http://www.brainwork.com.br/blog/2009/12/10/parabns-cisco/

Testes de Performance de Rede usando TTCP

Projetar, construir e resolver problemas de redes é muitas vezes o tema das nossas aulas de internetworking, mas a análise de rede e performance interessa a todos os administradores de rede. Precisamos de ferramentas que nos permitam gerar tráfego de rede e analisar o desempenho de transferência de arquivos. Vamos falar sobre uma destas ferramentas presentes no IOS da Cisco.

A Cisco tem implementado uma cópia do TTCP no IOS 11.2 e posterior, atualmente como um comando não documentado. Uma vez que é irregular, você não vai encontrá-lo usando a função de ajuda interativa (?). Em vez disso, basta digitar o comando ttcp, em seguida, aperte ENTER. Se o modelo de roteador que você está usando suporta TTCP, ele irá responder com uma série de perguntas para os parâmetros TTCP. Porque TTCP pode criar enormes quantidades de tráfego de rede, é um comando privilegiado.

A versão do Cisco TTCP envia e recebe dados TCP (a versão do Unix também não suporta UDP.) Você tem controle sobre o número de pacotes enviados, o tamanho do pacote, o número da porta em que o transmissor e o receptor estão, e vários outros parâmetros.
E o destino não tem que ser um outro roteador. Para testar a taxa de transferência para um servidor remoto, inicie apenas um transmissor e especifique o descarte (porta TCP 9) no servidor remoto.

TTCP emite relatórios da quantidade de dados transferidos, o tempo de transferência, e o throughput aproximados. Ao comparar o rendimento real com a largura de banda teórica entre o transmissor e o receptor, você pode dizer se a rede está funcionando como esperado. Variações na taxa de transferência pode indicar uma quantidade significativa de tráfego de outros equipamentos de rede sobrecarregados, ou talvez os erros de comunicação que estão fazendo pacotes serem danificados ou descartados. Ao realizar testes em diferentes segmentos do caminho, você pode determinar quais links ou dispositivos deverão ser analisados com mais detalhes.
Usando TTCP

O TCP é um protocolo de orientado a conexão, por isso temos que ter um receptor antes de um transmissor pode se conectar. Assim, o primeiro passo é iniciar um receptor TTCP (ou use o descarte de porta em um sistema de destino.) Em seguida, o transmissor é iniciado. TTCP usa o tempo e a quantidade de dados transferidos, para calcular a taxa de transferência entre origem e destino.Agora que sabemos um pouco sobre TTCP, vamos dar uma olhada em como configurar e executar um teste de rede.
Neste exemplo, vamos testar a taxa de transferência de um link ponto-a-ponto de 56Kbps entre dois roteadores.Primeiramente, devemos iniciar o receptor. No roteador da Cisco, vamos introduzir os seguintes comandos. Os valores padrão estão entre parênteses, por isso apenas pressionando ENTER para aceitar os valores padrão. No início da sessão abaixo, estamos modificando o tamanho da janela do receptor TCP para imitar a utilizada por estações de trabalho Sun. A última linha da saída de inicialização mostra os parâmetros que o TTCP está usando e que está pronto para receber.
Seattle#ttcp
transmit or receive [receive]:
buflen [8192]:
bufalign [16384]:
bufoffset [0]:
port [5001]:
sinkmode [y]:
rcvwndsize [2144]: 4096
show tcp information at end [n]:
ttcp-r: buflen=8192, nbuf=2048, align=16384/0, port=5001, rcvwndsize=4096 tcp

Então, nós iniciamos o transmissor:

Tokyo#ttcp
transmit or receive [receive]: trans
Target IP address: 137.112.32.66
buflen [8192]:
nbuf [2048]: 50
bufalign [16384]:
bufoffset [0]:
port [5001]:
sinkmode [y]:
buffering on writes [y]:
show tcp information at end [n]:
ttcp-t: buflen=8192, nbuf=50, align=16384/0, port=5001 tcp -> 137.112.32.66

