Interface Bonding 802.3ad (LACP) Entre Mikrotik e Cisco.

A ligação (também chamada de entroncamento de porta ou agregação de link) pode ser configurada facilmente nos dispositivos baseados no RouterOS.

Tendo 2 NICs (ether1 e ether2) em cada roteador (Roteador1 e Roteador2), é possível obter a taxa máxima de dados entre 2 roteadores, agregando a largura de banda da porta.

Para adicionar uma interface de ligação no roteador1 e no roteador2:

/interface bonding add slaves=ether1,ether2

(a interface de ligação precisa de alguns segundos para obter conectividade com seus pares)

Monitoramento de link:

Atualmente, a ligação no RouterOS suporta dois esquemas para monitorar um estado de link de dispositivos slave: monitoramento MII e ARP. Não é possível usar os dois métodos ao mesmo tempo devido a restrições no driver de ligação.

Monitoramento ARP:

O monitoramento ARP envia consultas ARP e usa a resposta como uma indicação de que o link está operacional. Isso também garante que o tráfego está realmente fluindo pelos links. Se os modos balance-rr e balance-xor estiverem definidos, o switch deverá ser configurado para distribuir uniformemente pacotes por todos os links. Caso contrário, todas as respostas dos destinos do ARP serão recebidas no mesmo link, o que pode causar a falha de outros links. O monitoramento do ARP é ativado pela configuração de três propriedades, monitoramento de link, arp-ip-destinos e arp-interval. O significado de cada opção é descrito mais adiante neste artigo. É possível especificar vários destinos de ARP que podem ser úteis nas configurações de alta disponibilidade. Se apenas um alvo estiver definido, o próprio alvo poderá cair. Ter metas adicionais aumenta a confiabilidade do monitoramento ARP.

Monitoramento MII:

O monitoramento MII monitora apenas o estado da interface local. No RouterOS, é possível configurar o monitoramento MII de duas maneiras:

MII Tipo 1: o driver de dispositivo determina se o link está ativo ou inativo. Se o driver do dispositivo não suportar esta opção, o link aparecerá como sempre ativo.

MII Tipo 2: seqüências de chamada obsoletas no kernel são usadas para determinar se o link está ativo. Este método é menos eficiente, mas pode ser usado em todos os dispositivos. Este modo deve ser definido apenas se o MII tipo 1 não for suportado.

A principal desvantagem é que o monitoramento MII não pode dizer se o link realmente pode passar os pacotes ou se o link foi detectado como ativo.

O monitoramento MII está configurado, definindo o modo de monitoramento de link e o intervalo mii desejado.

Exemplo de configuração: 802.3ad (LACP) com conexão Cisco Catalyst GigabitEthernet.

/inteface bonding add slaves=ether1,ether2 \

   mode=802.3ad lacp-rate=30secs \

   link-monitoring=mii-type1 \

   transmit-hash-policy=layer-2-and-3

Outra configuração do equipamento (assumindo que o switch de agregação é um dispositivo Cisco, utilizável no ambiente EtherChannel / L3):

!

interface range GigabitEthernet 0/1-2

   channel-protocol lacp

   channel-group 1 mode active

!

interface PortChannel 1

   no switchport

   ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX

!

Ou para o ambiente EtherChannel / L2:

!

interface range GigabitEthernet 0/1-2

   channel-protocol lacp

   channel-group 1 mode active

!

interface PortChannel 1

   switchport

   switchport mode access

   swichport access vlan XX

!

Ou para o ambiente EtherChannel - Trunk/ L2:

!

interface range GigabitEthernet 0/1-2

    * switchport trunk encapsulation dot1q

    switchport mode trunk

    channel-protocol lacp

    channel-group 1 mode active

!

interface PortChannel 1

   switchport

   * switchport trunk encapsulation dot1q

   switchport mode trunk

!

* Utilizado em alguns ambientes virtualizados com algumas imagens de switch Cisco de L2 e L3 e também em algum modelos IOS Cisco que não vem com o encapsulamento dot1q (IEEE 802.1Q)  habilitado default.

Principais tipos de bonding:

1. Balance-RR (Round Robin) – Forma genérica para dual LAN enviando pacotes de forma sequencial pelas placas, provendo bom balanço entre “load balancing” e tolerância à falhas.

2. Active Backup (failover) – Usa apenas uma das placas de rede durante todo o tempo e passa a usar a segunda em caso de falha da primeira (apenas tolerância a falhas).

3. Balance XOR – Ao longo do tempo mapeia algumas estações destino para placas específica fazendo a divisão de carga e da banda entre os acessos.

4. Broadcast – Envia o mesmo conjunto de pacotes pelas duas placas, serve para prover tolerância a falhas.

5. IEE 802.3ad Dynamic Link Agregation – Usa um algoritmo complexo para agregar a largura de banda usando a especificação 802.3ad. Exige suporte explícito do SWITCH para 802.3ad.

6. Balance-tlb Adaptive Transmit Load Balance – Equilibra a carga dinamicamente pela velocidade e volume de tráfego dos pacotes de SAÍDA (leituras). Não requer suporte especial do SWITCH. Atua trocando dinamicamente o endereço MAC no caso da placa destino não ser capaz de atender a solicitação provendo agregação e tolerância a falhas.

7. Balance-alb Adaptive Load Balance – similar ao Balance-tlb, mas também consegue redistribuir pacotes de ENTRADA (gravações) provendo agregação e tolerância a falhas.

Equivalência de comandos CISCO – Juniper

Descrição                                                     Cisco IOS                                                  Juniper

Pingar para um destino                                             ping                                                                          ping

Traça rota para um destino                                     traceroute                                                               traceroute

Exibe data e hora                                                       show clock                                                              show system uptime

Exibe o status do chassi                                           show environment                                                 show chassis environment

Mostra o histórico de comando digitados            show history                                                           show cli history

                                                                                      show ip traffic                                                        show system statistics

                                                                                      show logging                                                           show log

                                                                                      show processes                                                      show system processes

                                                                                      show running config                                             show configuration

                                                                                      show tech-support                                                request support information

                                                                                     show users                                                              show system users

                                                                                     show version                                                          show version

                                                                                     show arp                                                                 show arp

                                                                                     show interface                                                      show interfaces

                                                                                                                                                                      show interfaces detail

                                                                                                                                                                      show interfaces extensive

                                                                                     show ip interface brief                                        show interfaces terse

                                                                                     show ip route                                                         show route

                                                                                     show ip route summary                                      show route summary

                                                                                     show route-map                                                   show policy

                                                                                     show tcp                                                                show system connections

                                                                                     clear counters                                                      clear interface statistics

                                                                                     clear arp-cache                                                    clear arp

                                                                                     clear line                                                               clear ip route

Comandos para BGP

Descrição                                                  Cisco IOS                                                Juniper

                                                                                    show ip bgp                                                          show route protocol bgp

                                                                                    show ip bgp community                                     show route community

                                                                                    show ip bgp dampened paths                           show route damping decayed

                                                                                    show ip bgp neighbors                                        show bgp neighbor  

                                                                 show ip bgp neighbors address advertised-routes          show route advertising-protocol bgp address

                                                                 show ip bgp neighbors address received-routes              show route receive-protocol bgp address

                                                                                  show ip bgp peer-group                                       show bgp group

                                                                                  show ip bgp regexp                                              show route aspath-regex

                                                                                  show ip bgp summary                                         show bgp summary

                                                                                 clear ip bgp                                                             clear bgp neighbor

                                                                                 clear ip bgp dampening                                        clear bgp damping

Comandos para OSPF

Descrição                                                Cisco IOS                                                  Juniper

                                                                                  show ip ospf database                                          show ospf database

                                                                                 show ip ospf interface                                          show ospf interface

                                                                                 show ip ospf neighbor                                           show ospf neighbor

Tutorial - Trunk no Switch Cisco

Após um login bem-sucedido, a linha de comando do console será exibida. 

Switch>

Use o comando enable para entrar no modo de privilégio. 

Switch> enable

Use o comando configure terminal para entrar no modo de configuração. 

Switch# configure terminal

Crie uma nova vlan, selecione um número de identificação e adicione uma breve descrição.  

Switch(config)# vlan 100

Switch(config-vlan)# name Data Network

Switch(config-vlan)# exit

Switch(config)# vlan 200

Switch(config-vlan)# name Voice Network

Switch(config-vlan)# exit

Acesse o modo de configuração da interface.

Defina a porta do switch como um trunk.

Adicione a lista de Vlans autorizados para usar este trunk.

Switch(config)# interface gigabitethernet0/40

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk native vlan 1

Switch(config-if)# switchport trunk allowed vlan add 1,100,200

Switch(config-if)# exit

Switch(config)# exit

Em nosso exemplo, a porta Switch 40 foi configurada como um trunk.

