sábado, 25 de janeiro de 2014

Curso de Certificação IPv6 em Campinas

Olá Pessoal.

A LAN University, um renomado centro de certificações em TI de Campinas (SP), acaba de lançar o curso oficial da certificação "IPv6 Forum Certified Network Engineer (Silver)". O curso é totalmente baseado no meu livro intitulado "IPv6 - O Novo Protocolo da Internet" que é reconhecido pelo fórum internacional como "IPv6 Forum Officially Certified Guide". O projeto pedagógico do curso foi montado por mim, o que inclui o planejamento de aulas e seu conteúdo. Como o livro é material oficial do curso, os alunos matriculados irão receber gratuitamente um exemplar para acompanhar as aulas.


Os interessados podem encontrar mais detalhes sobre a ementa do curso no link abaixo. Para obter mais informações basta entrar em contato na LAN University através do telefone (19) 3242.8805 ou pelo e-mail atendimento@lanuniversity.com.br. Digam que vocês ficaram sabendo do curso através do Blog LabCisco que irão receber um desconto especial!


Aproveitem essa oportunidade.

Abraço.

Samuel.

terça-feira, 21 de janeiro de 2014

Palestras da Área de Redes e Segurança na CPBR7

Olá Pessoal.

Nos dias 27 de janeiro até 02 de fevereiro ocorrerá a sétima edição da Campus Party Brasil, o maior evento de tecnologia e inovação tecnológica do mundo, oportunidade em que estarei participando de dois painéis sob organização do NIC.br, a autoridade da Internet no Brasil. O evento estará localizado no Anhembi Parque em São Paulo e os ingressos estão esgotados... 


O NIC.br é curador da trilha de redes de computadores e segurança da informação, responsável pela organização das palestras e workshops que estarão ocupando o Palco Arquimedes. A grade de eventos organizados pelo NIC.br oferecerá aos campuseiros uma oportunidade única de ampliar seus conhecimentos sobre cloud computing, custos da Internet, ataques de DDoS, OpenVAS, botnets, códigos maliciosos, carreira em segurança da informação, empreendedorismo na web, neutralidade da rede, entre outros assuntos. Aqueles que estarão presentes podem conferir a grade de programação da trilha redes/segurança no seguinte link: 


No dia 31/jan (sexta-feira), a partir das 10h, estarei ministrando um workshop intitulado "Roteamento Estático IPv6 Utilizando o Emulador CORE". Nessa apresentação os participantes irão aprender na prática a configurar roteamento estático em redes IPv6 com dispositivos rodando Linux. Para a realização do laboratório prático será utilizado o emulador CORE e irei reproduzir um laboratório que já apresentei antes aqui no blog, confiram:


Um dos destaques acontece no dia 01/02 (sábado), a partir das 14h30, com um workshop sobre IPv6 em que estarei auxiliando os parceiros da equipe IPv6.br (do NIC.br) em evento que tem por objetivo ensinar os estudantes e técnicos a "tirar" a certificação gratuita de IPv6 mantida pelo provedor norte-americano Hurricane Electric, sendo que haverá distribuição de brindes.

Espero encontrar com vocês por lá...

Abraço.

Samuel.

sexta-feira, 17 de janeiro de 2014

Padrões da Internet em Protuguês Claro

Olá Pessoal.

No meu livro intitulado "IPv6 - O Novo Protocolo da Internet" explico ao leitor que a Internet é uma rede baseada em padrões abertos, onde suas tecnologia são publicadas pela IETF (Internet Engineering Task Force) em documentos públicos acessíveis a qualquer pessoa, que são denominados RFCs (Request for Comments). Essa é uma das características cruciais da rede, afinal, o desenvolvimento da Internet até ela se tornar o que conhecemos hoje só foi possível por causa dos padrões abertos.

