Troubleshooting Cisco ASA firewall via HTTPs, sem telnet, ssh ou
Contents
1. HCPD Seeing if there is an internally specified pool class HCPD htype 1 chaddr cc04 0884 0000 HCPD remote id 020a00000a001e0200000000 HCPD circuit id 00000000 HCPD Allocate an address without class information 10 0 10 0 HCPD subnet 10 0 10 1 10 0 10 254 in address pool main pool is empty HCPD Sending notification of ASSIGNMENT FAILURE HCPD htype 1 chaddr cc04 0884 0000 DHCPD remote id 020a00000a001e0200000000 DHCPD circuit id 00000000 DHCPD Sending notification of ASSIGNMENT_FAILURE DHCPD due to POOL EXHAUSTED Podemos ver que primeiramente o roteador H1 simulando uma PC recebeu o IP 10 0 10 254 subnet principal 10 0 10 0 24 No roteador H1 SDHCP 6 ADDRESS_ASSIGN Interface Ethernet0 0 assigned DHCP address 10 0 10 254 mask 255 255 255 0 hostname hl Mas em seguida o roteador H2 pede um endereco e o servidor responde dizendo que nao existe endereco dispon vel lembre se que eu configurei apenas 1 endereco nessa rede 10 0 10 0 24 Ent o esse o problema Como fazer para que o servidor de DHCP ofere a IPs na subnet secund ria ip dhcp smart relay http www cisco com en US docs ios 12 3 ipaddr command reference ip1_ilg html wp1081216 Esse comando faz com que o roteador passe a procurar IPs para endere os secund rios assim que recebe uma resposta dizendo que n o h mais IPs dispon veis como vimos nas mensagens acima Ent o voltamos a simula o e a2. Success rate is 100 percent 2 2 round trip min avg max 1 2 4 ms Rl ping 150 1 234 3 rep 2 Typ scape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 3 timeout is 2 seconds Success rate is 0 percent 0 2 Nota Este filtro n o impede que R1 envia pacotes para o endere o de broadcast da vlan e receba respostas de R4 e R5 Uma vez que o filtro especifico para os IPs 234 4 e 234 5 RIFping 259 255 295 255 Sp 1 Type escape sequence to abort Sending 1 100 byte ICMP Echos to 255 255 255 255 timeout is 2 seconds Reply to request 0 from 150 1 234 10 1 ms Reply to request 0 from 150 1 234 40 4 ms Reply to request 0 from 150 1 234 5 1 ms Reply to request 0 from 150 1 234 3 1 ms A ACL 120 corresponde a qualquer pacote IP com origem igual a 150 1 234 5 e destino 150 1 234 3 a ac o aplicada sequ ncia vm_filter 30 foi drop isto quer dizer que esse tr fego ser bloqueado R5tp 150 1 234 1 rep 2 Type escape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 1 timeout is 2 seconds fi Success rate is 100 percent 2 2 round trip min avg max 1 2 4 ms R5fp 150 1 234 3 rep 2 Type escape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 3 timeout is 2 seconds Success rate is 0 percent 0 2 R5fp 150 1 234 4 rep 2 Type escape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 4 timeout is 2 seconds UI Success rate is 100
3. 24 0 110 395 via 172 16 12 0 110 590 via 172 16 is directly connected 37 00 00 08 13 3 00 00 08 Ethernet0 1 Ethernet0 1 13 3 00 00 08 Ethernet0 1 13 3 00 00 08 Ethernet0 1 Ethernet0 1 que o custo para essa rede pelo caminho do roteador R3 de apenas 201 enquanto pelo R2 o custo maior de 391 Vamos ver como a situac o muda ao redistribuirmos a rota dentro do OSPF e n o mais divulgarmos a mesma diretamente com o comando network r4 r4 r4 r4 rl sh ip route Ea L7 O O Q C C 172 16 12 0 24 config router ospf 1 config router no network 172 16 45 4 0 0 0 0 area 0 config router redistribute connected subnets metric type 1 config router end 2 16 0 0 24 is subnetted 5 subnets 45 0 1110 220 via 172 16 EM 172 16 172 16 34 172 16 24 172 16 12 IPR Ss rl traceroute 0 a0 0 0 110 200 via 172 16 13 120 390 via 172 16 12 is directly connected is directly connected 172 16 45 4 ype escape sequence to abort Tracing the route to 172 16 45 4 2 172 16 34 4 116 msec 140 msec Redistribuindo 172 16 24 0 24 172 16 34 0 24 13 3 00 00 00 Ethernet0 1 3 00 00 00 Ly 00 00 00 Ethernet 0 0 Ethernet 0 1 172 16 13 3 96 msec 140 msec 96 msec Ethernet 0 1 Ethernet 0 0 Agora o tr fego segue pelo caminho de maior banda Ficou mais f cil de entender o que est acontecendo Parte 3 Soluc o
4. Filtrando tr fego intra vlan camada 2 vlan access maps CISCO VACL O uso comum de um ACL consiste na aplicac o de filtros em uma porta de camada 3 Esse filtro ir apenas filtrar pacotes que est o cruzando a interface de camada 3 onde a ACL foi aplicada Como m quinas em uma mesma Vlan podem se comunicar diretamente na camada 2 MAC para MAC n o poss vel evitar a comunica o intra vlan com esse tipo de filtro Para isso utilizamos as VACLs Em um switch camada 3 layer 3 temos 3 tipos de ACLs Routed ACL S o aplicadas as interfaces com IP routed interfaces ou SVI switched vlan intefaces interface vlans e servem para filtrar pacotes que cruzam por esta interface Podem ser aplicadas em qualquer direc o filtram pacotes entrando ou saindo da interface inbound or outbound Port ACL S o ACLs IP ou MAC usadas para filtrar tr fego em uma porta de camada 2 layer 2 switchport mode access ou mode trunk vindos das m quinas conectadas a esta porta filtra somente tr fego que entra na interface inbouna Uma Port ACL tem preced ncia sobre os outros tipos de ACL VACLs ou Vlan access maps S o utilizadas para filtrar pacotes enviados dentro de uma mesma VLAN Essas Vlans podem filtrar tanto IP como outros tipos de protocolos usando se as Ethernet MAC ACLs Este tipo de ACL apenas controla tr fego no switch onde foram configuradas R5 FO 0 150 1 234 3 24 GW 150 1 234 10 FO 1 150 1 234 5
5. onde a limita o de 1005 VLANs ativas pode ser superada com a criac o de sub VLANs assim mais clientes podem ser conectados a uma rede metro ethernet por exemplo Em resumo uma Private vlan segmenta uma VLAN em sub dom nios uma vlan prim ria e m ltiplas vlans secundarias Existem dois tipos de vlans secund rias e Vlans Comunit rias onde as portas conectadas nesta vlan podem se comunicar entre si e com a porta prom scula mas n o se comunicam com nenhuma outra porta de outras vlans e Vlans Isoladas onde as portas desta vlan apenas se comunicam com a porta prom scuaa Podem existir tr s tipos de portas em uma private vlan e Porta Prom scua Essa porta pertence a uma nica VLAN prim ria e pode se comunicar com qualquer outra porta em qualquer VLAN Normalmente configura se portas ligadas a equipamentos L3 como portas prom scuas e Porta Isolada Pertence a uma VLAN secundaria e apenas se comunica com uma porta prom scua e Porta Comunit ria Pertence a uma VLAN secundaria e pode se comunicar com outras portas na mesma vlan secund ria e com um porta prom scua Em resumo a VLAN prim ria usada para enviar os pacotes de um roteador leia qualquer dispositivo L3 para qualquer ponto da VLAN Uma VLAN secundaria isolada apenas envia pacotes entre um roteador e uma nica m quina e uma VLAN secund ria comunit ria permite que um grupo de maquinas se comunique entre si e com um roteador que poder enviar os paco
6. 0 vir Feb 16 18 00 30 007 Major 4 Minor 7 Feb 16 18 00 30 007 Respond to end of CLI Process cefsib BGP table version is 3 local router ID is 20 0 0 1 Status codes s suppressed d damped h history valid gt best i internal r RIB failure S Stale Origin codes i IGP EGP incomplete Network Next Hop Metric LocPrf Weight Path gt 0 0 0 0 ZU DO 00 3 1 ce sh access list Extended IP access list acl_bgp_f 10 deny ip any any time range n_comercial active 1 match 20 permit ip any any 1 match ce clock set 05 59 30 16 feb 2009 cet Feb 16 05 59 30 000 Clock Set Seen Feb 16 05 59 30 000 Major 4 Minor 9 Feb 16 05 59 30 003 Start timer for kre Feb 16 05 59 30 003 Start timer for krt2 cet Feb 16 06 00 30 003 Major 1 Minor 0 Feb 16 06 00 30 003 Timer Event krt Feb 16 06 00 30 003 Kron delay for next krt 86400000 Feb 16 06 00 30 007 Call parse_cmd clear ip bgp soft Feb 16 06 00 30 015 Kron CLI return 0 vt Feb 16 06 00 30 015 Major 4 Minor 7 Feb 16 06 00 30 019 Respond to end of CLI Process cefsib BGP table version is 6 local router ID is 20 0 0 1 Status codes s suppressed d damped h history valid gt best i internal r RIB failure S Stale Origin codes i IGP e EGP incomplete Network Next Hop Metric LocPrf Weight Path z gt OD OO 10 0 0 2 0 500 2 i 20 00 0 03d TCL shell CISCO IOS programando um roteador usando scripts