Os seguintes Vlans foram autorizados a usar esta porta como um trunk: 1, 100 e 200.

Vlan 1 é a VLAN nativa padrão dos Switches Cisco.

Não se esqueça de salvar sua configuração de trunk do switch

Switch# copy running-config startup-config

Você criou com sucesso uma nova VLAN.

Você associou com êxito uma porta do Switch a uma VLAN específica.

Comandos mais utilizados nos equipamentos de L2 e L3 da Cisco e suas aplicações.

Atribuir um nome ao equipamento.

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#hostname R01 - Comando utilizado para atribuir um nome ao equipamento nesse caso será R01

Senha de acesso para o modo privilegiado.

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#enable password cisco - Comando para definir uma senha local e controlar o acesso a vários níveis de privilégios.

Configurando senha criptografada para o modo privilegiado.

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#enable secret cisco - Comando para criptógrafar a senha de entrada no modo privilegiado.

Configurando acesso a porta console.

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#line console 0 - Comando utilizado entrar na linha de console utilizada para acessar fisicamente o equipamento.
Router(config-line)#password cisco - Comando para definir uma senha de acesso a entrada console.
Router(config-line)#login - Comando para ativar a verificação da senha no login.
Router(config-line)#logging synchronous - Comando utilizado para evitar mensagens na console enquanto estiver sendo digitado.

Configurando acesso via Telnet.

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#line vty 0 4 - Comando para definir acesso remoto neste caso poderá haver cinco acessos simultâneos.
Router(config-line)#password cisco - Comando para definir senha de acesso remoto.
Router(config-line)#login - Comando para ativar a verificação da senha no login.
Router(config-line)#logging synchronous - Comando utilizado para evitar mensagens na console enquanto estiver sendo digitado.

Configurando acesso via SSH.

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#hostname R01 - Comando para defina o nome do equipamento.
R01(config)#ip domain-name i3nt.com - Comando para defina um domínio.
R01(config)#crypto key generate rsa - Comando para  criar uma chave criptografada.
R01(config)#username Rafael secret cisco - Comandos para defina o usuário e a senha.
R01(config)#line vty 0 4 - Comando para definir acesso remoto neste caso poderá haver cinco acessos simultaneísmos.
R01(config-line)#transport input ssh - Comando para que o comando aceite sessões SSH.
R01(config-line)#logging synchronous - Comando utilizado para evitar mensagens na console enquanto comando estiver sendo digitado.
R01(config-line)#exit - Comando para sair do modo line.
R01(config)#ip ssh time-out 15 - Comando pra desabilita sessão caso inatividade por um determinado tempo.
R01(config)#ip authentication-retries 2 - Comando para especificar quantidade de tentativas de autenticação. 

Exibindo configurações existentes

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#show run - Comando para verificar configurações salvas no equipamento.

Salvando configurações

Router>enable - Comando utilizado para entrar em modo privilegiado.
Router#copy run start - Comando utilizado para salvar as configurações.
Router#wr - Comando utilizado para salvar as configurações.

Configurando interfaces
Configurando interfaces FastEthernet

Router>enable - Comando para entrar em modo privilegiado.
Router#config terminal - Comando para entrar no modo de configuração.
Router(config)#interface fastEthernet 0/0 – Comando para entra em uma das interfaces do equipamento.
Router(config-if)#ip address 192.168.1.1 255.255.255.0 - Comando para adicionando endereço IP e mascara a interface.
Router(config-if)#clockrate 56000 - Comando para configurar a tacha de transmissão(Comando opcional para interfaces que não sejam DCE).
Router(config-if)#no shutdown - Comando para ativar a interface.

Configurando interface WAN Serial
Interface Serial DCE

Router>enable -Comando para entrar em modo privilegiado.
Router#config terminal -Comando para entrar no modo de configuração.
Router(config)#interface Serial 0/0/0 –Comando para entrar em uma das interface Seriais.
Router(config-if)#ip address 192.168.50.5 255.255.255.0 –Comando para adicionar endereço IP e mascara a interface.
Router(config-if)#clockrate 56000 –Comando para definir tacha de transmissão (No caso da DCE é obrigatório).
Router(config-if)#no shutdown –Comando para ativar a interface.

Interface Serial DTE

Router>enable -Comando para entrar em modo privilegiado.
Router#config terminal -Comando para entrar no modo de configuração.
Router(config)#interface Serial 0/0/0 -Comando para entrar em uma das interface Seriais.
Router(config-if)#ip address 192.168.50.7 255.255.255.0 –Comando para adicionar IP e mascara a interface.
Router(config-if)#no shutdown –Comando para ativar interface.

Interface de loopback

Router>enable -Comando utilizado para entrar em modo privilegiado.
Router#config terminal -Comando utilizado para entrar no modo de configuração.
Router(config)#interface loopback 0 –Comando para configurar interface loopbak.
Router(config-if)#ip address ip-address subnet-mask -Comando para adicionar endereço IP e mascara

Determinar qual das extremidades do cabo DCE ou DTE é conectado à interface de serial

Router#show controllers serial 0/0/0

Configurando servidor DHCP

Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.240 - Comando para separando os IPs que não serão ofertados.
Router(config)#ip dhcp pool cger-pts - Comando para cria um escopo nesse caso o nome do escopo será cger-pts.
Router(dhcp-config)#network 192.168.1.0 255.255.255.0 - Comando para definir a rede que sera oferecida.
Router(config)#domain-name cger-pts.com.br - Comando para definir qual será o nome do domínio.
Router(dhcp-config)#default-router 192.168.1.1 - Comando para definir o Gateway que sera usado.
Router(dhcp-config)#dns-server 8.8.8.8 - Comando para definir qual será o DNS poderá ser configurado mais caso queira.
Router(dhcp-config)#lease 7 - Comando para definir tempo de conseção do IP este comando é opcional.
Router(dhcp-config)#end - Comando para voltar para modulo privilegiado.
Router#show ip dhcp binding - Comando para mostra os clientes que pegaram o IP.
Router#show ip dhcp pool - Comando para mostrar o pool DHCP.

Configurando uma interface do roteador como  DHCP

Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#interface f0/0 - Comando para entrar na interface.
Router(config-if)#ip address dhcp - Comando para que a interface adquira DHCP.
Router(config-if)#no shutdown - Comando para ativar a interface.

Configurando DHCP relay

Router#config terminal - Comando utilizado para entrar no modo de configuração.
Router(config)#interface f0/0 - Comando para entrar em uma interface.
Router(config)#ip address 192.168.1.1 255.255.255.0 - Comando para configurar IP na interface.
Router(config-if)#ip helper-address 192.168.2.1 - Comando para direcionar o IP do servidor DHCP que esta em outro segmento de rede.
Router(config-if)#no shutdown - Comando para ativar a interface.

Depurar DHCP

Router(config)#debug ip dhcp server events - Comando para verificar os eventos.

Histórico de comandos

Router#terminal history size 100 - Comando para alterar a quantidade de linhas de comando registradas pelo sistema durante uma sessão vai de (0-256).

ROTEAMENTO 

Comportamento de roteamento.

Router(config)# ip classless - Comando para ativar o recurso.
Router(config)#no ip classless - Comando para desativar o recurso.

Configurando rota estática.

Router(config)#ip route [IP de destino] [Mascara de destino] [IP da Interface do roteador seguinte ou IP da interface de saída] - Comando pra configurar rota estática.

Comandos para verificação de rotas.

Router#debug ip routing - Comando para exibe as transações de rota estática.
Router#show ip route - Comando para exibir a tabela de roteamento.
Router#show run - Comando para exibir as configurações existentes.
Router#ping [Rota de destino] - Comando para testa conectividade.

Eliminando rotas estáticas.

Router(config)#no ip route [IP de destino] [Mascara de destino] [IP da Interface do roteador seguinte oi IP da interface de saída] - Comando para eliminar uma rota estática.

Criando rota padrão.

Router(config)#ip route 0.0.0.0 0.0.0.0 [IP do próximo salto ou interface de saída ] - Comando para definir uma rota padrão.

Configurando protocolo RIP

Router>enable - Comando para entra no modulo de privilegiado.
Router#config terminal - Comando para entra no modulo de configuração.
Router(config)#router rip - Comando para configurar o processo de roteamento do RIP.
Router(config-router)#network [IP da rede diretamente conectada] - Comando para especificar uma lista de redes para um processo de roteamento RIP.

Impedindo atualizações desnecessárias

Router(config)#router rip - Comando para configurar o processo de roteamento do RIP.
Router(config-router)#passive-interface FastEthernet 0/0 - Comando para  impedir  o recebimento de atualizações na interface.

Desativando o protocolo RIP

Router(config)#no router RIP - Comando para desabilitar o protocolo RIP.

