Num novo projeto, coloque um roteador 2621XM e coloque um módulo serial do tipo WIC-1T (desligue ele antes).
Em CLI, coloque n
na entrada da configuração do dialog e coloque esses comandos:
enable
show ip interface brief
Ele mostrará as portas Ethernet, incluindo a placa serial que colocamos.
Por padrão, diferente do switch, o roteador não vem com as portas habilitadas.
Para ajustar a hora, faça assim:
clock set ?
clock set 22:40:00 ?
clock set 22:40:00 2 ?
clock set 22:40:00 2 FEB ?
clock set 22:40:00 2 FEB 2015
Para a configuração do host, faça assim:
conf t
hostname nomedohost
line con 0
password senha
login
exec-timeout 5
exit
No comando exec-timeout, ele pede a senha novamente depois de 5 minutos inativo.
Digite esses comandos:
line vty ?
line vty 0 ?
line vty 0 3
password senha
exit
enable secret senha
exit
show running-config
Para colocar os IPs, faça assim:
conf t
interface FastEthernet 0/0
ip address 192.168.1.1 255.255.255.0
do show ip interface brief
no shutdown
do show ip interface brief
exit
Para colocar a configuração via DHCP, fazemos assim:
interface FastEthernet 0/1
ip address 10.0.0.1 255.0.0.0
no shutdown
exit
exit
show ip interface brief
copy running-config startup-config
Primeiro, num novo projeto, coloque um PC (192.168.0.10) ligado a um switch (cabo Through). Ligue este a um segundo switch (cabo Cross), e ligue este segundo a dois PCs (192.168.0.20 e 10.1.1.10, cabo Through).
Clique no PC 0 (192.168.0.10) e tente pingar o PC 1 (192.168.0.20) que responderá por estarem na mesma rede. No entanto não é possível com o PC 2 (10.1.1.10).
Delete o cabo entre os dois switches e coloque um roteador 2621XM no meio e os ligue com o cabo through nas últimas portas dos switches. Ele vai ficar com os cabos vermelhos por não ter conexão.
Um roteador interliga redes diferentes, nesse caso, para ele ligar o PC 192.168.0.10 ao 10.1.1.10, ele precisará trabalhar com dois IPs diferentes.
No roteador, vamos colocar um IP compatível com a primeira rede, indo em CLI e digitando isso (marque n
no dialog):
enable
show ip interface brief
Aí vemos as interfaces das portas Ethernet sem IPs, se passarmos o mouse sobre as bolinhas/setas, veremos em quais interfaces os cabos estão ligados.
Continue digitando isso pra colocar o IP nas interfaces:
enable
conf t
interface FastEthernet 0/0
ip address 192.168.0.1 255.255.255.0
no shutdown
exit
exit
show ip interface brief
copy running-config startup-config
Note que ele ficará verdinho. Faça o mesmo no roteador pro segundo:
enable
conf t
interface FastEthernet 0/1
ip address 10.1.1.1 255.0.0.0
no shutdown
exit
exit
show ip interface brief
copy running-config startup-config
Dessa forma ele ligará as duas redes distintas. Para isso ele terá dois ou mais IPs diferentes em classes diferentes.
Abra o console do PC 0 e tente pingar o PC 2 da rede 10. Ele não responderá.
Nós ainda precisamos falar
para os computadores que tem um outro dispositivo ali no meio. Para o PC 0 se comunicar com outro computador na rede, ele manda um ARP num broadcast perguntando o endereço IP. No caso, o PC 0 tem que perguntar ao roteador se ele consegue levar ele ao endereço que o PC 0 está procurando. Esse endereço se chama Gateway Padrão.
Para configurar o Gateway Padrão, vá na IP Configuration do PC 0 e coloque o roteador como Default Gateway (192.168.0.1), no caso, o endereço da interface Ethernet na qual ele está ligado (0/0). Faça o mesmo com a porta 0/1 do roteador no PC 2, com o IP (10.1.1.1).
PS: Deixe a opção DNS Server vazia, sem 0 nem nada.
Primeiro faça uma rede com esses itens na ordem:
192.168.1.10 - Gateway: 192.168.1.1192.168.3.10 - Gateway: 192.168.3.1PS: Coloque nas notas da rede, em cima dos cabos, do tipo Cross, na ordem: 192.168.1.0/24, 192.168.2.0/24 e 192.168.3.0/24.
Para colocar os IPs nos roteadores, faça assim no Roteador 1, para configurar as portas de comunicação:
enable
conf t
interface FastEthernet 0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface FastEthernet 0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
exit
copy running-config startup-config
E assim no Roteador 2:
enable
conf t
interface FastEthernet 0/1
ip address 192.168.2.2 255.255.255.0
no shutdown
exit
interface FastEthernet 0/0
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
exit
Para entendermos, o PC tá na rede 1 e conecta ao roteador, que está conectado ao outro roteador pela rede 2, e este segundo está conectado à rede 3 onde está o outro PC.
No primeiro PC, podemos pingar o roteador 192.168.1.1. Da mesma forma, pingamos a porta 2 do roteador digitando 192.168.2.1 e ele responde, mas não conseguiremos pingar 192.168.2.2, por exemplo. Isso porque este roteador não foi configurado para transferir os pacotes do primeiro computador para fora da rede no qual está conectado (no caso a 1).