Quando a conexão é feita, o receptor envia uma linha de status mostrando que aceitou a conexão. Após a conclusão da transferência, as estatísticas estão na saída do receptor, mostrando a quantidade de dados transferidos, o tempo de transferência, a taxa calculada, e o número de chamadas I/O para ler os dados:

ttcp-r: accept from 137.112.32.65 (mss 1460, sndwnd 2144, rcvwnd 4096)
ttcp-r: 409600 bytes in 61064 ms (61.064 real seconds) (~5 kB/sec) +++
ttcp-r: 301 I/O calls
ttcp-r: 0 sleeps (0 ms total) (0 ms average)
Seattle#

De forma similar, O transmissor envia uma linha de status quando ele se conecta ao receptor. Quando a transferência estiver completa, as estatísticas são mostradas no transmissor:

ttcp-t: connect (mss 1460, sndwnd 4096, rcvwnd 2144)
ttcp-t: 409600 bytes in 60504 ms (60.504 real seconds) (~5 kB/sec) +++
ttcp-t: 50 I/O calls
ttcp-t: 0 sleeps (0 ms total) (0 ms average)
Tokyo#

Análise de Throughput

TTCP calcula o rendimento aproximado em kilobytes por segundo. Neste caso, a nossa taxa de transferência é 5KBps, que significa 40Kbps (5KBps * 8 bits / Byte = 40Kbps.) Estamos usando um link ponto-a-ponto de 56Kbps. Este rendimento é razoável? Usando as estatísticas recebidas, vamos analisar o link. O tamanho do buffer TCP do transmissor é 8192 bytes.
Quando o TCP manipula o tamanho do pacote IP, este será dividido em cinco pacotes de 1500 bytes IP, além de um pacote de 693 bytes (para um total de 8192 bytes.) Para enviar todos os 50 buffers, o roteador terá que enviar 300 pacotes IP ( observe a chamada 301 de I/O nas estatísticas do receptor – o último pedido para transferência de dados.) Realizando uma análise de aproximação, a estimativa é que cada pacote terá um header de 40 bytes TCP/IP. Usamos o seguinte cálculo para determinar o rendimento aproximado:
50 buffers * 8192 bytes cada = 409.600 bytes
301 pacotes IP * 40 bytes de header = 12.040 bytes
Total de dados transmitidos = 421.640 bytes
421.640 bytes * 8 bits / byte = 3.373.120 bits
3.373.120 bits / 61,064 segundo = 55.239 bits / segundo
Isto está muito perto de 56Kbps, indicando que nosso link não está sobrecarregado. Se tivéssemos incluído o overhead HDLC, e medido com mais precisão o número de bytes de cabeçalhos TCP e IP, poderíamos determinar a sobrecarga do protocolo exata e, portanto, exatamente a taxa de dados teórica. Mas para a maioria das análises de rede, este cálculo é bom o suficiente. IMPORTANTE: O s testes não foram feitos num ambiente de produção, onde inúmeras variáveis poderiam influenciar nos resultados

Referência

http://www.netcordia.com/tnm/tnm31/ttcp.htm

8 de dez. de 2009

Por dentro das coisas - Firewalls

Oi, povo!

Continuando a Saga "Por dentro das coisas", aqui está o vídeo de Por dentro do Firewall.

Desta vez abri um ASA 5510 pra mostrar o que tem dentro. Prestem atenção ao módulo que está neste equipamento. É um módulo de antivírus da TREND.

Aqui está o vídeo e, com ele, encerro a primeira temporada do "Por dentro das Coisas".



Beijocas!

7 de dez. de 2009

Laboratório Cisco ON-LINE GRATUITO !!!

Após um logo e tenebroso inverno, nosso amigo Mauricio Bento postou uma descoberta simplesmente FANTÁSTICA !!!

Um Laboratório Cisco com acesso a equipamentos reais totalmente grátis, basta agendar um periodo que vai de 1 a 8 horas e pronto. Vc recebe as senhas para acesso telnet ou ssh via e-mail e tem o rack a sua disposição.

Eu já fiz minha reserva para esta quinta a tarde, depois comento aqui no Blog como foi a experiência.
Para saber detalhes da topologia oferecida, acesse:


http://www.bentow.com.br/2009/12/05/laboratorio-cisco-gratuito-online

Para se inscrever gratuitamente no site da Comunidade Packet Life, vá até:

http://packetlife.net/lab/schedule/


Have Fun !!!