Comando para propagar rota padrão estática nas atualizações RIP.

Router(config-router)#default-information originate - Comando para gerar uma rota padrão para o RIP.

Comando para enviar fonte de roteamento estático para outro roteamento de origem.

Router(config-router)#redistribute static - Comando para redistribuir rotas de um domínio de roteamento para outro.

Comandos para ativar Rip versão 2

Router(config)#router rip - Comando para configurar o processo de roteamento do RIP.
Router(config-router)#version 2 - Comando para designar a versão dois do protocolo RIP.

Comandos para desativar a sumarização automática da rota.

Router(config)#router rip -Comando para configurar o processo de roteamento do RIP.
Router(config-router)#no auto-summary -Comando para desativar a sumarização de rota.

Comandos para verificação e solução alguns problemas:

Router#show ip interface -brief - Comando para exibir um breve resumo das informações e do status de um endereço IP.
Router#show ip route - Comando para exibir o estado atual da tabela de roteamento.
Router#show ip protocols - Comando para exibir os parâmetros e o estado atual do processo ativo do protocolo de roteamento.
Router#debug ip rip - Comando para exibe as transações do RIP.
Router#show ip rip database - Comando para exibe o conteúdo do banco de dados privado do RIP.

Roteamento Dinâmico EIGRP

Router(config)#router eigrp - Comando para configurar o processo de roteamento do IGRP.
Router(config-router)#network - Comando para especificar uma lista de redes para um processo de roteamento EIGRP.

Modificar a largura de banda

Router(config-if)#bandwidth [kilobits] - Comando para definir um valor de largura de banda para uma interface, use o comando na configuração da interface.

Verificação e solução de problemas:

Router#show ip eigrp neighbors - Comando para mostra os vizinhos que utiliza EIGRP.
Router#show ip protocols - Comando para exibir protocolos utilizados na camada de rede.
Router#show ip route - Comando para mostra tabela de roteamento.
Router#show interface  - Comando para exibir estatísticas completas de todas as interfaces.
Router#show ip eigrp topology - Comando para mostras as rotas  do protocolo EIGRP.

Roteamento dinâmico OSPF.

Router(config)#router ospf  - Comando para configurar o processo de roteamento do OSPF.
Router(config-router)#network [IP da rede] [Mascara coringa] area [numero da área] - Comando para configurar a rede e área do OSPF.

Recarregue o roteador.

Router#clear ip ospf process -Comando para limpar processos OSPF.

Verificação e solução de problemas.

Router#show ip protocols -Comando para exibir protocolos utilizados na camada d rede.
Router#show ip router -Comando para mostra tabela de roteamento.
Router#show ip ospf neighbor -Comando para mostra os vizinhos que utiliza OSPF.

Modificar o custo.

R1(config)#interface serial 0/0/0 – Comando para entra em uma das interfaces serias.
R1(config-if)#ip ospf cost 1562 – Comando para atribuir um custo.

Configurando prioridade OSPF

Router(config-if)#ip ospf priority [0 – 255] – Comando para configurar a prioridade  que pode ser de 0 a 255.

Configurando intervalos OSPF

Router(config-if)#ip ospf hello-intervalseconds - Comando para configurar o hello.
Router(config-if)#ip ospf dead-intervalseconds - Comando para configurar o dead.

Por Luciano Ribeiro
Bom trabalho

Configuração Básica BGP Cisco

Configuração básica de BGP com dois AS (Autonomous System).

Alguns conceitos que precisamos ter em mente:

• iBGP: BGP Interno

• eBGP: BGP Externo

• Cada AS é único. Não devem existir ASs duplicados

• Cada router só pode pertencer a 1 único AS

A topologia usada será a seguinte:

Neste cenário temos uma relação iBGP entre BORDER1 e R1, e BORDER2 e R2. Uma relação iBGP é formada quando os routers estão no mesmo AS.

Entre BORDER1 e BORDER2 temos uma relação eBGP, quando temos routers em ASs distintos.

Para ativarmos o BGP em um router, precisamos definir o AS no qual ele irá pertencer. O comando em modo de configuração global é o seguinte:

BORDER1(config)#router bgp [numeor do ASN]

Sendo assim, ativaremos o BGP em todos os routers:

BORDER1(config)#router bgp 62400
BORDER2(config)#router bgp 62500
R1(config)#router bgp 62400
R2(config)#router bgp 62500

Para formação de vizinhança, devemos configurar os vizinhos manualmente.

Em modo de configuração de roteamento, usamos a seguinte sintaxe:

BORDER1(config)#neighbor (ip-address | peer-group-name) remote-as [numero ASN]

Com a relação eBGP entre BORDER1 e BORDER2, teremos a seguinte configuração:

BORDER1(config-router)#neighbor 201.67.222.2 remote-as 62500
BORDER2(config-router)#neighbor 201.67.222.1 remote-as 62400

Com a relação iBGP entre BORDER1 e R1, e BORDER2 e R2, teremos a seguinte configuração: 

BORDER1(config-router)#neighbor 10.1.1.2 remote-as 62400
R1(config-router)#neighbor 10.1.1.1 remote-as 62400
BORDER2(config-router)#neighbor 10.1.2.2 remote-as 62500
R2(config-router)#neighbor 10.1.2.1 remote-as 62500

Nota: Usamos o mesmo AS para relações iBGP e o AS diferentes para relações eBGP.

Em seguida, indicamos a subrede que queremos anunciar: 

BORDER1(config-router)#network 10.1.1.0 mask 255.255.255.0
BORDER2(config-router)#network 10.1.2.0 mask 255.255.255.0

Terminada a configuração, temos basicamente 4 comandos de verificação para saber o status do BGP, são ele.

– BORDER1#show ip bgp
– BORDER1#show ip bgp summary
– BORDER1#show ip bgp neighbors
– BORDER1#show ip bgp rib-failure  

BORDER1#sh ip bgp neighbors
  BGP neighbor is 10.1.1.2, remote AS 62400, internal link
    BGP version 4, remote router ID 10.1.1.2
    BGP state = Established, up for 00:00:20
    Last read 00:00:20, last write 00:00:20, hold time is 180,
  keepalive interval is 60 seconds
---
  BGP neighbor is 201.67.222.2, remote AS 62500, external link
    BGP version 4, remote router ID 201.67.222.2
    BGP state = Established, up for 00:00:21
    Last read 00:00:21, last write 00:00:21, hold time is 180,
  keepalive interval is 60 seconds

Por fim, um show ip route para saber se estamos recebendo a rota na tabela de roteamento:

BORDER1#sh ip route
--omitted
Gateway of last resort is not set

   10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.1.1.0/24 is directly connected, FastEthernet0/0
L 10.1.1.1/32 is directly connected, FastEthernet0/0
B 10.1.2.0/24 [20/0] via 201.67.222.2, 00:00:10
    201.67.222.0/24 is variably subnetted, 2 subnets, 2 masks
C 201.67.222.0/30 is directly connected, Serial2/0
L 201.67.222.1/32 is directly connected, Serial2/0

Configuração do EtherChannel  - Cisco

Topologia

Objetivos

Parte 1: Configurar as Definições Básicas do Switch
Parte 2: Configurar um EtherChannel com Cisco PAgP
Parte 3: Configurar um EtherChannel 802.3ad LACP
Parte 4: Configurar um Link EtherChannel Redundante

Requisitos

Três switches acabaram de ser instalados. Há uplinks redundantes entre os switches. Geralmente, somente um desses links pode ser usado; caso contrário, pode ocorrer um loop na topologia. No entanto, usar apenas um link utilizaria apenas metade da largura de banda disponível. O EtherChannel permite que até oito links redundantes sejam agrupados em um link lógico. Neste laboratório, você configurará o Port Aggregation Protocol (PAgP), um protocolo EtherChannel da Cisco, e o Link Aggregation Control Protocol (LACP), uma versão de padrão aberto IEEE 802.3ad do EtherChannel.

Parte 1: Configurar as Definições Básicas do Switch

Etapa 1: Configurar parâmetros básicos do switch.

a. Atribuir a cada switch um hostname de acordo com o diagrama de topologia.

b. Configure todas as portas necessárias como troncos, dependendo das conexões entre os dispositivos.

Observação: se as portas estiverem configuradas com o modo dynamic auto e você não definir o modo das portas como tronco, os links não formarão troncos e permanecerão como portas de acesso. O modo padrão em um switch 2960 é dynamic auto.

Parte 2: Configurar um EtherChannel com Cisco PAgP

Observação: ao configurar EtherChannels, recomenda-se fechar as portas físicas que estão sendo agrupadas em ambos os dispositivos antes de configurá-los nos grupos de canais (channel groups). Caso contrário, o EtherChannel Misconfig Guard pode colocar essas portas no estado err-disabled. As portas e os port channels podem ser ativados novamente após o EtherChannel ser configurado.