Gostaria de compartilhar com vocês mais um vídeo produzido pelo amigo Moreiras do NIC.br, intitulado "IETF e os Padrões da Internet em Português Claro". Esse vídeo aborda de maneira sucinta (e clara) o que é a IETF, tradução literal de Força-Tarefa em Engenharia da Internet, bem como a importância do seu principal produto na busca pela padronização da Internet que são as RFCs.


Compartilhem com seus colegas interessados em fazer parte da Internet...

Samuel.

domingo, 12 de janeiro de 2014

VPN Dinâmica Multiponto (DMVPN) em Roteadores Cisco

Olá Pessoal.

Através das VPNs tradicionais acaba sendo inviável implementar uma topologia full-mesh para estabelecimento de todos os links possíveis entre as unidades remotas de uma empresa porque sua complexidade é de ordem exponencial, matematicamente expressada através da fórmula (n²-n)/2. Por exemplo, uma empresa que tenha 5 unidades teria que configurar 10 VPNs para conectar essas unidades através de todas as ligações possíveis: (5²-5)/2 = (25 - 5)/2 = 20/2 = 10.

Uma solução comum para contornar essa complexidade é a implementação de uma topologia hub-and-spoke, de forma que cada filial é conectada apenas com a matriz (ponto central concentrador), o que reduz a quantidade de ligações necessárias à quantidade de unidades remotas. A figura abaixo traz uma imagem comparando essas duas topologias.


Embora a topologia hub-and-spoke resolva o problema da complexidade, ela implica em pior desempenho caso duas filiais queiram se comunicar entre si, uma vez que será necessário trafegar os dados pelo ponto central. Do ponto de vista de desempenho seria mais interessante que as duas filiais tivessem uma VPN diretamente configurada entre elas. A tecnologia de DMVPN (Dynamic Multipoint VPNprovê uma solução escalável para configuração de túneis dinâmicos em ambientes que possuem diversos sites. A vantagem dessa solução é que ela é "simples" de configurar como a topologia hub-and-spoke, mas tem o desempenho otimizado da topologia full-mesh. 

Na configuração de DMVPN é necessário criar VPNs apenas entre as filiais e a matriz (unidade central), no entanto, quando há comunicação entre duas filiais, essa solução estabelece dinamicamente uma VPN temporária para que o tráfego entre as unidades não tenha que passar pelo ponto central. Por conta do overhead inerente a todo processo dinâmico, é recomendado que essa solução seja implementada tendo em mente a regra 80/20, onde 80% do tráfego ocorra entre filiais e matriz e os demais 20% ocorram entre as filiais.

O processo de configuração da DMVPN combina as seguintes tecnologias: Túneis GRE (Generic Routing Encapsulation), IPSec e Protocolo NHRP (Next Hop Resolution Protocol). Para exemplificar sua configuração estarei utilizando como base o cenário apresentado na figura abaixo, onde existem 3 unidades remotas conectadas na Internet. Observem no cenário que R1 representa o ponto central (hub), enquanto que R2 e R3 são spokes.


A principal diferença na configuração de uma DMVPN em relação a uma VPN tradicional é que o roteador no ponto central (hub) irá executar uma instância servidora do protocolo NHRP. As filiais executam uma instância cliente do NHRP, informando automaticamente seus endereços públicos para manter a tabela de pontos (spokes) do servidor sempre atualizada. Quando duas filiais (spokes) vão se comunicar o roteador da filial de origem do tráfego faz uma busca ao servidor NHRP (roteador da matriz) para saber o endereço público de destino da outra ponta. Depois disso já é possível iniciar o processo de estabelecimento de um túnel dinâmico temporário através de uma interface mGRE (multipoint GRE).

