Category Archives: Comandos

Reativando uma porta de switch CISCO em err-disabled por violação de segurança (port security violation)

O curso CCNA Routing & Switching apresenta alguns recursos básicos de segurança em redes. Um desses recursos é a segurança de porta (port security) em switches, que possibilita restringir o tráfego de entrada nas portas do dispositivo com base no endereço MAC dos hosts.
Na configuração da segurança de porta, os endereços MAC que serão permitidos podem ser aprendidos de forma dinâmica ou estática. Além disso, pode-se definir quantos endereços MACs serão permitidos e qual ação será disparada quando ocorrer uma violação de segurança. A violação de segurança ocorre quando um MAC não permitido tenta acesso pela porta na qual foi aplicada a restrição. Existe 3 modos de violação:

  • Proteger (Protect)
  • Restringir (Restrict)
  • Desabilitar (Shutdown)

O modo de violação desabilitar (shutdown) faz com que a porta do switch seja desabilitada e entre no modo err-disabled, ou seja, ela deixa de encaminhar tráfego. Com o uso do comando show interface fastEthernet 0/1 ou show interfaces fasEthernet 0/1 status pode-se verificar a situação da porta.

SW-LAB_A#show interface fastEthernet 0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
<-- saída de comando omitida -->
SW-LAB_A#

ou

SW-LAB_A#show interfaces fastEthernet 0/1 status

 Port  Name   Status       Vlan   Duplex  Speed Type
 Fa0/1        err-disabled 1      a-full  a-100 10/100BaseTX
SW-LAB_A#

Observe que na saída do primeiro comando a porta está em estado down e err-disabled. Uma vez desabilitada pela violação de segurança, a porta não será reativada até a intervenção do administrador da rede. Para reativar a porta, deve-se emitir o comando shutdown seguido do comando no shutdown no modo de configuração de interface.
Há como fazer com que a porta seja automaticamente ativada depois da violação de segurança, sem intervenção manual do administrador da rede. O comando global errdisable recovery cause psecure-violation habilita a recuperação de violação e fará com que a porta seja reativada depois de 300 segundos da ocorrência da violação.

Para este exemplo foi utilizado o Switch Cisco WS-C2960-48TT-L, no entanto outros modelos também suportam o recurso de segurança de porta e a recuperação de violação.

Evitar a formação de adjacências em interfaces do Roteador CISCO

A configuração de protocolos de roteamento como RIP, OSPF e EIGRP em roteadores  exige a divulgação das redes que farão parte do processo de roteamento. No caso da cisco, utiliza-se o comando network no modo de configuração de roteamento. Ao anunciar uma rede, a interface pertencente a rede divulgada passa a fazer parte do processo de roteamento. Em interfaces de redes locais geralmente não há a necessidade de divulgar rotas, pois os clientes não necessitam das informações de roteamento. Para evitar que as informação sejam repassadas pela interface de rede local, mas continue participando do processo de roteamento, pode-se utilizar o comando passive-interface no modo de configuração de roteamento. No exemplo abaixo utiliza-se o protocolo de roteamento EIGRP e divulga-se três redes, uma pertencente a rede WAN (172.16.1.0) e outras duas a redes locais (192.168.x.0).

LAB_A(config)#router eigrp 100
LAB_A(config-router)#network 192.168.2.0 0.0.0.255
LAB_A(config-router)#network 192.168.1.0 0.0.0.255
LAB_A(config-router)#network 172.16.1.0 0.0.0.3

Na situação acima, as interfaces FastEthernet 0/0 e FastEthernet 0/1 estarão enviando atualizações de roteamento na rede local e a Serial 0/0/0 para rede WAN. Para evitar que as atualizações sejam enviadas na rede local, pode-se adicionar a o comando passive-interface conforme apresentado a seguir.

LAB_A(config)#router eigrp 100
LAB_A(config-router)#passive-interface fastEthernet 0/0
LAB_A(config-router)#passive-interface fastEthernet 0/1

Configurou-se as duas interfaces locais para que não realizem atualizações de roteamento. Para verificar a ação do comando passive-interface, pode-se utilizar o comando show ip protocols.

LAB_A#show ip protocols
<-- saída de comando omitida -->
  Routing for Networks:  
     192.168.2.0
     192.168.1.0
     172.16.1.0/30
  Passive Interface(s):
    FastEthernet0/0
    FastEthernet0/1
 <-- saída de comando omitida -->
LAB_A#

Além de verificar quais interfaces estão no estado passivo, pode-se identificar quais redes estão sendo anunciadas. Neste caso o anúncio ocorre somente através da interface serial 0/0/0. Neste exemplo, são apenas duas interfaces que devem ser configuradas como passivas utilizando o comando passive-interface. Quando houver muitas interfaces, configurar uma a uma como passiva torna-se cansativo. Neste caso, utiliza-se o comando passive-interface default. Este comando fará com que todas a interfaces entrem no modo passivo. Para permitir o envio de anúncios, basta negar o comando para cada interface que se deseja realizar o envio de atualizações. O exemplo a seguir apresenta o uso do comando.

LAB_A(config)#router eigrp 100
LAB_A(config-router)#passive-interface default
LAB_A(config-router)#no passive-interface serial 0/0/0

Repare que no exemplo todas a interfaces foram configuradas como passivas. Como deseja-se que somente a interface serial 0/0/0 envie informações de roteamento, adiciona-se o comando de negação somente para ela. Para verificar a interfaces, pode-se executar novamente o comando show ip protocols.

LAB_A#show ip protocols
<-- saída de comando omitida -->
  Routing for Networks:  
     192.168.2.0
     192.168.1.0
     172.16.1.0/30
  Passive Interface(s):
    Vlan1
    FastEthernet0/0
    FastEthernet0/1
    Serial0/0/1
  <-- saída de comando omitida -->
LAB_A#

Todas a interfaces passaram a fazer parte da lista de passivas, exceto a interface serial 0/0/0. Para este exemplo foi utilizado o Roteador Cisco ISR G1 2811.

Configuração padrão de interfaces do Roteador CISCO

Ao realizar aulas práticas em laboratórios para o curso Cisco CCNA, as vezes, os alunos configuram por engano uma interface diferente da desejada ou com parâmetros errados. Ao identificar o problema, começam a negar os comandos digitados para removê-los. Apesar de poucos comandos envolvidos em um curso como o Cisco CCNA, remover a configuração não deixa de ser um trabalho árduo. Há uma forma mais ágil de fazer com que a interface volte a ter sua configuração padrão. Pode-se utilizar o comando “default” no modo de configuração global conforme apresentado a seguir:

LAB_A#show run
<-- saída de comando omitida -->
interface GigabitEthernet0/0
 description Rede Local Empresa A
 ip address 10.1.1.1 255.255.255.0
 ip access-group 100 in
 ip access-group 99 out
 service-policy input CLASS
 duplex auto
 speed auto
!
<-- saída de comando omitida -->
LAB_A#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
LAB_A(config)#default interface gigabitEthernet 0/0
LAB_A#show run
<-- saída de comando omitida -->
interface GigabitEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
<-- saída de comando omitida -->

Dessa forma o comando é definido para o seu padrão. Ao executar default interface gigabitEthernet 0/0 no modo de configuração global, as configuração da interface voltam para o modo como vieram de fábrica, por padrão, sem configuração de endereço IP e desativadas (shutdown). Para este exemplo foi utilizado o Roteador Cisco ISR G2 1905.