7. 0 0 0 0 20 040 28 0 0 3 1 Agora a nica coisa a fazer agendar uma tarefa para os hor rios desejados e aplicar o comando clear ip bgp soft assim iremos for ar o processo BGP a re processar os filtros aplicados no hor rio que desejamos Criado dois processos um que ser executado todo dia as 6 00h e outro que ser executado todos os dias as 18 00h kron occurrence krt at 6 00 recurring policy list kr bgp 1 kron occurrence krtl at 18 00 recurring policy list kr_bgpl 1 kron policy list kr_bgp cli clear ip bgp soft 1 kron policy list kr_bgpl eli clear ip bgp soft Verificando com debug kron ce sh clock 06 06 35 139 UTC Mon Feb 16 2009 ce sh ip bgp BGP table version is 3 local router ID is 20 0 0 1 Status codes s suppressed d damped h history valid gt best i internal r RIB failure S Stale Origin codes i IGP e EGP incomplete Network Next Hop Metric LocPrf Weight Path 00 0 0 10 0 0 2 0 0 2 1 A gt 20 00 0 2 0 0 31 ce clock set 17 59 30 16 feb 2009 cet Feb 16 17 59 30 000 Clock Set Seen Feb 16 17 59 30 000 Major 4 Minor 9 Feb 16 17 59 30 003 Start timer for krt Feb 16 17 59 30 003 Start timer for krt2 cet Feb 16 18 00 30 003 Major 1 Minor 0 Feb 16 18 00 30 003 Timer Event krt2 Feb 16 18 00 30 003 Kron delay for next krt2 86400000 Feb 16 18 00 30 007 Call parse_cmd clear ip bgp soft Feb 16 18 00 30 007 Kron CLI return
8. 1 1 HTTP 1 1 400 Bad Request Date Mon 01 Mar 1993 01 20 55 GMT Server cisco IOS Accept Ranges none 400 Bad Request Connection to www vlad com closed by foreign host No roteador de borda realizando o NAT podemos ver as tradu es sendo realizadas nat NAT 0 Allocated Port for 10 10 10 2 gt 200 10 10 1 wanted 51523 got 51523 NAT ir udp 10 10 10 2 51523 gt 200 33 33 10 53 0 NAT s 10 10 10 2 gt 200 10 10 1 d 200 33 33 10 0 NAT o udp 200 33 33 10 53 gt 200 10 10 1 51523 46 NAT DNS resource record 200 10 10 10 gt 192 168 1 10 NAT s 200 33 33 10 d 200 10 10 1 gt 10 10 10 2 46 Podemos ver a pesquisa feita no servidor de DNS pelo endere o de origem NATeado 200 10 10 1 dns DNS Incoming UDP query id 49 DNS Type 1 DNS query id 49 for host www vlad com from 200 10 10 1 51523 Send reply from internal information DOM id 49 response opcode 0 aa 0 tc 0 rd 1 ra 1 rcode 0 qdcount 1 ancount 1 nscount 0 arcount 0 query name is www vlad com qtype 1 class 1 Answer section Name www vlad com RR type 1 class 1 ttl 10 data length 4 IP 200 10 10 10 Authority section Additional record section DNS Finished processing query id 49 in 0 016 secs
9. 490 mac access list extended mc_arp permit host 0019 3065 c8c1 host 001b 2a53 6d58 0x806 0x0 Aplicando a Vlan Map a uma VLAN Uma vez criada a Vlan Map aplica se a VLAN desejada com o seguinte comando vlan filter mapname vlan list list vlan filter vm_filter vlan list 300 Nota Lembre se que este tipo de filtro se aplica a uma Vlan e n o a uma interface Em uma Vlan Map as ACL s o utilizadas somente para definir qual tr fego ser processado Isto permit processar deny n o processar O filtro realizado pelo comando action onde podemos bloquear o tr fego com drop ou permitir com forward No exemplo acima a ACL 110 corresponde a qualquer pacote IP com origem igual a 150 1 234 1 e com destino 150 1 234 4 31 150 1 234 4 e 150 1 234 5 e a a o aplicada ao vm filter 10 foi forward isto quer dizer que esse tr fego ser permitido A ACL 111 corresponde a qualquer pacote IP com origem igual a 150 1 234 1 e qualquer destino dentro da subnet 150 1 234 0 24 a a o aplicada ao vm filter 20 foi drop isto quer dizer que qualquer outro tr fego vindo de R1 nesta vlan ser bloqueado Rl ping 150 1 234 4 rep 2 Typ scape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 4 timeout is 2 seconds tt Success rate is 100 percent 2 2 round trip min avg max 1 2 4 ms Rl ping 150 1 234 5 rep 2 Typ scape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 5 timeout is 2 seconds
10. ip dhcp excluded address 10 0 10 1 10 0 10 253 ip dhcp excluded address 10 0 20 1 10 0 20 10 ip dhcp pool main pool network 10 0 10 0 2532939239340 default router 10 0 10 1 dns server 4 2 2 1 domain name vladrac com 1 ip dhcp pool secund pool network 10 0 20 0 255 255 255 0 default router 10 0 20 1 dns server 4 2 2 1 domain name vladrac com O pool para a rede prim ria 10 0 10 0 24 foi configurado com apenas 1 IP dispon vel 10 0 10 254 E um segundo pool foi criado para a rede secund ria na mesma Vlan 10 0 20 0 24 Podemos ver o problema analizando a sa da de uns debugs no roteador rodando DHCP HCPD Sending notification of ASSIGNMENT HCPD address 10 0 10 254 mask 255 255 255 0 HCPD htype 1 chaddr cc03 0884 0000 HCPD lease time remaining secs 86400 HCPD Appending default domain from pool HCPD Using hostname hl vladrac com for dynamic update from hostname option HCPD Sending DHCPACK to client 0063 6973 636 2d63 6330 3328 3038 834 2830 3030 302d 4574 302 30 10 0 10 254 HCPD unicasting BOOTREPLY for client cc03 0884 0000 to relay 10 0 10 4 hcp HCPD Sending notification of DISCOVER CPD htype 1 chaddr cc04 0884 0000 HCPD remote id 020a00000a001e0200000000 HCPD circuit id 00000000 HCPD DHCPDISCOVER received from client 0063 6973 636f 2d63 6330 342e 3038 834 2630 3030 302d 4574 302 30 through relay 10 0 10 4 Foggo y Y Oo oO ys Doo TODO T
11. not set 10 0 0 0 24 is subnetted 1 subnets S 10 0 10 0 1 0 via 150 20 20 2 Essa rota fazia parte do monte de rotas est ticas configurados em meio a BGP OSPF RIP nessa rede O que por fim causou o problema Uma vez retirada essa rota est tica da tabela e substituindo a mesma por uma rota tipo O intra area OSPF a rota 10 22 22 0 24 apareceu na tabela como uma rota O El como esperado ce contig tno ip route 10 0 10 0 255 255 255 0 150 20 20 2 ce config end ce sh ip route b Gateway Gateway of last resort is not set 10 0 0 0 24 is subnetted 2 subnets O 10 0 10 0 1110 30 via 150 20 20 2 00 00 00 Ethernet0 0 O El 10 22 22 0 110 50 v a 150 20 20 2 00 00 00 Bthernetd 0 150 15 0 0 24 is subnetted 1 subnets o 150 15 15 0 110 20 via 150 20 20 2 00 00 00 Ethernet0 0 150 20 0 0 24 is subnetted 1 subnets C 150 20 20 0 is directly connected Ethernet0 0 Uma quest o de verificar a tabela do OSPF depois a de roteamento e resolver o problema A CISCO disponibiliza nas suas p ginas v rios fluxogramas que ajudam neste tipo de soluc o de problemas Neste caso uma pesquisa b sica no google troubleshooting ospf cisco Link Troubleshooting OSPF Como o problema de roteamento vamos ao link interno Link Troubleshooting the ospf routing table E como o problema com uma rota externa seguimos para o link Link Troubleshooting External Link State Advertisements Ent o apenas
12. ou dependendo da versao de IOS ap s o nicio do sistema system startup depois de um boot N o poss vel usar o KRON com comandos que exigem qualquer tipo de intera o com o usu rio como reload clear counters copy running config startup config etc A configurac o do KRON consiste em duas etapas e A defini o de uma lista de comandos kron policy list list name e A defini o de quando o a lista de comandos ser executada kron occurrence occurrence name O uso deste comando restrito mas alguns exemplos s o Realizar o backup da configurac o dos roteadores todo domingo as 23 00 rl config kr n policy list Backup r1 config kron policy show run redirect tftp 192 168 1 1 rl cfg rl config kron policy exit rl config f kron occurrence Backup at 23 00 Sun recurring rl config kron occurrence policy list Backup Salvar a configurac o dos roteadores toda segunda as 04 00 kron policy list SaveConfig cli write exit kron occurrence SaveConfig at 04 00 Mon recurring policy list SaveConfig rlfsh kron schedule Kron Occurrence Schedule kr_save inactive will run again in 1 days 09 11 41 at 4 00 on Mon Imagine uma rede conectada a 2 ISPs ISPA ISP B 10 0 0 2 30 20 0 0 2 30 0 0 0 0 0 0 0 0 0 0 10 0 0 1 30 20 0 0 1 30 CE Sair por ISP A durante o hor rio comercial Sair por ISP B fora deste hor rio Ambos est o enviando uma rota padr o 0 0 0 0 0 via B
