Digital Security - textos

Pgina 1 de 6

[ Principal ] [ Textos ] [ Arquivos ] [ FORUM ] [ Links ] [ Histria ] [ Contato ] --- http://www.digitalsec.cjb.net/

Comandos usados para a configurao IP em roteadores da cisco. PARTE III: Servios IP

BY [RT]# Esse texto faz parte de uma serie de 7 textos sobre os comandos usados para a configurao IP em roteadores da cisco, este em particular ira falar dos usados para a configurao de servios IP. Para ver a introduo geral de todos os textos veja o primeiro texto da serie: Endereamento IP. Os comandos listados aqui, so usados para a configurao de servios IP variados, como: tempos para timeout, configurao de alguns protocolos, ativao de certos protocolos, etc... Eh necessario que vc tenha conhecimentos medio de TCP/IP, e um pouco mais avanados dos seus principais protocolos.

access-class
Restringe conexes entre uma conexo telnet com o roteador (vty) em particular, vc deve digitar o comando seguido de um numero de uma access-list ja criada, depois deve especificar se eh para o trafego entrando (in) ou saindo (out). Para decidir a qual vty vc ira aplicar, vc tem q estar no line confguration de alguma vty (a qual se ira aplicar a restrio). Por exemplo, para aplicar a access-list de numero 1, na line vty 2 para o trafego saindo, vc deve digitar: Router(config)#line vty 2 Router(config-line)#access-class 1 out

access-list (IP Padro)

Comando usado para criar uma lista de acesso, que impede ou deixa um O formato desse comando eh o seguinte: access-list {N 1 99} {deny {host | any} {ip}. No campo N, vc deve digitar o numero da lista de no caso do IP Padro TEM q estar entre o numero 1 e 99, apos isso vc se a lista de acesso estara bloqueando (deny) ou permitindo (permit) Depois, se a lista de acesso se aplicara a todas as HOSTs (any) ou a especifico (host), por fim se vc escolheu host deve especificar o IP essa lista de acesso se aplica. Por exemplo: Router(config)#access-list 1 permit host 80.40.50.7 Router(config)#access-list 2 permit host 80.40.50.8 Router(config)#access-list 3 permit host 80.40.50.9 ! (Note: all other access implicitly denied) Com isso criamos 3 listas de acesso que permitem a comunicao vindo dos IPs: 80.40.50.7. 80.40.50.8 e 80.40.50.9. Note q ao final dos comandos apareceu o aviso: "all other access implicitly denied" isso seguinifica que todos os outros tipos de comunicaes naum permitidas, sero bloqueadas. NOTA: esse comando so funciona at o Cisco IOS 10.3, para saber como ele funciona em verses superiores digite: access-list ? trefego passar. | permit} acesso, que deve definir uma comuinicao. um HOST em do HOST a qual

access-list compiled
Ativa o Turbo Access Control Lists (Turbo ACL).

access-list (remark)
Adiciona um comentario util (ou no) a uma lista de acesso. Vc deve digitar o comando seguido do numero da lista de acesso, depois o argumenro remark, seguido do comentario. Por exemplo: Router(config)#access-list 3 remark Essa lista de acesso, permite a comunicao vinda do servidor 1 Isso adiciona o comentario "Essa lista de acesso, permite a comunicao vinda

http://digitalsec.vilabol.uol.com.br/txt/cli_ip_3.html

05/05/2011

Digital Security - textos

Pgina 2 de 6

do servidor 1" para a lista de acesso numero 3.

clear ip drp
Limpa as estatisticas coletadas pelo Director Response Protocol (DRP).

clear tcp statistics

Limpa as estatisticas TCP.

ip access-group
Aplica uma ou um grupo de lista de acessos ja criadas a uma interface. Vc deve digitar o comando seguido do numero da lista de acesso que vc deseja aplicar a interface, e se ela ira se aplicar a trafego entrando (in) ou saindo (out). Por exemplo: Router(config)#interface serial 1 Router(config-if)#ip access-gruop 7 in Isso ira aplicar a lista de acesso numero 7 no trafego que entra na interface serial 1

ip accounting
Ativa o IP accouting em uma interface. O IP accouting, conta a quantidade de bytes e pacotes comutados pela interface. Vc deve estar no modo de configurao de alguma interface para digitar esse comando.

