Spanning-Tree Protocol Toolkit

Ao contrário do que algumas pessoas pensam o STP toolkit não é nenhuma ferramenta disponível para nos ajudar com o protocolo STP.

São sim, um conjunto de extensões que a CISCO fez à sua implementação do protocolo para o tornar mais eficiente.

Spanning-Tree protocol permite que as redes da camada 2 do modelo de OSI (Layer 2) com redundancia funcionem em condições preveningo loops indesejaveis. Este algoritmo automaticamente calcula a topologia e decide quais as portas que devem ficar em standby para impedir loops na rede, garantindo assim uma maior eficiencia.

Por defenição o comportamento do protocolo é determinista ou seja nós sabemos exactamente como se deve comportar numa rede. Por vezes não o é, seja por alterações feitas na rede ou por aparelhos na camada de acesso que são controlados pelos utilizadores finais ou falhas de ligações.

Para optimizar a performance do protocolo a CISCO fornece o STP toolkit. Este conjunto de ferramentas permite optimizar e tornar mais seguras as redes L2 (Layer 2).

As ferramentas que fazem parte deste kit são:

PortFast – Faz com que as portas do equipamento entrem em estado forwarding imediatamente, passando assim os estados normais de aprendizagem. A porta configurada ainda faz parte da topologia STP e pode imediatamente transitar de estados diminuindo assim o tempo de convergencia. Podendo passar ao estado blocked se necessario. Pode ser activada em portas trunk Pode ter valores operacionais diferentes dos configurados.

notas:

  1. Deve ser utilizada apenas em portas de acesso.
  2. Deve ser utilizada apenas nas portas em que se ligam equipamentos terminais para evitar a criação de um loop.
  3. Activar a funcionalidade numa porta ligada a um switch pode criar um “bridging loop” temporário.

BPDUGuard – Quando activa desliga a porta que recebe um BPDU (Bridge Protocol Data Unity). Permite uma maior segurança contra más configurações porque o administrador pode colocar a porta de novo a funcionar. Quando configurado ao nivel de uma porta coloca a porta imediatamente em estado desligado independentemente da configuração PortFast.

notas:

  1. Numa configuração válida as portas configuradas como PortFast não recebem BPDU caso recebam há um erro de configuração ou algo que necessita ser investigado.
  2. Quando configurado globalmente aplica-se a todas as portas que estão operacionais e com o PortFast activo.

BPDUFilter – Impede uma porta de receber ou enviar BPDU

notas:

  1. Pode ser configurado por porta.
  2. Pode ser configurado globalmente
  3. Quando configurado em portas que não estejam ligadas a equipamentos terminais pode causar loops.
  4. Se uma porta não estiver no seu estado por defeito a configuração PortFast não afecta o filtro de BPDU PortFast.

UplinkFast – Fornece Convergência depois de uma falha na ligação, permite balanceamento de carga com a utilização de grupos de Uplink.
notas:

  1. Pode ser util no desenho de redes-
  2. Quando activa afecta todas as VLAN’s no equipamento.
  3. Não pode ser configurada em VLAN’s individuais.
  4. As melhorias ao “rapid” STP incluem estas funcionalidades.

RootGuard – Previne uma porta de se tornar uma root port ou blocked port.
Quando configurada numa porta e esta recebe um valor de BPDU superior ela passa imediatamente ao valor de de Root-Inconsistent (Blocked) state.

BackboneFast – Iniciado quando uma root port ou uma porta bloqueada recebe um BPDU de valor inferior de um designated Bridge.
Permite uma maior rapidez em caso de falha.

LoopGuard – Ajuda a prevenir “bridging loops” que pode ocorrer devido a falhas de ligações unidirecionais. Quando activado globalemte aplica-se a todas as ligações ponto a ponto. Detecta as portas em estado blocked e as root ports garantindo que continuam a receber informação das portas designadas do systema. Pode ser activado por porta. É autmaticamente aplicado a todas as intancias de VLAN’s activas no systema. Quando activado numa ligação Etherchanel pode afectar todas as conecções até que a conecção com problemas seja removida do link agregado.

