Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ps-Graduao - Gerenciamento de
Redes de Computadores
Prof. Roberto Mendona, M.Sc
MSTP - Motivao
6 de fevereiro de 2014
Instncias - MSTP
6 de fevereiro de 2014
6 de fevereiro de 2014
6 de fevereiro de 2014
Exemplo - MST
6 de fevereiro de 2014
Exemplo - MST
Switch#show spanning-tree mst
###### MST00 vlans mapped: 5-4094
Bridge
address 0009.e845.6480
priority 32768 (32768 sysid 0)
Root
this switch for CST and IST
Configured
hello time 2, forward delay 15, max age 20, max hops 20
Interface
Role
Sts
Cost
----------------------------Fa3/24
Desg
FWD
2000000
Fa3/32
Desg
FWD
200000
Fa3/42
Back
BLK
200000
###### MST01
vlans mapped: 1-2
Bridge
address 0009.e845.6480
Root
this switch for MST01
Interface
Role
Sts
Cost
----------------------------Fa3/24
Desg
FWD
2000000
Fa3/32
Desg
FWD
200000
Fa3/42
Back
BLK
200000
###### MST02 vlans mapped: 3-4
Bridge
address 0009.e845.6480
Root
this switch for MST02
Interface
Role
Sts
Cost
----------------------------Fa3/24
Desg
FWD
2000000
Prio.Nbr
-------128.152
128.160
128.170
Type
------Shr
P2p
P2p
Type
------Shr
P2p
P2p
Prio.Nbr
-------128.152
6 de fevereiro de 2014
Type
------Shr
Exemplo - MST
6 de fevereiro de 2014
Application
Session
Transport
Network
Data Link
Physical
Presentation
Compromised
Presentation
Application
Session
Protocols and Ports
Transport
IP Addresses
Network
Initial
MACCompromise
Addresses
Data Link
Physical Links
6 de fevereiro de 2014
Physical
Access Points
Switches
Servers
6 de fevereiro de 2014
10
6 de fevereiro de 2014
11
6 de fevereiro de 2014
12
6 de fevereiro de 2014
13
bloqueando portas.
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
14
6 de fevereiro de 2014
15
6 de fevereiro de 2014
16
Ports
---2
Fa0/1
-------------001b.d513.2ad2
----- ------------SecureSticky
6 de fevereiro de 2014
Remaining Age
(mins)
-
17
6 de fevereiro de 2014
18
6 de fevereiro de 2014
19
Atacante na
VLAN 1, mas insere um
tag 20 no quadro.
20
802.1Q, Frame
O segundo switch
recebe o quadro, na
vlan nativa.
Trunk
(Native VLAN = 1)
4
O segundo switch
examina o quadro, ver a
VLAN 20 marcada e
encaminha.
Vtima
(VLAN 20)
Atacante (nativa VLAN 1) envia um frame com dois cabealhos 802.1Q para o Switch1.
Switch2 encaminha o quadro para todas as portas associadas com a VLAN 20, incluindo
portas trunk.
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
20
Trunk
(Native VLAN = 400)
6 de fevereiro de 2014
21
Spoofing
6 de fevereiro de 2014
22
6 de fevereiro de 2014
23
Telnet - SSH
Telnet
SSH
6 de fevereiro de 2014
24
line vty 0 15
login local
transport input telnet ssh
username posredes password posredes
ip domain-name example.com
crypto key generate rsa
( Switch Generates Keys)
Private Key
Key
Key
SSH Client
Public Key
6 de fevereiro de 2014
25
6 de fevereiro de 2014
26
VACLs: Aplica-se para todo trfego numa VLAN. VACLs suportam filtros baseados no Ethertype
e endereos MAC. Podem controlar o trfego fluindo dentro da VLAN ou controlar trfegos
comutados.
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
27
6 de fevereiro de 2014
28
Here a VACL is configured to drop all traffic from network 10.1.9.0/24 on VLAN 10 and 20 and drop all traffic to Backup Server 0000.1111.4444.
6 de fevereiro de 2014
29
Intruder
Alert!
F0/2
F0/1
6 de fevereiro de 2014
30
Configurando SPAN
Switch(config)#
monitor session session_number source {interface
interface-id [, | -] [both | rx | tx]} | {vlan vlan-id [,
| -] [both | rx | tx]}| {remote vlan vlan-id}
Switch(config)#
monitor session session_number destination {interface
interface-id [, | -] [encapsulation replicate] [ingress
{dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan
vlan-id}]} | {remote vlan vlan-id}
6 de fevereiro de 2014
31
IDS
Source VLAN
RSPAN VLAN
Source VLAN
Atacante
Source VLAN
6 de fevereiro de 2014
32
Configurando RSPAN
1. Configure the RSPAN VLAN
2960-1(config)#vlan 100
2960-1(config-vlan)#remote-span
2960-1(config-vlan)#exit
6 de fevereiro de 2014
33
Proxy ARP
Static Default Gateway
HSRP
VRRP
GLBP
6 de fevereiro de 2014
34
Proxy ARP
Soluo Legada.
Habilitado por padro.
Usado antes que os
default gateways fossem
suportados pelos clientes
IPs.