13. post foi apenas o primeiro sobre o TCL uma vez que essa ferramenta vem cada vez mais sendo utilizada na CISCO por exemplo nos sistemas de VOZ Interactive Voice Response IVR e Monitoramento Embedded Event Manager EEM e outros Existem incont veis exemplos do uso dessa shell para manipular sa da de comandos monitorar o roteador enviar emails com sa das de comandos show tech etc TCL SCRIPT tclsh proc pingall foreach ips 172 16 16 1 172 16 123 1 172 16 14 1 172 16 50 25 set result string first exec ping ips if result 1 puts ips Transmitindo pacotes Broadcast de uma rede para outra ip helper address A pergunta tem por tr s uma quest o b sica de redes Pacotes broadcast destino 255 255 255 255 n o s o rote veis por padr o Isto se um roteador recebe um pacote com este destino ele processa o pacote ARP DHCP etc mas n o transmite este pacote para nenhum outro destino Como o servico de DHCP feito utilizando pacotes UDP com destino broadcast por padr o seria necess rio 1 servidor por subrede A soluc o o comando ip helper address ip http www cisco com en US docs ios 12_3 ipaddr command reference ip1_ilg html wp1084408 Esse comando permite ao roteador transmitir pacotes de broadcast para um ou mais destino escolhido DHCP SERVER 10 66 66 66 1 DHCP REQUEST Dest 10 66 66 1 67 DHCP REQUEST unicast Dest 10 66
14. request 0 from 150 1 234 6 1 ms Reply to request 0 from 150 1 234 6 1 ms Reply to request 0 from 150 1 234 6 1 ms Reply to request 0 from 150 1 234 6 1 ms Design de Rede roteando com OSPF troubleshooting Um engenheiro de rede estava tendo dificuldades em rotear o trafego pelos links de maior banda do site que ele mesmo havia desenhado A parte da rede que importa neste problema era mais ou menos como a rede abaixo 172 16 12 0 24 172 16 24 0 24 AREA re 0 172 16 45 0 24 172 16 34 0 24 O problema era que os usu rios conectados ao roteador R1 estavam roteando pelos links de menor banda 512k para chegar a redes conectadas ao roteador R5 O que ele desejava era rotear da seguinte forma 172 16 12 0 24 172 16 24 0 24 Caminho Ideal para 172 16 45 0 24 172106 Lona R1 gt R3 gt R4 2 devido aos links de maior banda 1Mbps Seguindo os links de maior banda 1Mbps Fica claro pelo desenho da rede que isso n o ia ser poss vel Vamos analisar a tabela de roteamento do roteador R1 rl sir b Gate Gateway of last resort is not set 172 16 0 0 24 is subnetted 5 subnets O 172 16 45 0 110 3901 via 172 16 12 2 00 01 57 Ethernet0 0 O 1L72216 34 0 210 200 via 112 16 13 3 00 01 57 Ethernet0 1 O 172 16 24 50 110 8390 v a 172 16 12 2 00 01 57 Ethernet0 0 C 172 16 12 0 is directly connected Ethernet0 0 C 172 16 13 0 is directly connected Ethernet0 1 Agora se analisarmos os c
15. 0 from 150 1 234 10 4 ms Reply to request 0 from 150 1 234 5 4 ms Reply to request 0 from 150 1 234 4 4 ms Reply to request 0 from 150 1 234 1 4 ms Reply to request 0 from 150 1 234 40 4 ms Reply to request 0 from 150 1 234 20 4 ms Usando uma Port ACL podemos filtrar pacotes IP vindos do R1 150 1 234 1 Neste exemplo uma ACL que filtra os pacotes destinados ao roteador R4 150 1 234 4 vindos do R1 foi aplicada a interface f0 1 do sw1 Lembrando que uma ACL deste tipo somente pode ser aplicada com Inbound swl config access list 101 deny ip any host 150 1 234 4 swl config access list 101 permit ip any any swl config int 0 1 swl config if fip access group 101 out A 9 Invalid input detected at marker swl config if tip access group 101 in Agora R1 n o pode mais se comunicar com R4 mas ainda pode falar com qualquer outra m quina na mesma vlan e fora 150 1 200 40 Rl p 150 1 234 5 Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 234 5 timeout is 2 seconds Success rate is 100 percent 5 5 round trip min avg max Rl p 150 1 234 4 1 1 4 ms Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 234 4 timeout is 2 seconds Success rate is 0 percent 0 5 Rl p 150 1 200 40 Lyp scape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 200 40 timeout is 2 seconds Success rate is 100 percent 5 5 round trip min avg max 1
16. 1 4 ms Pode se aplicar tamb m uma MAC extended ACL para filtrarmos pacotes que n o s o IP http www cisco com en US docs switches lan catalyst6500 ios 12 1E native command reference l1 html wp1271486 VLAN MAPS VACLS A forma mais eficiente de se filtrar tr fego dentro de uma VLAN utilizando uma Vlan ACL Digamos que temos os seguinte requerimentos de seguran a para a rede da Figura 1 e R1 tem permiss o para se comunicar via IP dentro da subnet 150 1 234 0 24 apenas com R4 234 4 ou R5 234 5 e R5 n o pode se comunicar via IP com R3 dentro da subnet 150 1 234 0 24 e R3 n o pode receber pacotes ARP do gateway Notem que R3 n o poder comunicar com IPs fora da sua subnet uma vez que n o ter em sua tabela ARP a entrada MAC para o IP do gateway Vamos aplicar esta Vlan Map no switch 1 lembrando que essa vlan map apenas controla tr fego que entra ou sai da Vlan dentro deste mesmo switch vlan access map vm filter 10 action forward match ip address 101 exit vlan access map vm_filter 20 action drop match ip address 111 exit 1 vlan access map vm_filter 30 action drop match ip address 120 exit vlan access map vm_filter 40 action drop match MAC address mc_arp 1 vlan access map vm_filter 50 1 access list 110 permit ip host 150 1 234 1 150 1 234 4 0 access list 111 permit host 150 1 234 1 host 150 1 234 0 access list 120 permit ip host 150 1 234 5 host 150 1 234 3 1 0 051 0 0905
17. 24 GW 150 1 234 10 F0 19 21 Foro 150 1 234 1124 FW sw1 GW 150 1 234 10 For13 Int vian 300 150 1 234 10 24 150 1 234 FOIO 150 1 234 4 24 Int vlan 300 150 1 234 20 24 GW 150 1 234 10 Figura 1 Antes de aplicar qualquer filtro ACL na topologia acima vemos que temos conectividade entre as m quinas na VLAN 300 e entre essas m quinas e IPs fora desta VLAN atrav s do gateway 150 1 234 40 Rl ping 150 1 234 255 rep 1 Type escape sequence to abort Sending 1 100 byte ICMP Echos to 150 1 234 255 timeout is 2 seconds Reply to request 0 from 150 1 234 10 1 ms Reply to request 0 from 150 1 234 3 1 ms Reply to request 0 from 150 1 234 5 1 ms Reply to request 0 from 150 1 234 4 1 ms Reply to request 0 from 150 1 234 40 1 ms Reply to request 0 from 150 1 234 30 1 ms R1 p 150 1 200 40 Type escape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 200 40 timeout is 2 seconds Success rate is 100 percent 5 5 round trip min avg max 1 1 4 ms Rl sh arp Protocol Address Age min Hardware Addr Type Interface Internet 150 1 234 5 6 001b 0cfa 9f69 ARPA FastEthernet0 0 Internet 150 1 234 4 6 001b 2a55 f 70 ARPA FastEthernet0 0 Internet 150 1 234 1 001b 0cfa 9eb0 ARPA FastEthernet0 0 Internet 150 1 234 3 7 001b 2a55 e338 ARPA FastEthernet0 0 R3 ping 255 255 255 255 rep 1 Type escape sequence to abort Sending 1 100 byte ICMP Echos to 255 255 255 255 timeout is 2 seconds Reply to request
18. 50 1 234 6 e uma interface loopback 0 em R6 com endereco 150 1 6 6 24 r6 int 100 ip add 150 Le 255 255 25 560 ES ip route 0 0 0 0 0 0 0 0 150 1 234 6 Verificac o R3 pertence a uma VLAN secund ria comunit ria portanto s poder se comunicar com R4 que tamb m est na VLAN secundaria comunit ria e com R6 e com as SVIs dos sw3 e sw4 Fazendo um ping para um endereco de broadcast desta subnet 150 1 234 0 24 temos o seguinte resultado R3 ping 150 1 234 255 Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 234 255 timeout is 2 seconds Reply to request 0 from 150 1 234 40 1 ms Reply to request 0 from 150 1 234 4 1 ms Reply to request 0 from 150 1 234 6 1 ms Reply to request 0 from 150 1 234 30 1 ms A R4 ping 150 1 234 255 Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 234 255 timeout is 2 seconds Reply to request 0 from 150 1 234 40 1 ms Reply to request 0 from 150 1 234 3 1 ms Reply to request 0 from 150 1 234 Reply to request 0 from 150 1 234 R5 ping 150 1 234 255 Type escape sequence to abort 30 ms ms Sending 5 100 byte ICMP Echos to 150 1 234 255 timeout is 2 seconds Reply to request 0 from 150 1 234 40 ms Reply to request 0 from 150 1 234 6 1 ms Reply to request 0 from 150 1 234 30 ms R5 ping 150 1 6 6 Type escape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 6 6 timeout is 2 seconds Reply to
19. 66 1 67 HSRP virt IP 10 0 10 1 E0 1 10 0 10 3 E0 1 10 0 10 4 Ip helper address 10 66 66 1 gt 10 0 10 0 24 GA Ip helper address 10 66 66 1 E0 0 dhcp DHCP REQUEST broadcast UDP Dest 255 255 255 255 67 H1 Ex RA e RB int e0 1 ip helper address 10 66 66 1 Pacotes recebidos na interface E0 1 com destino 255 255 255 255 ser o enviados para o destino 10 66 66 1 como unicast Por padr o os seguintes protocolos s o enviados TFTP port 69 DNS port 53 Time port 37 TACACS port 49 BOOTP client port 68 BOOTP server port 67 NetBIOS name service port 137 NetBIOS datagram service port 138 O controle de quais protocolos ser o utilizados por este comando feito por um outro comando ip forward protocol udp port nd sdns http www cisco com en US docs ios 12_3 ipaddr command reference ip1_ilg html wp1108053 Alguns exemplos LAB config tip forward protocol udp lt 0 65535 gt Port number biff Biff mail notification comsat 512 bootpe Bootstrap Protocol BOOTP client 68 bootps Bootstrap Protocol BOOTP server 67 discard Discard 9 dnsix DNSIX security protocol auditing 195 domain Domain Name Service DNS 53 echo Echo 7 isakmp Internet Security Association and Key Management Protocol 500 mobile ip Mobile IP registration 434 nameserver IEN116 name service obsolete 42 netbios dgm NetBios datagram service 138 netbios ns NetBios name service 137 netb
20. 76 pkts sec 52713 bytes sec 5 minute drop rate 0 pkts sec Cables received in 1265855 538 secs 470993679 packets 117210212522 bytes 2 pkts sec 92003 bytes sec transmitted in 1265855 538 secs 527020735 packets 364395590525 bytes 2 pkts sec 287003 bytes sec 1 minute input rate 565 pkts sec 36844 bytes sec 1 minute output rate 1002 pkts sec 1314076 bytes sec 1 minute drop rate 1 pkts sec 5 minute input rate 795 pkts sec 53239 bytes sec 5 minute output rate 1229 pkts sec 1323410 bytes sec tempo 5 minute drop rate 1 pkts sec show memory Verifica a quantidade de mem ria do sistema total livre e usada Free memory 330669584 bytes 62 Used memory 199020912 bytes 38 Total memory 529690496 bytes 100 show perfmon Verifica a quantidade e tipo de tr fego passando pelo firewall PERFMON STATS Current Average Xlates 0 s 0 s Connections 0 s 0 s TCP Conns 0 s 0 s UDP Conns 0 s 0 s URL Access 0 s 0 s URL Server Req 0 s 0 s TCP Fixup 0 s O s TCP Intercept Established Conns 0 s O s TCP Intercept Attempts 0 s 0 s TCP Embryonic Conns Timeout 0 s 0 s ETTP Fixup 0 s 0 s FTP Fixup 0 s 0 s AAA Authen 0 s 0 s AMA Author 0 s 0 s AAA Account 0 s 0 s VALID CONNS RATE in TCP INTERCEPT Current Average 100 00 99 00 show cpu usage verifica o uso da CPU do firewall CPU utilization for 5 seconds 6 1 minute 5 5 minutes 5 Outros comandos teis durante o troubleshooting de probl
21. Como era uma rota externa redistribute static usei o comando show ip ospf database external e pude verificar que a rede estava presente ce sh ip ospf database external OSPF Router with ID 1 1 1 1 Process ID 1 Type 5 AS External Link States LS age 1256 Options No TOS capability DC LS Type AS External Link Link State ID 10 22 22 0 External Network Number Advertising Router 3 3 3 3 LS Seq Number 80000003 Checksum 0x9432 Length 36 Network Mask 24 etric Type 1 Comparable directly to link state metric TOS 0 etric 20 Forward Address 10 0 10 2 External Route Tag 0 Ent o porque a rota n o estava sendo instalada na tabela de roteamento Verificando a tabela completa de roteamento do roteador CE temos cefsh ip route b Gate Gateway of last resort is not set 10 0 0 0 24 is subnetted 1 subnets S 2000 10 0 T1701 v a 150 20 20 2 150 15 0 0 24 is subnetted 1 subnets 0 150 15 15 0 110 20 via 150 20 20 2 00 58 36 Ethernet0 0 150 20 0 0 24 is subnetted 1 subnets C 150 20 20 0 is directly connected Ethernet0 0 E a podemos ver a causa do problema pois em resumo o problema aqui s o rotas externas ao OSPF redistribu das n o sendo colocadas na tabela de roteamento Trata de um problem com o FA forwarding address endereco de encaminhamento Esse valor acrescentado aos LSAs externos LSA tipo 5 para indicar para onde o tr fego deve ser enviado Iss
22. De acordo com a RFC 2328 sec o 11 a ordem de prefer ncia para as rotas OSPF rotas intra area O rotas interarea OIA rotas externas tipo 1 O El rotas externas tipo 2 O E2 Essa ordem nao pode ser mudada dentro do mesmo processo OSPF e por isso uma rota do tipo O IA area 1 no nosso exemplo nunca vai ter prefer ncia mesmo com um menor custo sobre uma rota do tipo intra area dentro da area O no nosso exemplo Uma forma alternativa seria criar mais um processo de OSPF no mesmo router e trabalhar com dist ncia administrativa Mas idealmente o melhor evitar desenhar a rede de forma que este tipo de problema aconteca Troubleshooting avancado em Roteamento com OSPF em roteadores Cisco Essa rede havia sido suportada por um time local durante muitos anos e digamos existiam algumas muitas configura es estranhas na rede A rede onde a nova subnet para wireless seria acrescentada era mais ou menos como a rede abaixo E ISP PED CE 150 1 103 0 30 oe eg EN Pa PM Id 2 2 2 2 Vendor L3 switch 150 15 15 1 24 Redist Static gt OSPF 10 22 22 0 0 24 Static 10 22 22 0 24 via 10 0 10 2 Os WAPs wireless access points ou pontos de acesso sem fio estavam conectados a um switch L3 As redes existentes eram alcanc veis via rotas est ticas mesmo existindo OSPF na rede configuradas nos roteadores SD CD e CE A id ia inicial foi porque n o redistribuir as rotas est ticas no roteador SD dentro d
23. GP para o roteador CE do site A tarefa a realizar seria a de somente utilizar a rota padr o vinda do ISP A durante o hor rio comercial e a rota vinda do ISP B fora do hor rio comercial hor rio comercial seg a sexta de 06 00 as 18 00 A primeira coisa que pensamos f cil temos apenas que utilizar uma Time Based ACL ACL baseada em tempo e aplicar um filtro no BGP utilizando esta ACL Perfeito Antes de utilizarmos qualquer filtro temos a seguinte tabela de BGP no roteador CE onde vemos a rota default vinda de ambos provedores 10 0 0 2 e 20 0 0 2 Nota Usei um peso weight para que a rota do ISP A seja sempre preferida caso ela exista na tabela BGP ce sib BGP table version is 2 local router ID is 20 0 0 1 Status codes s suppressed d damped h history valid gt best i internal r RIB failure S Stale Origin codes i IGP e EGP incomplete Network Next Hop Metric LocPrf Weight Path eo 0 OO 200 ee 00 31 gt 10 0 0 Z 0 500 2 Configuramos uma ACL baseada em tempo que estar ativa durante os finais de semana e fora do hor rio entre 6 00h e 18 00h ip access list extended acl_bgp_f deny ip any any time range n_comercial permit ip any any 1 time range n_comercial periodic weekend 0 00 to 23 59 periodic weekdays 0 00 to 5 59 periodic weekdays 18 00 to 23 59 Usamos essa ACL em um filtro de BGP distribute list in para o vizinho no ISP A Desta forma bloquearemos a rota 0 0 0 0 0 vi
24. O TCL Tool Command Language shell Essa shell foi criada para permitir a execu o de scripts TCL diretamente no IOS CISCO Estes scripts claro usam e interagem diretamente com os comandos dispon veis no IOS Existe tamb m a possibilidade de criar o script e depois pr compilar os mesmos salvando os na mem ria FLASH ou disco Al m disto podem ser compartilhados por m ltiplos usu rios no mesmo roteador e ao mesmo tempo Um exemplo do uso dessa shell aparece na prova pr tica da CCIE RS onde usualmente pede se conectividade total entre os equipamentos isto cada IP da rede deve ser capaz de pingar qualquer outro IP Agora imaginem testar conectividade de 10 equipamentos repletos de interfaces e IPs Pingar cada IP de cada equipamento de dentro de cada equipamento E ainda verificar o que falhou e ir atr s do problema Tarefa complicada que o seguinte TCL script simplifica e muito Basicamente ele serve para filtrar a resposta do comando PING e apenas imprimir na tela os IPs que n o responderem com um ICMP echo reply foreach gt cria uma loop de itera ao com os IPs listados exec ping ips timeout 3 gt pinga cada IP da lista e usa um timeout de 3 seg string first gt verifica se na string de sa da do comando ping IP encontramos result 1 puts ips verifica se o resultado for negativo sem resposta do ping imprimi na tela dois pontos eo IP que n o respondeu rl tclsh ri te
25. Troubleshooting Cisco ASA firewall via HTTPs sem telnet ssh ou ASDM Existem diversas formas de se administrar um Cisco firewall Algumas delas e via telnet tcp 23 e via ssh tcp 22 e via https ASDM tcp 443 Uma forma alternativa de se executar comandos no ASA seria via HTTPs diretamente sem o uso do Cisco ASDM Adaptive Security Device Manager Usando a seguinte URL https lt ip do firewall gt exec comando Alguns exemplos de comandos usandos durante a resolu o de problemas de performance em um firewall Cisco show conn count Mostra o n mero m ximo e o n mero atual de conex es atrav s do firewall x tr 4 K https 192 168 2 231 exec show conn count Most Visited Getting Started Latest Headlines Apple Yahoo Google Maps YouTube 204 in use 3996 most used show traffic Mostra a quantidade de tr fego passando pelo firewall em um determinado per odo de C x A a K https 192 168 2 231 exec show traffic Most Visited Getting Started Latest Headlines Apple Yahoo Google Maps Y zumInternet received in 1265855 538 secs 587157448 packets 371711608566 bytes 2 pkts sec 293003 bytes sec transmitted in 1265855 538 secs 530286999 packets 132748942568 bytes 1 pkts sec 104000 bytes sec 1 minute input rate 1031 pkts sec 1319933 bytes sec 1 minute output rate 592 pkts sec 42687 bytes sec 1 minute drop rate 0 pkts sec 5 minute input rate 1111 pkts sec 1309680 bytes sec 5 minute output rate 6