4 de dez. de 2009

Por dentro das coisas - Roteadores

Oi, povo!

Continuando a Saga "Por dentro das coisas", aqui está o vídeo de Por dentro do Roteador.

Desta vez são dois roteadores Cisco (um 2509 e um 2811).

O vídeo foi gravado no mesmo dia que o dos switches e com o mesmo intuito... então... aqui está:



Aguardem pelo terceiro e último episódio desta temporada. ;) Beijocas!

2 de dez. de 2009

Por dentro das coisas - Switches

Oi, povo!

Atendendo ao pedido do Adilson depois do post do cadeado no Coisa de Meninos Nada, abri alguns equipamentos da Cisco pra mostrar o que eles têm por dentro.

Abri dois switches, dois roteadores e um firewall e separei tudo em três vídeos que vão virar três posts, começando por este.

Aqui podemos entrar em detalhes mais técnicos e o povo pode, inclusive, me corrigir se perceber que eu falei alguma bobagem no vídeo... afinal de contas, eu ainda tenho muito a aprender também... ;)

Junto com outros dois colegas de trabalho, abrimos os equipamentos e fomos identificando os componentes, portanto, agradeçam à Telsinc pela aventura... ;)

Enfim... sem mais delongas... aqui está o primeiro da série. Os equipamentos deste vídeo são um Catalyst 3524 e um 3750. Espero que gostem e nos vemos no próximo post.

NETFINDERS no LinkedIN

Caros amigos,

Em conjunto com o meu amigo Danilo Elvedosa, adicionamos o Netfinders no LinkIN.

www.linkedin.com

Pra quem não sabe o LinkedIN é uma página de relacionamento para profissionais. Onde você pode fazer discussões técnicas, postar vagas de emprego, conhecer pessoas do mesmo ramo, etc.

Pra quem já é membro do LinkedIN basta procurar ir em "Groups" e procurar NETFINDERS BRASIL.

abraço.

1 de dez. de 2009

Preparatório para Certificação Cisco CCNA 640-802 - Janeiro de 2010


Estão abertas as inscrições para o curso de Extensão Preparatório para a Prova de Certificação Cisco CCNA 640-802. O evento irá ocorrer na UNICID - Universidade Cidade de São Paulo, próxima a estação Carrão do Metrô.

Detalhes do Evento:

Periodo: Segundas, Quartas e Sextas, das 19:00 as 23:00 horas

Datas: 06 - 08 - 11 - 13 - 15 - 18 - 20 - 22 - 27 e 29 de janeiro de 2010.

Investimento: R$400,00

Carga Horária: 40 horas

Programa:
  • Aulas teóricas;
  • Práticas em laboratório;
  • Simulado da Prova de Certificação (ao final do curso);

IMPORTANTE: O Boleto gerado permite apenas pagamento único, os alunos interessados em usar cartão de crédito para parcelar a matrícula em até 3X devem procurar diretamente o setor financeiro da UNICID no endereço abaixo:

Rua Cesário Galeno, 448/475 - Tatuapé - São Paulo - SP - Cep 03071-000 - Call Center: 2178 1212

Para maiores informações sobre o curso e de como efetuar sua inscrição, clique aqui.

Vagas Limitadas !!! Garanta já a sua !!!

Agora sou ... JNCIA-ER !!!

Há algum tempo atrás divulguei um Link no site da Juniper para se conseguir um Voucher de 100% nos exames deste fabricante. Comecei pelo JNCIA-ER, o equivalente ao CCNA da Cisco.

Ontem, colhi o fruto deste trabalho:
Obrigado a todos os amigos que me incentivaram e especial, a minha esposa Márcia, pelo carinho e apoio !