Então vamos à configuração de R1 (hub):

01. R1(config)# crypto isakmp policy 10
02. R1(config-isakmp)# hash md5
03. R1(config-isakmp)# authentication pre-share
04. R1(config-isakmp)# exit
05. R1(config)# crypto isakmp key SENHA address 0.0.0.0 0.0.0.0
06. R1(config)# crypto ipsec transform-set NOME esp-3des esp-md5-hmac 
07. R1(cfg-crypto-trans)# exit
08. R1(config)# crypto ipsec profile DMVPN
09. R1(ipsec-profile)# set security-association lifetime seconds 120
10. R1(ipsec-profile)# set transform-set NOME
11. R1(ipsec-profile)# exit
12. R1(config)# int tunnel 0
13. R1(config-if)# ip address 192.168.0.1 255.255.255.0
14. R1(config-if)# ip mtu 1440
15. R1(config-if)# ip nhrp authentication SENHA
16. R1(config-if)# ip nhrp map multicast dynamic
17. R1(config-if)# ip nhrp network-id 1
18. R1(config-if)# tunnel source f0/0
19. R1(config-if)# tunnel mode gre multipoint
20. R1(config-if)# tunnel key 0
21. R1(config-if)# tunnel protection ipsec profile DMVPN
22. R1(config-if)# exit
23. R1(config)# ip route 192.168.2.0 255.255.255.0 192.168.0.2
24. R1(config)# ip route 192.168.3.0 255.255.255.0 192.168.0.3

Em relação à configuração, reparem que o servidor NHRP foi ativado nas linhas 15, 16 e 17; e que o modo do túnel é "gre multipoint" (linha 19). Apenas para constar, as linhas 23 e 24 são rotas estáticas necessárias para direcionar o tráfego destinado às redes locais (LAN) através do endereço do respectivo roteador na VPN Multiponto.

Agora vamos à configuração de R2 e R3 (spokes):

01. R2(config)# crypto isakmp policy 10
02. R2(config-isakmp)# hash md5
03. R2(config-isakmp)# authentication pre-share
04. R2(config-isakmp)# exit
05. R2(config)# crypto isakmp key SENHA address 0.0.0.0 0.0.0.0
06. R2(config)# crypto ipsec transform-set NOME esp-3des esp-md5-hmac
07. R2(cfg-crypto-trans)# exit
08. R2(config)# crypto ipsec profile DMVPN
09. R2(ipsec-profile)# set security-association lifetime seconds 120
10. R2(ipsec-profile)# set transform-set NOME
11. R2(ipsec-profile)# int tunnel 0
12. R2(config-if)# ip address 192.168.0.2 255.255.255.0
13. R2(config-if)# ip mtu 1440
14. R2(config-if)# ip nhrp authentication SENHA
15. R2(config-if)# ip nhrp map multicast dynamic
16. R2(config-if)# ip nhrp map 192.168.0.1 203.0.113.2
17. R2(config-if)# ip nhrp map multicast 203.0.113.2    
18. R2(config-if)# ip nhrp network-id 1
19. R2(config-if)# ip nhrp nhs 192.168.0.1
20. R2(config-if)# tunnel source f0/0
21. R2(config-if)# tunnel mode gre multipoint
22. R2(config-if)# tunnel key 0
23. R2(config-if)# tunnel protection ipsec profile DMVPN
24. R2(config-if)# exit
25. R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.0.1
26. R2(config)# ip route 192.168.3.0 255.255.255.0 192.168.0.3