26. ar esse ataque consiste em se verificar o tempo de vida dos pacotes BGP enviados Uma vez que muito dificil utilizar de forma eficiente pacotes com TTL forjados O comando utilizado para isso neighbor ip address ttl security hops hop count Onde hop count indica a distancia em saltos para o vizinho BGP A verifica o feita O TTL do pacote recebido maior que 255 hopcount Caso verdadeiro o pacote aceito caso contr rio descartado e nenhum ICMP enviado Nota Esse comando substitui o comando neighbor ebgp multihop E estes s o mutuamente exclusivos Um exemplo b sico da utilizac o desse comando router bgp 12345 no synchronization neighbor 200 1 1 1 remote as 19000 neighbor 200 1 1 1 ttl security hops 2 no auto summary Pacotes enviados a este roteador com TTL menor que 253 255 2 ser o descartados Podemos verificar isto com o comando show ip bgp neighbor ip Router show ip bgp neighbors i External BGP neigh External BGP neighbor may be up to 2 hops away traduzindo Vizinho Externo BGP pode estar at 2 hops de distancia Essa t cnica n o protege contra e Ataques desferidos de dentro da pr pria rede ou rede diretamente conectada ao roteador e Ataques entre peers iBGP n o existe TTL limite e Vizinhos que est o a v rios saltos de dist ncia utilizando ebgp multihop Como fazer meu CISCO ASA PIX aparecer em um traceroute Usualmente costumamos usar todos os meios para tornar
27. crescentamos esse comando nos dos roteadores ra e rb E como m gica DHCPD assigned IP address 10 0 20 11 to client 0063 6973 636f 2d63 6330 342e 3038 3834 2e30 3030 302d 4574 302 30 DHCPD Sending DHCPOFFER to client 0063 6973 636f 2d63 6330 342e 3038 3834 28630 3030 302d 4574 302f 30 10 0 20 11 DHCPD unicasting BOOTREPLY for client cc04 0884 0000 to relay 10 0 20 4 o roteador H2 h2 Mar 1 02 06 05 935 SDHCP 6 ADDRESS_ASSIGN Interface Ethernet0 0 assigned DHCP address 10 0 20 10 mask 25523329390 hostname 42 h2 sh ip route Codes C connected S static R RIP M mobile B BGP D EIGRP EX EIGRP external O OSPF IA OSPF inter area N1 OSPF NSSA external type 1 N2 OSPF NSSA external type 2 El OSPF external type 1 E2 OSPF external type 2 i IS IS su IS IS summary LI IS IS level 1 L2 IS IS level 2 ia IS IS inter area candidate default U per user static route o ODR P periodic downloaded static route Gateway of last resort is 10 0 20 1 to network 0 0 0 0 10 0 0 0 8 is variably subnetted 2 subnets 2 masks S 10 0 30 6 32 254 0 via 10 0 20 1 Ethernet0 0 C 10 0 20 0 24 is directly connected Ethernet0 0 S 0 0 0 0 0 254 0 via 10 0 20 1 NAT NATeando respostas de DNS em um roteador CISCO A quest o levantada foi Como usar um servidor de DNS externo para resolver nomes de um servidor web que esta dentro da nossa pr pria rede na mes
28. do a um problema de comunicac o entre os times eles haviam configurado o AS antigo ao inv s de usar o AS novo 65200 Quem ja trabalhou com grandes provedores e em empresas com um sistema de changes bem restrito sabe que as vezes algo simples como dizer para eles muda a configura o do seu roteador para usar o AS 65200 pode ser imposs vel Primeiro que neste caso n o seria somente uma linha Existem outras configura es que eu n o postei que tamb m envolviam esse n mero como filtros com as path aplicados a route maps etc Em segundo que nunca se sabe quem estar acompanhando a change do outro lado Por fim n o era poss vel realizar a mudan a de configura o e a migra o do site para o router link novo teria que ser cancelada neighbor ip address peer group name local as as number http www cisco com en US docs ios 12_2 iproute command reference 1rfbgp1 html wp1185470 Esse comando usado para se alterar o n mero AS local enviado nos pacotes de BGP para o vizinho uma forma de enganar o vizinho fingindo se ter um AS diferente do realmente configurado Ent o apliquei a configurac o r novo config router bgp 65200 r novo config router neighbor 10 0 0 2 local as 65100 SBGP 5 ADJCHANGE neighbor 10 0 0 2 Up Change Salva O BGP sabe apesar de ter feito a conex o e a migrac o ter acontecido existe um problema com comando Verificando a tabela de BGP do roteador do Provedor pode
29. emas de performance s o show blocks show xlate show interface show processes Protegendo ataques ao BGP em routers Cisco parte 1 BGP Border Gateway Protocol um protocolo de roteamento usualmente usado em provedores de servico ISP Empresas pequenas muitas vezes utilizam apenas rotas est ticas para se conectarem a um nico provedor e usando apenas uma conex o E por isto est o livres dos potencias problemas que podem enfrentar ao utilizarem um protocolo de roteamento como o BGP nos roteadores de borda com a INTERNET Existem diversos tipos de ataques que o utilizam o BGP para interromper o servico em uma rede Normalmente o conhecimento e t cnicas para se evitar este tipo de ataque est concentrado em engenheiros t cnicos dentro dos Provedores Somando a isso o fato de que o n mero de empresas utilizando BGP em seus roteadores vem aumentando resolvi postar aqui algumas dessas t cnicas que podem e deveriam ser utilizadas por qualquer engenheiro de rede Dois tipos de ataques s o e Manipula o de rotas Nesse caso um equipamento altera o conte do da tabela de roteamento BGP do roteador local e Nega o de Servi o DoS Nesse caso o ataque feito aos recursos do roteador cpu mem ria tabela de rotas tabela BGP A inten o esgotar estes recurso para impedir o funcionamento do roteador Prote o 1 Protegendo os peers vizinhos com uma senha MD5 A primeira e essencial t cnica e mai
30. ios ss NetBios session service 139 non500 isakmp Internet Security Association and Key Management Protocol 4500 ntp Network Time Protocol 123 pim auto rp PIM Auto RP 496 rip Routing Information Protocol router in routed 520 snmp Simple Network Management Protocol 161 snmptrap SNMP Traps 162 sunrpc Sun Remote Procedure Call 111 syslog System Logger 514 tacacs TAC Access Control System 49 talk Talk 517 tftp Trivial File Transfer Protocol 69 time Time 37 who Who service rwho 513 xdmcp X Display Manager Control Protocol 177 ACLS Isto quer dizer que por padr o se configurarmos o comando ip helper address em um interface qualquer pacote de broadcast destes tipos ser o enviados para o destino configurado No nosso exemplo n o somente os pacotes de DHCP mas outros as vezes indesej veis ser o tamb m enviados ao servidor de DHCP E enviar NETBIOs para o servidor DHCP por exemplo seria sem sentido Ent o toda vez que configurarmos esse comando com o objetivo de enviarmos pacotes de DHCP para um servidor bom usarmos em conjunto o comando global router config tip forward protocol udp 67 Como distribuir IPs via DHCP para endere os secund rios em uma vlan CISCO smart r Por padr o quando um roteador CISCO recebe um pedido broadcast de DHCP DHCPDISCOVER udp 67 e est configurado com o comando service dhcp e a interface que recebeu o pacote est c
31. l fproe pingall 4 1 gt tcl foreach ips FCO iso bad gt tc1 155 4 4 4 FE CEL 155 0 6 6 gt tcl set result string first exec ping Sips timeout 3 gt tcl 1f result 1 puts Sips gt tcl ri tcl pingall 155 4 4 4 155 06 6 Somente para relembrar a sa da tipica de um ping e entender melhor o exemplo rl ping 155 1 1 1 timeout 3 Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 155 1 1 1 timeout is 3 seconds Success rate is 100 percent 5 5 Assim como o script verificou os na sa da do comando nada foi impresso na tela E para um ping que nao recebeu resposta rl ping 155 4 4 4 timeout 3 Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 155 4 4 4 timeout is 3 seconds EB Success rate is 0 percent 0 5 O script n o encontra e imprime na tela e o IP Usei este exato script durante meu estudo e no dia do LAB CCIE R amp S Ap s configurar todos os equipamentos acessei cada um deles e com um show ip interface br tomar cuidado para n o perder ips secund rios que n o s o listados na sa da deste comando criei uma lista de IPs e colei os mesmos no script Depois foi apenas uma quest o de copiar colar e executar o script em cada equipamento e conferir o resultado Nota Quem escreveu este script foi um grande amigo monstro dos scripts e ex colega de trabalho o Daniel Longhi Esse