Abs,

30 de nov. de 2009

Access-list com horário

Encontrei este Post ao verificar a quais Blogs nosso mais novo Seguidor, Helison, já acompanhava.
Muito Bom !!! Vale a pena conferir:
Pode-se configurar uma access-list com uma função de "time-range", ou seja, o horário em que a access-list será ativada. Este recurso é bastante interessante para bloquear um tipo de tráfego durante um horário. Um exemplo seria negar acesso a um FTP ou ao Windows Update durante o horário comercial, e liberando para o resto do dia. Vamos à configuração:

Criar o intervalo de tempo

conf t
time-range Manha
periodic daily 10:03 to 10:05

Neste exemplo criei um simples time-range diário chamado "Manha" que vai de 10:03 a 10:05. Poderia ser, ao invés de diário, somente em 1 dia da semana, somente entre segunda e sexta, ou somente nos sábados e domingos.

Criação da Access-list

conf t
ip access-list extended PING
deny icmp any any time-range Manha
permit ip any any

Criei uma access-list extendida, e na primeira linha eu bloqueei o tráfego ICMP. No final dessa linha, eu especifiquei o time-range criado. E no comando seguinte, "permit ip any any", eu não configurei nenhum horário, logo esta linha ficará ativa todo o tempo, como é o normal de uma access-list.

Aplicando a access-list à interface

conf t
interface Ethernet0/0
ip access-group PING in

Após a aplicação na interface, vamos ver o status atual da ACL.

Vedita#sh clock
10:02:16.367 BRT Thu Oct 15 2009

Vedita#sh access-lists
Extended IP access list PING
deny icmp any any time-range Manha (inactive)
permit ip any any (251 matches)

Repare que pelo o horário, a linha que possui o time-range está inativa. Neste momento, essa interface aceita todo o tráfego ICMP.

Vedita#sh clock
10:03:55.871 BRT Thu Oct 15 2009

Vedita#sh access-lists
Extended IP access list PING
deny icmp any any time-range Manha (active) (57 matches)
permit ip any any (315 matches)

Agora, no horário especificado, o roteador ativou a ACL (aparece marcada como ativa na saída do comando sh access-lists) e o contador da ACL mostra quantos pacotes foram negados nessa regra.

Vedita#sh clock
10:07:16.371 BRT Thu Oct 15 2009

Vedita#sh access-lists
Extended IP access list PING
deny icmp any any time-range Manha (inactive) (534 matches)
permit ip any any (1940 matches)

E, por fim, a ACL volta a ficar inativa.

Fonte:
http://viniciusramos16.blogspot.com/2009/10/access-list-com-horario.html

28 de nov. de 2009

Segurança em acesso remoto - Parte I

Vou falar hoje de um assunto de extrema importância no nosso ramo e cada vez mais comum no ambiente corporativo: ACESSO REMOTO

O mundo atual exige que o profissional das mais diversas áreas possua uma maneira de se conectar a empresa independente do local que esteja, para manter o trabalho em dia, bater metas, atender aos clientes de uma maneira mais rápida, etc.

O ACESSO REMOTO vem sendo abordado a cada dia, não como uma facilidade, mas também como uma maneira de diminuir custos, pois um dos assuntos da vez é : HOME OFFICE. E todos sabemos que, quanto mais funcionários conseguirem realizar seus trabalho da prória casa, maior é a economia com infra-estrutura de TI, com espaço físico, água, banheiros, folhas, energia elétrica, entre outros benefícios.

Mas qual é a melhor maneira de fornecer esse recurso de uma maneira eficiente e SEGURA?

Obviamente que, estou falando de acessos remotos via VPN (Virtual Private Network), onde todo a informação trafega pela internet de maneira criptografada. Entre os diversos tipos de VPN do tipo "client-to-gateway" utilizadas hoje estão: PPTP, L2TP, IPSEC e SSL.

Mas antes de escolher que tipo de VPN usar, é preciso ter uma política de acesso remoto bem definida, ou ela pode se tornar um "tiro no pé". Para isso é preciso pensar em alguns pontos, como por exemplo:

* O usuário deve conseguir acesso através de qualquer computador ou apenas estações de trabalho homologadas?
Acessar a rede da empresa utilizando um computador desconhecido pode ser muito perigoso. Imaginem alguém acessando através de uma Lan House, cujo computador pode estar cheio de programas maliciosos capturando todas as credenciais de acessos ou infectando a rede corporativa.