Configuração do EtherChannel

Etapa 1: Configurar o Port Channel 1.

a. O primeiro EtherChannel criado para essa atividade agrega as portas F0/21 e F0/22 entre S1 e S3. Use o comando show interfaces trunk para assegurar que você tenha um link ativo de tronco para esses dois links.

b. Nos dois switches, adicione as portas F0/21 e F0/22 ao Port Channel 1 com o comando channel-group 1 mode desirable. A opção mode desirable permite que o switch negocie ativamente para formar um link PAgP.

c. Configure a interface lógica para se tornar um tronco, primeiro inserindo o comando interface portchannel number e, em seguida, o comando switchport mode trunk. Adicione essa configuração aos dois switches.

Etapa 2: Verifique o status do Port Channel 1.

a. Emita o comando show etherchannel summary para verificar se o EtherChannel está funcionando nos dois switches. Esse comando exibe o tipo de EtherChannel, as portas utilizadas e os estados das portas.

b. Se o EtherChannel não for ativado, feche as interfaces físicas nas duas extremidades do EtherChannel e ative-as novamente. Isso envolve o uso do comando shutdown nessas interfaces, seguido por um comando no shutdown alguns segundos depois.

Os comandos show interfaces trunk e show spanning-tree também mostram o port channel como um link lógico.

Parte 3: Configurar um EtherChannel 802.3ad LACP

Etapa 1: Configure o Port Channel 2.

a. Em 2000, o IEEE lançou a 802.3ad, que é uma versão de padrão aberto do EtherChannel. Usando os comandos anteriores, configure o link entre S1 e S2 nas portas G0/1 e G0/2 como um EtherChannel LACP. Você deve usar um número de port channel S1 diferente de 1, pois você já usou esse na etapa anterior. Para configurar um port channel como LACP, use o comando channel-group number mode active do modo configuração de interface. O modo active indica que o switch tenta negociar ativamente esse link como LACP, ao contrário do PAgP.

Etapa 2: Verifique o status do Port Channel 2.

a. Use os comandos show da Etapa 2 da Parte 1 para verificar o status do Port Channel 2. Procure o protocolo usado em cada porta.

Parte 4: Configure um Link EtherChannel Redundante

Etapa 1: Configure o Port Channel 3.

Há diversas formas de inserir o comando channel-group number mode:

S2(config)# interface range f0/23 - 24 S2(config-if-range)# channel-group 3 mode active
    Enable LACP unconditionally auto
    Enable PAgP only if a PAgP device is detected   desirable
    Enable PAgP unconditionally   on
    Enable Etherchannel only   passive
    Enable LACP only if a LACP device is detected 

Packet Tracer – Configuração do EtherChannel

a.     No switch S2, adicione as portas F0/23 e F0/24 ao Port Channel 3 com o comando channel-group 3 mode passive. A opção passive indica que você deseja que o switch utilize LACP apenas se outro dispositivo de LACP for detectado. Configure estaticamente o Port Channel 3 como uma interface de tronco.

b.     No switch S3, adicione as portas F0/23 e F0/24 ao Port Channel 3 com o comando channel-group 3

mode active. A opção active indica que você deseja que o switch utilize LCAP incondicionalmente. Configure estaticamente o Port Channel 3 como uma interface de tronco.

Etapa 2: Verifique o status do Port Channel 3.

a. Use os comandos show da Etapa 2 da Parte 1 para verificar o status do Port Channel 3. Procure o protocolo usado em cada porta.

b. O Port Channel 2 não está funcionando, pois o protocolo spanning-tree colocou algumas portas no modo de bloqueio. Infelizmente, essas portas eram portas Gigabit. Para restaurar essas portas, configure S1 para ser a primary root para a VLAN 1 ou defina a prioridade como 24576.

Distância Administrativas em Roteadores Cisco

Os roteadores Cisco suportam diversos protocolos de roteamento simultaneamente, mas como eles decidem que informação utilizar?

Que rota aprendida por que protocolo de roteamento deve entrar na tabela?

Estamos tratando aqui a fonte de roteamento ou routing source que irá popular a tabela de roteamento.

Quando um roteador aprende a informação sobre o caminho até uma rede (rota) através de mais de uma fonte de roteamento, ou seja, aprendeu rota para uma mesma rede de destino através de mais de um protocolo de roteamento, a distância administrativa (AD ou Administrative Distance) é utilizada como fator de escolha da rota que deve ser utilizada para decidir que rota deve ser adicionada à tabela de roteamento do roteador (routing table).

Nesse caso, o roteador escolhe a rota aprendida pelo protocolo de roteamento com menor distância administrativa.

Cada protocolo ou entrada de roteamento possui uma distância administrativa padrão, porém ela pode ser configurada manualmente. Veja a relação abaixo com as ADs padrões.

Interface diretamente conectada: 0
Rota estática com IP como referência: 1
Rota estática com Interface como referência: 1
EIGRP – rota sumário: 5
External Border Gateway Protocol (BGP): 20
EIGRP interno: 90
IGRP: 100
OSPF: 110
Intermediate System-to-Intermediate System (IS-IS): 115
Routing Information Protocol (RIP): 120
Exterior Gateway Protocol (EGP): 140
On Demand Routing (ODR): 160
EIGRP – rota externa: 170
BGP interno: 200
Desconhecido: 255

Para construir a tabela de roteamento, além da distância administrativa temos também o conceito da métrica das rotas que é utilizada quando um mesmo protocolo de roteamento aprende mais de uma entrada para o mesmo caminho.

Assim como o AD, a menor métrica é a que irá ser inserida na tabela de roteamento.

As distâncias administrativas são as mesmas no IPv4 e IPv6, porém alguns protocolos de roteamento podem ter o nome um pouco diferente.

Por exemplo, o OSPF no IPv4 chama-se OSPFv2 e no IPv6 OSPFv3, mas ambos têm AD 110.

Fonte: https://www.dltec.com.br

Como configurar senhas de console, telnet, SSH e enable em roteadores e switchs cisco

Nesse post vamos configurar senhas de console, telnet, SSH e enable para roteadores e switchs Cisco.
Equipamentos da Cisco permitem logins locais ou integração com servidor TACACS+ ou Radius.
No momento, vamos nos deter a realizar configurações de senhas e usuários locais.

Configurando senha para console

switch# config terminal 
switch(config)# line console 0 
switch(config-line)# password cisco 
switch(config-line)# login 

Configurando senha para TELNET

switch# config terminal 
switch(config)# line vty 0 4 
switch(config-line)# password cisco 
switch(config-line)# login 

Configurando senha criptografada para modo privilegiado (enable) 

switch# config terminal 
switch(config)# enable password cisco  

Criptografar senhas de Console e Telnet

Ao configurar as senhas elas são criadas em texto plano, ou seja, se for executado o comando # show running-config, as senhas são mostradas em texto plano, sem criptografia. Para resolver este problema de segurança executamos o comando abaixo:

switch# config terminal 
switch(config)# service password-encryption  

Habilitando acesso SSH

Para habilitar acesso via SSH, é necessário criar um usuário, gerar as chaves de criptografia, conforme o exemplo abaixo:

Router(config)# username admin privilege 15 secret SENHA 
Router(config)# ip domain-name nome.com.br 
Router(config)# aaa new model 
Router(config)# crypto key generate rsa 
Router(config)# ip ssh version 2 
Router(config)# ip ssh time-out 30 
Router(config)# ip ssh authentication retries 3 
Router(config)# line vty 0 4 
Router(config-line)# transport input SSH 
Router(config-line)# login local  

Por Luciano Ribeiro
Bom trabalho

Como configurar uma conexão à Internet BGP (tabela completa) redundante e segura com os roteadores Mikrotik.

Topologia:

Olhando pela Internet, há muitos sites especialmente no campo de código aberto, mas uma linha de guia para uma conexão de internet redundante e segura baseada em BGP (tabela completa) não é algo que você encontra em muitos sites. Então, pensei em escrever uma documentação desse tipo e espero que ajude alguns administradores de redes a configurar a conexão de internet da empresa. BGP não é tão difícil. 

Condições Gerais

Seguintes pontos são as condições gerais para este howto:

• Dois Uplinks da Internet para dois provedores diferentes, cada um conectado por meio de um link de fibra

• Um fornece o peer BGP na mesma VLAN e um peer só é alcançável através de um hop de roteamento (para mostrar a configuração diferente)

• Um provedor entrega ao cliente apenas um endereço IP de peering e os outros dois (para mostrar a configuração diferente)

• Usamos 2 roteadores BGP do nosso lado para redundância

• Ambos fornecem Tabelas Completas IPv4 e IPv6

• Nenhuma engenharia de tráfego para direcionar o tráfego para um provedor sobre o outro é feita

• Uma falha de

• Um roteador não deve mudar nada para o usuário / cliente

• Um switch pode perder um Uplink, mas não ambos, portanto, o tráfego do usuário / cliente não deve ser afetado

• Um link de fibra leva a um uplink para baixo, mas o tráfego para o usuário / clientes precisa ser afetado 

• Configuração segura

• Configurar os switches da camada 2 e o firewall redundante por trás dos roteadores não faz parte desse post.