***

R3(config)#
01. R3(config)# crypto isakmp policy 10
02. R3(config-isakmp)# hash md5
03. R3(config-isakmp)# authentication pre-share
04. R3(config-isakmp)# exit
05. R3(config)# crypto isakmp key SENHA address 0.0.0.0 0.0.0.0
06. R3(config)# crypto ipsec transform-set NOME esp-3des esp-md5-hmac
07. R3(cfg-crypto-trans)# exit
08. R3(config)# crypto ipsec profile DMVPN
09. R3(ipsec-profile)# set security-association lifetime seconds 120
10. R3(ipsec-profile)# set transform-set NOME
11. R3(ipsec-profile)# int tunnel 0
12. R3(config-if)# ip address 192.168.0.3 255.255.255.0
13. R3(config-if)# ip mtu 1440
14. R3(config-if)# ip nhrp authentication SENHA
15. R3(config-if)# ip nhrp map multicast dynamic
16. R3(config-if)# ip nhrp map 192.168.0.1 203.0.113.2
17. R3(config-if)# ip nhrp map multicast 203.0.113.2    
18. R3(config-if)# ip nhrp network-id 1
19. R3(config-if)# ip nhrp nhs 192.168.0.1
20. R3(config-if)# tunnel source f0/0
21. R3(config-if)# tunnel mode gre multipoint
22. R3(config-if)# tunnel key 0
23. R3(config-if)# tunnel protection ipsec profile DMVPN
24. R3(config-if)# exit
25. R3(config)# ip route 192.168.1.0 255.255.255.0 192.168.0.1
26. R3(config)# ip route 192.168.2.0 255.255.255.0 192.168.0.2

Em relação às configurações das filiais (spokes), vale observar que a configuração do NHRP mudou porque agora os roteadores são clientes, por isso a necessidade de fazer manualmente o mapeamento entre o IP da DMVPN com o endereço público de R1 (203.0.113.2). Alguns comandos interessantes para verificar se as configurações estão funcionando são:

Router# show crypto isakmp sa
Router# show crypto ipsec sa
Router# show ip nhrp

Nesse exemplo, sempre que R2 e R3 forem se comunicar, então antes será estabelecida uma VPN dinâmica entre eles, de forma que o tráfego entre R2 e R3 não tenha que ser intermediado por R1. Depois de um tempo sem tráfego entre R2 e R3 o túnel é desativado para economizar recursos dos roteadores, já que as associações criptográficas demandam bastante processamento. 

Abraço.

Samuel.

sexta-feira, 10 de janeiro de 2014

Desconto nos Livros LabCisco e IPv6

Olá Pessoal.

Os parceiros da Novatec Editora estão concedendo desconto de 20% para os leitores do blog que ainda não possuem e têm interesse em adquirir os livros "Laboratórios de Tecnologias Cisco em Infraestrutura de Redes" e "IPv6 - O Novo Protocolo da Internet", ambos de minha autoria. Para receber o desconto basta informar o código promocional LABCISCO no carrinho de compras da página da editora (www.novatec.com.br). A boa notícia é que o desconto está sendo concedido por tempo indeterminado e será válido enquanto vocês puderem observar o banner com essa informação em destaque na área principal de postagens. 

Aproveitem essa oportunidade e boa leitura...

Samuel.

quinta-feira, 9 de janeiro de 2014

Tradução de Guia Prático do Wireshark

Olá Pessoal

Nesta semana a Novatec Editora lançou a tradução de um livro em formato de guia prático que aborda o software Wireshark. A obra é intitulada "Wireshark Guia Prático - Análise e Resolução de Problemas de Tráfego de Rede" e possui 168 páginas dedicadas à operação dessa ferramenta.


A obra foi traduzida e lançada no Brasil pela Novatec Editora. Começa com uma introdução sobre a história e as funcionalidades do aplicativo, traz orientações sobre a sua instalação e configuração e oferece explicações essenciais sobre captura e navegação interativa pelo tráfego de rede de computadores.

O autor Robert Shimonski reuniu todas as informações necessárias para profissionais que efetuam testes de invasão (pen testers), hackers e administradores de rede desenvolverem habilidades práticas para aumentar a produtividade no uso do Wireshark.

A boa notícia é que em breve, assim que atingirmos 1500 CURTIR na fanpage do Blog LabCisco no Facebook (www.facebook.com/bloglabcisco) e encerrarmos a promoção vigente, teremos uma nova promoção e seu prêmio será um exemplar deste livro que foi gentilmente cedido pelos parceiros da Novatec. ;-)


Aqueles que ainda não conhecem o software Wireshark podem ter uma idéia da sua relevância na área de redes através da leitura de um artigo recentemente publicado por mim aqui no blog que é intitulado "Wireshark na Análise de Tráfego e Protocolos de Rede". Os interessados em comprar o livro podem fazê-lo pela página da Novatec Editora, acessando o link www.novatec.com.br/livros/wireshark.

