Kelsey Santos

# show mac address-table dynamic
# macof -i eth0 (ESSE COMANDO É LINUX)

Mostra a Table de Endereços MAC
A Ferramenta macof é tão perigoso é que um invasor pode criar um ataque de estouro de tabela MAC muito rapidamente. Por exemplo, um switch Catalyst 6500 pode armazenar 132.000 endereços MAC em sua tabela de endereços MAC

show vlan brief

Mostra as VLANs de todas as Portas

clear mac address-table

Limpa a table de endereços mac do Switch

hostname NOME

Muda o Hostname do Switch

wr
do wr (no mode de conf)

Salva todas as configurações

show interfaces trunk

Mostras as portas trunk que estão configuradas no switch OBS: gerado automaticamente se configurado no CORE

interface vlan 100

Criando uma interface para VLAN 100 para adição de IP

ip add 10.1.1.1 255.255.255.0

Criando um IP ou Setando um IP para Alguma Interface de Rede

no shutdown

Reiniciando ou Ligando a interface de rede

ip routing

Fazendo as configurações do Roteador ou SWLayer 3 funcione o roteamento

ip helper-address 10.1.1.253

Replicar um servidor DHCP ou Configurar como DHCP Delay

interface range gigabitEthernet 1/0/1-2

Configura um range de portas Ethernet

channel-group 1 mode active

Se houver dois cabos como LOOP, aqui vc configura como somente uma OBS: Nos Dois Roteadores/Switch

show etherchannel summary

Visualiza as Port-Channel confiugadas/em uso

interface port-channel 1

Configura interface port-channel

spanning-tree vlan 100 priority 0

Dar prioridade ao roteador CORE na rede, executar dentro do roteador ou switch q quer dar prioridade

standby version 2

Execute esse comando caso haja problema com numeração acima de 256

show version

Mostra a versão da ROM do System Bootstrap

clock rate 4800

Altera do clock da porta serial

(config)# router ospf 100
network 10.0.0.0 0.0.0.255 area 0
network 20.0.0.0 0.0.0.255 area 0

Configurações de OSPF simples

router bgp 300
neighbor 13.0.0.2 remote-as 200
neighbor 14.0.0.2 remote-as 400
network 13.0.0.0 mask 255.255.255.252
network 14.0.0.0 mask 255.255.255.252

Configurações de BGP Simples em suas redes conectada no roteador

IPV4
(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
IPV6
(config)# ipv6 route ::/0 2001:db8:acad:2::2
Vefificar Rotas Static
# show ip route static
# show ipv6 route static
Rotas Flutuantes
(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2
(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5
(config)# ipv6 route ::/0 001:db8:acad:2::2
(config)# ipv6 route ::/0 2001:db8:feed:10::2 5
(config)# end
# show ip route static | begin Gateway
# show run | include ipv6 route

Criando Rotas Estaticas IPV4 IPV6

name NOMEDAVLAN

Dentro da VLAN digite o comando para identificar por nome

interface fastEthernet 0/1

Configurar a Interface fastEthernet e o Exemplo foi a 0/1

switchport mode access

Configurando uma porta de Acesso

switchport access vlan 100

Especificando o número da VLAN de Acesso

switchport mode trunk

Configuração Realizada na Interface do CORE Ex: G 1/0/3

standby 100 ip 10.1.1.1

Cria um IP Virtual principalmente para Gateway

standby 100 priority 120

Proridade de assumir, quanto maior melhor

standby 100 preempt

Quando Core principal cai o secundario assume quando o principal volta ele assume

show standby brief

Mostra as configurações do IP Virtual

access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 172.16.0.252 eq 80

Acess List configura assim access-lit NUMERO deny tcp REDEIP WILDCARD host IPHOSTDESTINO eq PORTA

access-list 100 permit ip any any

Depois de fazer a lista de acesso tem que executar esse comando porque não se pode deixar para todos, tem que permitir alquem

ip access-group 100 out

Depois de configurar a lista de acesso, configurar na interface o Grupo de Acesso. (VLAN ou PORTETH)

show access-lists

Mostras os Acesso de Lista Criado

show cdp neighbors

Verificar todos os vizinhos que estão perto do equipamentos

no ip domain-lookup

Retirar os erros dos comandos para que ele não procure em um dominio

line console 0
privilege level 15

Já no cabo de console entrar direto para a tela de configuração

switchport trunk allowed vlan 100,200,300,400,500,600

Por segurança permitir somente essas VLAN para Trunk.