• Usar dispositivos Mikrotik RouterOS como roteadores na parte de configuração, mas a mesma configuração também funcionaria com roteadores Cisco ou Vayatta, que também usei para conexões de Internet baseadas em BGP.

• Configuração

O desenho a seguir mostra a configuração da conexão com a Internet do BGP.

Como você vê, estou usando dois switches como conversores de mídia e distribuo as redes de trânsito do provedor para ambos os roteadores. Por que faço isso, pois existem roteadores Mikrotik com módulos SPF e SPF +? Primeiro, usando um Mikrotik em um x86, você não tem comutação (apenas bridging). Em segundo lugar, mesmo se você usar um roteador Mikrotik Hardware com suporte a comutação, um switch que é usado apenas para o material da camada 2 e não tem interface IP nas redes públicas (apenas na rede de gerenciamento) será mais estável especialmente em relação às roteadores que são usados ​​para interação ativa com outros sistemas.Nenhuma atualização por vários anos não é incomum para switches neste cenário, o que não é válido para os roteadores, especialmente se você usar alguns recursos especiais nos roteadores. Isso significa que você pode atualizar um roteador sem o link Ethernet para o provedor cair e, como o Mikrotik inicializa com menos de 30 segundos, é um impacto mínimo. O tempo de chaveamento padrão para o BGP é de 180 segundos (3 * 60 segundos), que é muito mais longo do que um boot após uma atualização de firmware. 

Configuração dos roteadores

Se não for especificado, a configuração é a mesma para ambos os roteadores e a sintaxe funciona com o RouterOS 6.10, mas isso não muda muito normalmente, pelo menos não desde a versão 4 quando comecei a usar o Mikrotiks.

Primeiro começamos com os nomes dos roteadores

BGP1:
/system identity set name=bgp1

BGP2:
/system identity set name=bgp2

E agora para o trabalho real – precisamos configurar nossas interfaces. Criamos uma interface de loopback pelo menos pelos seguintes motivos:
* Essa interface está sempre ativa, então o endereço IP está sempre ativo – bom para monitorar o nó vs interfaces
* Usamos o endereço IP nesta interface como nosso OSFP e BGP ID
* Nós usamos isso para o tráfego roteado blackhole … mais mais tarde neste post
/interface bridge add name=loopback
/interface ethernet
set [ find default-name=ether1 ] name=ether1vlanTransitProvider2
set [ find default-name=ether2 ] name=ether2vlanCrossConnection
set [ find default-name=ether3 ] name=ether3vlanTransitFirewall
set [ find default-name=ether4 ] name=ether4vlanMgmt
set [ find default-name=ether5 ] name=ether5vlanTransitProvider1 

Como o Mikrotik permite renomear a interface, nós fazemos isso, pois torna as linhas de configuração que usam essas interfaces muito mais fáceis de entender… acredite em mim, eu tenho roteadores com> 100 interfaces :-). Para a rede de trânsito para o firewall, vamos configurar um VRRP e para ser um pouco mais seguro que o VRRP normal, também definimos uma senha longa e aleatória. Também configuramos um VRID sem padrão, já que a maioria dos sistemas usa 1 como padrão e quem sabe o que os firewalls usam. 

BGP1:
/interface vrrp add interface=ether3vlanTransitFirewall name=vrrpTransitFirewall password=XXXXXXX priority=250 vrid=10

BGP2:
/interface vrrp add interface=ether3vlanTransitFirewall name=vrrpTransitFirewall password=XXXXXXX priority=200 vrid=10

Então, se o BGP1 estiver ativo, sempre será o mestre. Agora precisamos configurar os endereços IP…. vamos começar com o IPv4

BGP1:

/ip address

add address=1.0.0.244/32 interface=loopback
add address=3.0.5.11/29 interface=ether1vlanTransitProvider2
add address=1.0.0.241/30 interface=ether2vlanCrossConnection
add address=1.0.0.250/29 interface=ether3vlanTransitFirewall
add address=1.0.0.249/29 interface=vrrpTransitFirewall
add address=10.0.0.1/24 interface=ether4vlanMgmt
add address=2.0.5.11/29 interface=ether5vlanTransitProvider1

BGP2:

/ip address

add address=1.0.0.245/32 interface=loopback

add address=3.0.5.12/29 interface=ether1vlanTransitProvider2

add address=1.0.0.242/30 interface=ether2vlanCrossConnection

add address=1.0.0.251/29 interface=ether3vlanTransitFirewall

add address=1.0.0.249/29 interface=vrrpTransitFirewall

add address=10.0.0.2/24 interface=ether4vlanMgmt

add address=2.0.5.12/29 interface=ether5vlanTransitProvider1 

E agora fazemos o mesmo para o IPv6… apenas o gerenciamento interno é mantido apenas no IPv4, já que você não precisa dele normalmente (pelo menos eu não estou)

BGP1:
/ipv6 address

add address=2001:1::1/64 interface=loopback
add address=2001:3:3::11/64 interface=ether1vlanTransitProvider2
add address=2001:1:2::1/64 interface=ether2vlanCrossConnection
add address=2001:1:3::2/64 interface=ether3vlanTransitFirewall
add address=2001:1:3::1/64 interface=vrrpTransitFirewall
add address=2001:2:3::11/64 interface=ether5vlanTransitProvider1

BGP2:

/ipv6 address

add address=2001:1:1::1/64 interface=loopback
add address=2001:3:3::12/64 interface=ether1vlanTransitProvider2
add address=2001:1:2::2/64 interface=ether2vlanCrossConnection
add address=2001:1:3::3/64 interface=ether3vlanTransitFirewall
add address=2001:1:3::2/64 interface=vrrpTransitFirewall
add address=2001:2:3::12/64 interface=ether5vlanTransitProvider1

Agora adicionamos nossas rotas estáticas de que precisamos. Precisamos definir um para nossa rede de gerenciamento, para que possamos ser contatados pelos computadores administrativos e definir a rota para o provedor 1, pois os roteadores BGP não estão na mesma sub-rede. Além disso, o roteador para os firewalls para a nossa rede interna é claro, mas precisamos de mais um recurso que precisa de alguma explicação. Se o link para os firewalls ficar inativo em um roteador, o endereço IP / rede também cairá e suas rotas passarão por essa interface. Como o roteador redistribui as rotas conectadas e estáticas via BGP, ele não irá mais enviá-lo. Isto é basicamente ok, mas agora algo entra em jogo que é chamado de ” BGP Route Flap Damping “, que pode levar ao problema de que tudo está rodando novamente, mas alguns AS não estão definindo o tráfego para você por algum tempo. Portanto, é fundamental manter o anúncio em execução o mais estável possível, o que nos leva a rotas de buracos negros . Como no IPv6 o Mikrotik não suporta (até o momento) usamos uma solução alternativa para realizar o mesmo. PS: você pode usar o mesmo para buraco negro de um atacante .. muito rápido e sem muita carga no sistema … só dizendo .

/ip route

add distance=1 dst-address=10.0.0.0/8 gateway=10.0.0.254
add distance=1 dst-address=2.0.1.1/32 gateway=2.0.5.10
add distance=1 dst-address=2.0.2.1/32 gateway=2.0.5.10
add distance=1 dst-address=1.0.0.0/22 gateway=1.0.0.254
add comment="if interface to firewall goes down, this route is used" distance=254 dst-address=1.0.0.0/22 type=blackhole

/ipv6 route

add distance=1 dst-address=2001:2:1::1/128 gateway=2001:2:3::1
add distance=1 dst-address=2001:2:2::1/128 gateway=2001:628:1400:1003::1
add distance=1 dst-address=2001:1::0/48 gateway=2001:1:3::10

BGP1:

add comment="if interface to firewall goes down, this route is used" distance=254 dst-address=2001:1::0/48
gateway=2001:1::ffff

BGP2:

add comment="if interface to firewall goes down, this route is used" distance=254 dst-address=2001:1::0/48 gateway=2001:1:1::1:ffff

Depois que os endereços IP e as rotas estáticas forem configurados, precisamos proteger nossa configuração antes de fazer qualquer outra coisa. Como os roteadores BGP estão na frente dos firewalls, eles podem ser atacados diretamente pela Internet, mas o tráfego (por exemplo, ataques, P2P,…) para os sistemas por trás também pode causar problemas para os roteadores, então faremos algo que nós normalmente não fazemos. Desativaremos o rastreamento de conexões – somos um roteador simples e estúpido … deixe o firewall rastrear conexões, não nos importamos. Isso exige muito trabalho do roteador, se você tiver muitas conexões sobre ele. Claro que isso torna as configurações do firewall no roteador mais difíceis, mas, como dito, deixe o roteador se concentrar em sua única tarefa – rotear o tráfego o mais rápido possível. Às vezes, vejo roteadores BGP sobrecarregados com outras tarefas e as pessoas reclamam que têm problemas com cargas altas. Se a sua rede / uplinks é tão pequena, que não importa, manter o rastreamento de conexão também está ok – você só pode alterar as regras de firewall para usar o reconhecimento de conexão. 