Boa leitura...

Samuel.

Novo Livro CCNA 5.0

Olá Pessoal.

Nessa semana o amigo Marco Filippetti, responsável pelo Blog Cloud Campus (www.ccna.com.br), lançou uma nova edição do seu livro CCNA que tradicionalmente vem sendo utilizado como referência em língua portuguesa para aqueles interessados em obter a certificação CCNA. O livro é intitulado "CCNA 5.0 - Guia de Estudo Completo", sendo uma excelente ferramenta para preparar o candidato ao novo exame composto 200-120 da Certificação CCNA. O conteúdo da obra foi atualizado para contemplar os novos tópicos recentemente inseridos no currículo CCNA 5.0, a exemplo da maior cobrança por conceitos relacionados a IPv6, abrangendo 100% dos tópicos abordados no exame.


O conteúdo conceitual é complementado com cenários e laboratórios que podem ser reproduzidos no simulador Cisco® Packet Tracer. Esta edição contém, ainda, dois cenários avançados, que reproduzem alguns dos problemas do mundo real encarados por um administrador de redes, acompanhados de sua devida resolução. Por enquanto o livro somente pode ser comprado na página da editora, mas em breve será distribuído nas principais livrarias. 

Aqueles interessados no livro podem obter maiores informações no link abaixo:

Abraço.

Samuel.

segunda-feira, 6 de janeiro de 2014

IPv6 p/ Leigos em Português Claro

Olá Pessoal.

O Blog LabCisco tem um papel importante não apenas na disseminação de conteúdo especializado direcionado para a comunidade técnica da área de computação, redes e telecomunicações. Na condição de membro da Internet Society (ISOC), compartilhamos a missão de defender a Internet enquanto direito fundamental dos homens por ser uma importante ferramenta responsável pela preservação da nossa liberdade de expressão.

Aqueles que não são profissionais da área de computação também precisam estar cientes da importância do IPv6 para o "futuro" da Internet (o termo mais correto seria presente), afinal são usuários! Esse vídeo foi produzido pelo amigo Antonio Moreiras do NIC.br e certamente irá ajudar aquele pessoal leigo a entender a importância da adoção do IPv6 na Internet em caráter de urgência.


Compartilhem com seus amigos leigos e também com sua família! ;-)

Abraço.

Samuel.

quarta-feira, 1 de janeiro de 2014

Delegação de Prefixos IPv6 em Roteadores Cisco

Olá Pessoal.

Em outros artigos que escrevi aqui no blog, mostrei ao leitor como configurar o DHCPv6 nas modalidades stateless e stateful. O DHCPv6 ainda possui um novo recurso bastante útil para provedores (ISPs) denominado Delegação de Prefixos (Prefix Delegation), comumente referenciado como DHCPv6-PD.

A idéia básica por trás desse recurso é que o roteador PE (Provider Edge) de um ISP pode entregar uma rede /64 ou mesmo um bloco /56 (com 256 sub-redes /64) para o roteador CE (Customer Edge) de seus clientes. Na realidade é possível entregar qualquer bloco menor a partir de um prefixo principal porque o roteador "quebra" o prefixo principal. Nesse contexto cabe destacar as recomendações do NIC.br de que empresas recebam um prefixo /48 (65.536 sub-redes /64) e usuários residenciais um prefixo /56 (256 sub-redes /64). Para exemplificar o processo de configuração do DHCPv6-PD utilizaremos o cenário abaixo.


Observem que o ISP detém o bloco 2001:DB8:CAFE::/48 e será configurado com o DHCPv6-PD para gerar sub-prefixos /56 para seus clientes. A interface f0/0 do roteador CE (cliente do ISP) está conectada na interface f0/0 do roteador ISP-PE. Na sequência iremos configurar o roteador CE do cliente para receber o prefixo via DHCPv6 e, posteriormente, esse prefixo /56 será utilizado para gerar novos prefixos /64 nas interfaces f1/0 e f2/0 que estão diretamente conectadas nas sub-redes locais.