* Quais acessos esse usuário deve ter?
Dar acesso demais pode acabar em fuga de informação entre outros problemas.

* Auditoria
É preciso armazenar logs de todos os acessos realizados remotamente para possibilitar a realização de auditorias.

* Política de autenticação forte
Para evitar que o acesso seja utilizado por outras pessoas, é preciso pensar em um forte recurso de autenticação. Não é aconselhável usar apenas a velha fórmula: Usuário e senha.
O ideal é ter pelo menos 3 tipos de informação, sendo uma delas dinâmica, como por exemplo o token (físico ou lógico). Para que a autenticação seja consideda forte são necessárias 3 coisas: Algo que o usuário é (username), algo que o usuário sabe (senha) e algo que o usuário possua (token, smartcard, etc)


Somente após definir esses passos a empresa deve escolher a tecnologia que mais se adapta a esse perfil de acesso.

No próximo post vou fazer uma pequena comparação entre os dois métodos mais utilizados hoje em dia para esse fim: VPN IPSEC e VPN SSL.

Abraço a todos!


Backup Automático da Configuração usando o Método Kron

Todo mundo que trabalha com Linux conhece o famoso serviço Cron, que agenda tarefas periódicas para serem executadas num host.
Pois bem, a partir da versão 12.4, os IOS da Cisco disponibilizam um serviço semelhante.
Este exemplo copia a running-config para a startup-config, todo domingo as 23:00:

Siga estes Passos:

Crie uma kron policy list—Um script que define quais commandos serão execitados num determinado período

Router(config)#kron policy-list SaveConfig
Router(config-kron-policy)#cli write
Router(config-kron-policy)#exit
Router(config)#kron occurrence SaveConfigSchedule at 23:00 Sun recurring
Router(config-kron-occurrence)#policy-list SaveConfig
Router(config-kron-occurrence)#end

Vamos agora ver a tarefa agendada:

Router#sh kron schedule
Kron Occurrence Schedule SaveConfigSchedule inactive, will run again in 1 days 12:37:47 at 23:00 on Sun
o inactive—Means that kron is not running the command(s) at present.
o Active — Means that kron is running the current command(s).

Agora vamos checar o agendamento no arquivo de configuração:

Router#show running-configuration
kron occurrence SaveConfigSchedule at 23:00 Sun recurring
policy-list SaveConfig
kron policy-list SaveConfig
cli write

Mais um exemplo:

Backup da Configuração para um TFTP Server

Este exemplo salva a running-config para um servidor TFTP server (10.1.1.1) todo domingo as 23:00:

Router(config)#kron policy-list Backup
Router(config-kron-policy)#cli show run redirect tftp://10.1.1.1/test.cfg
Router(config-kron-policy)#exit
Router(config)#kron occurrence Backup at 23:00 Sun recurring
Router(config-kron-occurrence)#policy-list Backup

Importante:
Você não pode usar commandos que exigem interação por parte do usuário (digitação de nomes, endereço, connfirmação, etc) por isso, foi usado o camando write ao invés de copy running-config startup-config.

Referência:

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_tech_note09186a008020260d.shtml

26 de nov. de 2009

Salários de profissionais técnicos aumentaram até 30% este ano

Consultor da empresa de recrutamento Page Personnel afirma que mercado continua aquecido para staff, novos cargos foram criados e tendência é para contratação na forma de CLT.

* está materia foi feito o post aqui no netfinders para nosso amigo Ricardo Nilsen rs rs, vc já recebeu os seus 30% ??

http://computerworld.uol.com.br/carreira/2009/11/24/salarios-de-profissionais-tecnicos-aumentaram-ate-30-este-ano/

25 de nov. de 2009

Crie seus próprios menus nos Roteadores Cisco !