/ip firewall connection tracking set enabled=no

/ip settings set tcp-syncookies=yes 

Agora criamos uma lista de endereços de nossos pares de BGP que permitiremos conectar ao nosso daemon de BGP. Não esqueça seus roteadores, pois eles também falam entre si: 

/ip firewall address-list

add address=2.0.1.1 list=listBgpIPv4Peers
add address=2.0.2.1 list=listBgpIPv4Peers
add address=3.0.5.10 list=listBgpIPv4Peers
add address=1.0.0.241 list=listBgpIPv4Peers
add address=1.0.0.242 list=listBgpIPv4Peers

/ipv6 firewall address-list

add address=2001:2:1::1 list=listBgpIPv6Peers
add address=2001:2:2::1 list=listBgpIPv6Peers
add address=2001:3:3::1 list=listBgpIPv6Peers
add address=2001:1:2::1 list=listBgpIPv6Peers
add address=2001:1:2::2 list=listBgpIPv6Peers

E agora para regras reais de firewall:

/ip firewall filter

add chain=input comment="BGP incomming is ok on all interfaces from our peers" src-address-list=listBgpIPv4Peers dst-port=179 protocol=tcp

add chain=input comment="without conntrack we need to allow that" dst-port=1024-65535 protocol=tcp src-address-list=listBgpIPv4Peers

add chain=input comment="OSFP is on the crosslink ok" in-interface=ether2vlanCrossConnection protocol=ospf

add chain=input comment="VRRP is ok on the interface to the firewalls" dst-address=224.0.0.18 in-interface=ether3vlanTransitFirewall protocol=vrrp

add chain=input comment="everyone can ping us" protocol=icmp

add action=drop chain=input comment="we drop any request from not from the Mgmt Interface" in-interface=!ether4vlanMgmt

/ipv6 firewall filter

add chain=input comment="BGP incomming is ok on all interfaces from our peers" src-address-list=listBgpIPv4Peers dst-port=179 protocol=tcp

add chain=input comment="without conntrack we need to allow that" dst-port=1024-65535 protocol=tcp src-address-list=listBgpIPv6Peers

add chain=input comment="OSFP is on the crosslink ok" in-interface=ether2vlanCrossConnection protocol=ospf

add chain=input comment="VRRP is ok on the interface to the switches" dst-address=ff02::12/128 in-interface=ether3vlanTransitFirewall protocol=vrrp

add chain=input comment="everyone can ping us" protocol=icmpv6

add action=drop chain=input comment="we drop any request from not from the Mgmt Interface" in-interface=!ether4vlanMgmt

Parece uma configuração segura .. espero que também seja :-). Agora estamos prontos para configurar a parte do BGP, começando com a configuração da instância. 

BGP1:

/routing bgp instance set default as=1000 redistribute-connected=yes redistribute-ospf=yes redistribute-static=yes router-id=1.0.0.244

BGP2:

/routing bgp instance set default as=1000 redistribute-connected=yes redistribute-ospf=yes redistribute-static=yes router-id=1.0.0.245

Agora precisamos definir nossas redes para anunciar:

/routing bgp network

add network=1.0.0.0/22
add network=2001:1::0/48

E agora nós configuramos nossos pares. Para os 2 roteadores BGP que só podem ser acessados ​​por meio de outro roteador, precisamos configurar o multihop para sim. Precisamos também fazer um link entre nossos dois roteadores, se um vê um par o outro não, mas ele ainda é o mestre do VRRP. 

BGP1:

add in-filter=filterIpv4AS2000in multihop=yes name=p1_bgp1 out-filter=filterIpv4GLOBALout remote-address=2.0.1.1 remote-as=2000 tcp-md5-key=xxxxxxxx

add in-filter=filterIpv4AS3000in name=p2_bgp1 out-filter=filterIpv4GLOBALout remote-address=3.0.5.10 remote-as=3000 tcp-md5-key=xxxxxxx

add address-families=ipv6 in-filter=filterIpv6AS2000in multihop=yes name=p1_bgp1 out-filter=filterIpv6GLOBALout remote-address=2001:2:1::1 remote-as=2000 tcp-md5-key=xxxxxxx

add address-families=ipv6 in-filter=filterIpv6AS3000in name=p2_bgp1 out-filter=filterIpv6GLOBALout remote-address=2001:3:3::1 remote-as=3000 tcp-md5-key=xxxxxxx

add name=bgp2 remote-address=1.0.0.242 remote-as=1000

add name=bgp2ipv6 remote-address=2001:1:2::2 remote-as=1000

BGP2:

add in-filter=filterIpv4AS2000in multihop=yes name=p1_bgp2 out-filter=filterIpv4GLOBALout remote-address=2.0.2.1 remote-as=2000 tcp-md5-key=xxxxxxxx

add in-filter=filterIpv4AS3000in name=p2_bgp1 out-filter=filterIpv4GLOBALout remote-address=3.0.5.10 remote-as=3000 tcp-md5-key=xxxxxxx

add address-families=ipv6 in-filter=filterIpv6AS2000in multihop=yes name=p1_bgp2 out-filter=filterIpv6GLOBALout remote-address=2001:2:2::1 remote-as=2000 tcp-md5-key=xxxxx

add address-families=ipv6 in-filter=filterIpv6AS3000in name=p2_bgp1 out-filter=filterIpv6GLOBALout remote-address=2001:3:3::1 remote-as=3000 tcp-md5-key=xxxxxxx

add name=bgp1 remote-address=1.0.0.241 remote-as=1000

add name=bgp1ipv6 remote-address=2001:1:2::1 remote-as=1000

Isso não foi tão difícil, mas o que são todos esses nomes de filtro? Como eu disse no início, somos paranoicos, por isso não confiamos em ninguém, por isso filtramos todas as rotas que entram e saem. Então vamos começar com os filtros de saída, pois eles são muito mais fáceis. Eles apenas nos permitem anunciar nossas próprias redes, por isso não vamos contabilizar as redes de um provedor para o outro e, portanto, fazer um link para elas sobre nós. 

/routing filter

add action=accept chain=filterIpv4GLOBALout prefix=1.0.0.0/22

add action=discard chain=filterIpv4GLOBALout

add action=accept chain=filterIpv6GLOBALout prefix=2001:1::0/48

add action=discard chain=filterIpv6GLOBALout
Os filtros são um pouco mais complicados, mas não tão difíceis. Nós nos certificamos de que cada caminho AS que recebemos do provedor comece com o seu AS. Aconteceu que algum provedor está um pouco bagunçado lá.

add action=jump chain=filterIpv4AS2000in jump-target=filterIpv4Nomartians
add action=accept bgp-as-path="^2000(,[0-9]+)*\$" chain=filterIpv4AS2000in
add action=accept chain=filterIpv4AS2000in
add action=jump chain=filterIpv4AS3000in jump-target=filterIpv4Nomartians
add action=accept bgp-as-path="^3000(,[0-9]+)*\$" chain=filterIpv4AS3000in
add action=accept chain=filterIpv4AS3000in
add action=jump chain=filterIpv6AS2000in jump-target=filterIpv6Nomartians
add action=accept bgp-as-path="^2000(,[0-9]+)*\$" chain=filterIpv6AS2000in
add action=accept chain=filterIpv6AS2000in
add action=jump chain=filterIpv6AS3000in jump-target=filterIpv6Nomartians
add action=accept bgp-as-path="^3000(,[0-9]+)*\$" chain=filterIpv6AS3000in
add action=accept chain=filterIpv6AS3000in

Depois que isso ficar claro, só preciso explicar o motivo dos filtros filterIpv4Nomartians e filterIpv6Nomartians. É muito fácil, essas listas contêm sub-redes IP que não devemos obter via BGP, porque elas não são usadas na Internet (pelo menos não por pessoas boas), então vamos filtrá-las. 