ip accounting-threshold
Ajusta o numero maximo de entradas no log feio pelo ip accounting. Vc deve digitar o comando seguido do numero maximo de entradas. Por exemplo: Router(config)#ip accounting-threshold 2000 Isso ira definir que podem existir no maximo 2.000 entradas no log gerado pelo ip accounting.

ip drp authentication key-chain

Ativa a autenticao no DRP (Director Response Protocol). Vc deve digitar o comando seguido da chave de autenticao. Por exemplo: Router(config)#ip drp authentication key-chain ddchain Isso ativa a autenticao no DRP, com a chave ddchain.

ip drp server
Ativa o agente do servidor DRP no roteador.

ip icmp rate-limit unreachable

Define em milesegundos o tempo para que o ICMP, declare que uma HOST que no responde esta inalcanavel. Apos o comando, vc deve digitar o tempo em milesecundos.

ip mask-reply
Instrui a interface do roteador a responder a menssagens ICMP mask requests com a mascara de rede do roteador. Por exemplo: Router(config)#interface ethernet 0 Router(config-if)#ip mask-reply

ip mtu
Configura o MTU de uma interface. Apos o comando deve ser colocado em bytes o tamanho do MTU desejado. Por exemplo: Router(config)#interface serial 1 Router(config-if)#ip mtu 1612 Isso ira configurara um MTU de 1612 Bytes na interface serial 1.

http://digitalsec.vilabol.uol.com.br/txt/cli_ip_3.html

05/05/2011

Digital Security - textos

Pgina 3 de 6

ip source-route
Instrui o roteador a manejar datagramas IP com cabealhos de roteamento.

ip tcp header-compression
Ativa a compactao de cabealho TCP em uma interface. Com essa opo ativada o roteador ira ativar a compactao de cabealho para todo o trafego, mas vc pode configurar para somente ativar a compactao se na outra ponta da comunicao a compactao estiver ativada tb colocando o argumento passive no comando.

ip tcp path-mtu-discovery
Ativa o Path MTU Discovery para cada nova conexo TCP.

ip tcp queuemax
Configura qtos pacotes SYN podem ser guardados no buffer at que naum haja nenhuma confirmao da conexo. Aumentar esse numero, evita certos ataques DoS, como o SYN-Flood. Por exemplo: Router(config)#ip tcp queuemax 15 Isso ira ajustar que podem ficar no maximo 15 pacotes no buffer.

ip tcp selective-ack
Instrui o roteador a mandar pacotes ACK cada fez que eh recebido um segmento com sucesso, atravez desse mecanismo eh possivel saber que seguimentos foram perdidos.

ip tcp synwait-time
Ajusta em segundos qto tempo o roteador ira esperar uma resposta para dar como estabelecida uma conexo, se esse tempo estourar sera dado um timeout. O tempo deve ser dado apos o comando em segundos. Esse junto com o comando ip tcp queuemax evita SYN-Flood, mas nesse deve-se diminuir esse tempo. Por exemplo: Router(config)#ip tcp synwait-time 20 Isso ira configurar o tempo de espera SYN como 20 secundos.

ip tcp timestamp
Ativa o timestamp em pacotes TCP.

ip tcp window-size
Configura o tamanho da janela TCP. O valor deve ser dado em bytes apos o comando. Por exemplo: Router(config)#ip tcp window-size 3000 Isso ira configurar o tamanho da janela como 3.000 bytes, issu seguinifica q ela suportara um pacote de 3.000 bytes, ou dois de 1.500, ou 3 de 500 e 1 de 1.500, etc...

ip unreachables
Ativa a gerao de menssagens ICMP de host inalcanavel em uma interface. Por exemplo Router(config)#interface ethernet 0 Router(config-if)#ip unreachables Isso ira ativar as menssagens ICMP de host inalcanavel na interface ethernet 0.