32. ma LAN DNS EXTERNO lt a 192 168 1 10 ii 200 33 33 10 24 10 d ASR RR www vlad com 200 10 10 10 Isso surgiu porque o servidor de DNS da empresa estava localizado num endere o publico ex 200 33 33 10 em uma outra cidade E os computadores locais apontavam para esse servidor Mas o servidor de Web da empresa ficava na mesma LAN que estes computadores em uma outra subnet ex 192 168 1 10 mas era vis vel na Internet com o IP 200 10 10 10 A d vida ent o era se a resposta do DNS vai ser 200 10 10 10 como as maquinas da rede 10 0 0 0 8 iriam alcan ar esse endere o NATead traduzido Esse tipo de conex o o roteador n o aceita a conex o e reseta a mesma E podemos ver isto se tentarmos acessar o servidor de dentro da rede 10 0 0 0 usando o IP 200 10 10 10 como destino hl telnet 200 10 10 10 80 Trying 200 10 10 10 80 Connection refused by remote host hl IP tableid 0 s 10 10 10 2 local d 200 10 10 10 Ethernet0 0 routed via FIB IP s 10 10 10 2 local d 200 10 10 10 Ethernet0 0 len 44 sending TCP src 38273 dst 80 seq 3597984194 ack 0 win 4128 SYN IP tableid 0 s 200 10 10 10 Ethernet0 0 d 10 10 10 2 Ethernet0 0 routed via RIB IP s 200 10 10 10 Ethernet0 0 d 10 10 10 2 Ethernet0 0 len 40 revd 3 TCP src 80 dst 38273 seq 0 ack 3597984195 win 0 ACK RST Este TCP RST na verdade vem do roteador que esta realizando o NAT estatico en
33. mos os firewalls o mais transparentes poss vel em uma rede por quest es bvias de seguran a Entretanto de tempo em tempo recebemos perguntas como essa Como fazer meu CISCO ASA PIX aparecer em um traceroute A configura o padr o de um firewall CISCO ASA PIX n o decrementa o TTL dos pacotes L3 que trafegam pelo mesmo Mesmo se estes est o configurados como um hop extra na rede Isto como um roteador Para tanto necess ria seguinte configura o Nota PIX ASA vers o de software acima de 7 x policy map global policy class class default set connection decrement ttl necess rio tamb m a cria o de uma access list ACL permitindo o retorno de pacotes ICMP tipo 11 time exceded e tipo 3 c digo 3 unreachables access list OUTSIDE IN extended permit icmp any any time exceeded access list OUTSIDE IN extended permit icmp any any unreachable access group OUTSIDE IN in interface outside R22 R2 ASA R1 136 1 121 1 24 E Inside 136 1 121 12 24 136 1 22 22 24 136 1 22 2 24 Antes do mudanca rl traceroute 136 1 22 22 Type escape sequence to abort Tracing the route to 136 1 22 22 1 136 1 122 2 356 msec 296 msec 96 msec 2 136 1 22 22 192 msec 248 msec Ap s a mudanca rl1 traceroute 136 1 22 22 Type escape sequence to abort Tracing the route to 136 1 22 22 1 136 1 122 12 36 msec 100 msec 96 msec 2 136 1 122 2 72 msec 132 msec 208 msec 3 136 1 22 22 124 msec 80 msec
34. mos ver o problema isp rtsh ip bgp b Netw Network Next Hop Metric LocPrf Weight Path gt 10 0 55 0 24 10 0 0 1 0 0 65100 65200 1 O AS falso foi acrescentado ao AS PATH das redes vinda do roteador novo E isso pode gerar problemas de roteamento indevido uma vez que a quantidade de ASs em um AS PATH faz parte da decis o do BGP na hora de escolher a melhor rota para um site http www cisco com en US tech tk36 80094431 shtml Cada site dessa empresa tinha 2 links O link com maior banda sempre ia por um caminho com um menor numero de AS Assim outros sites utilizavam esse caminho para alcancar o demais sites Como neste caso um novo AS foi acrescentado gerou se um problema onde o caminho para esse site agora passou a ser o pior link com menos banda Manipulando a decis o do BGP em outra parte da rede foi poss vel corrigir esse problema enquanto aguard vamos uma nova change para deixar tudo no ponto isto mudar o AS na configurac o do BGP para 65200 e eliminar esse gato na rede Kron agendando comandos no lOS CISCO filtro BGP time based O comando usado o KRON http www cisco com en US docs ios 12_3 configfun command reference cfr_1g04 html wp1049808 Esse comando uma vers o bem simplificada do cron que existe no EEM da CISCO e que muito mais vers til e complexo O Kron basicamente permite a execuc o de comandos EXEC uma nica vez ou em intervalos espec ficos em determinado horario
35. n o pode falar fora de sua vlan vm filter 50 foi criado para permitir qualquer outro trafego IP ou MAC dentro desta VLAN Uma sequ ncia vazia assume como padr o a ac o de permitir qualquer tipo de tr fego action forward Sem esta sequ ncia a ac o impl cita em uma Vlan Map a de bloquear todo tr fego Nota Deve se tomar cuidado especial ao utilizar MAC ACLs em um Vlan map j que podemos acabar bloqueando BPDUs e impedir o correto funcionamento do Spanning Tree STP e gerar loops de camada 2 na rede broadcast storms Valores que podemos esperar ver num LAB de CCIE e 0x0806 ARP e Isap OxAAAA PVST e 0x4242 STP and PVST e 0x86DD IPv6 Outros valores de Ethernet Types podem ser encontrados no DOC CD da CISCO http www cisco com en US docs ios 12_2 ibm vol1l command reference brifethc html wp1017386 Alguns detalhes sobre as VACLs Esse tipo de ACL configurada de forma semelhante aos route maps Trabalham de forma sequ ncial Isto a ordem das entradas importante e S o processadas em hardware n o ir o causar problemas de performance e Se utilizarmos uma vlan map muito extensa o switch poder levar mais tempo para realizar um boot e N o existe suporte para logging nestas ACLs Private VLANs em CISCO CATOS Afinal a id ia das Private Vlans surgiu primeiro no CATOS e foi depois implementada em IOS lo Configurar o mode VTP como transparente Cos set vtp mode transparent IOS vtp mode
36. n private vlan Primary Secondary Type Ports 300 30 isolated 300 31 community Fa0 4 sw3 sh vlan private vlan Primary Secondary Type Ports 300 30 isolated Fa0 5 300 31 community sw4 sh vlan private vlan Primary Secondary Type Ports 300 30 isolated Fa0 6 300 31 community Fa0 6 Nota FO 6 por ser uma porta prom scua pertence a ambas VLANs 50 Configurac o da porta promiscua neste exemplo ligada ao R6 sw4 interface FastEthernet0 6 switchport private vlan mapping 300 30 31 switchport mode private vlan promiscuous 60 Opcional Configurar interfaces L3 SVI switched virtual interfaces nos switches para a realizac o do roteamento inter VLAN sw3 interface Vlan300 ip address 150 1 254 30 2051203200900 private vlan mapping 30 31 sw4 interface Vlan300 ip address 150 1 234 40 255 255 255 090 private vlan mapping 30 31 As portas entre os switches foram configuradas como trunk interface FastEthernet0 13 switchport trunk encapsulation dotlq switchport mode trunk E apenas como extra 3 portas entre o sw1 e sw4 foram configuradas como um port channel L2 em trunk interface range FastEthernet0 19 21 switchport trunk encapsulation dotlq switchport mode trunk channel group 1 mode active interface Port channell switchport trunk encapsulation dotlq switchport mode trunk Tamb m com extra para testar conectividade neste LAB implementei uma rota default no R5 apontando para R6 1
37. nda do ISP A fora do hor rio comercial e rotearemos por ISP B No roteador CE configuramos router bgp 1 neighbor 10 0 0 2 distribute list acl_bgp_f in Mas existe um problema O BGP n o ir re processar os filtros aplicados aos seus vizinhos sem que exista alguma mudanca nas rotas Isto mesmo que o filtro mude n o haver um novo update das rotas na tabela de BGP Ent o como resolver esse problema Precismos de fazer com que o BGP reprocesse as rotas O comando clear ip bgp soft pode ser usado para reprocessar os filtros do BGP sem interromper as se es criadas da o nome soft http www cisco com en US docs ios html wp1249715 Vamos ver como fica irei alterar o hor rio com o comando clock para ativar a ACL ce sh ip bgp BGP table version is 2 local router ID is 20 0 0 1 Status codes s suppressed d damped h history valid gt best i internal r RIB failure S Stale Origin codes i IGP e EGP 7 incomplete Network Next Hop Metric LocPrf Weight Path Ons lO QOL O21 DS a z gt 10 0 0 2 0 300 2 ce sh clock 13 09 26 043 UTC Mon Feb 16 2009 ce clock set 21 00 00 16 feb 2009 cetclear ip bgp soft ce sh ip bgp BGP table version is 3 local router ID is 20 0 0 1 Status codes s suppressed d damped h history valid gt best i internal r RIB failure S Stale Origin codes i IGP e EGP incomplete Network Next Hop Metric LocPrf Weight Path A gt