No primeiro roteador, digite esses comandos no CLI:
enable
show ip interface brief
show ip route
O primeiro PC está conectado ao roteador pela rede 192.168.1.0 com o IP 192.168.1.10.
No CLI, digite isso:
ping 192.168.1.10
ping 192.168.2.2
ping 192.168.3.1
Ele responderá normalmente na porta 192.168.2.2, esta é a porta do segundo roteador ligada no primeiro. Mas ele não conseguirá pingar a porta 192.168.3.1 do mesmo roteador (o segundo). Ele só pingará quem estiver ligado diretamente nele.
Para traçar a rota do primeiro PC até o segundo, digite esses comandos no CLI do primeiro roteador:
conf t
ip route 192.168.3.0 255.255.255.0 192.168.2.2
exit
No comando acima, dizemos que queremos acessar a rede 192.168.3.0 através da conexão 192.168.2.2 (que nós já conseguimos acessar).
Digite isso no mesmo CLI:
show ip route
copy running-config startup-config
Agora podemos acessar a 192.168.3.0, como podemos ver.
Pingue a porta do segundo roteador na rede 3 e depois a máquina nessa mesma rede, no mesmo CLI do primeiro roteador, assim:
ping 192.168.3.1
ping 192.168.3.10
Abra o prompt do primeiro PC e pingue o segundo PC da rede 3, ele não conseguirá acessar porque o segundo roteador não foi configurado pra voltar com a rota.
Entre no segundo roteador, no CLI e digite esses comandos:
enable
show ip interface brief
ping 192.168.1.1
Ele não acessará o IP descrito.
Para configurar a rota, digite isso no mesmo CLI:
show ip route
conf t
ip route 192.168.1.0 255.255.255.0 192.168.2.1
exit
copy running-config startup-config
show ip route
Agora ele fará a rota normalmente. Volte ao prompt do primeiro PC e pingue os IPs 192.168.3.1 (roteador) e 192.168.3.10 (segundo PC).
Da mesma forma, podemos ir ao prompt do segundo PC e pingar a porta da rede 1 do roteador e do primeiro PC (192.168.1.1 e 192.168.1.10).
Agora todo mundo tá vendo todo mundo. Volte ao prompt do primeiro PC e use o comando tracert 192.168.3.10 para vermos a rota dele. Faça o mesmo no segundo PC com tracert 192.168.1.10. Dessa forma entendemos como funciona o traceroute, onde cada IP é um roteador onde passa para chegar ao endereço final.
Coloque um PC com o IP 192.168.1.2 com o gateway 192.168.1.1, e um roteador 2621XM ligado a ele com o IP 192.168.1.1 e máscara padrão C, mas do outro lado do roteador terá o IP 192.168.2.1 e a máscara 255.255.255.252 (outra rede). Coloque ao lado um firewall 5506 e no final, um servidor. No firewall, que será configurado por último, a porta ligada ao roteador terá a mesma máscara e o IP 192.168.2.2. Do outro lado, será outra rede, com o IP do firewall sendo 192.168.3.1 e o servidor com o IP 192.168.3.2 com o gateway 192.168.3.1, ambos com a máscara 255.255.255.252.
PS: Lembre-se que computadores e roteadores devem ser ligados com o cabo Cross.
No roteador, vamos em config e coloque em Config, em RIP, adicione as redes 192.168.1.0 e 192.168.2.0.
No servidor, habilite o HTTP para um teste.
No firewall, vá em CLI e digite esses comandos:
enable # Pede senha, mas ela é em branco, só confirmar
conf t
interface g1/1
ip address 192.168.2.2 255.255.255.252
no shutdown
nameif cliente
security-level 0 # Adiciona nível segurança 0, para redes públicas
exit
interface g1/2
ip address 192.168.3.1 255.255.255.252
no shutdown
nameif servidor
security-level 0
exit
Ele ainda não estará funcionando como um firewall, faremos isso em seguida.
Digite no CLI do firewall ainda:
router rip
network 192.168.2.0
network 192.168.3.0
exit
No PC, podemos fazer o ping com o servidor digitando no prompt ping 192.168.3.2, podemos também abrir o site no navegador pelo mesmo IP.
Digite no PC:
ftp 192.168.3.2
cisco # Usuário, a senha é a mesma
quit
Podemos ver que não estamos com nenhuma restrição na rede.
No firewall, vamos maximizar a segurança da rede do servidor para 100, digitando no CLI:
interface g1/2
security-level 100
exit
Volte no computador e tente acessar o servidor tanto pelo site quanto pelo FTP, ele não permitirá. Podemos fazer o teste da cartinha também ou o Ping no prompt.
Para criar listas de acesso para permitir, por exemplo, apenas o HTTP, vá no CLI do firewall e digite esses comandos:
conf t
access-list permitir-http extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.3.2 eq 80 # Permitindo qualquer requisição TCP na porta 80 ao servidor.
access-group permitir-http in interface cliente
exit
Volte no PC e tente acessar o site, ele abrirá normalmente, mas o Ping e o FTP continuará sendo bloqueado. O site só abrirá com o IP, pois se tiver DNS configurado no servidor, ele não abrirá por não estar autorizado o tráfego desse protocolo, que inclusive usa o UDP ao invés do TCP.