add action=discard chain=filterIpv4Nomartians prefix=0.0.0.0/8
add action=discard chain=filterIpv4Nomartians prefix=127.0.0.0/8
add action=discard chain=filterIpv4Nomartians prefix=192.0.2.0/24
add action=discard chain=filterIpv4Nomartians prefix=10.0.0.0/8
add action=discard chain=filterIpv4Nomartians prefix=172.16.0.0/12
add action=discard chain=filterIpv4Nomartians prefix=192.168.0.0/16
add action=discard chain=filterIpv4Nomartians prefix=192.168.0.0/15
add action=discard chain=filterIpv4Nomartians prefix=168.254.0.0/16
add action=discard chain=filterIpv4Nomartians prefix=240.0.0.0/4
add action=return chain=filterIpv4Nomartians

add action=discard chain=filterIpv6Nomartians prefix=::/96
add action=discard chain=filterIpv6Nomartians prefix=::/128
add action=discard chain=filterIpv6Nomartians prefix=::1/128
add action=discard chain=filterIpv6Nomartians prefix=::ffff:0.0.0.0/96
add action=discard chain=filterIpv6Nomartians prefix=::224.0.0.0/100
add action=discard chain=filterIpv6Nomartians prefix=::/104
add action=discard chain=filterIpv6Nomartians prefix=::255.0.0.0/104
add action=discard chain=filterIpv6Nomartians prefix=::/8
add action=discard chain=filterIpv6Nomartians prefix=200::/7
add action=discard chain=filterIpv6Nomartians prefix=3ffe::/16
add action=discard chain=filterIpv6Nomartians prefix=2001:db8::/32
add action=discard chain=filterIpv6Nomartians prefix=2002:e000::/20
add action=discard chain=filterIpv6Nomartians prefix=2002:7f00::/24
add action=discard chain=filterIpv6Nomartians prefix=2002::/24
add action=discard chain=filterIpv6Nomartians prefix=2002:ff00::/24
add action=discard chain=filterIpv6Nomartians prefix=2002:a00::/24
add action=discard chain=filterIpv6Nomartians prefix=2002:ac10::/28
add action=discard chain=filterIpv6Nomartians prefix=2002:c0a8::/32
add action=discard chain=filterIpv6Nomartians prefix=fc00::/7
add action=discard chain=filterIpv6Nomartians prefix=fe80::/10
add action=discard chain=filterIpv6Nomartians prefix=fec0::/10
add action=discard chain=filterIpv6Nomartians prefix=ff00::/8
add action=return chain=filterIpv6Nomartians

Agora terminamos a configuração do BGP, apenas algumas coisas do OSFP são deixadas em aberto. Porquê OSFP? Queremos alcançar nossas interfaces de loopback através do outro roteador, pois somente um pode ser o mestre de VRRP. O BGP só irá redistribuir nossa rede completa e as redes a partir das ofertas entre nossos dois roteadores, mas não algumas partes de nossas redes – para isso, precisamos de OSFP. 

BGP1:

/routing ospf instance set [ find default=yes ] redistribute-connected=as-type-2 redistribute-static=as-type-2 router-id=1.0.0.244
/routing ospf-v3 instance set [ find default=yes ] redistribute-connected=as-type-2 redistribute-static=as-type-2 router-id=1.0.0.244

BGP2:

/routing ospf instance set [ find default=yes ] redistribute-connected=as-type-2 redistribute-static=as-type-2 router-id=1.0.0.245
/routing ospf-v3 instance set [ find default=yes ] redistribute-connected=as-type-2 redistribute-static=as-type-2 router-id=1.0.0.245

Se você se pergunta por que usamos um endereço IPv4 para o OSFPv3, é porque, mesmo que seja um protocolo IPv6, nenhum endereço IPv6 pode ser usado lá … é mais como um campo de ID. Agora só precisamos configurar nossas interfaces e rede (somente para IPv4 necessário): 

/routing ospf interface

add interface=loopback network-type=point-to-point passive=yes
add interface=ether3vlanTransitFirewall network-type=point-to-point
add interface=ether2vlanCrossConnection network-type=point-to-point

/routing ospf network

add area=backbone network=1.0.0.240/30
add area=backbone network=1.0.0.248/29

/routing ospf-v3 interface

add area=backbone interface=loopback network-type=point-to-point passive=yes
add area=backbone interface=ether3vlanTransitFirewall network-type=point-to-point
add area=backbone interface=ether2vlanCrossConnection network-type=point-to-point 

Basicamente, estamos prontos… Apenas algumas configurações padrão estou configurando em qualquer Mikrotik e recomendo que você configure também:

Altere a comunidade SNMP para algo longo e não adivinhado:

/snmp

set contact="Robert Penz" enabled=yes location="datacenter" trap-community=xxxxxxxx trap-generators=interfaces trap-target=10.xxx trap-version=2

/snmp community set [ find default=yes ] name=XXXXXXXXXX 

Defina o relógio para o fuso horário correto e defina um servidor NTP, caso contrário, as entradas de log são difíceis de ler: 

/system clock set time-zone-name=Europe/Vienna

/system ntp client set enabled=yes mode=unicast primary-ntp=10.xxx secondary-ntp=10.xxx 

Configure um servidor syslog para ter alguns logs se um Mikrotik inicializar: 

/system logging

add action=remote topics=info
add action=remote topics=error
add action=remote topics=warning
add action=remote topics=critical

/system logging action set 3 bsd-syslog=yes remote=10.xxx src-address=<ip of the mikrotik ether4vlanMgmt> 

Configurar os servidores DNS internos também é uma boa ideia: 

/ip dns set servers=10.xxx,10.xxx 

Desabilite alguns serviços nos Mikrotiks que não precisamos: 

/ip service

set telnet address=0.0.0.0/0 disabled=yes
set ftp address=0.0.0.0/0 disabled=yes
set www address=0.0.0.0/0 disabled=yes
set winbox address=0.0.0.0/0 disabled=yes 

E finalmente enviamos amostras de tráfego para o nosso servidor SFlow…. Eu recomendo que você tenha também um bom servidor SFlow para seus roteadores BGP. 

/ip traffic-flow target add address=10.xxx:9996 version=9 

Bom trabalho.

Por Luciano Ribeiro.
Fonte:https://tiparaleigo.wordpress.com/

No post abaixo serão apresentados e discutidos os 6 estados possíveis do BGP

IDLE: Este estado identifica o primeiro estágio de uma conexão BGP, onde o protocolo está aguardando por uma conexão de um peer remoto. Esta conexão deve ter sido previamente configurada pelo administrador do sistema. O próximo estado é o de CONNECT e no caso da tentativa ser mal sucedida, volta ao estado IDLE.

CONNECT: Nesta estado o BGP aguarda pela conexão no nível de transporte, com destino na porta 179. Quando a conexão a este nível estiver estabelecida, ou seja, com o recebimento da mensagem de OPEN, passa-se ao estado de OPENSENT. Se a conexão nível de transporte não for bem sucedida, o estado vai para ACTIVE. No caso do tempo de espera ter sido ultrapassado, o estado volta para CONNECT. Em qualquer outro evento, é retorna-se para IDLE.

ACTIVE: O BGP tenta estabelecer comunicação com um peer inicializando uma conexão no nível de transporte. Caso esta seja bem sucedida, passa-se ao estado OPENSENT. Se esta tentativa não for bem sucedida, pelo motivo de expiração do tempo, por exemplo, o estado passa para CONNECT. Em cada de interrupção pelo sistema ou pelo administrador, volta ao estado IDLE. Geralmente as transições entre o estado de CONNECT e ACTIVE refletem problemas com a camada de transporte TCP.

OPENSENT: Neste estado o BGP aguarda pela mensagem de OPEN e faz uma checagem de seu conteúdo. Caso seja encontrado algum erro como número de AS incoerente ao esperado ou a própria versão do BGP, envia-se uma mensagem tipo NOTIFICATION e volta ao estado de IDLE. Caso não ocorram erros na checagem, inicia-se o envio de mensagens KEEPALIVE. Em seguida, acerta-se o tempo de Hold Time, sendo optado o menor tempo entre os dois peers. Depois deste acerto, compara-se o número AS local e o número AS enviado pelo peer, com o intuito de detectar se trata-se de uma conexão iBGP (números de AS iguais) ou eBGP (números de AS diferentes). Em caso de desconexão a nível de protocolo de transporte, o estado passa para ACTIVE. Para as demais situações de erro, como expiração do Hold Time, envia-se uma mensagem de 

NOTIFICATION com o código de erro correspondente e retorna-se ao estado de IDLE. No caso de intervenção do administrador ou o próprio sistema, também retorna-se o estado IDLE.

OPENCONFIRM: Neste estado o BGP aguarda pela mensagem de KEEPALIVE e quando esta for recebida, o estado segue para ESTABLISHED e a negociação do peer é finalmente completa. Com o recebimento da mensagem de KEEPALIVE, é acertado o valor negociado de Hold Time entre os peers. Se o sistema receber uma mensagem tipo NOTIFICATION, retorna-se ao estado de IDLE. O sistema também envia periodicamente, segundo o tempo negociado, mensagens de KEEPALIVE. No caso da ocorrência de eventos como desconexão ou intervenção do operador, retorna-se ao estado de IDLE também. Por fim, na ocorrência de eventos diferentes aos citados, envia-se uma mensagem 

NOTIFICATION, retornando ao estado de IDLE.

ESTABLISHED: Neste estado, o BGP inicia a troca de mensagens de UPDATE ou KEEPALIVE, de acordo com o Hold Time negociado. Caso seja recebida alguma mensagem tipo 

NOTIFICATION, retorna-se ao estado IDLE. No recebimento de cada mensagem tipo UPDATE, aplica-se uma checagem por atributos incorretos ou em falta, atributos duplicados e caso algum erro seja detectado, envia-se uma mensagem de NOTIFICATION, retornando ao estado IDLE. Por fim, se o Hold Time expirar ou for detectada desconexão ou intervenção do administrador, também retorna-se ao estado de IDLE.

A partir da máquina de estados apresentada anteriormente, é possível saber qual o status de uma sessão BGP entre dois roteadores, podendo também iniciar uma investigação sobre qual problema pode estar ocorrendo em alguma sessão. O objetivo esperado é que todas as sessões BGP de um roteador mantenham-se no estado 

ESTABLISHED, visto que somente neste estado ocorre a troca de anúncios com o roteador vizinho.

Por Luciano Ribeiro.
Bom Trabalho.

Configuração SSH no Cisco com chave de 1024 bits

Nesta postagem, configurarei o SSH versão 2 no roteador Cisco com uma chave de 1024 bits, permitindo 3 tentativas de login com falha e definir o tempo limite para 30 minutos. Em seguida, configurarei as portas vty para usar telnet ou SSH e habilitarei o novo modelo aaa e criarei um usuário chamado CGER com a senha cisco. Por fim, verificarei minha configuração em execução e usarei um comando show para visualizar a configuração.

router1#conf t

Enter configuration commands, one per line. End with CNTL/Z.
router1(config)#ip domain-name lab.local
router1(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: router1.lab.local
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
router1(config)#ip ssh authentication-retries 3
router1(config)#ip ssh time-out 30
router1(config)#ip ssh version 2

router1(config)#line vty 0 4
router1(config-line)#transport input ssh telnet
router1(config-line)#end

router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router1(config)#aaa new-model
router1(config)#username cger secret cisco
router1(config)#end

router1#show run
Building configuration...
Current configuration : 1564 bytes
!
version 12.4
!
aaa new-model
!
ip domain name lab.local
ip ssh time-out 30
ip ssh source-interface Ethernet0
ip ssh version 2
!

username cger secret 5 $1$mU38$MPCu0GOeTzhKnQBNMKxe30
!
line vty 0 4
exec-timeout 0 0
password 7 02050D480809
logging synchronous
transport input telnet ssh
!
end

router1#show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 30 secs; Authentication retries: 3

router1#

Por Luciano Ribeiro
Bom trabalho

Configurar EtherChannel switch Cisco L2 e L3

Neste post vou configurar 2 portas em 2 switches para serem um EtherChannel. Isso efetivamente agrupa as linhas para aumentar a largura de banda e permite que qualquer link no pacote falhe sem afetar o serviço.

O diagrama abaixo mostra o layout dos interruptores.

Antes de começar, certifique-se de que todas as interfaces que separei para EtherChannel não tenham configuração nenhuma, estejam desligadas e estejam na mesma VLAN.
Usaremos os seguintes comandos para configurar o EtherChannel nos switches.

switch1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
switch1(config)#interface fastEthernet 0/1
switch1(config-if)#channel-group 5 mode desirable
Creating a port-channel interface Port-channel 5
switch1(config-if)#exit
switch1(config)#interface fastEthernet 0/24
switch1(config-if)#channel-group 5 mode desirable
Creating a port-channel interface Port-channel 5
switch1(config-if)#end

switch2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
switch2(config)#interface fastEthernet 0/1
switch2(config-if)#channel-group 5 mode desirable
Creating a port-channel interface Port-channel 5
switch2(config-if)#exit
switch2(config)#interface fastEthernet 0/24
switch2(config-if)#channel-group 5 mode desirable
Creating a port-channel interface Port-channel 5
switch2(config-if)#end 

Verificando a configuração nos switches em execução.

switch2#sh run
Building configuration...
Current configuration : 2447 bytes
!
------cut------
!
interface Port-channel5
no ip address
flowcontrol send off
!
interface FastEthernet0/1
no ip address
channel-group 5 mode desirable
!
-----cut--------
!
interface FastEthernet0/24
no ip address
channel-group 5 mode desirable 

Neste casp quando faço em ping no switch remoto e desconecto um cabo, não tenho perda de pacotes uma vez que a interface reduntante assume o tarfego.

Podemos também usar o comando "show etherchannel summary", útil para visualizar as informações do EtherChannel.

switch1#sh etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
u - unsuitable for bundling
U - in use f - failed to allocate aggregator

d - default port

Number of channel-groups in use: 1
Number of aggregators: 1

Group Port-channel Protocol Ports

------+-------------+-----------+-----------------------------------------------

5 Po5(SU) PAgP Fa0/1(Pd) Fa0/24(P) 

Por Luciano Ribeiro
Bom trabalho

Criando uma VLAN

Neste post listo os comandos para criar a VLAN 2, nomeá-la como CGER e colocar um intervalo de portas na VLAN. Por fim, uso um comando show para examinar a configuração da VLAN.

witch1#conf t
switch1(config)#vlan 2
switch1(config-vlan)#name  CGER
switch1(config-vlan)#end

switch1#conf t
switch1(config)#interface range FastEthernet 0/17 - 24
switch1(config-if-range)#switchport access vlan 2
switch1(config-if-range)#end

switch1#sh vlan brief 

Por Luciano Ribeiro
Bom Trabalho

Configurando SSH em Roteadores Cisco.

Router>enable
Router#configure terminal
Router(config)#hostname  R1
R1(config)# ip domain-name cger.com.br (utilizado para o nome da chave rsa)
R1(config)# crypto key generate rsa (cria uma chave de criptografia rsa, escolha a quantidade de bits)
R1(config)# ip ssh time-out 60  (tempo para fechar a sessão caso o usuário fique sem utilizar a conexão)
R1(config)# ip ssh authentication-retries 2  (número máximo de re-tentativas de acesso)
R1(config)# username cger-pts priv 15 secret 1a2b3c (cria um usuário “cger-pts” com  privilégio “15” e senha secret “1a2b3c”, você pode criar diversos usuários com outros privilégios)
R1(config)# line vty 0 4 (entra na configuração de telnet)
R1(config)#login local (utiliza autenticação local)
R1(config-line)# transport input ssh (acesso telnet passa a ser via ssh)

Comandos de verificação e diagnóstico

R1#debug ip ssh

(mostra as mensagens de debug do ssh)

R1#show ssh

(mostra o status das conexões ssh)

R1#show ip ssh

(mostra a versão e configuração ip do ssh)

Siga o passo a passo...

Bom trabalho.
luciano Ribeiro

Como ZERAR as configurações um roteador Cisco sem saber a senha

Comprou um roteador usado e ele veio com senha? Abaixo o passo a passo para zerar seu roteador.
Mas atenção: as configurações do roteador serão totalmente apagadas!!!
Se você quiser recuperar a senha sem apagar as configurações, consulte o link abaixo:

https://www.cisco.com/c/pt_br/support/docs/routers/3800-series-integrated-services-routers/112058-c1900-pwd-rec-00.html

Passo a passo para ZERAR um roteador Cisco.

Atenção: todas as configurações serão APAGADAS

1) Conecte seu computador à entrada Console do roteador utilizando o cabo apropriado.
2) Abra o Putty
3) Ligue o roteador. Durante o processo de boot, pressione as teclas CTRL+Break. O sistema vai entrar no modo ROMMON apresentando o seguinte prompt:

monitor: command "boot" aborted due to user interrupt
rommon 1 >
rommon 1 >

4) Digite os seguintes comandos:

confreg 0x2142
reset

O sistema irá reinicializar e não vai ler o arquivo de configuração. Ou seja, o roteador vai dar boot sem pedir a senha.

5) No roteador, apague o arquivo de configuração, por meio do seguinte comando:

Router# erase startup-config 

6) Agora você deve retornar o valor do registro para o padrão, salvar a configuração e dar um reload:

Router#conf t
Router(config)#config-register 0x2102
Router(config)#end
Router#wr
Router#reload

Bom trabalho.
luciano Ribeiro