# show ip ssh
(config)# ip domain-name lnxj.ti
(config)# crypto key generate rsa
(config)# username $USUARIO secret $PASSWORD
(config)# line vty 0 15
(config-line)#transport input ssh
(config-line)#login local
(config-line)# exit
(config)# ip ssh version 2
(config)# line vty 0 4
(config-line)# transport input ssh
(config-line)# login local

Configurando o Acesso SSH Seguro, acessando pelo client Putty.exe para Windows ou OpenSSH para Linux, ou qualquer um de sua preferência.

#configure terminal
(config)# hostname $NOME
(config)# enable secret class
(config)# line console 0
(config-line)# password cisco
(config-line)# login
(config-line)# exit
(config)# line vty 0 4
(config-line)# assword cisco
(config-line)# login
(config-line)# exit
(config)# service password-encryption
(config)# banner motd #Somente Acesso Autorizado!!!!!#

Configuração Padrão de Um Roteador Cisco

(config)# interface Fastethernet 0/1
(config-if)# ip address 192.168.11.2 255.255.255.0
(config-if)# ipv6 address 2001:db8:acad:2::2/64
(config-if)# description Link to LAN SERVICOSTI
(config-if)# no shutdown
(config-if)# exit
(config)# interface gigabitethernet 0/0/1
(config-if)# ip address 192.168.11.1 255.255.255.0
(config-if)# ipv6 address 2001:db8:acad:2::1/64
(config-if)# description Link to LAN 2
(config-if)# no shutdown
(config-if)# exit
(config)# interface serial 0/0/0
(config-if)# ip address 209.165.200.225 255.255.255.252
(config-if)# ipv6 address 2001:db8:acad:3::225/64
(config-if)# description Link to RCBA
(config-if)# no shutdown
(config-if)# exit

Configuração Padrão para Uma Interface de Roteador/Switch Cisco

(config)# interface loopback 0
(config-if)# ip address 10.0.0.1 255.255.255.0
(config-if)# exit

Configuração para Interface Loopback

(config)# vlan 10
(config-vlan)# name COFRE
(config-vlan)# vlan 110
(config-vlan)# name VOIP
(config-vlan)# exit
(config)# interface fa0/18
(config-if)# switchport mode access
(config-if)# switchport access vlan 10
(config-if)# mls qos trust cos
(config-if)# switchport voice vlan 110
(config-if)# end

Configurando VLAN Padrão para Acesso QOS VOZ, outro exemplo é mls qos trust [cos | device cisco-phone | dscp | ip-precedence]

(config)# interface fastEthernet 0/1
(config-if)# switchport mode trunk
(config-if)# switchport trunk native vlan 99
(config-if)# switchport trunk allowed vlan 10,20,30,99
(config-if)# end

Comandos de Configuração de Trunk
Essa configuração pressupõe o uso de switches Cisco Catalyst 2960 que usam automaticamente o encapsulamento 802.1Q em links de tronco. Outros switches podem exigir configuração manual do encapsulamento. Sempre configure as duas extremidades de um link de tronco com a mesma VLAN nativa. Se a configuração do tronco 802.1Q não for a mesma em ambas as extremidades, o Cisco IOS Software relatará erros

PARA HABILITAR EM OUTRO MODELO
(config-if)# switchport mode trunk
(config-if)# switchport nonegotiate

Configuração ao DTP, Protocolo proprietário da Cisco
A configuração DTP é padrão para switches Cisco Catalyst 2960 e 3650 é dinâmico auto, caso não esteja ativado tem os comando ao Lado.