38. ng primary_number secondary_number 15 1 session 15 privileged config t global interface vlan primary number interface ip address address mask IOS global interface primary_number interface ip address address mask interface private vlan mapping primary_number secondary_number Verificac o Cos show pvlan number show pvlan mapping show pvlan capability mod port 10S show vlan private vlan type show interface private vlan mapping show interface type mod port switchport Implementando Private Vlans em um Switch CISCO 5 yJ Int vlan 300 150 1 234 40 24 LO 150 1 6 6 24 Int vlan 300 150 1 234 20 24 Private VLANs foram criadas com basicamente 2 prop sitos e Prover segmentac o entre pontos de rede sem a necessidade de se subdividir a rede em varias subnets Em uma VLAN tradicional todos os pontos conectados a ela podem se comunicar entre si sem a necessidade de um elemento de L3 que realiza routing Caso exista a necessidade de se isolar esses pontos seria necess ria a criac o de outros segmentos e outras subnets o que exige mais endere os IPs outras t cnicas como VLAN Access Maps ou Protected ports tamb m podem ser utilizadas mas isso vir em outro post Empresas de outsourcing de redes podem utilizar de Private Vlans para isolar servidores de diferentes clientes em uma mesma VLAN sem a necessidade de criar um novo enderecamento ou sub rede e Outro uso seria em Services Providers ISPs
39. o OSPF e evitar aquele tanto de rotas est ticas E isto que foi realizado sd sh ip route b Gat Gateway of last resort is not set 10 0 0 0 24 is subnetted 2 subnets C 10 0 10 0 is directly connected Ethernet0 1 S 10 22 2230 1 0 via 10 0 20 2 150 15 0 0 24 is subnetted 1 subnets Cc 150 15 15 0 is directly connected Ethernet0 0 150 20 0 0 24 is subnetted 1 subnets O 150 20 20 0 110 20 via 150 15 15 2 00 02 05 Ethernet0 0 sd sh ip route 10 22 22 0 Routing entry for 10 22 22 0 24 Known via static distance 1 metric 0 Redistributing via ospf 1 Advertised by ospf 1 metric type 1 subnets Routing Descriptor Blocks A OD Route metric is 0 traffic share count is 1 No roteador CD cd sh ip route i 10 22 22 0 O El 10 22 22 0 110 40 via 190 15151 00 09 49 Eth rneto 1 cd sh ip route 10 22 22 0 Routing entry for 10 22 22 0 24 Known via ospf 1 distance 110 metric 40 type extern 1 Last update from 150 15 15 1 on Ethernet0 1 00 09 57 ago Routing Descriptor Blocks 150 15 1541 from 3 3 3 3 00 00 57 ago via Ethernet0 1 Route metric is 40 traffic share count is 1 No roteador CE E ce sh ip route i 10 22 22 0 ce sh ip route 10 22 22 0 Subnet not in table E por algum motivo a rota 10 22 22 0 24 n o estava na tabela de roteamento do roteador CE Basta verificar a dababase do OSPF para confirmar se a rede estaria sendo divulgada normalmente dentro do OSPF
40. o torna em alguns casos o roteamento mais eficiente dentro do OSPF Link externo Os efeitos do FA nos LSAs tipo 5 na selec o de caminhos rotas no OSPF O FA pode ser ou 0 0 0 0 ou qualquer outro IP Caso seja 0 0 0 0 o pacotes s o enviados ao router que originou o LSA ou seja o ASBR Autonomous System Boundary Router Existem condic es certas para que um FA seja o next hop ou proxima salto da rota redistribuida ao inv s de 0 0 0 0 e OSPF habilitado no ASBR na interface onde o next hop est configurado e Essa interface n o est como passiva no OSPF e Essa interface nao ser do tipo ponto a ponto ou ponto multiponto no OSPF Uma das regras que temos no OSPF rfc2328 que este endereco deve ser roteado via OSPF interno inter O IA ou intra area tipo O para que a rede divulgada no LSA tipo 5 possa ser usada isto para que ela apareca na tabela de roteamento E esse uma das regras pouco conhecidas do OSPF por incr vel que pareca Da RFC 2328 If the forwarding address is non zero look up the forwarding address in the routing table 24 The matching routing table entry must specify an intra area or inter area path if no such path exists do nothing with the LSA and consider the next in the list No nosso exemplo vemos que o FA para a rede 10 22 22 0 24 10 0 10 2 E se revermos a tabela do router CE vemos que a rota para 10 0 10 0 24 uma rota est tica cefsh ip route b Gate Gateway of last resort is
41. olega de trabalho que fazia o level 2 na poca me fez essa mesma pergunta Como funciona o DNS quando existe um NAT envolvido Resolvi montar tudo num LAB dynamips e mostrar com debugs como isso funciona Tudo foi feito com roteadores pc servidor web servidor dns inclusive As configura es do NAT s o bem simples Onde os endere os da LAN 10 0 0 0 8 s o traduzidos para o endereco da interface externa 200 10 10 1 E existe um NAT est tico traduzindo o endereco do servidor Web 192 168 1 10 para um endereco externo 200 10 10 10 nat sh run i Ethernet0 0 Serial1 0 nat hostname nat interface Ethernet0 0 ip nat inside interface Serial1 0 ip nat outside ip nat inside source list 10 interface Seriall 0 overload ip nat inside source static 192 168 1 10 200 10 10 10 Uma conex o ou ping realizado de uma maquina externa sera feita diretamente com o IP 200 10 10 10 internet ping www vlad com Translating www vlad com domain server 200 33 33 10 OK Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 200 10 10 10 timeout is 2 seconds Success rate is 100 percent 5 5 round trip min avg max 160 194 248 ms Realizando um teste de conexao de uma maquina na rede 10 podemos ver o resultado do ALG A conex o feita com o endereco interno hl telnet www vlad com 80 Translating www vlad com domain server 200 33 33 10 OK Trying www vlad com 192 168 1 10 80 Open GET HTTP
42. onfigurada com ip helper address ele envia uma requisic o unicast para o servidor de DHCP configurado mas apenas para a subnet do IP principal dessa interface Isto mesmo que n o exista mais IPs dispon veis o roteador continuar procurando um IP nessa mesma subnet Vamos ver uma simula o Nota Use HSRP nesse exemplo mas neste caso n o existe relev ncia DHCP SERVER 10 66 66 66 1 R HSRP virt IP 10 0 10 1 R HSRP virt IP 10 0 20 1 sec A B E0 1 10 0 10 3 E0 1 10 0 10 4 10 0 10 0 24 10 0 20 0 24 secund rio E0 0 dhcp E0 0 dhcp Na figura acima a interface e0 1 dos roteadores A e B foram configuradas da seguinte forma rafsh run int e0 1 interface Ethernet0 1 ip address 10 0 20 3 255 255 255 0 secondary ip address 10 0 10 3 255 255 2550 full duplex standby 1 ip 10 0 10 1 standby 1 ip 10 0 20 1 secondary standby 1 preempt end rbfsh run int e0 1 interface Ethernet0 1 ip address 10 0 20 4 255 255 255 0 secondary ip address 10 0 10 4 255 255 255 0 ip helper address 10 66 66 1 full duplex standby 1 ip 10 0 10 1 standby 1 ip 10 0 20 1 secondary standby 1 preempt end Os roteadores H1 e H2 representam maquinas na rede que ir o buscar endere os via DHCP interface Ethernet 0 0 ip address dhcp full duplex 10 66 66 1 o endereco para onde os pacotes de broadcast recebidos ser o enviados como unicast Configurei um roteador como servidor de DHCP com a seguinte configurac o
43. percent 2 2 round trip min avg max 1 2 4 ms R5fp 150 1 200 10 rep 2 Type escape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 200 10 timeout is 2 seconds Ni Success rate is 100 percent 2 2 round trip min avg max 1 1 1 ms Na sequ ncia vm filter 40 utilizamos uma MAC ACL para filtrar pacotes ARP 0x806 vindos do gateway 001b 2a53 6d58 150 1 234 10 para R3 001b 2a53 6d58 150 1 234 3 e aplicamos a ac o de drop R3 ping 150 1 234 4 Typ scape sequence to abort Sending 5 100 byte ICMP Echos to 150 1 234 4 timeout is 2 seconds Success rate is 100 percent 5 5 round trip min avg max 1 2 4 ms R3 ping 150 1 234 20 rep 2 Type escape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 20 timeout is 2 seconds pA Success rate is 100 percent 2 2 round trip min avg max 1 1 1 ms R3 ping 150 1 234 10 rep 2 Typ scape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 234 10 timeout is 2 seconds Success rate is 0 percent 0 2 R3 ping 150 1 200 10 rep 2 Typ scape sequence to abort Sending 2 100 byte ICMP Echos to 150 1 200 10 timeout is 2 seconds Success rate is 0 percent 0 2 R3 sh arp i 150 1 234 10 Internet 150 1 234 10 0 Incomplete ARPA Podemos ver que R3 pode falar com outras m quinas na subnet 150 1 234 0 24 mas n o pode se comunicar com seu gateway 234 10 por nao possue uma entrada ARP para este IP e por consequ ncia tamb m