Estaes Finais atuam
como se o destino fossem
no mesmo segmento de
rede.
Soluo no muito
recomendvel.
6 de fevereiro de 2014
35
No dinmico.
No prover caminho
secundrio.
6 de fevereiro de 2014
36
Protocolo de redundncia de
gateway.
Os roteadores/Switches L3
participantes conversam entre
si e concordam com o IP do
roteador virtual o qual o
sistema usar como IP de
gateway.
6 de fevereiro de 2014
37
6 de fevereiro de 2014
38
Operao do HSRP
Mensagens de Hello so enviadas para o endereo de
multicast 224.0.0.2 , na porta UDP 1985.
Mensagens de Hello so utilizadas para comunicao em
um grupo HSRP.
Todos os roteadores do grupo HSRP precisam ter
adjacncia L2.
Todos os roteadores no grupo HSRP possuem regras
especficas e interagem de formas especficas:
Virtual router
Active router
Standby router
Other routers
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
39
6 de fevereiro de 2014
40
6 de fevereiro de 2014
41
Switch(config-if)#
standby group-number ip ip-address
6 de fevereiro de 2014
42
6 de fevereiro de 2014
43
Exemplo - HSRP
Roteadores A e B so configurados com as prioridades 110 e 90, respectivamente.
A configurao do Roteador A mostrada.
A palavra preempt certifica que o Roteador A ser o HSRP active to logo a
interface esteja ativa.
6 de fevereiro de 2014
44
6 de fevereiro de 2014
45
6 de fevereiro de 2014
46
6 de fevereiro de 2014
47
6 de fevereiro de 2014
48
6 de fevereiro de 2014
49
Monitorando o HSRP
Switch#show standby
Vlan10 - Group 10
State is Active
Virtual IP address is 10.1.10.1
Active virtual MAC address is 0000.0c07.ac0a
Local virtual MAC address is 0000.0c07.ac0a (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.248 secs
Preemption enabled
Active router is local
Standby router is 10.1.10.3, priority 90 (expires in 10.096 sec)
Priority 120 (configured 120)
Track interface Port-channel31 state Up decrement 30
Track interface Port-channel32 state Up decrement 30
Group name is hsrp-Vl10-10 (default)
Vlan20 - Group 20
State is Standby
Virtual IP address is 10.1.20.1 Active virtual MAC address is 0000.0c07.ac14
Local virtual MAC address is 0000.0c07.ac14 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.064 secs
Preemption enabled
Active router is 10.1.10.3, priority 120 (expires in 10.032 sec)
Standby router is local
Priority 90 (configured 90)
Group name is hsrp-Vl20-20 (default)
6 de fevereiro de 2014
50
6 de fevereiro de 2014
51
6 de fevereiro de 2014
52
Exemplo - VRRP
6 de fevereiro de 2014
53
Visualizando - VRRP
6 de fevereiro de 2014
54
GLBP active virtual gateway (AVG): Membros do grupo GLBP elegem um gateway para
ser o AVG daquele grupo. Outro membro do grupo prover backup para o AVG se o AVG se
tornar indisponvel. O AVG designa um MAC virtual para cada membro do grupo GLBP. Faz
todo o Controle.
GLBP active virtual forwarder (AVF): Cada gateway assume responsabilidade para
encaminhar pacotes que so enviados para o endereo MAC virtual designado para aquele
gateway pelo AVG. Este gateways so conhecidos como AVFs para os endereos MAC
virtuais deles.
GLBP communication: Membros GLBP se comunicam entre si atravs de mensagens de
hello enviadas a cada 3 segundos para o endereo de multicast 224.0.0.102, UDP Porta
3222.
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
55
6 de fevereiro de 2014
56
Por default, GLBP tenta fazer um balanceamento por hosts usando o algoritmo de
round-robin.
Quando o cliente envia uma requisio ARP para o endereo de gateway, o AVG
retorna o endereo do virtual MAC address de um dos AVFs.
Quando um segundo cliente envia uma requisio ARP, o AVG retorna o
endereo do prximo endereo virtual MAC da lista.
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
57
Tendo cada Host resolvido um MAC address diferente para o default gateway,
Clientes A e B enviam o trfego para roteadores separados, embora eles tenham
o mesmo default gateway configurado.
Cada roteador GLBP um AVF para o virtual MAC address para o qual ele tem
sido designado.
MSTP Security HSRP VVRP GLBP
6 de fevereiro de 2014
58
Vantagens do GLBP
Balanceamento de Carga.
Mltiplos Roteadores Virtuais.
Preempo.
Utilizao Eficiente de Recursos.
6 de fevereiro de 2014
59
Referncias
Catalyst 3560 Command Reference
www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/rele
ase/12.2_55_se/command/reference/3560_cr.html
Configuring HSRP:
www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/rele
ase/12.2_55_se/configuration/guide/swhsrp.html
Configuring VRRP:
www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_vrr
p.html
Configuring GLBP:
www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_glb
p.htm
6 de fevereiro de 2014
60
Perguntas
Roberto Mendona
professor@robertomendonca.com.br
STP Spanning-Tree Protocol
6 de fevereiro de 2014
61