25 de out. de 2015

Marcação de QoS para Aplicações no Windows


Veja como criar uma GPO para marcar aplicações com valores no campo TOS.

Para quem precisa que as aplicações que rodam numa máquina Windows já enviem pacotes com valores de QoS marcados desde a máquina que origina o tráfego, uma boa solução é criar uma Diretiva de Grupo (GPO) para definir o valor do campo ToS gerado pela aplicação.

Vamos imaginar que vc tenha um SoftPhone como o IP Communicator e queira que os pacotes gerados por esta aplicação tenham um valor 46 (EF).

Primeiro, crie a GPO: iniciar - executar: digite gpedit.msc (A tela exibida neste post irá ser aberta)

Abra - Configuração do Computador - Configurações de Software

Clique com o botão direito em QoS baseada em Politica - Escolha - Criar nova Politica. (Vá clicando no botão AVANÇAR para preencher todas as informações abaixo):

Nome da Política: QoS_para_IP_Communicator

Especificar Valor de DSCP: 46

Somente aplicativos com este nome executável: ipcomm.exe

Qualquer IP de origem
Qualquer IP de destino

Qualquer porta de origem
Qualquer porta de destino

Pronto! foi criada a diretiva.

No prompt do DOS - use o comando gpupdate /force para garantir que a GPO esteja ativa.

Use o Wireshark para verificar se os pacotes do IP COmmunicator realmente estão sendo marcados.

Happy Labbing !!!

Fonte: uma dica do Klecio, aluno do curso CCNP ROUTE

19 de out. de 2015

CCNP SWITCH AOS SÁBADOS NO FORMATO NETACAD


Já estão abertas as inscrições para a próxima turma do Curso Presencial Preparatório para a Certificação Cisco CCNP SWITCH 300-115 baseado na versão 7.1 do Curriculum NetAcad.

O curso ocorre na região central de São Paulo. São apenas 10 vagas, à um valor promocional de R$ 1.590,00

O treinamento será ministrado aos Sábados, das 09:00hs às 18:00hs, com intervalo de 1 hora para almoço e coffee-breaks. O pagamento pode ser parcelado em até 5x via Boleto Bancário.

Os participantes contarão com acesso à equipamentos reais (racks equipados com roteadores Cisco 2620 e switches Catalyst 2960 e 3560).


◦Quando: dias 31/10, 07/11, 14/11, 28/11, e 05/12, sempre das 09:00hs às 18:00hs

◦Onde: Rua Marquês de Itu, 408 – Conjunto 24 (próximo a Estação República do Metrô)

◦Quanto: R$ 1.590,00 (Podendo ser parcelado em até 5X via Boleto Bancário)

◦Carga Horária: 80 horas (40 horas presenciais + 40 horas para leitura e realização de provas e laboratórios do Ambiente Netspace)

◦Conteúdo Programático:

1. New CCNP Exam Approaches
1.1. the Planning Tasks of the CCNP Exams


2. Building a campus Network
2.1. Switch Operation
2.2. Switch Port Configuration
2.3. VLANs and Trucks
2.4. VLAN Trunking Protocol
2.5. Aggregating Switch Links
2.6. Traditional Spanning Links
2.7. Traditional Spanning Tree Protocol
2.8. Spanning-Tree Configuration
2.9. Protecting the Spanning Tree Protocol Topology


3. Advanced Spanning Tree Protocol
3.1. Multilayer Switching


4. Designing Campus Networks
4.1. Enterprise Campus Network Design
4.2. Layer 3 High Availability


5. Campus Network Services
5.1. IP Telephony
5.2. Integrating Wireless LANs


6. Securing Switched Networks
6.1. Securing Switch Access
6.2. Securing with VLANs


7. Final Exam Preparation
7.1. Final Preparation

Pré-requisitos:

- Certificação CCNA
- Formação Cisco CCNA
- Conhecimentos equivalentes a: Gerenciamento IOS Cisco, experiência em ambiente CLI Cisco
- Conhecimentos de idioma Inglês


◦Diferenciais:

Incluso no custo o acesso ao material oficial do NetAcad 7.1 - login no ambiente Netspace com direito a baixar todos os materiais oficiais.

Os interessados devem enviar e-mail solicitando instruções para matricula para:

adilson.aflorentino@eamsoft.com.br

◦Inscrições Abertas por tempo limitado: apenas 10 vagas. Garanta já a sua !!!

9 de out. de 2015

Password Recovery em Routers e Switches Cisco


"Receitas de Bolo" úteis quando for necessário quebrar a senha de equipamentos Cisco.

Para evitar dores de cabeça, segue abaixo os scripts para quebrar as senhas de roteadores e Switches Cisco:

Password Recovery - Router

Desligar e ligar o Router
Nos primeiros 60s - CTRL+BREAK
Rom Mon> confreg 0x2142
reset
[Dialog?] no
Router> ena
Router# copy star runn
conf t
Alterar as senhas - ex: enable secret cisco
copy runn star
config-register 0x2102
end
wr

Explicação: Devemos reinicializar a caixa e interromper o processo de boot nos primeiros 60 segundos de inicialização com CTRL+BREAK - isto faz com que entremos no modo usado para password recovery - ROM MON. Mudamos o registro da máquina para 0x2142 - o que fará com que a mesma não carregue a configuração existente no próximo boot.
Ao reiniciar a caixa, a mesma assume que não há configuração e pergunta se o usuário que criar uma nova a partir do modo setup (dialog) - responda "no" - Se vc fizer isso irá sobrepor e perder toda a configuração anterior
Copie a configuração da NVRAM para a RAM (copy star runn) - toda a config anterior (inclusive as senhas) serão carregadas para a memória de trabalho.
Altere as senhas e salve as configurações editadas na NVRAM (copy runn star). Não se esqueça de voltar o número de registro para o padrão - 0x2102 - se vc não fizer, na próxima vez que o roteador inicializar a config não será carregada novamente.