Configurar SNMP Básico

Para activarmos o SNMP no nosso equipamento Cisco é necessário escrever os seguintes comandos:

enable
configure terminal
snmp-server contact xpto at “numero telefone” (numero de contacto)
snmp-server location rua x (morada)
snmp-server chassis-id 123456 (numero de serie do dispositivo)

Configurar visualizações de SNMP.

snmp-server view ciscoview mib-2 included  (criar e incluir uma visualização de SNMP (sub-tree))


Configurar uma comunidade SNMP

snmp-server comunity xpto ro (criação de uma view com permissões de leitura ao conteúdo total da MIB)
snmp-server comunity xpto2 view ciscoview (criação de uma view com permissões apenas para a “sub-tree” da MIB-2 definida anteriormente.)

Configurar SSH sem host name e domain Name

Para configurar SSH num equipamento cisco sem hostname e sem domain name podemos recorrer aos seguintes comandos:

1
2
3
4
5
enable
configure terminal
ip ssh rsa keypair-name ciscopair
generate rsa usage-keys label ciscopair modulus 1024
ip ssh version 2

Portas de Acesso

Nos switchs é importante que todas as portas que não são trunk devam ser forçadas como portas de acesso. Devemos por razões de segurança evitar ter portas dinâmicas ou em modo negociável.

Para colocar uma porta em modo acesso devemos escrever os seguintes comandos:

enable
configure terminal
Interface fa0/0
switchport mode access

 

Pode ser também aplicado a um conjunto de portas em vez de uma só como no exemplo em cima.

Comandos Simples de um Switch

banner motd 

Configura a mensagem do dia (message of the day)

configure terminal

entra no modo de configuração de terminal

copy running-config to startup-config

Copia a configuração actual para a configuração de arranque do router.

enable

entra no modo privilegiado

enable secret password

apaga a configuração de arranque

erase startup-configuration

coloca-nos no interface indicado

interface interface

define qual o endereço de ip do interface

ip address address mask

Define qual o gateway

ip default-gateway address

Coloca-nos dentro da consola 0

line console 0

coloca-nos dentro das consolas virtuais 0 a 4

line vty 0 4

activa o pedido de identificação dos utilizadores que acedem ao equipamento via vty ou consola.

login

define a password dos utilizadores da consola. Quando feito dentro da consola.

password password

pinga um determinado ip

ping ip address

recarrega o IOS

reload

mostra os vizinhos que o CDP aprendeu

show cdp neighbours

Mostra todos os interfaces do equipamento

show interfaces

Mostra o modo em que um determinado interface está.

show port-security interface interface-if {address}

mostra a configuração que está a correr

show running-configuration

desliga e activa por exemplo um interface

shutdown / no shutdown

coloca em modo de acesso um interface

switch-port mode access

activa o modo de segurança de um interface

switch-port port-security

activa o modo de segurança de um interface pelo mac-address

switch-port port-security mac-address mac-address

define qual o numero máximo de mac-address que podem ser ligado no interface

switch-port port-security maximum value

 

Comandos Básicos de um Router / Switch da Cisco

Existem comandos iguais para qualquer router / switch da cisco que nos servem para aceder e ver as várias configurações efectuadas no nosso equipamento.

Router>Show – Quando associado a outro comando / função serve para ver o estado dessa função / commando.

Router>? – Lista todos os comandos disponiveis
Router>c? – Lista todos os comandos disponiveis começados por “c”

Router>enable – Entra no chamado modo enable ou priviligiado
Router#Config Terminal – Entra no modo de configuração do equipamento
Router#Exit – Andamos 1 nivel para trás, se tivermos em modo configuração passamos para o modo priviligiado.
Router#Logout – Mesmo que exit.
Router#Setup – Entramos em modo startup para a linha de comandos


Estes são alguns dos comandos básicos para configurar equipamentos cisco.