44. s conhecida utilizar senha entre os roteadores rodando BGP Isto evita que um roteador ou qualquer maquina simulando BGP forme um peer com o seu roteador e divulgue rotas que podem interromper o trafego da sua rede Isto evita o ataque manipula o de rotas N o poss vel ler a senha transmitida capturando os pacotes na rede uma vez que ela enviada em forma de um hash MD5 O comando usado para isso neighbor ip address peer group name passwordstring http www cisco com en US docs ios 12 2 iproute command reference Irfbgp1 html wp1260412 Protecao 2 Confirmando o TTL tempo de vida dos pacotes BGP Essa t cnica em contraste com a anterior bem desconhecida dos engenheiros de redes Por padr o em uma conex o eBGP BGP externo entre dois AS Sistemas Aut nomos diferentes os pacotes enviados entre os roteadores vizinhos tem um TTL 1 Isto se d porque normalmente sec es como essa se d o entre roteadores diretamente conectados e as vezes entre as interfaces loopbacks desse roteadores neste caso usa se o comando neighbor ebgp multihop para aumentar o TTL dos pacotes Um tipo ataque utilizando uma chuva de pacotes forjados destinados ao roteador TCP 179 ir consumir os recursos de CPU do mesmo Nesse caso a Protec o 1 n o impede o ataque e pode at contribuir para o aumento do consumo de CPU Esse tipo de ataque pode ser desferido de qualquer lugar da INTERNET Uma t cnica para se evit
45. tes para qualquer outra porta dentro de qualquer outra VLAN Implementa o Foi utilizado nesse exemplo um rack similar ao usado no Internetwork Expert WB v4 Os passos 1 a 3 ser o realizados em todos os switches swl sw2 sw3 sw4 embora n o seja necess rio configurar as VLANs secund rias caso nenhuma porta esteja nesta VLAN lo Configurar o mode VTP como transparente necess rio para a cria o de private vlans vtp mode transparent 20 Cria o das VLANs vlan 300 private vlan primary vlan 30 private vlan isolated vlan 31 private vlan community 30 Associa o da VLAN prim ria s secund rias vlan 300 private vlan association 30 31 4o Configurar as portas conectadas a VLANs secund rias swl interface FastEthernet0 3 switchport private vlan host association 300 31 switchport mode private vlan host sw2 interface FastEthernet0 4 switchport private vlan host association 300 31 switchport mode private vlan host sw3 interface FastEthernet0 5 switchport private vlan host association 300 30 switchport mode private vlan host Nota Caso a VLAN prim ria n o seja associada a VLAN secund ria as portas configuradas como host nestas VLANs secund rias passaram para o estado de up down ex sw2 sh int f0 4 desc Interface Status Protocol Description Fa0 4 up down swl sh vlan private vlan Primary Secondary Type Ports 300 30 isolated Fa0 1 300 31 community Fa0 3 sw2 sh vla
46. transparent 20 Cria o das VLAN privada prim ria COS set vlan primary_number pvlan type primary 10S global vlan primary_number vlan config private vlan primary 30 Criac o das VLANs secund rias COS set vlan secondary_number pvlan type isolated community twoway community 10S global vlan secondary_number vlan config private vlan isolated community 40 Associa o da VLAN prim ria s secund rias Cos set pvlan primary number secondary number 10S global vlan primary_number vlan config private vlan association secondary number list add secondary number list 5o Configurar as portas conectadas a VLANs secund rias Cos set pvlan primary number secondary number mod port sc0 10S global interface type mod port interface switchport interface switchport mode private vlan host interface switchport mode private vlan host association primary number secondary number 60 Configurac o da porta promiscua COS set pvlan mapping primary_number secondary_number mod port IOS global interface type mod port interface switchport interface switchport mode private vlan promiscuous interface switchport mode private vlan mapping primary_number secondary_number 70 Opcional Configurar interfaces L3 SVI switched virtual interfaces 10S ou MSFC Multilayer Swich Feature Card CATOS nos switches para a realiza o do roteamento inter VLAN COS set pvlan mappi
47. tre 192 168 1 10 e 200 10 10 10 nat IP tableid 0 s 10 10 10 2 Ethernet0 0 d 200 10 10 10 Serial1 0 routed via RIB NAT 0 Allocated Port for 10 10 10 2 gt 200 10 10 1 wanted 27151 got 27151 NAT aus tep 10 10 1042 2715813 gt 200 10 10 TOG SO 10 NAT s 10 10 10 2 gt 200 10 10 1 d 200 10 10 10 0 IP s 200 10 10 1 Ethernet0 0 d 200 10 10 10 len 44 rcvd 6 TCP src 27151 dst 80 seq 1275777384 ack 0 win 4128 SYN NAT 0 Cep 200 010 106 100 80 gt 200 10 10 1 27151 24 NAT s 200 10 10 10 d 200 10 10 1 gt 10 10 10 2 24 IP tableid 0 s 200 10 10 10 local d 10 10 10 2 Ethernet0 0 routed via FIB IP s 200 10 10 10 local d 10 10 10 2 Ethernet0 0 len 40 sending TCP src 80 dst 27151 seq 0 ack 1275777385 win 0 ACK RST Assim seria necess rio algum tipo de traduc o autom tica dos dados enviados na reposta de DNS do servidor para que as maquinas na rede 10 0 0 0 8 pudessem ir diretamente ao servidor web usando o endereco de destino 192 168 1 10 E isso poss vel atrav s do que a CISCO chama de ALG Application Level Gateway Esse recurso permite ao IOS traduzir as respostas de DNS contidas dentro dos dados dos pacotes enviados pelo servidor E n o necess ria nenhuma configurac o extra para que isso funcione Mas existem restric es ao tipo de NAT usado Quando estava trabalhando para aquela mesma empresa americana que eu citei no outro post uma c
48. uma quest o de seguir o fluxo O LSA externo existe na tabela do OSPF SIM show ip ospf database external O FA 0 0 0 0 gt NAO O FA conhecido via OSPF inter ou intra area gt NAO E chegamos a resposta FA deve ser alcancado via uma rota inter ou intra area BGP Salvando uma change A change mudanca consistia na instalac o de um roteador novo em um site e a conex o do mesmo com a LAN e WAN ISP Na figura abaixo R novo 10 0 0 2 30 AS 65200 A change foi marcada e tudo acertado A parte da configura o que importa nesse post era a seguinte R novo router bgp 65200 no synchronization bgp log neighbor changes neighbor 10 0 0 2 remote as 19001 ISP router bgp 19001 no synchronization bgp log neighbor changes neighbor 10 0 0 1 remote as 65200 Deu se in cio a change e para a minha supresa n o foi poss vel fechar a sec o de BGP com o roteador do Provedor A seguinte mensagem comecou a aparecer no roteador novo BGP 3 NOTIFI CATI ON received from neighbor 10 0 0 2 2 2 peer in wrong AS 2 bytes FEBO Claramente havia algo errado entre os n meros de AS usado na configurac o FEBO 65200 em decimal Como o meu lado estava certo Contactei o Provedor para confirmar a configurac o do lado dele E estava l o problema A configurac o era a seguinte ISP router bgp 19001 no synchronization bgp log neighbor changes neighbor 10 0 0 1 remote as 65100 Devi
49. ustos dos links nos roteadores R2 e R3 vamos ver q os custos s o menores no caminho R1 gt R3 gt R4 r2 sh ip ospf interface br Interface PID Area IP Address Mask Cost State Nbrs F C Et0 1 1 0 172 16 24 2 24 195 BDR 1 1 Et0 0 1 172216 12 2 24 195 DR 1 1 r3 sh ip ospf interface br Interface PID Area IP Address Mask Cost State Nbrs F C Et0 0 1 1 172 16 13 3 24 100 DR 1 1 Et0 1 1 1 172 16 34 3 24 100 BDR 1 1 Ent o porque R1 estava escolhendo o pior caminho para chegar at a rota 172 16 45 0 24 Vamos matar um dos links no R2 somente para verificar que a rota pelo caminho de maior banda existe rl config int e0 0 rl config if shut rl config if Mar 1 00 17 28 387 SOSPF 5 ADJCHG Process 1 Nbr 172 16 24 2 on Ethernet0 0 from FULL to DOWN Neighbor Down Interface down or detached rl config if end ri Mar 1 001730371 administratively down Mar 1 00 17 30 587 SYS 5 CONFIG_I Configured from console by console Mar 1 00 17 31 371 SLINEPROTO 5 UPDOWN Line protocol on Interface Ethernet0 0 changed state to down rl sh ip route b Gatew Gateway of last resort is not set oe LINK 5 CHANGED Interface Ethernet0 0 changed state to 172 16 0 OOO IA 172 16 172 16 34 IA 172 16 IA 172 16 172 16 13 Podemos ver Ent o por que R1 n o est roteando da maneira desejada 0 lt 0 0 24 is subnetted 5 subnets 45 0 170 201 via 172 16 110 200 via 172 16 13
Download Pdf Manuals
Related Search