Estava pesquisando com o Thiago Correia um assunto totalmente diferente na UNICID quando nos deparamos com algo que nos chamou muito a atenção: a possibilidade de criar menus personalizados para definir um escopo limitado de comandos a um determinado usuário no IOS.
A capacidade de criar menus está presente no IOS desde a versão 10.0. Os comandos associados com a criação de menus consistem de 4 elementos básicos:

menu title --> titulo do menu que aparece no topo da tela
menu prompt --> comentários exibidos para o usuário
menu text --> texto que apresenta cada uma das opções
menu command --> comando que será executado quando uma opção é selecionada

No exemplo abaixo temos um menu simples que permite checar o status de interfaces e rodar os comandos ping e traceroute:

Obs: --> todos os comandos pertencem ao modo de configuração global:
router(config)#

menu NOC title ^ Menu for NOC users ^C
menu NOC prompt ^ Choose your selection: ^C

Depois disto, são configuradas as opções:

menu NOC text 1. Ping Menu
menu NOC text 2. Trace Menu
menu NOC text 3. Show Interface Menu
menu NOC text 4. Exit

Cada uma destas opções irá chamar um novo menu:

menu NOC command 1. menu ping
menu NOC command 2. menu trace
menu NOC command 3. menu interface
menu NOC command 4. exit

Para que os usuários sejam capazes de visualizar os dados antes que o novo menu seja desenhado na tela, acrescentamos o comando pause:

menu NOC options 1. pause
menu NOC options 2. pause
menu NOC options 3. pause

Depois, é só limpar a tela e sair do menu:

menu NOC clear-screen

Segue abaixo, o código dos demais sub-menus:

menu ping title ^ Menu for ping ^C
menu ping prompt ^ Choose Your Ping Destination: ^C
menu ping text 1. SW05
menu ping command 1. ping 192.168.80.1
menu ping options 1. pause
menu ping text 2. SW06
menu ping command 2. ping 172.20.200.5
menu ping options 2. pause
menu ping text 3. SW07
menu ping command 3. ping 192.168.80.214
menu ping options 3. pause
menu ping text 4. Back
menu ping command 4. menu-exit
menu ping clear-screen
menu trace title ^ Menu for Traceroute ^C
menu trace prompt ^ Choose Your Traceroute Destination: ^C
menu trace text 1. SW05
menu trace command 1. trace 192.168.80.1
menu trace options 1. pause
menu trace text 2. SW06
menu trace command 2. trace 172.20.200.5
menu trace options 2. pause
menu trace text 3. SW07
menu trace command 3. trace 192.168.80.214
menu trace options 3. pause
menu trace text 4. Back
menu trace command 4. menu-exit
menu trace clear-screen
menu interface title ^ Show Interface Menu ^C
menu interface prompt ^ Choose Your Interface Option: ^C
menu interface text 1. Show IP Interface Brief
menu interface command 1. sh ip int brief
menu interface options 1. pause
menu interface text 2. Show Interface Ethernet0/0
menu interface command 2. sh int ethernet0/0
menu interface options 2. pause
menu interface text 3. Show Interface Ethernet0/1
menu interface command 3. sh int ethernet0/1
menu interface options 3. pause
menu interface text 4. Back
menu interface command 4. menu-exit
menu interface clear-screen

Finalmente, é necessário criar um usuário novo que utilizará o menu qdo o mesmo fizer logon e atrela-lo ao menu usando a opção autocommand:

username NOC password myoptions
username NOC autocommand menu NOC
line console 0
login local

É possivel atrelar o autocommand com o line vty para fazer com que o menu apareça em sessões telnet. (no lugar de line console 0)

Espero que tenham gostado, agora tentem criar seus próprios menus !!!

Have Fun !!!

Fonte:

http://blogs.techrepublic.com.com/networking/?p=1271

24 de nov. de 2009

Novas Certificações Cisco em Telepresença





• A Cisco está lançando duas novas especializações que se concentram nas soluções Cisco de TelePresença: Cisco TelePresence Solutions Specialist e Cisco TelePresence Instalations Specialist.

• A Cisco TelePresence Solutions Specialist foca na formação do engenheiro de rede que pretende especializar-se no planejamento, concepção, execução e manutenção de implementações Cisco de TelePresença. A certificação CCNA é um pré-requisito.

• A Cisco TelePresence Instalations Specialist foca nas necessidades de desempenho de um técnico de campo que procura dominar a implantação física e a construção de um único Sistema de Monitação Cisco de Telepresença ( séries 500, 1000, 1100 e 1300 ). As tarefas incluem a avaliação da sala de prontidão, tuning de câmeras e microfones e instalação de telas de alta definição. Embora não haja um pré-requisito de certificação, uma compreensão básica do funcionamento de dispositivos baseados em Conectividade Internet é altamente recomendável.