Password Recovery - Switch

Desligar a caixa e ligar novamente pressionando o botão MODE
Switch: flash_init
ren flash:config.text flash:config.old
boot
[dialog?]no
switch> ena
ren flash:config.old flash:config.text
copy flash:config.text system:running-config


Alterar as senhas - ex: enable secret cisco
end
wr

Explicação:
Devemos reiniciar o Switch fisicamente e manter pressionado o botão mode no painel frontal da caixa para interromper a inicialização do Sistema Operacional.
Vamos carregar um IOS básico com o mínimo de comandos para editar os arquivos do sistema (flash_init). A startup-config do Switch fica armazenada num arquivo chamado config.text - altere o nome deste arquivo para que ele não seja mais lido no próximo boot e reinicialize a caixa.
Assim como no password recovery do router, ao reiniciar a caixa, a mesma assume que não há configuração e pergunta se o usuário que criar uma nova a partir do modo setup (dialog) - responda "no"
Renomeie o arquivo editado anteriormente para que o mesmo possa ser lido. Copie o config.text para a memória de trabalho (running-config), confirmando o nome padrão com . Altere as senhas e salve as mudanças efetuadas na configuração.

Mão a obra! Nos encontramos no próximo post.

Have Fun!!!

6 de out. de 2015

Rotas Estáticas IPv6 usando endereços Link Local


É possível criar rotas estáticas IPv6 sem ter endereços roteáveis atribuídos nas interfaces físicas.

Nas redes IPv4 podemos usar o comando Ip unnumbered em routers Cisco para usar o IP de uma outra interface (como uma loopback) em um link ponto-a-ponto, para economizar endereços.

Nas redes IPv6, podemos usar interfaces que só possuem endereços Link Local (Fe80:: - não roteáveis) e, mesmo assim, criar rotas estáticas para alcançar outras redes, utilizando tais interfaces como gateway.

Primeiramente, vamos inserir a configuração básica nos routers Internet e Borda:

ena
conf t
hostname INTERNET
ipv6 unicast-routing
int f0/0
ipv6 enable
no shut
int lo1
ipv6 address 2001:db9:100:1::1/128
end
wr

ena
conf t
hostname BORDA
ipv6 unicast-routing
int f0/0
ipv6 enable
no shut
int lo1
ipv6 address 2001:db8:100:1::1/128
end
wr

O comando IPv6 enable faz com que a Interface, apesar de não ter um IPv6 roteado, gere um endereço Link Local a partir de seu MAC-address.

Agora precisamos identificar que endereço Link-Local foi gerado em cada router. Use os comandos abaixo:

INTERNET#show ipv6 int f0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::C801:1FFF:FEA8:0
No Virtual link-local address(es):
No global unicast address is configured
Joined group address(es):
FF02::1
FF02::2
FF02::1:FFA8:0
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.

BORDA#show ipv6 interface f0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::C802:17FF:FEAC:0
No Virtual link-local address(es):
No global unicast address is configured
Joined group address(es):
FF02::1
FF02::2
FF02::1:FFAC:0
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.


Pois bem, para criar as rotas estáticas, devemos informar tanto a interface de saída quanto o endereço link local do vizinho que queremos alcançar.

Crie uma rota estática no router Internet para que ele alcance a Loopback do roteador borda:

INTERNET(config)#
ipv6 route 2001:DB8:100:1::1/128 FastEthernet0/0 FE80::C802:17FF:FEAC:0

Crie uma rota padrão no router Borda para que ele encaminhe todos os pacotes roteados para o router Internet:

BORDA(config)#
ipv6 route ::/0 FastEthernet0/0 FE80::C801:1FFF:FEA8:0


Pronto! Faça os testes de ping e verifique se os roteadores conseguem alcançar as loopbacks dos vizinhos:

BORDA#ping 2001:db9:100:1::1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:DB9:100:1::1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/33/80 ms

INTERNET#ping 2001:db8:100:1::1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:DB8:100:1::1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/33/80 ms

Have Fun!!!





3 de out. de 2015

Como limitar o envio de mensagens de Log em Routers Cisco


O comando logging rate-limit impede que seu Servidor Syslog ou a console de seu Router travem durante ataques de DOS/DDOS.

Debaixo de um ataque de negação de serviço, um router pode gerar tantas mensagens de log que poderiam sobrecarregar um Syslog Server que estiver sendo usado para armazenar estas mensagens.

Para limitar as mensagens enviadas para o Syslog server, use:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#logging host 172.25.1.1
Router(config)#logging rate-limit 30 except warnings
Router(config)#end
Router#

Nos comandos acima, são enviadas no máximo 30 pacotes de Syslog por segundo ao Servidor especificado. As mensagens do tipo Warning são uma exceção a regra e, portanto, não serão limitadas pela configuração acima.

Vale lembrar que a console do próprio Router é a saida padrão para as mensagens de log e que, a cada mensagem exibida na tela, o processador da caixa faz uma interrupção para processar a exibição.

Para limitar o número de pacotes contendo mensagens Syslog enviadas para a porta de console, utilize:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#logging rate-limit console 25 except warnings
Router(config)#end
Router#

Fonte: https://www.safaribooksonline.com/library/view/cisco-ios-cookbook/0596527225/ch18s15.html

Have Fun!

LinkWithin

Related Posts with Thumbnails