show access-lists
Mostra as listas de acesso criadas, atravez do comando access-list. Vc pode especificar para se ver somente uma lista de acesso, pondo o numero dela ao final do comando. Por exemplo: Router# show access-lists Standard IP access list 1 (Compiled) deny any Standard IP access list 2 (Compiled) deny 192.168.0.0 permit any

http://digitalsec.vilabol.uol.com.br/txt/cli_ip_3.html

05/05/2011

Digital Security - textos

Pgina 4 de 6

Standard IP deny deny permit Standard IP permit permit

access list 3 (Compiled) 0.0.0.0 192.168.0.1 any access list 4 (Compiled) 0.0.0.0 80.50.40.6

show access-list compiled

Mostra todas as Turbo Access Control Lists (ACLs), que so as lista de acesso Turbo. Por exemplo (exemplo retirado da documentao da cisco): Router# show access-list compiled Compiled ACL statistics: 12 ACLs loaded, 12 compiled tables ACL State Tables Entries Config Fragment Redundant 1 Operational 1 2 1 0 0 2 Operational 1 3 2 0 0 3 Operational 1 4 3 0 0 4 Operational 1 3 2 0 0 5 Operational 1 5 4 0 0 9 Operational 1 3 2 0 0 20 Operational 1 9 8 0 0 21 Operational 1 5 4 0 0 101 Operational 1 15 9 7 2 102 Operational 1 13 6 6 0 120 Operational 1 2 1 0 0 199 Operational 1 4 3 0 0 First level lookup tables: Block Use Rows Columns Memory used 0 TOS/Protocol 6/16 12/16 66048 1 IP Source (MS) 10/16 12/16 66048 2 IP Source (LS) 27/32 12/16 132096 3 IP Dest (MS) 3/16 12/16 66048 4 IP Dest (LS) 9/16 12/16 66048 5 TCP/UDP Src Port 1/16 12/16 66048 6 TCP/UDP Dest Port 3/16 12/16 66048 7 TCP Flags/Fragment 3/16 12/16 66048

Memory 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb 1Kb

Como podemos ver as informaes de uma ACL so mto mais detalhadas do q de uma simples lista de acesso.

show ip accounting
Mostra as informaes coletadas com o ip accounting. Por exemplo: Router# show ip accounting Source 131.108.19.40 131.108.13.55 131.108.2.50 131.108.2.50 131.108.2.50 131.108.19.40 ... Destination 192.67.67.20 192.67.67.20 192.12.33.51 130.93.2.1 130.93.1.2 130.93.2.1 Packets 7 67 17 5 463 4 Bytes 306 2749 1111 319 30991 262

Vc tb tem a opo de mostrar somente as tentativas de violao de acesso, (esse acesso tem que estar bloqueado por uma ACL) colocando o argumento access-violations apos o comando. Por exemplo: Router# show ip accounting access-violations Source 131.108.19.40 131.108.13.55 131.108.2.50 131.108.2.50 131.108.19.40 Accounting data Destination 192.67.67.20 192.67.67.20 192.12.33.51 130.93.2.1 130.93.2.1 age is 41 Packets 7 67 17 5 4 Bytes 306 2749 1111 319 262 ACL 77 185 140 140 77

show ip drp

http://digitalsec.vilabol.uol.com.br/txt/cli_ip_3.html

05/05/2011

Digital Security - textos

Pgina 5 de 6

Mostra informaes sobre o DRP. Por exemplo: Router# show ip drp Director Responder Protocol Agent is enabled 717 director requests, 712 successful lookups, 5 failures, 0 no route Authentication is enabled, using test key-chain

show ip redirects
Mostra o endereo do gateway padro, e tb das menssagens ICMP de redirecionamento para esse gateway q foram recebidas. Por exemplo: Router# show ip redirects Default gateway is 80.50.41.9 Host 80.50.40.1 80.50.40.7 Router# Gateway 80.50.41.9 80.50.41.9 Last Use 0:00 0:00 Total Uses 7 8 Interface Ethernet0 Ethernet0

show ip tcp header-compression

Mostra estatisticas sobre a compactao de cabealhos IP. Por exemplo: Router# show ip tcp header-compression TCP/IP header compression statistics: Interface Serial1: (passive, compressing) Rcvd: 4060 total, 2891 compressed, 0 errors 0 dropped, 1 buffer copies, 0 buffer failures Sent: 4284 total, 3224 compressed, 105295 bytes saved, 661973 bytes sent 1.15 efficiency improvement factor Connect: 16 slots, 1543 long searches, 2 misses, 99% hit ratio Five minute miss rate 0 misses/sec, 0 max misses/sec