Então vamos às configurações necessárias para configurar o roteador ISP-PE:

01. ISP-PE(config)# ipv6 local pool CLIENTE 2001:db8:cafe::/48 56
02. ISP-PE(config)# ipv6 dhcp pool ISP
03. ISP-PE(config-dhcp)# prefix-delegation pool CLIENTE lifetime infinite infinite
04. ISP-PE(config-dhcp)# exit
05. ISP-PE(config)# int f0/0
06. ISP-PE(config-if)# ipv6 address 2001:db8:cafe::1/64
07. ISP-PE(config-if)# ipv6 dhcp server ISP
08. ISP-PE(config-if)# no shut
09. ISP-PE(config-if)# end
10. ISP-PE# show ipv6 local pool

Na primeira linha criamos um pool local (denominado CLIENTE) informando o bloco principal /48 do provedor que deverá ser "quebrado" em prefixos /56. Na segunda linha estamos configurando o serviço DHCP configurado para fazer a delegação de prefixos, seguindo a lógica do pool local criado anteriormente. Por fim, na sétima linha ativamos a interface f0/0 para prover o serviço DHCP.

A figura abaixo traz a saída do comando "show ipv6 local pool", onde o leitor pode observar que o prefixo 2001:DB8:CAFE::/48 está configurado para gerar até 256 sub-prefixos /56 e que, até esse momento, nenhum sub-prefixo está sendo utilizado pelo(s) cliente(s). 


Agora vamos às configurações do roteador CE do cliente:

01. CE(config)# int f0/0
02. CE(config-if)# ipv6 enable
03. CE(config-if)# ipv6 address autoconfig default
04. CE(config-if)# ipv6 dhcp client pd FROM-ISP
05. CE(config-if)# no shut
06. CE(config-if)# end
07. CE# show ipv6 dhcp interface

A figura abaixo traz a saída do comando "show ipv6 dhcp interface", onde o leitor pode observar os blocos ativos que o roteador CE está recebendo do seu ISP, sendo que, a partir dessa informação, é possível utilizar o prefixo /56 recebido para quebrá-lo em sub-prefixos /64 nas interfaces f1/0 e f2/0.


Pois bem, vamos às configurações finais no roteador CE do cliente:

08. CE(config)# int f1/0
09. CE(config-if)# ipv6 enable
10. CE(config-if)# ipv6 address FROM-ISP ::1:0:0:0:1/64
11. CE(config-if)# no shut
12. CE(config-if)# int f2/0
13. CE(config-if)# ipv6 enable
14. CE(config-if)# ipv6 address FROM-ISP ::2:0:0:0:1/64
15. CE(config-if)# no shut
16. CE(config-if)# end
17. CE# show ipv6 int brief

Observem nos destaques em amarelo (linhas 10 e 14) que, a partir do prefixo FROM-ISP (2001:DB8:CAFE:0::/56), estamos criando duas sub-redes /64 fazendo referência explícita ao quarto quarteto do endereço IPv6. É por isso que na configuração enxergamos 5 quartetos... A figura abaixo traz a saída do comando "show ipv6 int brief", onde o leitor pode observar os endereços configurados nas interfaces f1/0 e f2/0.


Por fim é interessante observar novamente o prefixo delegado no roteador ISP-PE, afinal agora um prefixo /56 (gerado a partir do original /48) já está em uso, restando 255. Também vale mencionar que o roteador ISP-PE automaticamente cria uma rota 2001:db8:cafe::/56 associada às as sub-redes do cliente, conforme ilustrado na figura abaixo:



Esse recurso de DHCPv6-PD é, de fato, MUITO útil para provedores.

Abraço.

Samuel.