(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9
(config)# ip dhcp excluded-address 192.168.1.254
(config)# ip dhcp pool LAN-CUIABATI
(dhcp-config)# network 192.168.1.0 255.255.255.0
(dhcp-config)# default-router 192.168.1.1
(dhcp-config)# dns-server 192.168.2.5
(dhcp-config)# domain-name lnxj.com
(dhcp-config)# end

Servidor DHCPv4 do Cisco

(config-if)# ipv6 nd other-config-flag
(config-if)# end
# show ipv6 interface g0/0/1 | begin ND
--------------------------- DHCPv6 Stateful
(config)# int g0/0/1
(config-if)# ipv6 nd managed-config-flag
(config-if)# ipv6 nd prefix default no-autoconfig
(config-if)# end
# show ipv6 interface g0/0/1 | begin ND

Ativar o DHCPv6 Sem estado na interface e em seguida Ativando o DHCPv6 Stateful na interface se precisar.

(config)# ipv6 unicast-routing
(config)# ipv6 dhcp pool IPV6-STATELESS
(config-dhcpv6)# dns-server 2001:db8:acad:1::254
(config-dhcpv6)# domain-name servicosti.com
(config-dhcpv6)# exit
(config)# interface GigabitEthernet0/0/1
(config-if)# description Link to LAN
(config-if)# ipv6 address fe80::1 link-local
(config-if)# ipv6 address 2001:db8:acad:1::1/64
(config-if)# ipv6 nd other-config-flag
(config-if)# ipv6 dhcp server IPV6-STATELESS
(config-if)# no shut
(config-if)# end
# wr

Servidor DHCPv6 sem estado

(config)# ipv6 unicast-routing
(config)# ipv6 dhcp pool IPV6-STATEFUL
(config-dhcpv6)# address prefix 2001:db8:acad:1::/64
(config-dhcpv6)# dns-server 2001:4860:4860::8888
(config-dhcpv6)# domain-name lnxj.com
(config)# interface GigabitEthernet0/0/1
(config-if)# description Link to LAN
(config-if)# ipv6 address fe80::1 link-local
(config-if)# ipv6 address 2001:db8:acad:1::1/64
(config-if)# ipv6 nd managed-config-flag
(config-if)# ipv6 nd prefix default no-autoconfig
(config-if)# ipv6 dhcp server IPV6-STATEFUL
(config-if)# no shut
(config-if)# end
# wr (GRAVAR)

Servidor DHCPv6 com monitoração de estado
O show ipv6 dhcp interface g0/0/1 comando confirma que o DNS e os nomes de domínio foram aprendidos


Comandos para retransmissão de DHCPv6
Router(config-if)# ipv6 dhcp relay destination ipv6-address [interface-type interface-number]

# configure terminal
(config)#interface FastEthernet0/1
(config-if)#duplex auto
(config-if)#speed auto
(config-if)#mdix auto
(config-if)# end
#copy running-config startup-config

Verificando as portas do Switch se estão funcionando corretamente

(config)# interface range fa0/8 - 24
(config-if-range)# shutdown

Desabilitando Portas para não serem usada fisicamente ou para impedir um ataque hacker.
Observação: Se uma porta está configurada como ativa através do comando switchport port-security e mais de um dispositivo estiver conectado àquela porta, a porta fará a transição para o estado error-disabled
(config-if)# switchport port-security ?

Definir o número máximo de endereços MAC permitidos em uma porta
(config-if)# switchport port-security maximum value

(config-if)# switchport port-security maximum value
(config)# interface f0/1
(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
(config-if)# switchport port-security maximum
Manualmente configurada
(config-if)# switchport port-security mac-address mac-address
Dinamicamente aprendidas Sticky
(config)# interface fa0/1
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum 2
(config-if)# switchport port-security mac-address aabb.ccdd.1122
(config-if)# switchport port-security mac-address sticky
(config-if)# end
# show port-security interface fa0/1
# show port-security address
VERIFICAR MAC APRENDIDOS
# show run interface fa0/1

Segurança: Trabalhando com Endereços MAC

(config)# interface fa0/1
(config-if)# switchport port-security aging time 10
(config-if)# switchport port-security aging type inactivity
(config-if)# end
# show port-security interface fa0/1
Em caso de VIOLAÇÃO
(config)# interface f0/1
(config-if)# switchport port-security violation restrict
(config-if)# end
# show port-security interface f0/1
Habilitar o Error Disable Urgencia
(config)# int fa0/1
(config-if)# switchport port-security violation shutdown
(config-if)# end
# show interface fa0/1 | include down
# show port-security interface fa0/1
# show port-security
# show port-security interface fastethernet 0/1