Já estão disponíveis cursos para estas novas especializações mas informações sobre os exames estão programadas para serem disponibilizadas no início de 2010.

Confira em:


http://www.cisco.com/web/learning/le3/le2/le41/le79/le462/learning_certification_type_home_extra_level.html



http://www.cisco.com/web/learning/le3/le2/le41/le79/le461/learning_certification_type_home_extra_level.html



Fonte:

http://newsroom.cisco.com/dlls/2009/prod_111009b.html

23 de nov. de 2009

Infraestrutura virtual


Ola PessoALL Netfinders, vamos falar um pouco de virtualização de infraestrutra, bem os componentes chaves de um rede virtual em um VMware Infrastructure são os adaptadores e switches Ethernet virtual. Uma máquina virtual pode ser configurada com um ou mais adaptador Ethernet virtual e Switches virtuais permitem que as máquinas virtuais no mesmo host VMware ESX para se comunicar com os outros usando os mesmos protocolos que seriam utilizadas durante switches físicos, sem a necessidade de hardware adicional. Eles também suportam VLANs que são compatíveis com implementações VLAN padrão de outros fornecedores, como a Cisco.

Conectando Maquinas Virtuais na sua Rede

Tecnologia VMware permite uma ligação local para máquinas virtuais para si e para a rede corporativa externa através do switch virtual. O switch virtual emula um comutador de rede Ethernet tradicional física na medida em que ele encaminha quadros na camada de enlace de dados. VMware ESX pode conter múltiplos switches virtuais, cada uma com mais de 1.000 internos portas virtuais para o uso da máquina virtual.

O switch virtual conecta à rede da empresa por meio de adaptadores de saída Ethernet. Um máximo de oito portas Gigabit Ethernet ou dez portas 10/100 Ethernet pode ser usada pelo switch virtual para as ligações externas. O switch virtual é capaz de ligar VMNICs várias todas juntas, de um modo muito parecido com o agrupamento de NICs em um servidor tradicional, oferecendo maior disponibilidade e largura de banda para as máquinas virtuais usando o switch virtual.

Adaptadores Ethernet Virtuais.

Existem três tipos de adaptadores disponíveis para máquinas virtuais em VMware Products:

1-) vmxnet para virtualizado é um dispositivo que funciona apenas se o VMware Tools é instalado no sistema operacional. Este adaptador é otimiza os ambientes virtuais e projetado para alta performance.

2-) vlance emula a AMD Lance pcnet32 adaptador Ethernet. É compatível com a maioria dos sistemas 32-bit operacional convidado e pode ser utilizado sem o VMware Tools.

3-) e1000 emula o adaptador Ethernet Intel E1000 e é usado em ambos os 64-bit ou 32-bit máquinas virtuais.

Existem dois outros adaptadores virtuais que estão disponíveis através da tecnologia VMware.

1-) Vswif é um dispositivo semelhante ao paravirtualizado vmxnet que é usado pelo serviço de VMware ESX console.

2-) Vmknic é um dispositivo no VMkernal que é usado pela pilha TCP / IP para servir NFS e clientes iSCSI software.

Switches Virtuais

Tecnologia VMware inclui switches virtuais que você pode construir sobre a demanda de tempo e execução para fornecer funções diferentes, incluindo:

Encaminhamento de Camada 2.
VLAN tagging, descascando e filtragem.
Camada 2 de segurança, verificação e descarga de segmentação.

Esta abordagem modular reduz a complexidade e maximiza o desempenho do sistema, carrega a tecnologia de virtualização VMware apenas os componentes necessários para apoiar o físico específico e virtuais tipos de adaptador Ethernet usado na configuração. Além disso, o design modular permite VMware e desenvolvedores de terceiros a incorporar novos módulos para aprimorar o sistema no futuro. Até 248 switches virtuais podem ser criadas em cada host VMware ESX. Seguintes são características importantes de comutadores virtuais:

As portas virtuais: As portas de um switch virtual fornecem pontos de conexão lógica entre os dispositivos virtuais e entre os dispositivos físicos e virtuais. Cada switch virtual pode ter até 1.016 portas virtuais, com um limite de 4.096 portos em todos os switches virtual em um host. As portas virtuais fornecem um canal de controle avançado para comunicação com os adaptadores Ethernet virtual que lhes são inerentes.

Portas Uplink: Uplink portos estão associados com adaptadores físicos, proporcionando uma ligação entre a rede virtual e das redes físicas. Eles se conectam ao adaptadores físicos, quando eles são inicializados por um driver de dispositivo ou quando as políticas de formação de equipes para switches virtuais são reconfiguradas. Adaptadores Ethernet Virtual conectar a portas virtuais quando você liga a máquina virtual, quando você toma uma ação para ligar o aparelho ou quando você migrar uma máquina virtual usando VMware VMotion. A atualização virtual do adaptador Ethernet para a porta do switch virtual com MAC filtragem da informação quando é inicializado ou quando ele muda.

Ports Groups: Ports Groups tornam possível especificar que uma determinada máquina virtual deve ter um determinado tipo de conectividade em cada host, e contêm informações de configuração suficiente para fornecer acesso à rede persistente e consistente para os adaptadores Ethernet virtual. Algumas das informações contidas em um grupo de porta inclui o nome switch virtual, VLANIDs e políticas para a marcação e filtragem, a política de agrupamento e modelagem de tráfego parâmetros. Trata-se de todas as informações necessárias para uma porta do switch.

Uplinks: Com a tecnologia VMware, uplinks são os adaptadores Ethernet físicos que servem como ponte entre a rede virtual e físico. As portas virtuais ligados a eles são chamados de portas uplink. Um host pode ter até uplinks a 32.

Outras coisas a considerar:

Switches virtuais não aprende a partir da rede para preencher seus quadros para a frente. Isso ajuda a minimizar os ataques de negação de serviço.

Interruptores Virtual podem fazer cópias privadas de dados do quadro usado para fazer o encaminhamento ou filtragem decisões. Isso garante que o sistema operacional do convidado não pode acessar dados sensíveis, uma vez que o quadro é passado para o switch virtual.

Tecnologia VMware garante que os quadros estão contidas na VLAN apropriada em um switch virtual
1) realizando os dados fora do quadro, uma vez que passa através do switch virtual, e
2) porque não há suporte dinâmico trunking que poderia abrir vazamentos de isolamento, fazendo os dados vulneráveis a ataques.

Switches Virtuais Vrs Switches Físicos.

Switches virtuais são semelhantes aos switches Ethernet físicos modernos de muitas maneiras. Como um interruptor físico, mantém um MAC: mesa em frente do portas e realiza pesquisa de quadro de destino e encaminhamento de quadros. Ele também suporta VLAN segmentação no nível de portas, de modo que cada porta pode ser configurada como uma porta de acesso ou do tronco, proporcionando o acesso aos VLANs únicos ou múltiplos.

No entanto, ao contrário dos interruptores física, switches virtuais não necessitam de um protocolo de árvore estendida, pois o VMware Infrastructure 3 impõe uma única camada de topologia de rede. Não há nenhuma maneira para interligar múltiplos switches virtuais. Além disso, o tráfego de rede não podem fluir diretamente de um switch virtual para outra dentro do mesmo host. Switches virtuais oferecem todas as portas que você precisa em um interruptor. Você não precisa cascatear switches virtuais ou evitar problemas nas conexões switch virtual, e porque eles não compartilham adaptadores Ethernet física, vazamentos entre switches não ocorrer. Cada switch virtual é isolada e tem a sua tabela de encaminhamento própria, assim que cada destino, o switch olha para cima pode corresponder apenas portas no mesmo switch virtual, onde o quadro se originou. Este recurso aumenta a segurança, o que torna difícil para hackers para quebrar o isolamento switch virtual.


Olha em breve eu vou ter mais coisas para contar sobre isto e principalmente sobre os equipamentos da Cisco Nexus.

Comentem....

Have Fun!

Danilo Rafael Elvedosa