show ip traffic
Mostra estatisticas sobre o trafego IP q passou pelo roteador. Por exemplo (exemplo retirado da documentao da cisco): Router# show ip traffic IP statistics: Rcvd: 98 total, 98 local destination 0 format errors, 0 checksum errors, 0 bad hop count 0 unknown protocol, 0 not a gateway 0 security failures, 0 bad options Frags:0 reassembled, 0 timeouts, 0 too big 0 fragmented, 0 couldn't fragment Bcast:38 received, 52 sent Sent: 44 generated, 0 forwarded 0 encapsulation failed, 0 no route ICMP statistics: Rcvd: 0 format errors, 0 checksum errors, 0 redirects, 0 unreachable 0 echo, 0 echo reply, 0 mask requests, 0 mask replies, 0 quench 0 parameter, 0 timestamp, 0 info request, 0 other Sent: 0 redirects, 3 unreachable, 0 echo, 0 echo reply 0 mask requests, 0 mask replies, 0 quench, 0 timestamp 0 info reply, 0 time exceeded, 0 parameter problem UDP statistics: Rcvd: 56 total, 0 checksum errors, 55 no port Sent: 18 total, 0 forwarded broadcasts TCP statistics: Rcvd: 0 total, 0 checksum errors, 0 no port Sent: 0 total EGP statistics: Rcvd: 0 total, 0 format errors, 0 checksum errors, 0 no listener Sent: 0 total IGRP statistics: Rcvd: 73 total, 0 checksum errors Sent: 26 total HELLO statistics:

http://digitalsec.vilabol.uol.com.br/txt/cli_ip_3.html

05/05/2011

Digital Security - textos

Pgina 6 de 6

Rcvd: 0 total, 0 checksum errors Sent: 0 total ARP statistics: Rcvd: 20 requests, 17 replies, 0 reverse, 0 other Sent: 0 requests, 9 replies (0 proxy), 0 reverse Probe statistics: Rcvd: 6 address requests, 0 address replies 0 proxy name requests, 0 other Sent: 0 address requests, 4 address replies (0 proxy) 0 proxy name replies

show tcp statistics

Mostra estatisticas TCP. Por exemplo (exemplo retirado da documentao da cisco): Router# show tcp statistics Rcvd: 210 Total, 0 no port 0 checksum error, 0 bad offset, 0 too short 132 packets (26640 bytes) in sequence 5 dup packets (502 bytes) 0 partially dup packets (0 bytes) 0 out-of-order packets (0 bytes) 0 packets (0 bytes) with data after window 0 packets after close 0 window probe packets, 0 window update packets 0 dup ack packets, 0 ack packets with unsend data 69 ack packets (3044 bytes) Sent: 175 Total, 0 urgent packets 16 control packets (including 1 retransmitted) 69 data packets (3029 bytes) 0 data packets (0 bytes) retransmitted 73 ack only packets (49 delayed) 0 window probe packets, 17 window update packets 7 Connections initiated, 1 connections accepted, 8 connections established 8 Connections closed (including 0 dropped, 0 embryonic dropped) 1 Total rxmt timeout, 0 connections dropped in rxmt timeout 0 Keepalive timeout, 0 keepalive probe, 0 Connections dropped in keepalive

transmit-interface
Configura uma interface para somente receber dados de uma determinada interface (soh dela e de mais nenhuma, soh havera akela comunicao!), q eh especificada apos o comando como tipo seguido do numero. Por exemplo: Router(config)#interface ethernet 1 Router(config-if)#transmit-interface ethernet 0 Isso instrui a interface ethernet 1 a soh receber dados da interface ethernet 0.

Espero ter ajudado, qq duvida comentario ou critica poste uma menssagem no forum da Digital Security! Veja tb os outros textos desta serie: PARTE PARTE PARTE PARTE PARTE PARTE I: ENDEREAMENTO IP II: DHCP IV: IP MOVEL V: RIP VI: OSPF VII: BGP (ainda no foi terminado)

Digital Security - 2002

http://digitalsec.vilabol.uol.com.br/txt/cli_ip_3.html

05/05/2011