Configurando Tempo de Inatividade na porta security
(config-if)# switchport port-security aging { static | time time | tipo {absolute | inactivity}}
Utilizando o comando switchport port-security aging para habilitar e desabilitar o vencimento estático da porta segura ou para definir o tempo ou tipo de vencimento.
Caso a porta seja violada e ela é desabilitada utilize o comando shutdown então utilize o comando no shutdown para deixar a porta operacional.

Exemplo Salto VLAN
As portas FastEthernet 0/1 a fa0/16 portas ativas
As portas FastEthernet 0/17 a 0/20 portas sem uso
As portas FastEthernet 0/21 a 0/24 portas trunk.
(config)# interface range fa0/1 - 16
(config-if-range)# switchport mode access
(config-if-range)# exit
(config)#
(config)# interface range fa0/17 - 20
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 1000
(config-if-range)# shutdown
(config-if-range)# exit
(config)#
(config)# interface range fa0/21 - 24
(config-if-range)# switchport mode trunk
(config-if-range)# switchport nonegotiate
(config-if-range)# switchport trunk native vlan 999
(config-if-range)# end

Mitigando Ataques as VLANs CISCO
O comando global de configuração

ip arp inspection validate {[src-mac] [dst-mac] [ip]}

é usado para configurar o DAI para descartar pacotes ARP quando os endereços IP são inválidos.

(config)# ip dhcp snooping
(config)# interface f0/1
(config-if)# ip dhcp snooping trust
(config-if)# exit
(config)# interface range f0/5 - 24
(config-if-range)# ip dhcp snooping limit rate 10
(config-if-range)# exit
(config)# ip dhcp snooping vlan 5,10,50-52
(config)# end
# show ip dhcp snooping (Verificar snooping)
# show ip dhcp snooping binding (Verificar Binding)

Mitigando Ataques DHCP

(config)# ip dhcp snooping
(config)# ip dhcp snooping vlan 10
(config)# ip arp inspection vlan 10
(config)# interface fa0/24
(config-if)# ip dhcp snooping trust
(config-if)# ip arp inspection trust
(config)# ip arp inspection validate ?
dst-mac Validate destination MAC address
ip Validate IP addresses
src-mac Validate source MAC address
(config)# ip arp inspection validate src-mac
(config)# ip arp inspection validate dst-mac
(config)# ip arp inspection validate ip
(config)# do show run | include validate
ip arp inspection validate ip
(config)# ip arp inspection validate src-mac dst-mac ip
(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip

Mitigando Ataques ARP
O comando global de configuração

ip arp inspection validate {[src-mac] [dst-mac] [ip]}

é usado para configurar o DAI para descartar pacotes ARP quando os endereços IP são inválidos.

(config)# interface fa0/1
(config-if)# switchport mode access
(config-if)# spanning-tree portfast
(config-if)# exit
(config)# spanning-tree portfast default
(config)# exit
# show running-config | begin span

Mitigando Ataque STP
Para verificar se o PortFast está ativado globalmente, você pode usar o comando show running-config | begin span ou o comando show spanning-tree summary. Para verificar se o PortFast está habilitado para uma interface, use o comando show running-config interface type/number, como mostrado no exemplo a seguir. O comando show spanning-tree interface type/number detail também pode ser usado para verificação.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Realizando os TRUNK nas VLANs reduz a propagação de Broadcast na rede e conseguentemente o tráfego, quando você faz um TRUNK em um Switch os demais adotam o Trunk através de um protocolo da Cisco chamado Protocolo DTP.

Não recomendado colocar várias redes dentro de uma mesma VLAN.

Em um Spanning Tree na rede quanto menor o numero melhor será

Para restaurar um switch Catalyst para sua condição padrão de fábrica, desconecte todos os cabos, exceto o console e o cabo de alimentação do switch. Em seguida, digite o comando de modo EXEC erase startup-config privilegiado seguido pelo delete vlan.dat comando.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX