205.1660.04-7
2008 - DIGITEL S.A. INDSTRIA ELETRNICA Rua Dr. Joo Incio, 1165 Bairro: Navegantes CEP 90230-181 Porto Alegre/RS Brasil Tel.: 55 51 3337.1999 Fax: 55 51 3337.1923 http://www.digitel.com.br E-mail: info@digitel.com.br
Orientaes
imprescindvel a leitura atenta das informaes gerais e das instrues de instalao constantes no
manual antes de operar o produto.
No exponha o produto chuva nem s variaes de temperatura ou umidade alm das especificadas pelo manual. Sempre verifique se as conexes fsicas esto perfeitamente encaixadas (conectores, plugues, cabos e acessrios) e tenha certeza de que esto de acordo com os itens que descrevem caractersticas tcnicas, conexes e instalao do produto no manual. Somente efetue conexes fsicas de produtos, perifricos ou acessrios quando o sistema estiver desligado. Alguns produtos da Digitel podem ser inseridos em gabinetes e bastidores sem a necessidade de desligar a fonte de alimentao. Neste caso, siga a orientao descrita no item Instalao do produto. No caso de produtos que so ligados rede eltrica, nunca sobrecarregue as tomadas. Caso necessite usar extenso, utilize fios e tomadas compatveis com a capacidade especificada. No substitua peas do produto por outras no originais. Em caso de dvida, procure sempre orientao no Centro de Assistncia Tcnica Digitel mais prximo. Tome todas as medidas de proteo antiesttica e contra descargas eltricas, inclusive a instalao de
aterramento, uso de filtros de energia ou estabilizadores de tenso e nobreaks.
A Digitel se reserva o direito de alterar as especificaes contidas neste documento sem notificao prvia.
Para informaes sobre garantia e assistncia tcnica, consulte a seo no final deste manual.
No caso de produtos Digitel que permitam empilhamento, verifique a descrio desse procedimento no item do manual que descreve a sua instalao.
Os gabinetes devem ser instalados em uma superfcie plana e firme. As frestas e aberturas no devem ser bloqueadas ou cobertas, pois servem para ventilao e evitam o superaquecimento. Garanta uma rea livre de no mnimo 3,5 cm sobre o gabinete. Nunca empilhe os gabinetes.
Para limpar o produto, desligue-o da alimentao. No use produtos de limpeza lquidos, em pasta, aerossol ou abrasivos. Use um pano seco ou levemente umedecido e nunca deixe que lquidos ou materiais caiam sobre ou dentro do produto.
ndice
A p r e s e n t a o ................................................................................................................................................................... 8 Descrio do produto ........................................................................................ .................................. 1 4 PRINCIPAIS CARACTERSTICAS ......................................................................................................................................................... 14 Roteamento IP ................................................................................................................................................................................... 14 IP Masquerade .................................................................................................................................................................................. 14 NAT Redirect ..................................................................................................................................................................................... 14 Firewall ................................................................................................................................................................................................ 14 VPN ..................................................................................................................................................................................................... 15 DHCP Server ..................................................................................................................................................................................... 15 Protocolo de interconexo: PPP ..................................................................................................................................................... 15 Protocolo de interconexo: HDLC-Cisco ...................................................................................................................................... 15 Protocolo de interconexo: Frame Relay ....................................................................................................................................... 15 Operao chaveada por demanda ................................................................................................................................................. 15 Mltiplas interfaces ........................................................................................................................................................................... 15 Monitorao dos sinais da interface ............................................................................................................................................... 15 Controle de segurana ..................................................................................................................................................................... 16 Armazenamento de configurao ................................................................................................................................................... 16 Atualizao de firmware ................................................................................................................................................................... 16 Autoteste e boot-up .......................................................................................................................................................................... 16 Servio Telnet .................................................................................................................................................................................... 16 Servio SSH ............................................................................................................................................................................................. 16 Gerenciamento SNMP ..................................................................................................................................................................... 16
Instalao e configurao inicial.................................................................................................. 18 REQUISITOS PARA INSTALAO E CONFIGURAO INICIAL .................................................................................................... 18 CONEXO DA PORTA LAN0 ................................................................................................................................................................. 18 CONEXO DA PORTA CONSOLE ........................................................................................................................................................ 18 RECONFIGURAO DOS ENDEREOS IP (OPCIONAL) ............................................................................................................... 19 CONFIGURAO INICIAL VIA WEBCONFIG ..................................................................................................................................... 19 CONFIGURAO INICIAL VIA CLI ...................................................................................................................................................... 20
P a i n i s .............................................................................................................................................................................. 2 1 PAINIS FRONTAL E TRASEIRO DO NETROUTER 2G 3200 .......................................................................................................... 21 PAINIS FRONTAL E TRASEIRO DO NETROUTER 2G 3260 .......................................................................................................... 22 Composio dos leds e conectores dos modelos NetRouter 2G - Srie 3200 ........................................................................ 23 Indicador ST ....................................................................................................................................................................................... 24 Indicador LAN .................................................................................................................................................................................... 24 Indicador AUX .................................................................................................................................................................................... 24 Indicadores TD e RD ........................................................................................................................................................................ 24 Indicadores WTD e WRD .................................................................................................................................................................. 24 Conector AUX .................................................................................................................................................................................... 24 Conector WAN multiinterface .......................................................................................................................................................... 25 Alimentao (modelo NR-2G 3200) ............................................................................................................................................... 25 C a b o s ................................................................................................................................................................................. 2 6 CABO CONSOLE DB (CB - CONS).................................................................................................................................. 26 CABO LAN CROSS (CB-LAN/X-NR) ..................................................................................................................................................... 26 CABO CONSOLE RJ (CB-CONS/AUX-NR) .......................................................................................................................................... 27 ADAPTADOR TERMINAL DB9 (AD-RJ/TERM/DB9-NR) .................................................................................................................... 27 ADAPTADOR TERMINAL DB25 (AD-RJ/TERM/DB25-NR) ................................................................................................................ 28 ADAPTADOR MODEM DB25 (AD-RJ/MODEM/DB25-NR) ................................................................................................................ 28 CABO PARA INTERFACE V.24/V.28 - RS232 (CB-V24-NR) .............................................................................................................. 29 CABO PARA INTERFACE V.11/V.36 (CB-V36-NR) .............................................................................................................................. 30 CABO PARA INTERFACE V.35/MRAC34 (CB-V35-NR) ...................................................................................................................... 31 CABO PARA INTERFACE V.35/MRAC34 Fmea (CB-V35/M34F-NR) .............................................................................................. 32 CABO PARA INTERFACE V.35/PADRO TELEBRS (CB-V35/PT-NR) ........................................................................................... 33 CABO PARA INTERFACE V.35/ISO2110 (CB-V35/ISO-NR) .............................................................................................................. 34 CABO PARA INTERFACE V.35/NEWBRIDGE (CB-V35/NB-NR) ....................................................................................................... 35 ADAPTADOR PARA INTERFACE G.703 (CB-G703-NR) ................................................................................................................... 36
O p e r a o ......................................................................................................................................................................... 3 7 INICIALIZAO E REINICIALIZAO DO EQUIPAMENTO ............................................................................................................. 37 NR2GBOOT E OS MODOS DE OPERAO ....................................................................................................................................... 37 MODO DE SEGURANA ....................................................................................................................................................................... 37 Recuperando a verso de firmware por console .......................................................................................................................... 39 Recuperando a configurao de fbrica do roteador .................................................................................................................. 39 MODO DE OPERAO NORMAL ......................................................................................................................................................... 40 CONFIGURAO VIA WEBCONFIG ..................................................................................................................................................... 40
ndice
CONFIGURAO VIA CLI (TELNET/CONSOLE/SSH) ...................................................................................................................... 43 Guia da CLI - Command Line Interface ............................................................................................................... 4 5 INTRODUO A CLI .............................................................................................................................................................................. 45 Acessando um equipamento via CLI ............................................................................................................................................. 45 Categorias de comando ................................................................................................................................................................... 45 MODIFICANDO O USURIO E A SENHA ........................................................................................................................................... 49 MODIFICANDO O HOSTNAME DO EQUIPAMENTO ........................................................................................................................ 49 EXPORTANDO E IMPORTANDO ARQUIVOS DE CONFIGURAO .............................................................................................. 50 LIMPANDO A CONFIGURAO DO ROTEADOR .............................................................................................................................. 50 ATUALIZAO DE SOFTWARE ............................................................................................................................................................ 50 Atualizao do sistema operacional ............................................................................................................................................... 51 Atualizao do BOOTLOADER e SOFTWARE .............................................................................................................................. 52 CONFIGURANDO ENDEREO ETHERNET ........................................................................................................................................... 53 CONFIGURANDO ENDEREO ETHERNET VIRTUAL .......................................................................................................................... 54 CONFIGURANDO VLAN (802.1Q) ........................................................................................................................................................ 55 PROTOCOLO FRAME RELAY ................................................................................................................................................................ 55 PROTOCOLO PPP ................................................................................................................................................................................... 57 PROTOCOLO PPP ASSNCRONO ....................................................................................................................................................... 57 Exemplo de configurao de PPP assncrono ........................................................................................................... 58 Configurao GPRS/EDGE ...................................................................................................................................... 59 PROTOCOLO HDLC ................................................................................................................................................................................ 59 PROTOCOLO X25 .................................................................................................................................................................................... 59 Introduo .......................................................................................................................................................................................... 59 Lista de Comandos ........................................................................................................................................................................... 59 CONFIGURAO PARA INTERFACE UNNUMBERED ..................................................................................................................... 62 ADICIONANDO ROTAS ESTTICAS ................................................................................................................................................... 62 BALANCEAMENTO DE CARGA POR ROTA ESTTICA ................................................................................................................... 64 PROTOCOLOS DE ROTEAMENTO DINMICO ................................................................................................................................. 65 RIP (Routing Information Protocol) ................................................................................................................................................. 65 OSPF (Open Shortest Path First) .................................................................................................................................................... 66 BGP (Border Gateway Protocol) ..................................................................................................................................................... 67 NAT (NETWORK ADDRESS TRANSLATOR) ....................................................................................................................................... 68 Introduo .......................................................................................................................................................................................... 68 Configurando NAT MASQUERADE ................................................................................................................................................ 68 Configurando NAT REDIRECT ........................................................................................................................................................ 69 Configurando NAT 1:1 ...................................................................................................................................................................... 69 Configurando NAT EXCLUSION ..................................................................................................................................................... 70 Configurando NAT POOL ................................................................................................................................................................. 70 HABILITANDO O SNMP - SIMPLE NETWORK MANAGMENT PROTOCOL .................................................................................. 70 IP TUNNELING ........................................................................................................................................................................................ 71 GRE (Generic Routing Encapsulation) ........................................................................................................................................... 71 PPTP (Point-to-Point Tunneling Protocol) ...................................................................................................................................... 73 L2TP (Layer 2 Transport Protocol) .................................................................................................................................................. 74 IPSEC - SECURE IP OVER THE INTERNET ....................................................................................................................................... 75 Introduo .......................................................................................................................................................................................... 75 Protocolos do IPSEC ........................................................................................................................................................................ 76 DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) ............................................................................................................... 79 DHCP Server ..................................................................................................................................................................................... 80 DHCP Reservation ............................................................................................................................................................................ 81 DHCP Relay ....................................................................................................................................................................................... 81 CONFIGURAO DE PROTOCOLO BRIDGE ..................................................................................................................................... 82 QUALIDADE DE SERVIO (QOS) ........................................................................................................................................................ 82 Controle de trfego ........................................................................................................................................................................... 82 Disciplinas de servio ....................................................................................................................................................................... 83 HTB (Hierarchy Token Bucket) ...................................................................................................................................83 TBF (Token Bucket Filter) ...........................................................................................................................................84 SFQ (Stochastic Fairness Queuing) ........................................................................................................................... 84 HFSC (Hierarchical Fair Service Curve)...................................................................................................................... 86 FIREWALL ................................................................................................................................................................................................. 87 Introduo .......................................................................................................................................................................................... 87 Politicas .............................................................................................................................................................................................. 87 Cadeias (chains) ................................................................................................................................................................................ 87 Especificando inverso .................................................................................................................................................................... 88 Especificando fragmentos ............................................................................................................................................................... 88
ndice
Parmetros de Configurao ........................................................................................................................................................... 89 SISTEMAS DE AUTENTICAO ................................................................................................................................................... 91 Introduo .......................................................................................................................................................................................... 91 Radius ................................................................................................................................................................................................. 92 Tacacs ................................................................................................................................................................................................ 92 PIM - Protocolo independente para multicast .............................................................................................................................. 93 ESTATSTICAS DE INTERFACE ........................................................................................................................................................... 94 WAN (todos os protocolos - interface HDLC) ............................................................................................................................... 94 WAN (protocolo HDLC - Cisco) ...................................................................................................................................................... 95 WAN (protocolo FRAME RELAY - interface HDLC) ...................................................................................................................... 96 WAN (protocolo FRAME RELAY - interface PVC) ......................................................................................................................... 96 WAN (protocolo X25 - interface HDLC) ......................................................................................................................................... 96 LAN (todos os protocolos - interface ETH) .................................................................................................................................... 96 IPACCT - IP ACCOUNTING ................................................................................................................................... ..97 SYSLOG .................................................................................................................................................................................................... 98 Facility ................................................................................................................................................................................................. 98 Priority (Level) .................................................................................................................................................................................... 99 VRRP (VIRTUAL ROUTER REDUNDANCY PROTOCOL) ................................................................................................................... 99 Definies ........................................................................................................................................................................................ 100 Configurao ................................................................................................................................................................................... 100 PROTOCOLO CRTP .............................................................................................................................................................................. 101 PROTOCOLO NTP ................................................................................................................................................................................. 102 Configuraes ................................................................................................................................................................................. 102 NTP Time Zone ................................................................................................................................................................................ 103 Parmetros da CLI ..................................................................................................................................................103 Visualizando o Estado do Servio ............................................................................................................................104 XOT ............................................................................................................................................................................. 105 Introduo ............................................................................................................................................................. 105 Lista de Comandos ................................................................................................................................................ 105 APLICAES ............................................................................................................................................................... 1 0 6 ESCRITRIOS REMOTOS ................................................................................................................................................................... 106 BACKBONE REGIONAL ....................................................................................................................................................................... 107 ACESSO INTERNET .......................................................................................................................................................................... 107 INTERCONEXO VIA INTERNET - EXTRANET ................................................................................................................................ 108 INTERNETWORKING SOBRE REDE FRAME RELAY ....................................................................................................................... 109 APLICAES COM ROTEADORES GPRS, EDGE E CDMA ......................................................................................................... 113 Aplicao Tpica .............................................................................................................................................................................. 113 Roteador GPRS como Backup de outro Roteador ..................................................................................................................... 114 Mquina X.25 sobre GSM/GPRS .................................................................................................................................................. 114 Roteador GPRS com Dial Backup ................................................................................................................................................ 115 GSM/GPRS como Backup de porta WAN Serial ......................................................................................................................... 115 GSM/GPRS como Backup de acesso Ethernet .......................................................................................................................... 116 LISTA COMPLETA DE COMANDOS .......................................................................................................................... 1 1 7 Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao Configurao de Sistema - SYSTEM ........................................................................................................................................... 118 de Ethernet/LAN ..................................................................................................................................................... 119 de Interface WAN ................................................................................................................................................... 119 de Rotas Estticas - ROUTES .............................................................................................................................. 123 de Linha Backup - BACKUP ................................................................................................................................. 124 de Roteamento Dinmico - RIP ........................................................................................................................... 124 de Roteamento Dinmico - OSPF ....................................................................................................................... 124 de Roteamento Dinmico - BGP .......................................................................................................................... 126 de NAT ..................................................................................................................................................................... 126 de Tneis - GRE ..................................................................................................................................................... 127 de VPN - PPTP ....................................................................................................................................................... 127 de VPN - L2TP ........................................................................................................................................................ 128 de VPN - IPSEC ..................................................................................................................................................... 128 de Protocolo DHCP ............................................................................................................................................... 129 de Protocolo SNMP ............................................................................................................................................... 130 de Protocolo IPX ..................................................................................................................................................... 130 de Protocolo BRIDGE ............................................................................................................................................ 131 de Firewall ............................................................................................................................................................... 131 de Qualidade de servio IP - QOS ...................................................................................................................... 133 de Protocolo VRRP ................................................................................................................................................. 135 PIM - Multicast ........................................................................................................................................................ 135
ndice
Configurao Configurao Configurao Configurao Configurao Configurao de IPACCT - IP Accouting .................................................................................................................................... 136 da Tabela ARP ........................................................................................................................................................ 136 de PPPoE (PPP over Ethernet) ............................................................................................................................ 137 de Interface LoopBack .......................................................................................................................................... 137 de XOT (X25 over TCP) .......................................................................................................................................... 137 de NTP ..................................................................................................................................................................... 138
E s p e c i f i c a e s ........................................................................................................................................................... 139
Apresentao
A segunda gerao de roteadores da Digitel, NetRouter 2G, consiste de uma famlia de roteadores de acesso de altssima performance, destinados principalmente ao mercado corporativo, atendendo qualquer porte de empresa ou rede. Com um razovel conjunto de caractersticas, como interfaces, protocolos e servios, atendem a um grande nmero de utilizaes, aplicveis nas mais variadas redes de comunicao de dados disponveis na atualidade. Os novos modelos, a seguir apresentados, demonstram a evoluo da linha de roteadores e so o resultado da manuteno do objetivo de possuir uma linha prpria, garantido pelo continuo investimento da Digitel no desenvolvimento e na fabricao de produtos IP . Desenvolvida para atender aplicaes de roteadores do tipo CPE (acesso), a famlia NetRouter 2G composta por diversos modelos, atendendo as mais variadas combinaes de interfaces WAN e LAN utilizadas no mercado. Dentre as opes , h os modelos de roteadores com opo de interfaces WAN/Wireless, podendo ser utilizados em aplicaes com redes celulares GSM (GPRS ou EDGE). A famlia NetRouter 2G apresenta, entre outras inovaes, uma arquitetura de hardware de alta performance, baseada em processadores Power PC RISC de 32 bits, permitindo desempenho superior a modelos similares do mercado, com capacidade de trabalhar na porta WAN em velocidades de at 5 Mbps, na porta LAN at 100 Mbps e suportar a criptografia 3DES (chave de 168 bits) ou AES (chave de 256 bits) sem a necessidade de hardware adicional. Com sistema operacional prprio, desenvolvido pela Digitel e baseado em Linux embarcado, incorpora as ltimas novidades em facilidades e protocolos do ambiente de redes, como Firewall, controle de trfego (QoS) e VPN/IP de ltima gerao (IPSec/3DES/AES). A utilizao de um sistema operacional aberto permite uma rpida incorporao de novidades tecnolgicas que venham a surgir no mercado. Aps o consagrado sucesso nos roteadores de primeira gerao da Digitel, mantido o conceito de facilidade e simplificao na configurao e superviso do roteador atravs de uma interface web browser. Incorpora tambm uma interface avanada para configurao, diagnstico e manuteno, a partir de linhas de comando (CLI), que podem ser executados diretamente na porta console do roteador ou atravs de um acesso Telnet ou SSH (Telnet Seguro - criptografado). A famlia NetRouter 2G composta por quatro sries. Sries NR-2G 3200/3210/3230, compostas por diversos modelos de roteadores wireline, com diferentes combinaes de interfaces LAN, WAN/Serial e WAN/Auxiliar, diferentes capacidades de software e processamento de pacotes. Srie NR-2G 3260 EDGE, composto por diversos modelos de roteadores EDGE, com diferentes combinaes de interfaces LAN, WAN/Serial e WAN/Auxiliar, mas sempre com uma interface WAN/Wireless para redes celulares GSM, suportando as tecnnologias GPRS e EDGE.
Apresentao
O quadro-resumo a seguir apresenta as interfaces suportadas por cada modelo da famlia NetRouter 2G: Modelo NR-2G 3201 3211 3212 3214 3218 3238 3261 3262 3264 3268 LAN 10/100 1 1 1 2 2 2 1 1 2 2 WAN Serial Mbps 1 1 1 1 2 2 1 WAN Auxiliar 1 1 1 1 1 1 1 1 WAN Wireless 1 1 1 1 1 1 1 1 GPRS/ EDGE Console 1 1 1 1 1 1 1 1 1 1 Memria Flash/RAM MB 08/16 16/32 16/32 16/32 16/32 16/64 16/32 16/32 16/32 16/32
A seguir, uma breve descrio das interfaces utilizadas pelos diferentes modelos da famlia NetRouter 2G: LAN: a interface LAN de todos os modelos opera a 10 ou 100 Mbps, autosense, half ou full duplex. Todos os modelos possuem pelo menos uma interface LAN e alguns possuem uma segunda interface LAN (no HUB ou Switch); WAN/Serial: uma porta WAN serial com opo de mltiplas interfaces (MI), suportando velocidades at 5 Mbps e operando com os protocolos PPP sncrono ou assncrono, HDLC-Cisco, Frame Relay ou X.25, no modos dedicado, ou com o protocolo PPP assncrono no modo discado (dial on demand e dial backup). Conforme o modelo, pode existir nenhuma a duas interfaces WAN; WAN/Auxiliar: uma interface auxiliar do tipo RS-232 (V.24/V.28), que suporta velocidades at 115,2 kbps e opera com o protocolo PPP assncrono, nos modos dedicado ou discado (dial on demand e dial backup). O modem (DCE) no faz parte do equipamento (deve ser um modem externo), podendo ser modem analgico (V.90), terminal ISDN ou modem celular externo. Nem todos os modelos possuem porta WAN/Auxiliar; WAN/Wireless: uma interface rea para acesso a redes de operadoras celulares GSM (tecnologia GPRS ou EDGE). Utiliza um mdulo modem integrado ao equipamento (modem interno). Quando for utilizado um dos modelos para operao com rede celular GSM (GPRS ou EDGE), deve ser instalado o SIM Card devidamente habilitado pela operadora em questo. O modelo EDGE suporta tecnologia para acesso a redes GPRS e EDGE. Console: todos os modelos possuem uma interface RS-232 (V.24/V28) dedicada a configurao e superviso da unidade.
Apresentao
O cabo adaptador, ligado ao conector correspondente no painel traseiro do equipamento, ir configurar a porta serial de acordo com o tipo de interface eltrica selecionada. Os cabos de adaptao de interface das portas WAN devem ser solicitados separadamente, conforme a tabela abaixo.
Cabo WAN interface V.24/V.28 (RS-232) Cabo WAN interface V.36 Cabo WAN interface V.35/MRAC34 Fmea Cabo WAN interface V.35 padro MRAC34 Cabo WAN interface V.35 padro TELEBRAS Cabo WAN interface V.35 padro ISO 2110 Cabo WAN interface V.35 padro Newbridge Cabo WAN interface G.703 2 Mbps
cdigo 810.0293 cdigo 810.0290 cdigo 810.0289 cdigo 810.0291 cdigo 810.0297 cdigo 810.0323 cdigo 810.0349
Os roteadores NR-2G j saem de fbrica com um MAC Address individualizado, com ID Company privado da Digitel, registrado no IEEE (Institute of Electrical and Electronics Engineers). O software j carregado na fbrica, mas o usurio pode realizar atualizaes em campo quando necessrio (o site da Digitel possui sempre a verso mais atualizada). Todos os modelos possuem opo de alimentao AC ou DC. Originalmente, disponibilizada a opo de alimentao AC, enquanto que a opo de alimentao DC deve ser feita na ocasio da colocao do pedido de compra. Se no for definida a opo de alimentao por ocasio do pedido, o equipamento ser fornecido com alimentao AC. O conjunto de caractersticas implementadas na famlia NetRouter 2G suficiente para atender desde as necessidades bsicas de internetworking com roteadores de acesso at aplicaes mais complexas, sempre garantindo uma excelente relao custo benefcio. A seguir, destacamos algumas das principais caractersticas: porta WAN/Serial, sncrona ou assncrona, com mltiplas interfaces (RS-232, V.36, V.35 e G.703/2 Mbps), para velocidades at 5 Mbps; protocolo Frame Relay, sem limite de DLCIs, nos modos ANSI, ITU, ou sem LMI; roteamento esttico ou dinmico (BGP4, OSPF, RIP ou RIP2); segunda interface LAN, em alguns modelos, para solues de redes mais seguras; possibilidade de configurao de vrios endereos IP por interface LAN; servidor DHCP para o fornecimento de endereo IP e default gateway; DHCP Relay para aplicaes que tenham um servidor DHCP centralizado; compartilhamento de endereos IP atravs de NAT; firewall do tipo statefull inspection com filtros de datagramas por endereos IP de origem ou destino e intervalos de portas TCP (sockets) ou UDP (de destino) e lista de acesso (access list); protocolos PPTP , L2TP e GRE para tunelamento (VPN) (o PPTP no suportado pelo modelo 3201); IPSec para redes VPN seguras, inclusive com criptografia 3DES (chave de 168 bits) e AES (chave de at 256 bits) (menos no modelo 3201); Suporte a priorizao de pacotes, limitao de banda, balanceamento de carga e controle de congestionamento, atravs de ferramentas de QoS; acionamento de discagem por demanda (dial on demand); acionamento de discagem por contingncia ou sobrecarga do link principal - dial backup, nos modelos com mais de uma porta WAN; acionamento de acesso wireless como contingncia ou sobrecarga do link principal - backup sobre GPRS, (modelos wireless);
10
Apresentao
soluo de alta disponibilidade com um segundo gateway redundante, atravs do protocolo VRRP( menos no modelo 3201); suporte a aplicaes com virtual LAN (VLAN), IEEE 802.1q; configurao por linha de comando (CLI) por Console, Telnet e SSHv2; configurao atravs de web-browser; suporta gerenciamento centralizado atravs de SNMP MIB2 padro e MIBs proprietrias; trs nveis de usurio e autenticao em servidor externo via TACACS, TACACS+ (AAA) e/ou RADIUS; download/upload de arquivo de configurao; atualizao de software via TFTP ou FTP (menos no modelo 3201); log de eventos interno ou destinado a elemento externo na rede; e compatibilidade com roteadores de terceiros. A famlia NetRouter 2G foi desenvolvida para trabalhar nas mais variadas aplicaes, bem como em: conexes de escritrios remotos matriz (remote office ou SOHO); acesso a redes Frame Relay ou X.25, pblicas ou privadas; acesso corporativo Internet ou ISPs (Internet Service Providers); internetworking sobre redes IP ou Internet, com a possibilidade de formao de redes VPN/IP criptografadas (IPSec/3DES ou AES); acesso dedicado ou comutado (dial on demand), inclusive ISDN/RDSI (atravs de adaptador externo); acesso a redes GPRS/EDGE com modem integrado (Srie 3260); aplicao com contingncia, tipo dial backup; solues de firewall (statefull inspection), inclusive com opo de segunda interface LAN (DMZ).
Mais adiante, so apresentadas, com mais detalhes, algumas dessas aplicaes. A figura a seguir ilustra apenas alguns exemplos de aplicaes bsicas com os modelos da famlia NetRouter 2G:
Escritrio Remoto
Filial
TCP/IP
NR-2G 3214
TCP/IP
TCP/IP
NR-2G 3211
NR-2G 3218
Acesso at 2Mbps
Escritrio Remoto
Internet
Acesso at 2Mbps
Frame Relay
dial backup
Ethernet NR-2G 4200
TCP/IP
TCP/IP
TCP/IP
NR-2G 3212
Host UNIX
Escritrio Central/Matriz
Escritrio Regional
11
Apresentao
1)
2) 2.1) 2.2)
3)
4)
12
Apresentao
Srie NetRouter 2G 3260 EDGE
Quando abrir a embalagem, voc encontrar : 1) NetRouter 2G 3260 EDGE; 2) Fonte de alimentao AC (2.1) OU DC (2.2); 3) Cabo CONSOLE DB (CB-CONSOLE, cdigo Digitel 690.4642); 4) Antena Quadri Band GSM (cdigo Digitel 690.2310). 5) CD com documentao tcnica e comercial;
1)
2) 2.1) 2.2)
3)
4)
5)
13
Descrio do produto
PRINCIPAIS CARACTERSTICAS
Roteamento IP
O NetRouter 2G suporta roteamento IP atravs de tabela de roteamento esttico, programvel pelo usurio, e roteamento dinmico, utilizando os protocolos RIP , RIP2, OSPF ou BGP .
IP Masquerade
O NetRouter 2G possibilita o compartilhamento de um nico endereo IP vlido para vrias estaes na mesma sub-rede. Essa caracterstica chamada de IP Masquerade ou NAT/PAT (Network Address Translation with Port Address Translation) e permite que toda a rede se conecte Internet utilizando apenas um endereo IP , fornecido, dinmica ou estaticamente, pelo seu provedor de acesso.
NAT Redirect
O NetRouter 2G permite mapear servios de rede de forma a manter um nico ponto de controle, limitando o nmero de conexes e timeouts de conexes ociosas e no consumindo recursos de servidores, cujo tempo de resposta valioso. Os servidores virtuais facilitam o remapeamento em caso de queda e a manuteno de um servidor, sem que seja preciso reconfigurar todas as estaes de clientes. Utilizando o Redirect em conjunto com o IP Masquerade, possvel disponibilizar servios para a Internet mesmo quando estes forem oferecidos por servidores utilizando IP reservados.
Firewall
O NetRouter 2G possui um mecanismo de firewall sofisticado e poderoso, permitindo a criao de um conjunto de regras que proporcionam segurana ao usurio sem prejudicar a acessibilidade. Permite a criao de regras contendo diversas formas de escolha de trfego, tais como: por interface; pacote IP , TCP e UDP; trfego de origem, destino e sada; estado de conexo (connection tracking); limite de trfego; endereo MAC; tipo de servio TOS; fragmento de pacote; por tempo (dia e hora de trfego vlido); estado de conexo (SPI). Alm disso, o firewall dispe de outros recursos importantes, tais como a criao de DMZs e o monitoramento de trfego (LOG).
VPN
O NetRouter 2G oferece o protocolo IPSEC, que, atravs de autenticao e criptografia, permite o estabelecimento de tneis seguros atravs de redes inseguras e, conseqentemente, a criao de VPNs (Virtual Private Networks). A implementao utiliza para criptografia, os algoritmos 3DES (TripleDES) ou AES executados por hardware exclusivo, e para a autenticao de pacotes, os algoritmos MD5 ou SHA. Alm do IPSEC e quando a criptografia do canal no uma prioridade, o NetRouter 2G tambm oferece os protocolos L2TP , PPTP e GRE, que permite encapsular enlaces PPP atravs de tneis GRE.
14
Descrio do produto
DHCP Server
O NetRouter 2G possui um servidor DHCP que permite que mquinas remotas obtenham dinamicamente endereos IP , servidores DNS, WINS e Gateways. possvel definir ranges de endereos e endereos IP especficos com base no endereo MAC do cliente.
Mltiplas interfaces
As portas WAN oferecem quatro tipos de interfaces (V.24/V.28, V.35, V.36 e G.703), selecionadas automaticamente pelo cabo ou adaptador ligado ao conector de cada porta.
15
Descrio do produto
Os sinais de transmisso (WTD) e recepo (WRD) da porta wireless GSM (GPRS/EDGE) feita atravs dos leds no painel frontal na srie NR-2G 3260.
Controle de segurana
O sistema de segurana suporta mltiplos usurios e os categoriza em trs nveis de acesso. O sistema de segurana est disponvel via CLI (Telnet/Console/SSH). Os trs nveis de acesso so: Operator: possui permisso para ver as configuraes e estatsticas. Moderator: possui permisso para visualizar configuraes, estatsticas e operaes de sistema (gerenciamento de usurios, atualizao de software, ajuste de data/hora, etc.). Administrator: controle total sobre a configurao e a visualizao de configuraes e estatsticas.
Armazenamento de configurao
A configurao armazenada em memria no-voltil, sendo carregada automaticamente sempre que o equipamento ligado. Com o CLI, possvel armazenar a configurao do NR-2G em arquivo, em formato de script de comandos. Essa configurao restaurada atravs do prprio CLI. Atravs do WebConfig, possvel armazenar a configurao do NR-2G em arquivo, sendo necessrio apenas copiar e colar a configurao (em formato de script CLI) em um arquivo texto. O prprio WebConfig permite a restaurao da configurao salva.
Atualizao de firmware
O firmware do NetRouter 2G est armazenado em memria flash, permitindo a atualizao do equipamento em campo atravs dos protocolos TFTP e FTP . Caso ocorra um problema de comunicao durante a transferncia de um novo firmware, um conjunto mnimo de funes garantir o acesso via porta Console, onde ser possvel realizar uma atualizao local, tambm atravs do protocolo TFTP .
Autoteste e boot-up
Ao ser ligado, o NetRouter 2G realiza um autoteste. Caso seja detectada alguma falha, o indicador de status (ST), no painel frontal, exibir a cor vermelha. Se nenhum erro ocorrer, o equipamento completar o processo de inicializao (boot-up) do sistema operacional Linux, e o indicador ST passa cor laranja. Esse processo dura cerca de 20 segundos na configurao de fbrica, e depois o equipamento entra em operao normal. O indicador ST fica permanentemente ligado na cor verde.
Servio Telnet
Durante a operao normal (indicador ST ligado na cor verde), o NetRouter 2G disponibiliza um servio Telnet atravs da rede IP , que permite o acesso ao CLI e, conseqentemente, s configuraes e estatsticas do equipamento no modo de operao avanada.
Servio SSH
Segurana importante em qualquer lugar, ainda mais em se tratando de equipamentos de acesso. Nesse sentido, o NR-2G prov acesso seguro via SSHv2, propiciando confiabilidade e segurana no acesso a configurao.
Gerenciamento SNMP
16
O NetRouter 2G incorpora um agente SNMP (RFC1157) com suporte a MIB I (RFC1156), MIB II (RFC1213) e
Descrio do produto
MIBs proprietrias permitindo a consulta e a configurao de diversos parmetros de roteamento, QoS, Interfaces, bem como a coleta de estatsticas sobre a operao do roteador. O agente SNMP garante segurana adicional ao estabelecer que apenas as estaes cadastradas como gerenciadoras podero acess-lo. Os eventos importantes ocorridos no equipamento sero relatados a todos os gerentes cadastrados atravs de mensagens de trap, conforme especificado pela RFC1215. Antes de proceder instalao do NetRouter 2G, certifique-se de que o equipamento no sofreu danos mecnicos durante o transporte, tais como arranhes, amassados, peas quebradas ou soltas, etc. Se algum problema for detectado durante a inspeo, notifique a companhia transportadora e o Centro de Assistncia Tcnica Digitel, que providenciar a substituio ou o conserto do equipamento.
17
A porta LAN0 do NetRouter 2G est inicialmente habilitada e configurada com um endereo de IP especfico (IP 192.168.1.254; Mscara 255.255.255.0; Gateway 192.168.1.1), permitindo a comunicao com a estao de trabalho via SSH, TELNET ou WEB, pela rede local. Conecte a porta LAN0 do NetRouter 2G a um equipamento de LAN (hub ou switch) atravs de um cabo UTP direto (sem funo crossover). Alternativamente, a porta LAN0 poder ser ligada diretamente a uma porta LAN da estao de trabalho, utilizando o cabo CROSS fornecido com o equipamento (CB-LAN/X-NR). O cabo de LAN CROSS, que implementa a funo crossover, apresenta a seguinte pinagem:
Pinos RJ45 1 2 3 6
Pinos RJ45 3 6 1 2
A porta Console do NetRouter 2G uma porta serial assncrona com pinagem padro ETD V.24 (RS-232). Ela permite a monitorao do funcionamento do roteador atravs de um terminal assncrono ASCII ou VT100, ou atravs de um programa que emule um desses terminais. Para utilizar a porta Console, conecte mesma uma das extremidades do cabo CONSOLE que acompanha o equipamento. A outra extremidade dever ser ligada a um dos adaptadores fornecidos com o NetRouter 2G, dependendo do tipo de equipamento que ser utilizado.
18
19
3. Conecte a port LAN0 do NetRouter 2G rede local que d acesso estao de trabalho onde est o microcomputador preparado para a configurao. 4. Ligue o NetRouter 2G e aguarde que o indicador ST, no painel frontal, passe da cor alaranjada para a cor verde. 5. Em seu browser, entre com a URL inicial: http://192.168.1.254. 6. Na tela de login, informe usurio e senha. O equipamento est originalmente configurado com usurio nr2g e senha digitel. 7. Depois clique em OK. Ser efetuado o login no equipamento, e a tela principal do Webconfig ser aberta. 8. Configure o equipamento de acordo com a sua aplicao. A configurao deve ser criada usando-se a sintaxe CLI, sendo escrita na caixa de comandos. 9. Clique no boto Execute para aplicar a configurao. Feito isso, o NetRouter 2G tentar estabelecer conexo com os equipamentos remotos, de acordo com o que foi configurado no passo 8. Para verificar a configurao criada, entre com o comando DUMP ALL na caixa de comandos e clique no boto Execute. Ou ento, na rvore de mdulos, localizada no lado esquerdo da tela, selecione DUMP e o mdulo de configurao desejado.
ATENO!
O equipamento sai de fbrica pr-configurado para acesso via web atravs da URL http:// 192.168.1.254.
20
Painis
PAINIS FRONTAL E TRASEIRO DO NETROUTER 2G 3200
O painel apresentado a seguir correspondem ao modelo 3218, que o mais completo de toda a srie. Os outros modelos constituem variaes do mesmo equipamento, porm cada modelo com suas particularidades e os indicadores luminosos (leds) e conectores correspondentes. Mais adiante, uma tabela informa quais leds e conectores esto presentes em cada modelo.
RD1: Dados recebidos na porta WAN0. TD1: Dados transmitidos na porta WAN0. RD0: Dados recebidos na porta WAN0. TD0: Dados transmitidos na porta WAN0. AUX: Dados recebidos ou transmitidos na porta WAN auxiliar. LAN1: Atividade e colises na porta LAN1. LAN0: Atividade e colises na porta LAN0. ST: Estado de operao do equipamento. POWER: Alimentao.
ON: Chave liga/desliga da fonte de alimentao. LAN0: Conector RJ45 para a porta LAN0. LAN1: Conector RJ45 para a porta LAN1. CON: Conector RJ45 da porta Console. AUX: Conector RJ45 para a porta WAN auxiliar.
21
Painis
WRD: Dados recebidos na porta Wireless. WTD: Dados transmitidos na porta Wireless. RD0: Dados recebidos na porta WAN0. TD0: Dados transmitidos na porta WAN0. AUX: Dados recebidos ou transmitidos na porta WAN auxiliar. LAN1: Atividade e colises na porta LAN1. LAN0: Atividade e colises na porta LAN0. ST: Estado de operao do equipamento. POWER: Alimentao.
POWER: Entrada da fonte de alimentao. ON: Chave liga/ desliga da fonte de alimentao. WAN0: Conector DB25M para a porta de dados WAN0 multiinterface. LAN0: Conector RJ45 para a porta LAN0. LAN1: Conector RJ45 para a porta LAN1. CONSOLE: Conector RJ45 da porta Console. SIMCARD: Gaveta para SIMCARD AUX: Conector RJ45 para a porta WAN auxiliar.
22
Painis
Composio de leds e conectores dos modelos NetRouter 2G Leds/Conectores 3 2 0 1 Led POWER Led ST Led LAN0 Led LAN1 Led TD1 Led RD1 Led TD0 Led RD0 Led AUX Led WTD Led WRD Led S0 Led S1 Conector WAN1 Conector WAN0 Conector AUX Conector CON Conector LAN1 Conector LAN0 Conector POWER Chave ON Chave R0 Chave R1 Conector Antena Gaveta SIMCARD x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x 3 2 1 1 x x x 3 2 1 2 x x x NR-2G 3 2 1 4 x x x x 3 2 1 8 x x x x x x x x x 3 2 3 8 x x x x x x x x x x x x x x x x x x x x x x 3 2 6 1 x x x 3 2 6 2 x x x 3 2 6 4 x x x x 3 2 6 8 x x x x
23
Painis
Indicador ST
O led ST indica o estado de operao do NetRouter 2G. Ao ligar o equipamento, o led ficar vermelho enquanto o autoteste estiver sendo efetuado. Se algum problema for detectado, o led permanecer vermelho. Caso isso ocorra, consulte o item Inicializao, no captulo Operao deste manual. Aps o autoteste, o equipamento passa a carregar o sistema operacional Linux. Durante esse perodo, que deve durar cerca de 20 segundos, o led ST permannecer alaranjado. Ao final da carga, inica-se a operao normal do equipamento. Isso sinalizado pelo led ST na cor verde. Enquanto o equipamento estiver operando normalmente, o led dever permanecer nessa cor; caso algum problema srio de operao seja detectado, o led passar cor vermelha.
Indicador LAN
Os indicadores L0 e L1 (quando for o caso) so LEDs bicolores que apresentam, de forma compacta, todo o estado de operao da interface LAN correspondente. Quando no h enlace fechado na interface LAN (por exemplo, o cabo no est conectado), o led L0 permance apagado. Quando o enlace fechado, o led passa cor verde, sinalizando que a interface est em modo half-duplex ou passa cor laranja, sinalizando que a interface est em modo full-duplex. A atividade indicada pelo led piscando rpido (30ms apagado), quando a interface estiver operando a 100Mbits, e piscando lento (100ms apagado), quando estiver operando a 10Mbits.
Indicador AUX
O indicador AUX um led bicolor que indica a atividade na porta WAN auxiliar (a existncia de dados sendo trasmitidos e/ou recebidos) atravs da cor verde.
Indicadores TD e RD
Estes leds indicam, na cor verde, a existncia de dados sendo trasmitidos (T) ou recebidos (R) na porta WAN multiinterface.
Conector AUX
Nos modelos 3201/Aux, 3212, 3214, 3218, 3238, 3262, 3264 e 3268, o conector AUX d acesso nterface WAN auxiliar assncrona do roteador, permitindo uma ligao de longa distncia atravs de modens assncronos, utilizando o cabo CONSOLE RJ e um adaptador MODEM DB25.
24
Painis
Alimentao
A entrada de alimentao do NR-2G 3200 sempre atravs de uma fonte de alimentao externa, podendo ser feita por corrente alternada ou contnua, conforme o modelo.
Sries NR-2G 3200/3210/3230: corrente alternada AC (Cdigo Digitel: 810.0388) Srie NR-2G 3260: corrente alternada AC (Cdigo Digitel: 810.0389)
Sries NR-2G 3200/3210/3230: corrente contnua DC (Cdigo Digitel: 810.0324) Srie NR-2G 3260: corrente contnua DC (Cdigo Digitel: 810.0379)
25
Cabos
O cabo rollover CB-CONS (cdigo Digitel: 810.0396/690.4642) utilizado para conectar um terminal/ computador porta Console do NetRouter 2G. Deve ser utilizado ligando uma ponta do cabo ao conector RJ45 da porta Console do roteador e a outra ao conector DB9 macho do microcomputador.
Nota: Este item acompanha o produto. Para solicitar um cabo adicional junto Digitel, utilize o cdigo 810.0396
O cabo LAN crossover CB-LAN/X-NR (cdigos Digitel: 810.0343/690.1938) utilizado para conectar a interface LAN/Ethernet de uma estao de trabalho diretamente a uma das interfaces LAN do NetRouter 2G. Este cabo providencia o cruzamento dos sinais TD +/- com RD +/-.
Nota: Este item opcional. Para solicitar o cabo junto Digitel, utilize o cdigo 810.0343.
26
Cabos
CABO AUX/CONSOLE RJ (CB-CONS/AUX-NR)
Pinagem do cabo CB-CONS/AUX-NR e os sinais utilizados: Sinal RTS DTR TD GND GND RD DSR CTS RJ45M 1 2 3 4 5 6 7 8 RJ45M 8 7 6 5 4 3 2 1 Sinal CTS DSR RD GND GND TD DTR RTS
O cabo rollover RJ45-RJ45 CB-CONS/AUX-NR (cdigos Digitel: 810.0344/690.4025) utilizado para conectar um terminal ou modem porta Console do NetRouter 2G. Deve ser utilizado em conjunto com um dos adaptadores descritos a seguir, ligando uma ponta do cabo ao conector RJ45 da porta Console do roteador e a outra ao conector RJ45 fmea do adaptador.
Nota: Este item opcional. Para solicitar um cabo junto Digitel, utilize o cdigo 810.0344.
O adaptador RJ45-fmea/DB9-fmea AD-RJ/TERM/DB9-NR (cdigos Digitel: 810.0345/690.4022) utilizado para conectar a porta Console do NetRouter 2G diretamente a uma porta serial assncrona de um terminal ou microcomputador com conector DB9 macho. Deve ser utilizado em conjunto com o cabo Console RJ (CB-CONS/AUX-NR).
Nota: Este item opcional. Para solicitar um adaptador junto Digitel, utilize o cdigo 810.0345.
27
Cabos
4 20 2 7 7 3 6 5
O adaptador RJ45-fmea/DB25-fmea AD-RJ/TERM/DB25-NR (cdigos Digitel: 810.0346/690.4023) utilizado para conectar a porta Console do NetRouter 2G diretamente a uma porta serial assncrona de um terminal ou microcomputador com conector DB25 macho. Deve ser utilizado em conjunto com o cabo Console RJ (CB-CONS/AUX-NR).
Nota: Este item opcional. Para solicitar o adaptador junto Digitel, utilize o cdigo 810.0346.
O adaptador RJ45-fmea/DB25-macho AD-RJ/MODEM/DB25-NR (cdigos Digitel: 810.0347/690.4024) utilizado para conectar a porta Console do NetRouter 2G diretamente a uma porta serial de um modem assncrono com conector DB25 fmea. Deve ser utilizado em conjunto com o cabo Console (CB-CONS/AUX-NR). No caso dos modelos 3201/Aux, 3212, 3214, 3218, 3262, 3264 e 3268, em aplicao de dial backup, este adaptador utilizado com o cabo Console (CB-CONS/AUX-NR) para a conexo da porta AUX ao modem.
Nota:
Este item opcional. Para solicitar o adaptador junto Digitel, utilize o cdigo 810.0347.
28
Cabos
CABO PARA INTERFACE V.24/V.28 - RS232 (CB-V24-NR)
Opcionalmente, o cabo CB-V24-NR (cdigos Digitel: 810.0293/690.1557) pode ser adquirido para se fazer a ligao ao conector DB25 macho do painel traseiro do NetRouter. Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface V.24/V.28 (RS-232), tipo DTE. Comprimento: 3 metros. Pinagem do cabo CB-V24-NR e os sinais atribudos ao conector DB25 macho do cabo:
Lado NetRouter Lado DCE Conector DB25 fmea Conector DB25 macho 1 2 3 4 5 6 7+21+23 8 15 17 20 24 1 2 3 4 5 6 7 8 15 17 20 24
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel, utilize o cdigo 810.0293.
29
Cabos
Opcionalmente, o cabo CB-V36-NR (cdigos Digitel: 810.0290/690.1556) pode ser adquirido para se fazer a ligao ao conector DB25 macho do painel traseiro do NetRouter. Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface V.11/V.36, tipo DTE. Comprimento: 3 metros. Pinagem do cabo CB-V36-NR e os sinais atribudos ao conector DB37 macho do cabo:
Lado NetRouter Lado DCE Conector DB25 fmea Conector DB37 macho 1 2 3 4 5 7+21 8 9 10 11 12 13 14 15 16 17 19 24 1 4 6 7 9 19 13 26 31 35 23 27 22 5 24 8 25 17
Sinal V.36 FG TD A RD A RTS A CTS A SG DCD A RC B DCD B XTC B TC B CTS B TD B TC A RD B RC A RTS B XTC A
Nota: Este cabo opcional. Para solicitar o cabeo junto Digitel utilize o cdigo 810.0290.
30
Cabos
CABO PARA INTERFACE V.35/MRAC34 (CB-V35-NR)
Opcionalmente, o cabo CB-V35-NR (cdigos Digitel: 810.0289/690.1555) pode ser adquirido para se fazer a ligao ao conector DB25 macho do painel traseiro do NetRouter. Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface V.35, tipo DTE. Comprimento: 2,6 metros. Pinagem do cabo CB-V35-NR e os sinais atribudos ao conector V.35/MRAC34 macho do cabo:
Lado NetRouter Lado DCE Conector DB25 fmea Conector V.35/M RAC34 macho 1 2 3 4 5 6 7+23 8 9 11 12 14 15 16 17 20 24 A P R C D E B F X W AA (a) S Y T V H U
Sinal V.35 FG TD A RD A RTS CTS DSR SG DCD RCB XTC B TC B TD B TC A RD B RC A DTR XTC A
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel utilize o cdigo 810.0289.
31
Cabos
Opcionalmente, o cabo CB-V35/M34F-NR (cdigos Digitel: 810.4030.00-9/690.4208.00-0) pode ser adquirido para se fazer a ligao da porta WAN do NetRouter a um equipamento DTE. Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface V.35, tipo DCE, no nvel fsico. Comprimento: 2,6 metros. Pinagem do cabo e os sinais atribudos aos conectores:
Lado NetRouter Conector M34 Sinal Conector DB25 Fmea Fmea Sinal V.35 FG 1 A FG TD A 2 R RD A RD A 3 P TD A RTS / CTS 4e5 F DCD DSR 6 H DTR GND 7 B SG DCD 8 CeD RTS / CTS RC B 9 W XTC B XTC B 11 X RC B TD B 14 T RD B RD B 16 S TD B RC A 17 U XTC A DTR 20 E DSR V.35 23 B GND XTC A 24 V RC A
Importante: A porta WAN do NetRouter dever ser configurada para modo DCE, em protocolos assimtricos como o Frame Relay e o X.25. A configurao automtica apenas no nvel fsico, devendo ser efetuada tambm no nvel de aplicao (CLI). Ainda, deve ser configurada para utilizar relgio interno para transmisso dos dados. O equipamento DTE conectado ao NetRouter tambm dever ser configurado para transmitir com seu relgio interno.
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel utilize o cdigo 810.4030.00-9.
32
Cabos
CABO PARA INTERFACE V.35/PADRO TELEBRS (CB-V35/PT-NR)
O cabo DB25-fmea/DB25-macho CB-V35/PT-NR (cdigos Digitel: 810.0291/690.1611) usado para fazer a conexo direta, sem cabos adaptadores, do roteador a modens V.35 padro Telebrs (Prtica Telebrs 225-540-750), como, por exemplo, DT64MI e DT256MI. Comprimento: 2,6 metros. Pinagem do cabo CB-V35/PT-NR e os sinais atribudos ao conector V.35/DB25 macho do cabo:
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel utilize o cdigo 810.0291.
33
Cabos
O cabo CB-V35/ISO-NR (cdigos Digitel: 810.0297/690.1724) usado para fazer a conexo direta do roteador ao conector ISO 2110 (DB25) de modens (DCE), como, por exemplo, modens HDSL da Digitel (DT2048HDSL). Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface V.35, tipo DTE. Comprimento: 3 metros. Pinagem do cabo V35/ISO2110 (CB-V35/ISO-NR) e os sinais correspondentes aos pinos:
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel, utilize o cdigo 810.0297.
34
Cabos
CABO PARA INTERFACE V.35/NEWBRIDGE (CB-V35/NB-NR)
O cabo CB-V35/NB-NR (cdigos Digitel: 810.0323/690.1675) usado para fazer a conexo direta do roteador a dispositivos de acesso Newbridge com configurao proprietria, modelos 270X. Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface V.35, tipo DTE. Comprimento: 3 metros. Pinagem do cabo V35/Newbridge (CB-V35/NB-NR) e os sinais correspondentes aos pinos :
Sinal V.35 FG TD A RD A RTS CTS DSR GND DCD RC B XTC B TC B TD B TC A RD B RC A DTR XTC A
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel, utilize o cdigo 810.0323.
35
Cabos
Opcionalmente, o cabo/adaptador para interface G.703 a 2 Mbps (CB-G703-NR, cdigo Digitel 810.0349) pode ser adquirido para fazer a ligao de cabos coaxiais G.703 ao conector macho DB25 do painel traseiro do NetRouter. Quando este cabo estiver instalado e o roteador for ligado, a porta WAN ser automaticamente configurada para interface G.703, tipo DTE. Observe que a conexo do cabo coaxial TX deve ser feita no conector TX do adaptador, e que a conexo do cabo coaxial RX deve ser feita no conector RX do adaptador.
Nota: Este cabo opcional. Para solicitar o cabo junto Digitel, utilize o cdigo 810.0349.
36
Operao
O NetRouter 2G permite acesso a todos os aspectos configurveis via Console, Telnet ou SSH, utilizando-se a interface de linha de comandos CLI. Alm das formas de acesso de configurao j disponveis anteriormente, o NetRouter 2G tambm possibilita a configurao completa via WEB.
MODO DE SEGURANA
Este modo de operao s deve ser utilizado quando no for mais possvel acessar o equipamento em modo automtico por nenhuma das interfaces de usurio disponveis (WebConfig, Telnet, Console ou SSH). Isso pode ocorrer, basicamente, em trs situaes: o equipamento recebeu, gravou e tentou operar com uma configurao errada; ocorreu uma interrupo no processo de gravao de uma nova configurao (falta de energia eltrica); ocorreu uma interrupo no processo de transferncia de uma nova verso de firmware para o equipamento (falta de energia eltrica). Antes de colocar o NetRouter 2G para operar em modo de segurana, conecte um terminal assncrono ou estao de trabalho com programa equivalente na porta Console do painel traseiro do equipamento.
37
Operao
Para colocar o equipamento no modo de segurana, ligue ou reinicie o roteador. A tela do terminal deve mostrar uma srie de mensagens do NR2GBoot, indicando o estado inicial do hardware do roteador e resultados do autoteste realizado. Nas ltimas duas linhas, devem ser apresentadas as mensagens: NetRouter 2G Security Mode Press SPACE to stop autobooting in 5 seconds Isso indica que o NetRouter 2G iniciou a operao em modo de manuteno e que a carga automtica do sistema operacional Linux iniciar em 5 segundos, a no ser que, neste meio tempo, seja pressionada a barra de espaos no terminal ou estao de trabalho conectada porta Console. Para entrar em modo de segurana, entre com o comando mode security. No modo de segurana, o sistema Linux carregado com a seguinte configurao: apenas as portas Console e LAN0 so habilitadas, e esta ltima configurada com o endereamento IP especfico deste modo (IP 192.168.1.254, Mscara 255.255.255.0 e Gateway 192.168.1.1, quando o equipamento sai de fbrica). Caso o erro que se deseja recuperar seja causado por um problema na configurao do roteador e as configuraes atuais do modo de segurana sejam adequadas para comunicao do WebConfig com o equipamento atravs da LAN0, pode-se permitir que o NetRouter 2G prossiga no autoboot (carga automtica do Linux); veja o item a seguir. Em qualquer outro caso, deve-se interromper o processo de carga automtica pressionando a barra de espaos no terminal conectado porta Console do NetRouter 2G. Imediatamente, deve aparecer o prompt de comandos do programa NR2GBoot: NR2GBoot> Caso o processo de carga automtica no seja interrompido a tempo, espere a carga completa do Linux, execute o login na Console (veja o item a seguir) e digite o comando SET SYSTEM RESTART. Preste ateno na prxima inicializao do equipamento, para no perder a janela de 5 segundos. A tabela a seguir apresenta os comandos disponveis no NR2GBoot e sua utilizao:
Comando clear
Descrio Coloca valores de fbrica na configurao do modo de segurana e reinicia a operao do equipamento no modo determinado pelas dips. Apresenta a descrio sucinta dos comandos do NR2GBoot. Inicia a carga do sistema operacional Linux. Reinicia imediatamente a operao do equipamento no modo determinado pelas dips. Mostra ou altera o endereamento IP do modo de segurana. Mostra ou altera o endereo do servidor de TFTP utilizado para atualizaes de firmware. Mostra ou atualiza a verso de firmware do equipamento. Mostra a identificao da verso do NR2GBoot. Troca o modo de operao do NR2GBoot (Srie 3200).
setip setserv
38
Operao
A sintaxe de cada um desses comandos apresentada na prpria tela do terminal, quando se digita o comando sem nenhum parmetro, a no ser que o comando no necessite de parmetros. Nesse caso, ele imediatamente executado. Os itens a seguir apresentam a utilizao do modo de segurana para corrigir os erros ocorridos na atualizao da configurao ou do firmware do equipamento.
IMPORTANTE!
Aps corrigir o problema que originou a necessidade de operar no modo de segurana, reinicie o roteador.
39
Operao
1. Reinice o equipamento. Se o roteador j estiver ligado, execute o comando SET SYSTEM RESTART na interface de configurao. 2. A seguinte mensagem ser apresentada: NetRouter 2G Test Mode Press SPACE to stop autobooting in 5 seconds Pressione a barra de espao antes que os 5 segundos se esgotem. 3. No prompt do Bootloader (NR2GBoot> ), digite o comando run clconf. 4. Caso voc deseje limpar a configurao do Bootloader, execute o comando restart now.
40
Operao
Outras ferramentas: Aqui encontram-se as ferramentas usadas para diagnstico e depurao de problemas. Esto disponveis atalhos para os comandos ping, traceroute, netstat e tcpdump. Ao clicar em ping , por exemplo, ser exibido, na caixa de comandos (veja a seguir), o comando parcialmente preenchido, aguardando que o usurio complete com as opes desejadas. As opes disponveis so exibidas na caixa de Resposta ao Comando. Outras configuraes: Aqui so apresentadas as opes de carga e salvamento de configurao. Para utilizar essas funcionalidades de forma automtica, necessria a configurao do
Suporte a Internacionalizao
Login do Sistema
mecanismo de importao/exportao de configurao (veja mais detalhes no Guia do CLI, seo Exportando e importando arquivos de configurao).
41
Operao
rea de execuo de comandos: composta pela caixa de comandos (rea de texto), onde so inseridos um ou mais comandos a serem executados. Os comandos seguem a sintaxe do CLI (consulte o Guia do CLI) e dispem de botes de controle para a sua execuo. Dentre os botes disponveis esto: Executar, que simplesmente executa o contedo da caixa de comandos; Executar e Salvar, que atua da mesma forma que o boto anterior mas em seguida salva a configurao aplicada; e um boto Limpar , que limpa a caixa de comandos (ao executar um comando, a caixa de comandos fica limpa automaticamente). Resposta ao comando: a rea onde ser exibida toda e qualquer resposta a um comando executado. Ao efetuar o login, essa rea no estar presente, uma vez que, inicialmente, nenhum comando executado. Para que a rea de resposta ao comando se torne visvel, basta executar algum comando, seja atravs da rea de execuo de comandos ou atravs da rvore de comandos. Para um melhor entendimento, as figuras a seguir ilustram os itens apresentados anteriormente.
Opes Globais
Barra de Status
rea de Comandos
Resposta ao comando
rvore de comandos
42
Operao
Para ter acesso ajuda on-line, clique no boto Ajuda, localizado na barra de opes globais. Alm de uma apresentao do Webconfig, esse link tambm disponibiliza um guia de utilizao dos comandos CLI, que demonstra como configurar diversos aspectos do equipamento atravs da linguagem CLI. Essa abordagem muito vantajosa, visto que todas as formas de configurao (Console, Telnet, SSH e Web) utilizam a mesma linguagem. Para sair da ajuda e voltar tela principal, clique no boto Ajuda, que, aps a abertura da ajuda online, estar sendo exibido como Fechar Ajuda. A ajuda pode ser visualizada na figura a seguir.
43
Operao
Pressione enter para obter uma lista dos comandos disponveis. Para obter mais informaes, veja o captulo Guia da CLI - Command Line Interface, que apresenta a relao de comandos e os respectivos parmetros suportados por cada comando.
IMPORTANTE!
Aconselha-se a alterao da senha do usurio nr2G na primeira operao do equipamento. Para isso, utilize o comando SET SYSTEM USER1.
44
Aps entrar com usurio e senha vlidos, ser exibida a apresentao da CLI, como ilustrado a seguir:
-----------------------------------Welcome to NetRouter 2G from Digitel -----------------------------------Digitel Configuration Shell - CORE version: 1.40.5.17 Loading modules: GRE IPX SNMP LAN NAT QOS WAN L2TP ZEBRA OSPFZ IPSEC BACKUP BRIDGE FIREWALL ROUTES PPTP DHCP SYSTEM PROXYARP RIPZ NR2Gd >
Categorias de comandos
Os comandos da CLI esto divididos em categorias de aes. Uma ao indica CLI que tipo de procedimento o usurio deseja fazer. Para exemplificar, vamos supor que o usurio deseje EXIBIR as configuraes da interface LAN0. Para isso, ele dever dizer CLI que a ao a ser executada um SHOW e, posteriormente, dever indicar que deseja ver as configuraes de LAN (LAN0, por exemplo). Assim, o comando ficaria SHOW LAN LAN0 ALL. Este princpio obedecido em todas as categorias de aes. As aes disponveis so:
SET: indica que o usurio deseja inserir ou alterar a configurao de um determinado item da configurao. SHOW: indica que o usurio deseja visualizar a configurao ou estatsticas de um determinado aspecto
da configurao.
DUMP: solicita CLI que informe quais so os comandos (comandos CLI) que representam a configurao atual de um determinado item.
45
EXEC: informa que o usurio quer executar um dos utilitrios disponveis no equipamento. CONFIG: permite salvar ou exportar a configurao do equipamento. A configurao exportada em
formato de arquivo de texto, tendo como contedo uma listagem de comandos CLI que representa uma dada configurao.
?: informa quais so os mdulos configurveis suportados pelo CLI. Esses mdulos so utilizados nas
aes SET, SHOW e DUMP .
QUIT: finaliza a execuo do CLI. Caso o usurio altere a configurao e no a salve, o CLI solicitar a
confirmao da modificao da configurao antes de finalizar a sesso. A cada nvel de um comando pode-se pressionar a tecla ENTER. Essa ao diz CLI para exibir todas as opes de parmetros para aquele determinado contexto de comando. Este recurso bastante til quando no se conhece previamente a sintaxe da configurao desejada. Esse recurso ilustrado a seguir: SET LAN <ENTER> Sada aps o ENTER: SET LAN LAN0 Ou ento: SET LAN LAN0 <ENTER> Sada aps o ENTER: IP MASK BROADCAST RESETCOUNTERS UP DOWN PURGE BROADCAST STATS <IP address> <Network mask> <Broadcast address> <Reset counters> <Enable interface> <Disable interface> <Clear configuration> <Broadcast address>
Sendo assim, para configurar a interface LAN0, o comando a ser aplicado poder ser: SET LAN LAN0 IP 192.168.1.99 MASK 255.255.255.0 UP <enter> Alm do recurso de informar as opes disponveis, podemos tambm utilizar o recurso de histrico para no precisar reescrever o comando novamente (pressione a tecla seta para cima) e incluir/alterar a configurao. Para verificar a configurao criada na LAN0, uma ao SHOW dever ser utilizada: SHOW LAN LAN0 ALL <enter> Sada do comando:
Applying to interface: LAN0 IP 192.168.1.99 MASK 255.255.255.0 BROADCAST 192.168.1.255 INTERFACE: eth0 ADMINSTATUS: UP PACKETS SENT: 349 PACKETS RECEIVED: 81424
46
Para descobrir quais os comandos que representam alguma configurao atual, utilize o comando DUMP . Assim, ser possvel conferir o comando que gerou a configurao das interfaces LAN: DUMP LAN ALL <enter> Sada do comando: SET LAN LAN0 PURGE SET LAN LAN0 IP 192.168.1.99 MASK 255.255.255.0 BROADCAST 192.168.1.255 UP Existem utilitrios que auxiliam no teste e na depurao dos equipamentos. Esses utilitrios so acionados atravs da ao EXEC. Os utilitrios disponveis so:
NETSTAT: prov estatsticas de interface, estado de conexes (TCP , UDP , etc.), informaes sobre a tabela
de rotas, etc.
PING: executa comandos ping (ICMP ECHO_REQUEST). TCPDUMP: analisador de trfego de rede. TRACEROUTE: informa o trajeto (hops) at alcanar um determinado host. TELNET: executa um cliente Telnet. SHELL: abre uma tela de terminal (shell) Linux STATS: executa o monitor de fluxos de dados
A ttulo de exemplo, possvel verificar como est o estado das conexes TCP do equipamento. Para isso, use o comando NETSTAT e a opo -t (TCP connections), como demonstrado a seguir: EXEC NETSTAT -t <enter> Sada do comando:
Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address tcp 0 0 192.168.1.99:telnet
State ESTABLISHED
47
Sada do comando:
Nov 6 06:45:05 NR2G-3200 kernel: eth0: Promiscuous mode enabled. Nov 6 06:45:05 NR2G-3200 kernel: device eth0 entered Promiscuous mode tcpdump: listening on eth0 06:45:05.828775 10.10.10.71.netbios-dgm > 10.10.10.255.netbios-dgm: NBT UDP PACKET (138) 06:45:05.861125 10.10.10.71.netbios-dgm > 10.10.10.255.netbios-dgm: NBT UDP PACKET (138) 06:45:06.294381 802.1d config 8000.00:01:00:f1:ea:48.8001 root 8000.00:01:00:f1:ea:48 pathcost 0 age 0 max 20 hello 2 fdelay 15 06:45:08.294571 802.1d config 8000.00:01:00:f1:ea:48.8001 root 8000.00:01:00:f1:ea:48 pathcost 0 age 0 max 20 hello 2 fdelay 15 06:45:10.294417 802.1d config 8000.00:01:00:f1:ea:48.8001 root 8000.00:01:00:f1:ea:48 pathcost 0 age 0 max 20 hello 2 fdelay 15 06:45:12.294531 802.1d config 8000.00:01:00:f1:ea:48.8001 root 8000.00:01:00:f1:ea:48 pathcost 0 age 0 max 20 hello 2 fdelay 15 06:45:14.294418 802.1d config 8000.00:01:00:f1:ea:48.8001 root 8000.00:01:00:f1:ea:48 pathcost 0 age 0 max 20 hello 2 fdelay 15 7 packets received by filter 0 packets dropped by kernel Nov 6 06:45:14 NR2G-3200 kernel: device eth0 left promiscuos mode
Como j visto antes, a ao CONFIG responsvel por permitir o salvamento e a leitura da configurao, bem como a exportao e importao da mesma. Essas opes so representadas pelos seguintes comandos: CONFIG <enter> Sada do comando: INPUT EXTERN LOAD SAVE PURGE EXTERN: LOAD: SAVE: PURGE: possibilita a importao ou exportao da configurao para/de um servidor ftp. efetua a leitura da ltima configurao gravada no equipamento. faz o salvamento da configurao atual. limpa a configurao.
IMPORTANTE!
Ao final de uma configurao, o comando CONFIG SAVE deve ser executado para que as configuraes sejam salvas.
48
Ao aplicar o comando SHOW SYSTEM ALL, podemos observar que existem quatro usurios criados, sendo dois deles reservados (user2 e user3): USER0: Usurio ROOT. No acessado via Telnet e SSH; somente via Console. Utilizado somente para depurao por tcnicos da Digitel. Applying to: TYPE LOGIN USER0 ADMINISTRATOR root
USER1: Principal usurios para configurao do sistema. Applying to: TYPE LOGIN USER1 ADMINISTRATOR nr2g
Para modificar o usurio nr2g, siga os procedimentos descritos abaixo: NR2Gt > SET SYSTEM USER1 <enter> Applying to: USER1 Valid SET options are: TYPE Tipo de permisso LOGIN Nome do usurio PASS Senha para o usurio PURGE Limpa as configuraes do mdulo USER1 NR2Gt > SET SYSTEM USER1 TYPE ADMINISTRATOR LOGIN usurio PASS senha Para criar um outro usurio, aplique o comando SET SYSTEM <enter>. Note que o valor x (USERx) ser incrementado. Utilize o ltimo usurio para configurar uma nova conta: SET SYSTEM USER4 TYPE OPERATOR LOGIN operador PASS operador 2003.
49
ATUALIZAO DE SOFTWARE
Existem duas formas de atualizao do NR-2G: via TFTP ou FTP . A seguir so apresentadas essas duas formas e, logo em seguida, tambm a atualizao do BootLoader do roteador, caso seja indicado pela Digitel. Para obter o arquivo da verso de software do sistema operacional ou boot, acesse www.digitel.com.br.
50
a extenso DWN indica o arquivo do sistema operacional para atualizao local via TFTP; a extenso IMx (x valendo de 0 a 5) indica os arquivos de uma nica verso de software do sistema
operacional para atualizao remota via FTP;
a extenso BOOT indica o arquivo de BootLoader para atualizao local via TFTP (este arquivo s deve ser
atualizado quando indicado pela Digitel).
51
IMPORTANTE!
A atualizao via TFTP deve ser utilizada somente para carga local, via LAN.
52
Ao realizar a atualizao do BootLoader, necessrio que a atualizao de software do sistema operacional tambm seja realizada pelo prompt NR2Gboot, seguindo os prximos passos deste roteiro. 9. Para a carga do sistema operacional via prompt de manuteno (NR2Gboot>), coloque o arquivo DWN em um host qualquer da rede local, no mesmo diretrio do servidor TFTP , e digite os seguintes comandos: setip "Endereo IP do Roteador" "Mscara de Rede" "Endereo IP do Gateway" setserv "Endereo IP do Servidor de TFTP" update "arquivo.dwn" Exemplo: setip 10.10.10.1 255.255.255.0 10.10.10.2 setserv 10.10.10.2 update 66101R0.dwn 10. Aps esse procedimento, digite run clconf e pressione <enter>. 11. No painel traseiro do NR-2G, volte a dip nmero 2 para a posio para cima, colocando o roteador no Modo Normal de operao. Depois, digite boot e pressione <enter> para reiniciar o roteador.
53
As informaes so apresentadas separadamente ou todas de uma nica vez, utilizando o parmetro ALL.
NR2Gt > SHOW LAN LAN0 ALL Applying to interface: LAN0 IP 192.168.1.1 MASK 255.255.255.0 BROADCAST 192.168.1.255 INTERFACE: eth0 ADMINSTATUS: UP PACKETS SENT: 0 PACKETS RECEIVED: 5530 BYTES SENT: 0 BYTES RECEIVED: 544494 TX ERRORS: 0 RX ERRORS: 0 TX DROPPED: 0 RX DROPPED: 0 TX OVERRUN: 0 RX OVERRUN: 0 COLLISION: 0 CRC: 0 BROADCASTS RECEIVED: 5340 LAST RECEIVED PACKET TIME (s): 0.08 TRANSMIT QUEUE LENGHT: 0 TOTAL TRANSMIT QUEUE LENGHT: 100 LAST TRANSMITED PACKET TIME (s): 3334.62 LINK STATUS: UP LAST LINK STATUS CHANGE TIME (s): 414.63 LAST ADMIN STATUS CHANGE TIME (s): 416.5
54
55
Valid SET options for PVCs of FRAMERELAY protocol are: DLCI Configura o DLCI CRTP Configura o CRTP MTU Configura o MTU IP Configura o endereo IP da interface PVC0 MASK Configura a mscara de rede da interface PVC0 PEER Indica o endereo IP do PVC remoto CIR Configura o CIR PEAK Configura o pico de trfego INVERSE-ARP Configura o inverse arp RESETCOUNTERS Limpa os contadores KEEPALIVE Habilita ou desabilita a opo de KEEPALIVE MODE* Configurao do KEEPALIVE para esta interface TIMER* Configurao do KEEPALIVE para esta interface EVENTSWINDOW* Configurao do KEEPALIVE para esta interface ERRORTHRESHOLD* Configurao do KEEPALIVE para esta interface SUCCESSEVENTS* Configurao do KEEPALIVE para esta interface COMMENT Configura um comentrio para a interface PURGE Limpa a configurao do PVC0 UP Levanta a interface PVC0 DOWN Derruba a interface PVC0 * Only when KEEPALIVE is enabled. NR2Gt > SET WAN WAN0-PVC0 DLCI 16 MTU 1500 IP 10.10.10.1 MASK 255.255.255.252 PEER 10.10.10.2 <enter> NR2Gt > SET WAN WAN0 UP Para verificar se o protocolo est ativo, digite o comando a seguir:
NR2Gt > SHOW WAN WAN0 PVC0 STATS Applying to interface: WAN0 Applying to PVC: PVC0 INTERFACE: pvc0016 ADMINSTATUS: UP PACKETS SENT: 0 PACKETS RECEIVED: 0 BYTES SENT: 0 BYTES RECEIVED: 0 TX ERRORS: 0 RX ERRORS: 0 TX DROPPED: 0 RX DROPPED: 0 TX OVERRUN: 0 RX OVERRUN: 0 CRC ERRORS: 0 COLLISION: 0 BROADCASTS RECEIVED: 0 LAST RECEIVED PACKET TIME (s): 0.00 TRANSMIT QUEUE LENGHT: 0 TOTAL TRANSMIT QUEUE LENGHT: 0 LAST TRANSMITED PACKET TIME (s): 0.00 LINK STATUS: DOWN LAST LINK STATUS CHANGE TIME (s): 0.00 LAST ADMIN STATUS CHANGE TIME (s):0.00 CHANNEL STATUS FECN IN: 0 FECN OUT: 0 BECN IN: 0 BECN OUT: 0 DE IN: 0 DE OUT: 0
56
57
PASS*** Senha para autenticao CHAP*** Caso autenticao CHAP, configura CHAP PAP*** Caso autenticao PAP, configura PAP DIALOUT** Configuraes de discagem (modem normal ou GPRS) IPCP Configurao de IPCP LCP Configurao dos parmetros de LCP HOLDOFF Tempo, em segundos, antes de tentar nova discagem RESETCOUNTERS Limpa os contadores de estatsticas de interface COMMENT Escrever um comentrio para esta interface UP Levanta a interface DOWN Derruba a interface PURGE Limpa as configuraes do mdulo WANx * Apenas quando COMPRESSION for BSD ou DEFLATE ** Apenas quando CONNECTION for NORMAL *** Apenas quando AUTH for CHAP ou PAP Ainda, CHAP s pode ser usado quando AUTH for CHAP, e PAP apenas quando AUTH for PAP SET WAN WAN0 DIALOUT Applying to inteface: WAN0 Valid SET options for DIALOUT are: NUMBER DEMAND IDLE* PERSIST TYPE Nmero a ser discado. Indica discagem sobre demanda. Indica tempo de inatividade esperado para desconexo. Conexo persistente, sempre tenta reestabelecer a conexo. Tipo de conexo (TONE, PULSE, GPRS, EDGE, CDMA ou CUSTOM) Nmero de tentativas. Solicitar endereo DNS do peer. Access Provider Service Configurao de keepalive para a conexo. Monitorao da conexo Criao de script de conexo customizado.
* ** ****
MAXFAIL USEPEERDNS NAME** KEEPALIVE**** WATCHDOG SCRIPT ALTNUMBER0 Apenas quando DEMAND for TRUE. Apenas quando TYPE for GPRS ou EDGE. Apenas quando TYPE for GPRS, EDGE ou CDMA.
58
PROTOCOLO HDLC
Na configurao HDLC, existem os seguintes parmetros: NR2Gt > SET WAN WAN0 PROTO HDLC NR2Gt > SET WAN WAN0 <enter> Valid options for command SET are: PROTO {NONE,HDLC,FRAMERELAY,PPPS,PPPA,DIALIN,X25} Any other parameters depends on protocol defined to each interface Valid options for protocol HDLC: IP Configura endereo IP da interface WAN0 MASK Configura mscara de rede da interface WAN0 PEER Indica endereo IP da interface WAN remota MTU Configura o MTU INTERVAL Keep alive intervalo TIMEOUT Keep alive timeout CLOCK Configura o clock (interno/externo) SPEED* Configura a velocidade do clock interno TXINV Inverte a borda do clock RESETCOUNTERS Limpa os contadores de estatsticas da interface UP Levanta a interface DOWN Derruba a interface PURGE Limpa as configuraes do mdulo WAN0 *Only when CLOCK=INTERNAL NR2Gt > SET WAN WAN0 IP 10.10.10.1 MASK 255.255.255.252 PEER 10.10.10.2 NR2Gt > SET WAN WAN0 UP
PROTOCOLO X25
Introduo
X.25 um protocolo para comunicaes em redes WAN, que define como as conexes entre dispositivos sero estabelecidas e mantidas. Foi criado para operar com eficincia independentemente do tipo de sistema conectado rede. tipicamente utilizado em PSNs (Packet-Switched Networks) de empresas de telefonia. Tem cado em desuso - devido ao seu overhead desnecessrio - em prol do protocolo Frame Relay.
Lista de Comandos
Aqui se encontra a lista de todos comandos do mdulo XOT para o Roteador NR2G. Todos os comandos devem iniciar com a expresso SET WAN WANn ou SHOW WAN WANn (onde for apropriado utiliz-los, conforme a tabela).
59
Comando
SET WAN WAN<nmero> SET WAN WAN<nmero> CLOCK SPEED
Opes
PROTO X25
Descrio
Habilita a interface com protocolo X.25 Essa expresso deve iniciar todos os comandos abaixo Define se o clock gerado internamente ou por um modem externo Define a velocidade de transmisso / comunicao com o modem
INTERNAL, EXTERNAL 64, 128, 192, 256, 512, 768, 1024, 1536, 2048, 3072, 4096, 4915.2 TRUE, FALSE DTE, DCE
TXINV MODE
<nmero>
Indica se necessrio inverter a polaridade do clock Define se o equipamento deve se comportar como um terminal (lado subscriber - DTE) ou terminador de circuito X.25 (DCE) Configura o mais alto canal de transmisso Se habilitado, o extended window size altera o nmero mximo de quadros (nvel 2) para acknowledgment, de 8 para 128 Quantidade de frames para acknowledgment Se habilitado, o extended window size altera o nmero mximo de pacotes (nvel 3) para acknowledgment, de 8 para 128 (Des)Habilita a negociao de : - tamanho da janela - tamanho dos pacotes - chamadas a cobrar
TRUE, FALSE
WINDOWSIZE EXTENDED
NEGOTIATE TRUE, FALSE WINDOWSIZE TRUE, FALSE PACKETSIZE TRUE, FALSE REVERSECHARGING ROUTES ADD <endereo X121>
Adiciona uma rota X.25 normal ou padro com sada pela interface. H a possibilidade de trocar o endereo do destinatrio e/ou do originador da chamada (conforme comandos abaixo). ADD <endereo X121> SUBST_SOURCE <endereo X121> ADD <endereo X121> SUBST_DEST <endereo X121> ADD DEFAULT ADD DEFAULT SUBST_DEST <endereo X121> <endereo X121> DELETE Remove uma rota SVC<nmero> Configuraes de um circuito virtual IP, IPX PROTOCOL Define o protocolo do SVC <nmero> WINSIZEIN Tamanho da janela de recepo WINSIZEOUT <nmero> Tamanho da janela de transmisso 16, 32, 64, 128, 256, Tamanho mximo do pacote de PACSIZEIN 512, 1024, 2048, 4096 recepo. PACSIZEOUT 16, 32, 64, 128, 256, Tamanho mximo do pacote de 512, 1024, 2048, 4096 transmisso
60
<nmero da rede IPX> NET <endereo do n IPX> NODE RESETCOUNTERS COMMENT UP DOWN PURGE SHOW WAN WAN<nmero>
O comando SHOW possui um equivalente para quase todos os comandos SET citados acima. Abaixo so mencionados apenas os novos comandos: STATS VC CONNECTIONS ALL Estado atual da interface Mostra informaes de estado dos circuitos virtuais ativos Mostra informaes de conexo entre os peers X.25 Para mostrar todas as informaes disponveis
O contedo dos comandos pode variar conforme a configurao e a verso do firmware utilizada.
61
Configurao CISCO: interface Serial0 description Exemplo de Configuracao CISCO X25 ip address 172.16.1.2 255.255.255.252 encapsulation x25 no ip mroute-cache x25 address 724691111111 x25 htc 64 x25 win 7 x25 wout 7 x25 ips 512 x25 ops 512 x25 map ip 172.16.1.1 724601099069 broadcast
Frame Relay
NR2Gt > SET WAN WAN0 PVC0 IP 0.0.0.0 MASK 0.0.0.0 IP Address for pvc0 is unnumbered dlci 16
PPP Sncrono
SET WAN WAN0 PROTO PPPS SET WAN WAN0 IPCP LOCALIP ENABLED TRUE ADDRESS <IP WAN CLIENTE> MASK <MARCAR WAN> SET WAN WAN0 IPCP REMOTEIP ENABLED TRUE ADDRESS <IP WAN OPERADORA> SET WAN WAN0 PPPDEFROUTE TRUE SET WAN WAN0 UP
HDLC
NR2Gt > SET WAN WAN0 IP 0.0.0.0 MASK 0.0.0.0 UP Applying to interface: WAN0 Ip Address for hdlc0 is unnumbered
62
Fazendo a mesma configurao, mas somente indicando uma rede especfica a ser alcanada, resulta no seguinte: NR2Gt > SET ROUTES ROTE0 <enter> Valid options for SET are: DEVICE Interface de sada NET Rede que se deseja alcanar MASK Mscara da rede GATEWAY IP da interface serial remota COST Custo da rota PURGE Limpa as configuraes do mdulo ROUTE0
63
Exemplo: NR2Gt > SET ROUTES ROUTE0 DEVICE WAN0 NET 172.16.1.0 MASK 255.255.255.0 GATEWAY 10.10.10.2 Note que, no caso de um enlace Frame Relay, a nomenclatura da interface seria WAN0-PVC0. Para verificar se as configuraes foram aplicadas corretamente, utilize o comando SHOW:
NR2Gt > SHOW ROUTES ALL Applying to route: ROUTE0 DEVICE WAN0 NET 172.16.1.0 MASK 255.255.255.0 GATEWAY 10.10.10.2 COST 1 DEFAULT GW1 PURGE DEFAULT GW2 PURGE DEFAULT EQUALIZE FALSE System rotes for IPv4: 10.10.10.0/24 dev eth0 scope link src 10.10.10.3 Static routes for IPv4: System routes for IPv6: fe80::/64 dev eth0 metric 256 mtu 1500 advmss 1440 fe00::/8 dev eth0 metric 256 mtu 1500 advmss 1440 Static routes for IPv6:
64
65
A configurao apresentada anteriormente ativa as interfaces LAN0 e WAN0 para permitir a troca de informaes RIP entre os diversos roteadores existentes na rede utilizando a verso dois (2). No final, aplicado o comando SET RIP UP, para que o servio de RIP seja habilitado.
Na configurao acima, estamos habilitando as redes configuradas para as interfaces LAN e WAN. Note que havia uma terceira rede, cujo endereo da interface WAN (listen) remota tinha mscara de 32 bits. Isso se deve ao fato de a interface ser ponto a ponto, sendo necessria a adio dessa rota para que os neighbors possam propagar suas rotas entre si. No final, aplicado o comando SET OSPF UP, para que o servio de OSPF seja habilitado. Para definir melhorias nas interfaces, existem os seguintes parmetros: NR2Gt > SET OSPF WAN0 <enter> Valid SET options are: PASS Cria uma senha simples para autenticar pacotes OSPF NOPASS Remove a senha para autenticao PRIORITY Configura um valor inteiro para definir prioridade COST Configura um custo para a interface current HELLOINTERVAL Configura o nmero de segundos para o HELLOINTERVAL DEADINTERVAL Configura o nmero de segundos para o DEADINTERVAL DELAY Configura o nmero de segundos para o DELAY RETRANSMISSION Configura o nmero de segundos para o RETRANSMISSION DIGEST0 Configura a chave de autenticao do OSPF para uma senha criptografada (algoritmo utilizado: MD5) PURGE Limpa as configuraes do mdulo INTERFACE (WAN0)
66
O BGP gerencia atualizaes de rota em uma tabela com 184.062 rotas. Para garantir performance e escalabilidade, o BGP usa muitos parmetros de rota, chamados de atributos. Dessa forma, ele consegue definir a poltica de roteamento e garantir um ambiente de roteamento estvel. Os parmetros para a configurao do BGP so os seguintes: SET BGP AS-NUMBER - identificao do sistema autnomo (AS) ao qual o rotedor pertence; indispensvel. No pode ser configurado com o BGP em execuo: BGP deve estar DOWN para alterar. -(des)habilita o registro de ocorrncias, enviando-as para: sada padro syslog como traps envia as envia as envia as { TRUE | rotas rotas rotas FALSE conectadas diretamente nas interfaces estticas e de kernel aprendidas via RIP } envia as rotas aprendidas via OSPF
LOG STDOUT SYSLOG TRAP REDIST-CONNECTED REDIST-STATIC REDIST-RIP REDIST-OSPF ROUTER-ID * PURGE NETWORKn * PURGE NEIGHBORn PEER REMOTE-AS PURGE
- identificao do roteador - IP da interface - remove a entrada - rede a ser anunciada para os vizinhos (neighbors) - IP da rede, no formato CIDR (A.B.C.D/E) - remove a entrada outros roteadores aos quais este se conecta (vizinho) IP do vizinho AS-Number do vizinho remove a entrada
67
LISTn ENTRYn ADDRESS MASK TYPE PURGE UP DOWN PURGE SHOW BGP ALL NEIGHBORS COMPLETE SUMMARY ROUTES SCAN STATUS
- mostra todos os comandos abaixo informaes detalhadas sobre as conexes com os vizinhos sumrio das conexes com os vizinhos mostra a tabela de rotas do BGP detalhes da varredura mostra se o BGP est UP, DOWN ou PURGE
Segue um exemplo de uma configurao: SET SET SET SET SET SET SET BGP BGP BGP BGP BGP BGP BGP PURGE AS-NUMBER 1 REDIST-STATIC TRUE REDIST-CONNECTED TRUE LOG STDOUT FALSE SYSLOG FALSE TRAP NONE NEIGHBOR0 PEER 192.168.1.253 REMOTE-AS 2 UP
CONFIG SAVE A configurao acima ativa o BGP no roteador, permitindo a troca de informaes entre este e o AS remoto que se encontra no IP 192.168.1.253. No final, aplicado o comando SET BGP UP, para que o servio de BGP seja
Introduo
Os roteadores NR-2G contemplam cinco tipos diferentes de implementao de NAT/PAT.
68
69
NR2Gt > SET NAT NAT0 FROMMASK 255.255.255.255 FROMADDRESS 192.168.1.1 TOMASK 255.255.255.255 TOADDRESS 200.238.60.1 NR2Gt > SET NAT UP NR2Gt > SHOW LAN LAN0 IP Applying to interface: LAN0 IP 192.168.1.1 NR2Gt > EXEC TCPDUMP -i eth0 & NR2Gt > EXEC PING 192.168.1.2 PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data. 22:38:53.598309 200.238.60.1 > 192.168.1.2: icmp: echo request (DF) Note que, ao executar o comando TCPDUMP (debug de interface) na interface LAN0, o endereo que faz a requisio ICMP o 200.238.60.1, sendo que o IP configurado na interface 192.168.1.1. Nesse momento, pode-se observar que o endereo da interface LAN0 est sendo alterado.
Configurando NATPOOL
O NATPOOL realiza uma translao do range IP para um pool de endereos IP predeterminado. Essa alocao ocorre dinamicamente. No exemplo abaixo, a rede 192.168.1.0/24 sofrer a modificao no pool 200.239.60.1-200.239.60.5. NR2Gt>SET NAT NATPOOL0 TOINTERFACE WAN0-PVC0 FROMMASK 255.255.255.0 FROMADDRESS 192.168.1.0 ADDRESS0 200.239.60.1 ADDRESS1 200.239.60.5 NR2Gt>SET NAT UP
70
IP TUNNELING
Este item aborda as tecnologias de IP Tunneling para os modelos NetRouter 2G. Os protocolos suportados so: GRE (Generic Routing Encapsulation) PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol)
71
Os seguintes parmetros so utilizados na configurao do GRE: NR2Gt > SET GRE <enter> Valid SET options for GRE are: UP Inicia o tnel GRE DOWN Para o tnel GRE PURGE Limpa as configuraes do mdulo GRE GRE1 Configurao do tnel NR2Gt > SET GRE GRE1 <enter> Valid SET options are: INTERFACE Interface de origem do tnel REMOTE Endereo IP vlido do tnel remoto TUNNELLOCAL Endereo IP local para o tnel TUNNELREMOTE Endereo IP remoto para o tnel TUNNELMASK Mscara remota para tnel KEEPALIVE Habilita o modo keepalive KEEPALIVETIME Seleciona o tempo do keepalive UP Iniciar o tnel DOWN Parar o tnel PURGE Limpa as configuraes do mdulo tnel
ATENO!
Nas configuraes de TUNNELLOCAL e TUNNELREMOTE, os endereos IP devem ser definidos no momento da configurao. Esse endereo ser utilizado para interligar as duas redes. Para uma melhor compreenso dos dados acima, a seguir apresentado um exemplo de configurao do GRE interligando duas subredes. Neste exemplo, a topologia compreende duas redes que sero interligadas atravs de um tnel GRE. O endereo de rede do lado A (LOCAL) 192.168.10.0, tendo como endereo de interface serial 172.16.1.1/30. No lado B (REMOTO), o endereo de rede 192.168.11.0/24 com endereo de interface serial 172.16.1.2/30. Seguem abaixo as configuraes: LOCAL: SET LAN LAN0 IP 192.168.10.1 MASK 255.255.255.0 UP SET WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI SET WAN WAN0 PVC0 DLCI 16 IP 172.16.1.1 MASK 255.255.255.252 PEER 172.16.1.2 SET WAN WAN0 UP SET GRE GRE1 INTERFACE WAN0-PVC0 REMOTE 172.16.1.2 TUNNELLOCAL 7.7.7.7 TUNNELREMOTE 7.7.7.6 UP Configurao da interface GRE1. Note que so adicionados os endereos 7.7.7.7 e 7.7.7.6 para local e remoto, respectivamente, como endereos fictcios, apenas para identificar o tnel. SET ROUTES ROUTE0 DEVICE GRE1 NET 192.168.11.0 MASK 255.255.255.0 GATEWAY 7.7.7.6 necessria a criao de uma rota para a rede especfica pela interface GRE1. REMOTO: SET LAN LAN0 IP 192.168.11.1 MASK 255.255.255.0 UP SET WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI SET WAN WAN0 PVC0 DLCI 16 MTU 1500 IP 172.16.1.2 MASK 255.255.255.252 PEER 172.16.1.1 SET WAN WAN0 UP SET GRE GRE1 INTERFACE WAN0-PVC0 REMOTE 172.16.1.1 TUNNELLOCAL 7.7.7.6 TUNNELREMOTE 7.7.7.7 UP SET ROUTES ROUTE0 DEVICE GRE1 NET 192.168.10.0 MASK 255.255.255.0 GATEWAY 7.7.7.7
72
Na configurao remota, temos apenas a inverso dos endereos IP . Para a criao dos demais tneis, basta indicar quem o prximo: GRE1, GRE2, GRE3 e assim sucessivamente.
73
SERVER: SET LAN LAN0 IP 192.168.10.1 MASK 255.255.255.0 UP SET WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI SET WAN WAN0 PVC0 DLCI 16 MTU 1500 IP 172.16.1.1 MASK 255.255.255.252 PEER 172.16.1.2 SET WAN WAN0 UP SET PPTP SERVER LISTEN WAN0-PVC0 SET PPTP SERVER LOCALIP0 BEGIN 10.10.50.1 END 10.10.50.50 SET PPTP SERVER REMOTEIP0 BEGIN 10.10.200.1 END 10.10.200.50 SET PPTP CHAP0 DOMAIN digitel SET PPTP CHAP0 USER digitel SET PPTP CHAP0 PASS digitel SET PPTP SERVER UP CLIENT: SET LAN LAN0 IP 192.168.11.1 MASK 255.255.255.0 BROADCAST 192.168.11.255 UP SET WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI SET WAN WAN0 PVC0 DLCI 16 MTU 1500 IP 172.16.1.2 MASK 255.255.255.252 PEER 172.16.1.1 SET WAN WAN0 UP SET PPTP CHAP0 DOMAIN digitel SET PPTP CHAP0 USER digitel SET PPTP CHAP0 PASS digitel SET PPTP CLIENT0 DOMAIN CHAP0 SET PPTP CLIENT0 SERVER 172.16.1.1 UP
74
LAC: SET SET SET SET SET SET LAN LAN0 IP 192.168.11.1 MASK 255.255.255.0 UP WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI WAN WAN0 PVC0 DLCI 16 MTU 1500 IP 172.16.1.2 MASK 255.255.255.252 PEER 172.16.1.1 WAN WAN0 UP SET L2TP AUTH PAP L2TP LAC0 USERNAME digitel L2TP LAC0 PASSWORD digitel
SET L2TP LAC O IPSec tambm possui capacidade de IP Tunneling. Ele ser visto detalhadamente no prximo item.
75
e o destino (o destinatrio tem certeza de que est recebendo as informaes do remetente correto), integridade da informao, confidencialidade e diversas outras formas de proteo da informao.
Protocolos do IPSec
Existem protocolos que formam o IPSec e so utilizados para fazer as diversas tarefas de trocas de informao. So eles:
AH (Authentication Header) ESP (Encapsulation Security Payload) ISAKMP (Internet Security Association Key Management Protocol) IKE (Internet Key Exchange)
O AH prov a autenticao de origem dos dados e tambm sua integridade. O ESP tambm inclui alguns servios fornecidos pelo AH, mas, alm disso, proporciona confidencialidade (codificao) e proteo limitada contra anlise do fluxo de trfego. O terceiro protocolo, ISAKMP , prov a estrutura para que o protocolo IKE configure chaves criptogrficas para o AH e o ESP . O IKE um protocolo de conexo para verificao da identidade, negociao e troca de chaves.
Uma questo importante quando falamos em IPSec determinar o tipo de operao a ser utilizado para o AH e o ESP do tipo tnel. No modo tnel, todo o pacote encapsulado, e um novo cabealho IP gerado, mas preservando as caractersticas de qualidade de servio do pacote original. Os parmetros para configurar o IPSec so: NR2Gt > SET IPSEC Valid SET options FRAGICMP HIDETOS UNIQUEIDS NATT MTU TYPE UP DOWN PURGE CHANNEL0 IPSEC0 *IPSECx are NR2Gt > SET IPSEC Valid SET options NAME LEFT RIGHT KEY PURGE NR2Gt > SET IPSEC Valid SET options INTERFACE PURGE <enter> for IPSEC are: Informa a necessidade de fragmentao do pacote Copia o valor do campo TOS e o repassa para o pacote Substitui todos os Ids de conexes antigas por um novo ID Habilita a opo de NAT Traversal Seleciona o valores vlidos de MTU Seleciona a interface ou defaultroute Inicia o IPSec Derruba tnel IPSec Limpa as configuraes do mdulo IPSEC Configura um canal IPSEC Seleciona a interface only available when TYPE = INTERFACE CHANNEL0 <enter> are: Define nome para o canal Configura a rede do lado local Configura a rede do lado remoto Configura a parte de troca de chaves Limpas as configuraes do mdulo CHANNEL0 IPSEC0 <enter> are: Habilita a interface de origem do tnel Limpa as configuraes do mdulo IPSEC0
NR2Gt > SET IPSEC CHANNEL0 LEFT <enter> Applying to: CHANNEL0 Valid SET options for LEFT are: ADDRESSTYPE [INTERFACE****] ADDRESS* Endereo IP da interface de origem SUBNET Habilita para configurao de subrede NET** Endereo de rede MASK** Endereo de mscara USEGATEWAY Habilita para utilizao de gateway ID Define uma strind de identificao GATEWAY*** Configura o gateway SOURCEIP Endereo IP para usar quando transmite
76
A seguir apresentada a configurao dos mesmos parmetros na configurao RIGHT. NR2Gt > SET IPSEC CHANNEL0 RIGHT Applying to: CHANNEL0 Valid SET options for RIGHT are: ADDRESSTYPE [INTERFACE****] ADDRESS* Endereo IP da interface de origem SUBNET Habilita para configurao de subrede NET** Endereo de rede MASK** Endereo de mscara USEGATEWAY Habilita para utilizao de gateway ID Define uma stind de identificao GATEWAY*** Configura o gateway SOURCEIP Endereo IP para usar quando transmite *Only when ADDRESSTYPE=USER **Only when SUBNET=TRUE ***Only when USEGATEWAY=TRUE
****Only when ADDRESSTYPE = BINDED NR2Gt > SET IPSEC CHANNEL0 KEY Applying to: CHANNEL0 Valid SET options for KEY are: AUTH AUTHBY PASS* BITS** PEERPUBLICKEY** GENERATEKEY** LOCALSIDE** NEGRESTART KEYLIFE ISAKMP RETRIES PERFECTFORWARD *Only when AUTHBY=SECRET **Only when AUTHBY=RSA
Tipo de autenticao (ESP/AH) Mtodo de autenticao (SECRET/RSA) Senha a ser utilizada (SECRET) Nmero de BITS para a chave (RSA) Chave pblica remota Gerao da chave pblica Determina se o lado local do tunel o left ou rigth Timers de reincio de tentativa de conexo (TIME/MARGIN) Tempo de vida da chave Tempo de validade do canal autenticado Nmero de tentativas de autenticao Habilitar ou desabilitar o protocolo PFS
Exemplo de configurao entre roteadores NR-2G utilizando chave de autenticao RSA 512 bits
ROTEADOR A: SET LAN LAN0 PURGE SET LAN LAN0 IP 192.168.10.1 MASK 255.255.255.0 UP SET WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI DCE TRUE SET WAN WAN0 PVC0 DLCI 16 IP 172.16.1.1 MASK 255.255.255.252 PEER 172.16.1.2 SET WAN WAN0 UP SET SYSTEM HOSTNAME routerA SET IPSEC PURGE SET IPSEC IPSEC0 INTERFACE WAN0-PVC0 SET IPSEC CHANNEL0 NAME canal LEFT ADDRESSTYPE BINDED IPSEC0 SUBNET TRUE NET 192.168.10.0 MASK 255.255.255.0 SET IPSEC CHANNEL0 RIGHT ADDRESSTYPE USER ADDRESS 172.16.1.2 SUBNET TRUE NET 192.168.11.0 MASK 255.255.255.0 SET IPSEC CHANNEL0 KEY AUTH ESP AUTHBY RSA SET IPSEC CHANNEL0 KEY BITS 512
77
SET IPSEC CHANNEL0 KEY PERFECTFORWARD TRUE SET IPSEC CHANNEL0 KEY GENERATEKEY SET IPSEC CHANNEL0 KEY PEERPUBLICKEY 0:>0sAQN37vkUyKVgSx9foqZ95JcPlzZR6ua7+eVl50IqFDCIacNfwQIJFJzSqMhTb86RgWIyABcSp 4VXqpbD4wH0Kmcx | Copiar e colar a senha gerada pelo equipamento remoto.| 1:> Pressione <CTRL-D> para abandonar a edio de senhas. ROTEADOR B: SET LAN LAN0 PURGE SET LAN LAN0 IP 192.168.11.1 MASK 255.255.255.0 UP SET WAN WAN0 PROTO FRAMERELAY PROTOCOL ANSI SET WAN WAN0 PVC0 DLCI 16 IP 172.16.1.2 MASK 255.255.255.252 PEER 172.16.1.1 SET WAN WAN0 UP SET SYSTEM HOSTNAME routerB SET IPSEC PURGE SET IPSEC IPSEC0 INTERFACE WAN0-PVC0 SET IPSEC CHANNEL0 NAME canal LEFT ADDRESSTYPE BINDED IPSEC0 SUBNET TRUE NET 192.168.11.0 MASK 255.255.255.0 SET IPSEC CHANNEL0 RIGHT ADDRESSTYPE USER ADDRESS 172.16.1.1 SUBNET TRUE NET 192.168.10.0 MASK 255.255.255.0 SET IPSEC CHANNEL0 KEY AUTH ESP AUTHBY RSA SET IPSEC CHANNEL0 KEY BITS 512 SET IPSEC CHANNEL0 KEY PERFECTFORWARD TRUE SET IPSEC CHANNEL0 KEY LOCALPUBLICKEY GENERATEKEY SET IPSEC CHANNEL0 KEY PEERPUBLICKEY 0:>0sAQOH8fKU8M+eAniJmdlZhV8OihNXg9ItG7Tc8JoidlhXWMv8TmC9DZsCqX6BwS2ywevYh0xLoL dsHFtcmKpvJWFP | Copiar e colar a senha gerada pelo equipamento remoto.| 1:> Pressione <CTRL-D> para abandonar a edio de senhas. Para visualizar o estado da conexo IPSec nos roteadores, digite SHOW SYSTEM LOG MESSAGES em ambos os equipamentos. Exemplo: Apr 17 18:13:10 NR2Gt ipsec__plutorun: 004 "canal" #1: STATE_MAIN_I4: ISAKMP SA established Apr 17 18:13:10 NR2Gt ipsec__plutorun: 004 "canal" #2: STATE_QUICK_I2: sent QI2, IPsec SA established Note que os dois nveis (ISAKMP e Ipsec) esto indicados como established. Isso significa que a conexo foi estabelecida corretamente com o roteador remoto.
78
79
Tipo (NORMAL/RELAY) Atribuio de endereos a mquinas desconhecidas Agrupa subredes que se encontrem fisicamente na mesma rede SERVERNAME Hostname do servidor DHCP SUBNET0 Define os parmetros comuns para uma determinada subrede HOST0 Reserva configurao espeffica para um dado host UP Inicia o servio de DHCP DOWN Pra o servio de DHCP PURGE Limpa as configuraes do mdulo DHCP NR2Gm > SET DHCP TYPE <enter> You must provide one of these: NORMAL Operao em modo servidor DHCP RELAY Operao em modo DHCP Relay Inicialmente, preciso determinar o tipo de operao para o DHCP: NORMAL (servidor) ou RELAY.
DHCP Server
Para as configuraes de um servidor DHCP , existem os seguintes parmetros: NR2Gm > SET DHCP SUBNET0 <enter> Valid SET options are: ADDRESS Define a subrede MASK Define a mscara RANGEIP Habilita o range de IPs RANGEBEGIN* Define o incio do range de IPs RANGEEND* Define o final do range de IPs LEASE Define o perodo mximo de aluguel de um endereo, mesmo que um tempo tenha sido solicitado pelo cliente. Obs.: tempo em segundos. AUTHORITATIVE Habilita como servidor o DHCP oficial da rede DNSDOMAIN Configura um Domain Name para o servidor DHCP *Only when RANGEIP=TRUE DNS0 Configura um endereo de DNS para os hosts ROUTER0 Configura um endereo de gateway para os hosts WINS0 Configura endereo de WINS para os hosts PURGE Limpa as configuraes do mdulo SUBNET0 Para entender melhor como funcionam as configuraes de um DHCP Server, a seguir apresentado um script com comentrios: SET DHCP PURGE Limpa mdulo de configurao SET DHCP TYPE NORMAL Configura para operao de DHCP NORMAL SET DHCP UNKNOWNCLIENTS TRUE SHAREDNETWORK TRUE SERVERNAME Digitel SET DHCP SUBNET0 ADDRESS 192.168.1.0 MASK 255.255.255.0 RANGEIP TRUE Especifica os endereos de uma subrede e habilita os ranges de endereamento IP SET DHCP SUBNET0 RANGEBEGIN 192.168.1.5 RANGEEND 192.168.1.254 LEASE 0 AUTHORITATIVE TRUE Configura o incio e o fim de um range de endereos IP SET DHCP SUBNET0 DNSDOMAIN Digitel.com.br Configura o Domain Name SET DHCP SUBNET0 ROUTER0 ADDRESS 192.168.1.1 Configura o IP do gateway da rede
80
DHCP Reservation
Como apresentado anteriormente, o RESERVATION uma caracterstica que nos permite reservar endereos IP especficos para um determinado host (endereos que no estejam no range do DHCP Server). Tal caracterstica importante quando queremos diferenciar algum dispositivo de rede (servidor de impresso, por exemplo) dos demais componentes, tendo, assim, uma organizao dentro de sua tabela de DHCP Server. NR2Gm > SET DHCP HOST0 Valid SET options are: NAME MAC ADDRESS DNSDOMAIN DNS0 ROUTER0 WINS0 PURGE <enter> Determina um hostname para um dispositivo de rede Determina o MAC ADDRESS do dispositivo ethernet da rede Determina o endereo IP a ser reservado Configura um Domain Name para o host Configura um endereo de DNS para o host Configura um endereo de gateway para o host Configura endereo de WINS para o host Limpa as configuraes do mdulo HOST0
Para entender melhor como funcionam as configuraes do RESERVATION, a seguir apresentado um script utilizando as configuraes acima: SET DHCP HOST0 MAC 00:00:00:00:00:00 NAME impressora1 ADDRESS 192.168.1.250 DNSDOMAIN digitel.com.br No local onde aparece 00:00:00:00:00, coloque o endereo MAC da placa de rede do dispositivo. SET DHCP HOST0 DNS0 ADDRESS 192.168.1.2 SET DHCP HOST0 ROUTER0 ADDRESS 192.168.1.1 SET DHCP HOST0 WINS0 ADDRESS 192.168.1.3 SET DHCP UP
DHCP Relay
Os parmetros para sua configurao so: NR2Gt > SET DHCP <enter> Valid SET options for DHCP are: TYPE Tipo (NORMAL/RELAY) SERVER Define IP do servidor DHCP AGENTINF0 Seleciona a opo de agente ALLINTERFACES Habilita todas as interfaces LISTEN0 Seleciona a interface UP Inicia o servio de DHCP DOWN Pra o servio de DHCP PURGE Limpa as configuraes do mdulo DHCP tipo Relay
81
Note que, antes de serem aplicadas as configuraes de RELAY, preciso definir a operao como tal, definindo o parmetro TYPE. Para entender melhor como funcionam as configuraes do RELAY, a seguir apresentado um script: SET DHCP PURGE SET DHCP TYPE RELAY SET DHCP ALLINTERFACES TRUE Aqui voc habilita todas as interfaces para que sejam listadas SET DHCP SERVER 10.50.30.1 Endereo IP do servidor de DHCP remoto SET DHCP UP
Exemplo de configurao - Filial SET SET SET SET BRIDGE BRIDGE BRIDGE BRIDGE BRIDGE0 BRIDGE0 BRIDGE0 BRIDGE0 SPANNINGTREE TRUE S LAN0 INCLUDED WAN0-PVC0 INCLUDED UP
Classe
Filtros e Policiamento
Classe Classe
Disciplina de servio
82
Main Link
A/WWW
A/SMTP
Diferentemente do CBQ, o HTB utiliza um mecanismo de controle de banda (shapes traffic based) baseado no algoritmo Token Bucket Filter, que no depende das caractersticas fsicas do link. Tambm no preciso conhecer o comportamento da banda de sada. possvel simular links mais lentos e determinar que classe de trfego usar esse caminho lento, mudando, desta forma, a ordenao e priorizao do fluxo corrente. Parmetro Priority Rate Ceil Burst Funo Define a prioridade da classe dentro do mecanismo de escalonamento. O mecanismo utilizado um round-robin com prioridades. Indica o mximo rate da classe. A soma dos rates dos filhos de uma dada classe so iguais ao rate do pai. Nmero mximo de dados que podem ser enviados. A quantidade de bytes que podem ser enviados dentro de um determinando instante e que obedecem velocidade fornecida pelo ceil.
83
Funo Especifica o tamanho da fila em bytes do token bucket principal. Indica o atraso mximo sofrido por um pacote na fila. Especifica a banda da classe. Indica a profundidade do token bucket principal. Usado para calcular o tamanho dos pacotes, quer para a tabela de vazo mdia, quer para a tabela de pico. Ativa o token bucket de controle da vazo de pico e permite especificar seu valor mdio. Indica o tamanho mnimo de pacote.
Mpu
O valor de limit deve ser maior ou igual ao de mtu da interface, sob pena de pacotes com valores maiores serem eliminados. Caso o parmetro latency seja utilizado, o tamanho da fila ser calculado com base na frmula limit = rate * latency + burst. Se o valor da mtu for maior que 2040, ser necessrio especific-lo. Seu valor deve incluir o cabealho da camada de ligao lgica. Se o segundo token bucket for ativado atravs do parmetro peakrate, o mtu indicar tambm a profundidade desse token bucket.
Funo Perturbao peridica que feita no clculo do hash para evitar colises. SECS define o intervalo em que essa perturbao deve ser feita. Quantidade de dados, em bytes, que deve ser transmitida em cada passagem do Round Robin.
A seguir so apresentados dois exemplos de configurao. No primeiro exemplo, faremos a limitao fixa da banda em 5 kbps para o protocolo FTP . No segundo, faremos uma regra bem parecida, mas trabalharemos
84
Podemos observar que criamos duas filas (1:1 e 1:2) sobre a classe raiz 1:, e limitamos a classe 1:1 em 5 kbps. Note que as regras de QoS devem ser aplicadas levando-se em conta o trfego de sada da interface. SET SET SET SET SET SET SET SET SET SET SET SET SET FIREWALL QOS RULE0 PROTOCOL tcp MARK 1 FIREWALL QOS RULE0 SOURCE ADDRESS 192.168.1.0 MASK 255.255.255.0 FIREWALL QOS RULE0 DESTINATION ADDRESS 192.168.2.0 MASK 255.255.255.0 FIREWALL QOS RULE0 TCP DPORT 20-21 FIREWALL UP QOS WAN0-PVC0 ROOT-HTB HANDLE 1: QOS WAN0-PVC0 HTB1: DEFAULT 2 QOS WAN0-PVC0 HTB1: NEW-HTB HANDLE 1:1 QOS WAN0-PVC0 HTB1:1 RATE 5KBIT BURST 5KBIT CEIL 5KBIT PRIORITY 1 QOS WAN0-PVC0 HTB1: NEW-HTB HANDLE 1:2 QOS WAN0-PVC0 HTB1:2 RATE 59KBIT BURST 5KBIT CEIL 59KBIT PRIORITY 0 QOS WAN0-PVC0 HTB1: NEW-FILTER HANDLE 1 PRIORITY 0 PROTOCOL IP CLASSID 1:1 QOS UP
No segundo exemplo, as filas 1:10 e 1:20 foram criadas sobre uma classe pai, que far o emprstimo de banda de acordo com a prioridade definida (quanto menor o valor da prioridade, maior ela ser). Note que, aqui, enquanto estivermos utilizando somente o FTP , os 128 kbps estaro alocados a ele, mas, quando o Telnet for iniciado, ocorrer o compartilhamento de link: SET SET SET SET SET SET SET SET SET SET SET SET SET SET SET SET SET SET SET FIREWALL PURGE FIREWALL QOS RULE0 PROTOCOL TCP MARK 1 FIREWALL QOS RULE0 SOURCE ADDRESS 192.168.10.0 MASK 255.255.255.0 FIREWALL QOS RULE0 DESTINATION ADDRESS 192.168.11.0 MASK 255.255.255.0 FIREWALL QOS RULE0 TCP DPORT 20-21 FIREWALL QOS RULE1 PROTOCOL TCP MARK 2 FIREWALL QOS RULE1 SOURCE ADDRESS 192.168.10.0 MASK 255.255.255.0 FIREWALL UP QOS PURGE QOS WAN0-PVC0 ROOT-HTB HANDLE 1: QOS WAN0-PVC0 HTB1: NEW-HTB HANDLE 1:1 QOS WAN0-PVC0 HTB1:1 RATE 128KBIT BURST 15KBIT CEIL 128KBIT NO-PRIORITY QOS WAN0-PVC0 HTB1:1 NEW-HTB HANDLE 1:10 QOS WAN0-PVC0 HTB1:10 RATE 10KBIT BURST 15KBIT CEIL 128KBIT PRIORITY 0 QOS WAN0-PVC0 HTB1:1 NEW-HTB HANDLE 1:20 QOS WAN0-PVC0 HTB1:20 RATE 118KBIT BURST 15KBIT CEIL 128KBIT PRIORITY 1 QOS WAN0-PVC0 HTB1:1 NEW-FILTER HANDLE 1 PRIORITY 1 PROTOCOL IP CLASSID 1:10 QOS WAN0-PVC0 HTB1:1 NEW-FILTER HANDLE 2 PRIORITY 0 PROTOCOL IP CLASSID 1:20 QOS UP
85
HFSC (Hierarchical Fair Service Curve Algorithm for Link-Sharing, Real-Time and Priority Service)
Cenrios de QOS complexos podem exigir o uso de algoritmos hierrquicos. O NR2G prov os algoritmos TBF (j demonstrado) e HFSC, que permite uma distribuio de banda proporcional assim como controle e alocao de latncias. Com isso h um uso melhor e mais eficiente da conexo para situaes em que servios com muitos dados e servios interativos compartilham um mesmo link de rede. O HFSC gerencia bem os recursos de banda e atraso. Para tanto, o algoritmo usa um modelo de curva de servio para a alocao de recursos. Uma curva de servio S(t) representa o trabalho alcanado (servio) em bits no tempo t. O aclive da curva corresponde taxa de transmisso. Deve-se observar que a soma das curvas no deve ultrapassar a capacidade total do link. A figura abaixo ilustra os dois tipos de curvas de servio linear usadas no HFSC. Para a curva convexa (quando o BW1 menor que o BW2), BW1 sempre zero. Em geral, uma curva cncava atinge um delay menor do que uma reta, que, por sua vez, tem delay menor que uma curva convexa.
O algoritmo diferencia entre critrios de tempo-real (real-time - RT) e compartilhamento de link (link-sharing - LS). Uma classe-folha pode ter uma curva RT ou LS, enquanto as classes internas apenas LS, uma vez que os pacotes so processados nas folhas. Assim, os critrios de RT so os responsveis pelos servios que necessitam garantia. Os critrios de LS se concentram nas relaes entre as classes vizinhas, sendo responsvel pela distribuio justa dos servios e no garantias absolutas. Isso significa que uma classe pode enviar um pacote com base na sua garantia de tempo real mesmo que a curva de compartilhamento (LS) de uma classe mais alta na hierarquia seja rapidamente violada, como resultado.
Funo taxa Primeiro segmento da curva tempo A interseco dos dois segmentos Service Curve: Se as curvas RT e LS so idnticas, pode-se configurar apenas uma SC
taxa taxa
tempo A interseco dos dois segmentos taxa taxa Segundo segmento da curva Primeiro segmento da curva
tempo A interseco dos dois segmentos taxa taxa Segundo segmento da curva
86
FIREWALL
Introduo
Os roteadores NR-2G possuem diversas caractersticas de Firewall. Aqui sero descritas algumas caractersticas dessa feature, e alguns exemplos de configurao tambm sero apresentados. Existem dois nveis de aplicao de segurana em roteadores NR-2G: um determinado por polticas (polices), e o outro, por regras (rules).
Poltica
A poltica da chain determina o destino do pacote. Uma poltica atua quando um pacote chega ao fim de uma chain e no se enquadrou em nenhuma das regras. Neste caso, o kernel verifica qual a poltica da chain, para saber o que fazer com o pacote. A poltica pode ser tanto ACCEPT (aceitar) quanto DROP (rejeitar). Por default, as chains INPUT/OUTPUT/ FORWARD possuem suas polticas definidas como ACCEPT na inicializao.
Cadeias (chains)
Uma chain uma lista de regras (rules). Cada regra diz ao cabealho do pacote o que deve ser feito com o mesmo. Se a regra corrente no for associada ao pacote, ento a prxima regra na chain ser consultada. Quando no houver mais regras a consultar, o sistema operacional analisar a poltica da chain para decidir o que fazer.
INPUT: todo trfego que decorre de um host (local ou remoto) em direo ao roteador.
FORWARD: todo trfego que decorre de um host qualquer (local ou remoto) e tem como destino algum host que seja alcanado atravs desse roteador.
87
Pacotes atravessando a chain INPUT no possuem interface de sada, e pacotes atravessando a chain OUTPUT no tm interface de entrada. No caso do FORWARD, ambas podem ou devem ser identificadas na criao das regras. Nas regras, podemos criar diversas formas de manipular o trfego. Os principais parmetros a serem trabalhados aqui so listados a seguir.
Action - Uma ao determina o que ser feito quando um pacote se enquadrar em uma determinada
regra. As aes possveis so ACCEPT, DROP e REJECT. - ACCEPT: aceita o pacote que est sendo filtrado; - DROP: descarta o pacote que est sendo filtrado; - REJECT: tem o mesmo efeito de DROP , a no ser que o remetente tenha enviado uma mensagem de erro ICMP port unreachable (porta inalcanvel). A mensagem de erro ICMP no ser enviada se alguma das seguintes situaes estiver ocorrendo (consulte tambm a RFC 1122):
- O pacote que est sendo filtrado uma mensagem de erro ICMP no incio, ou um tipo
desconhecido de ICMP;
- O pacote que est sendo filtrado um fragmento sem cabealho; - Muitas mensagens de erro ICMP j foram enviadas para o mesmo destinatrio recentemente. Protocolo - As opes utilizadas aqui so TCP , UDP e ICMP . Origem e Destino - onde determinamos os parmetros de endereamento e as portas. Endereos IP - Endereos IP de redes ou hosts a serem determinados. Porta - Range de portas UDP/TCP .
Alm desses parmetros, podemos criar diversas formas de manipulao atravs de flags de protocolo TCP , regras com inverso de lgica, tipos de pacote, etc.
Especificando inverso
Muitas opes de configurao podem ter seus argumentos precedidos de '!' (pronunciado "no"), que significa a inverso da lgica da regra para um determinado argumento. Por exemplo, se especificarmos uma regra que s permite a passagem de pacotes para uma dada interface e ligarmos a opo '!' para a interface de destino, a regra ser invertida. Com isso, a passagem de pacotes ser permitida para todas as interfaces, exceto a interface especificada. Veremos, mais adiante, alguns exemplos de como isso se aplica.
Especificando fragmentos
s vezes um pacote muito grande para ser enviado todo de uma vez. Quando isso ocorre, o pacote dividido em fragmentos e enviado como mltiplos pacotes. Quem o recebe remonta os fragmentos, reconstruindo o pacote. O problema com os fragmentos que o fragmento inicial tem os campos de cabealho completos (IP + TCP , UDP e ICMP) para examinar, mas os pacotes subseqentes s tm o cabealho IP (sem os campos dos outros protocolos). Logo, examinar o interior dos fragmentos subseqentes em busca de cabealhos de outros protocolos (como extenses de TCP , UDP e ICMP) impossvel. Se voc est fazendo o acompanhamento de conexes ou NAT, todos os fragmentos sero remontados antes de atingir o cdigo do filtro de pacotes (assim, voc no precisa se preocupar com os fragmentos). Caso contrrio, importante entender como os fragmentos so tratados pelas regras de filtragem. Qualquer regra que requisitar informaes que no existem no ser vlida. Isso significa que o primeiro fragmento ser tratado como um pacote qualquer; j o segundo e os seguintes no o sero. Ento, uma regra com fragment (demais pacotes) habilitado analisar os pacotes de um fluxo de dados, exceto o pacote inicial. Tambm interessante especificar uma regra que tenha a opo fragment (primeiro pacote) mas que no se aplique ao segundo e demais fragmentos. Geralmente, considera-se seguro deixar o segundo fragmento e os seguintes passarem, uma vez que o primeiro fragmento ser filtrado; isso vai evitar que o pacote todo seja remontado na mquina destinatria.
88
NR2Gt > SET FIREWALL INPUT/OUTPUT/FORWARD <enter> Valid options are: POLICY Configura as polticas de acesso (DROP/ACCEPT) CLAMPTOMTU Habilita a opo sw clamp RULE0 Configura as regras de acesso NR2Gt > SET FIREWALL INPUT/OUTPUT/FORWARD RULE0 Valid options are: PROTOCOL Protocolo (TCP/UDP/ICMP/ALL) PROTOCOLINVERTED Inverso da lgica de protocolo ACTION (Only when not in QOS chain) Ao (DROP/REJECT/ACCEPT) FRAGMENT Anlise de fragmento do segundo pacote e dos que o sucedem SOURCE Regras para origem de pacote DESTINATION Regras para destino de pacote MAC Regras de endereo fsico (MAC) LIMIT Nmero de vezes que uma regra ser CONNECTIONSTATE
TOS conferida Especifica regras de acordo com o estado da conexo Marca o tipo de servio no cabealho IP
TIME PACKETTYPE DSCP UDP (Only when PROTOCOL = UDP) TCP (Only when PROTOCOL = TCP) ICMP (Only when PROTOCOL = ICMP) PURGE
Regra por dia da semana Permite identificar um pacote do tipo unicast Diferencia diferentes servios Regras para protocolo UDP Regras para protocolo TCP Regras para protocolo ICMP Limpa as configuraes do mdulo RULE0
NR2Gt > SET FIREWALL INPUT RULE0 SOURCE/DESTINATION <enter> Valid options are: INTERFACE Interface de origem/destino INTERFACEINVERTED* Inverte a lgica para o campo INTERFACE ADDRESS Endereo de rede/host MASK Mscara de rede ADDRESSINVERTED Inverte a lgica para o campo ADDRESS *Only when INTERFACE != NONE Para um melhor entendimento dessas regras, vamos criar um exemplo onde desabilitamos o trfego decorrente de uma rede qualquer para o roteador (INPUT) e habilitamos o Telnet somente de um host especfico.
89
Note que, no exemplo abaixo, estamos assumindo que o host (microcomputador) possui o endereo 10.10.10.63 e que o endereo do roteador 10.10.10.66. Para testar se ele est funcionando corretamente, basta aplicar um ping contnuo para o endereo de destino; aps o firewall estar iniciado, o ping dever responder com TIME OUT, e somente dever ser possvel realizar um Telnet para o endereo 10.10.10.66 da mquina 10.10.10.63. SET FIREWALL INPUT POLICY DROP SET FIREWALL INPUT RULE0 PROTOCOL TCP ACTION ACCEPT SET FIREWALL INPUT RULE0 SOURCE INTERFACE LAN0 ADDRESS 10.10.10.63 MASK 255.255.255.255 SET FIREWALL INPUT RULE0 TCP DPORT 23-23 SET FIREWALL UP CONFIG SAVE Para o exemplo a seguir, utilizaremos uma inverso de lgica. Quando habilitamos a opo ADDRESSINVERTED nessa regra, dizemos que qualquer endereo pode realizar um Telnet no roteador 10.10.10.66, menos o endereo 10.10.10.63. A regra a mesma; somente adicionamos o parmetro ADDRESSINVERTED como TRUE. SET FIREWALL PURGE SET FIREWALL INPUT POLICY DROP SET FIREWALL INPUT RULE0 PROTOCOL TCP ACTION ACCEPT SET FIREWALL INPUT RULE0 SOURCE INTERFACE LAN0 ADDRESSINVERTED TRUE ADDRESS 10.10.10.63 MASK 255.255.255.255 SET FIREWALL INPUT RULE0 TCP DPORT 23-23 SET FIREWALL UP CONFIG SAVE Para fins de teste, realize o Telnet da mquina 10.10.10.63 para o roteador 10.10.10.66 e, depois, tente executar esse mesmo Telnet de qualquer outro microcomputador. Voc ver que o acesso no ser possvel do host 10.10.10.63, pois h uma inverso de lgica que nos diz que qualquer mquina pode acessar esse equipamento, menos o endereo 10.10.10.63/32. Para um terceiro exemplo, necessrio que uma rede consiga realizar uma requisio ICMP para uma rede remota, sem que a rede interna seja alcanada. Para o exemplo, definido que a rede local 10.10.10.0/24, e a rede remota, 192.168.11.0/24. Note que as mensagens de ECHO-REQUEST so enviadas, mas, para que o retorno seja efetivado (ECHO-REPLY), necessria a criao de uma regra especial, que no abrange somente o protocolo, mas tambm o tipo de mensagem ICMP . As regras so apresentadas a seguir. SET FIREWALL PURGE SET FIREWALL INPUT POLICY ACCEPT SET FIREWALL OUTPUT POLICY ACCEPT SET FIREWALL FORWARD POLICY ACCEPT SET FIREWALL FORWARD RULE0 PROTOCOL ICMP ACTION ACCEPT SET FIREWALL FORWARD RULE0 SOURCE INTERFACE LAN0 ADDRESS 10.10.10.0 MASK 255.255.255.0 SET FIREWALL FORWARD RULE0 DESTINATION INTERFACE WAN0-PVC0 ADDRESS 192.168.11.0 MASK 255.255.255.0 SET FIREWALL FORWARD RULE1 PROTOCOL ICMP ACTION DROP SET FIREWALL FORWARD RULE1 SOURCE INTERFACE WAN0-PVC0 ADDRESS 0.0.0.0 MASK 0.0.0.0 SET FIREWALL FORWARD RULE1 DESTINATION INTERFACE LAN0 ADDRESS 0.0.0.0 MASK 0.0.0.0 SET FIREWALL FORWARD RULE1 ICMP ENABLED TRUE INVERTED TRUE TYPE ECHO-REPLY SET FIREWALL UP O comando criado insere na regra uma inverso de lgica relacionada ao tipo de mensagem a ser filtrada. Isso criado na regra nmero 1 (RULE1) da chain FORWARD. SET FIREWALL FORWARD RULE1 ICMP ENABLED TRUE INVERTED TRUE TYPE ECHO-REPLY Para visualizar as estatsticas da regra criada, aplique o comando SHOW FIREWALL STATS.
90
SISTEMAS DE AUTENTICAO
Introduo
O sistema de autenticao dos roteadores NR-2G capaz de suportar diferentes tipos e protocolos de autenticao. A autenticao pode ser feita atravs dos comandos SHADOW, TACACS e RADIUS. SHADOW um sistema de autenticao que se baseia em uma criptografia contida no prprio equipamento, o MD5. TACACS (Terminal Access Controller Access Control System) um protocolo de autenticao para usurios remotos. Originalmente criado pela CISCO, hoje usado por diversos fabricantes. Com o TACACS, possvel autenticar um usurio em uma base provida pelo servidor TACACS do cliente. RADIUS (Remote Authentication Dial User Service) um dos protocolos de autenticao remota mais difundidos. Tambm possibilita a autenticao de usurios em uma base remota provida pelo cliente. Est definido na RFC 2058. Para configurar o sistema de autenticao, preciso: 1. Definir o tipo de autenticao. 2. Em caso de mais de um tipo de autenticao, indicar uma ordem para os mesmos. 3. Configurar o mtodo de autenticao. A configurao da autenticao encontra-se disponvel no mdulo SYSTEM. NR2Gt > SET SYSTEM <enter> Valid SET options for SYSTEM are: DATA TIME TIMEZONE LOG UPDATE AAA HOSTNAME PURGEUSERS PURGEDNS RESTART BANNER DESCRIPTION USER0 USER1 USER2 USER3 USER4 DNS0 Uma informao relevante que, em caso de no haver nenhum mtodo de autenticao configurado, o CLI assumir o SHADOW como mtodo padro para autenticao. A ordem de autenticao definida com o seguinte comando: NR2Gt > SET SYSTEM AAA AUTHENTICATION ORDER <enter> You must provide order for UP auth types. Combination possibilities are: TACACS SHADOW SHADOW TACACS RADIUS SHADOW SHADOW RADIUS
91
RADIUS
Para definir como mtodo de autenticao somente RADIUS, devemos habilitar a autenticao RADIUS e desabilitar a autenticao SHADOW. SET SYSTEM AAA AUTHENTICATION RADIUS UP SET SYSTEM AAA AUTHENTICATION SHADOW PURGE As opes disponveis para configurao so: NR2Gt > SET SYSTEM AAA AUTHENTICATION RADIUS <enter> Valid SET options for RADIUS are: DEBUG Habilita a exibio de eventos via Syslog SERVER Configura endereo IP do servidor RADIUS SECRET Senha utilizada para negociao entre o RADIUS do equipamento e o servidor TIMEOUT Tempo de espera sem resposta para autenticao remota ONERROR** Define o que ser feito quando o RADIUS for o primeiro mtodo de autenticao(sendo a ordem RADIUS SHADOW) UP Inicia o RADIUS PURGE Limpa as configuraes do mdulo RADIUS Como exemplo, temos a seguinte configurao: SET SET SET SET SYSTEM SYSTEM SYSTEM SYSTEM AAA AAA AAA AAA AUTHENTICATION AUTHENTICATION AUTHENTICATION AUTHENTICATION RADIUS RADIUS RADIUS RADIUS UP SERVER 20.20.20.20 SECRET digitel ONERROR
ONERROR define o que ser feito quando o RADIUS for o primeiro mtodo de autenticao (sendo a ordem RADIUS SHADOW). Os valores vlidos so FAIL ou CONTINUE. FAIL diz que, em caso de falha na autenticao utilizando o primeiro mtodo, o processo de login dever ser abortado; CONTINUE diz que se deve tentar realizar a autenticao utilizando o prximo mtodo.
TACACS
Para definir como mtodo de autenticao somente TACACS, devemos habilitar a autenticao TACACS e desabilitar a autenticao SHADOW. SET SYSTEM AAA AUTHENTICATION TACACS UP SET SYSTEM AAA AUTHENTICATION SHADOW PURGE Para as configuraes de TACACS, temos os seguintes parmetros: NR2Gt > SET SYSTEM AAA AUTHENTICATION TACACS <enter> Valid SET options for TACACS are: ENCRYPT Habilita a chave criptografada para SECRET DEBUG Habilita a exibio de eventos via Syslog SERVER Configura o endereo IP no servidor TACACS SECRET* Senha utilizada para negociao entre o TACACS do equipamento e o servidor ONERROR** Define o que ser feito quando o RADIUS for o primeiro mtodo de autenticao (sendo a ordem RADIUS SHADOW) UP Inicia o TACACS PURGE Limpa as configuraes do mdulo TACACS *Only when ENCRYPT=TRUE **Only when SHADOW is UP and ORDER is TACACS SHADOW
92
ONERROR define o que ser feito quando o TACACS for o primeiro mtodo de autenticao (sendo a ordem TACACS SHADOW). Os valores vlidos so FAIL ou CONTINUE. FAIL diz que, em caso de falha na autenticao utilizando o primeiro mtodo, o processo de login dever ser abortado; CONTINUE diz que se deve tentar realizar a autenticao utilizando o prximo mtodo.
DEBUG DEFAULTPREFERENCE DEFAULTMETRIC RPCANDIDATE TRUE FALSE BIND PRIORITY TIME GROUP<n> ADDRESS MASKLEN PURGE BSRCANDIDATE TRUE FALSE
{ SPARSE | DENSE } Define o tipo de multicast esparso (roteadores com membros diretamente ligados devem se unir a uma rvore de distribuio esparsa) e denso (quando o grupo densamente distribudo pela rede e a banda plena, ou seja, quando quase todos os hosts da rede pertencem ao grupo). { TRUE | FALSE } Gera mensagens de depurao na sada padro. { inteiro | NONE } Altera a preferncia padro nas mensagens assertivas enviadas para o roteador. { inteiro | NONE }Altera a mtrica padro nas mensagens assertivas enviadas para o roteador. Configura o roteador para propagar a si mesmo como um candidato a ponto de encontro (Rendezvous Point RP) para roteadores Bootstrap (BSR) { interface | NONE } { inteiro | NONE } Valor que o RP envia para os BSR o RP de menor valor ser o preferido no processo de eleio de RPs. { inteiro | NONE } Intervalo para envio de mensagens quanto menor, mais rpida a convergncia. <endereo IP> Endereo multicast do grupo. <inteiro> Limpa as configuraes Configura o roteador como um candidato a roteador Bootstrap.
93
BIND PRIORITY SPTTHRESHOLD TRUE FALSE RATE REGISTERTHRESHOLD TRUE FALSE RATE INTERVAL PHYINT<n> PURGE BIND PREFERENCE METRIC TTLTHRESHOLD SCOPED MASKLEN UP DOWN PURGE
{ interface | NONE } As mensagens tero o IP desta interface. { inteiro | NONE } Use NONE para desabilitar. Valor do campo BSR-Priority. (Shortest Path Tree) Especifica a configurao a ser usada quando uma fonte comea a enviar mensagens multicast. { inteiro > 1000 | NONE }Previne a mudana de uma rvore compartilhada para uma SPT. Configura quando o RP deve mudar para SPT. { inteiro > 1000 | NONE } Taxa mnima (em bits/s) antes que o ltimo hop ou RP mude para o SPT. { inteiro > 5 } Apenas com SPT ou REGISTER configurado. Perodo para testar a taxa (ambos acima). Lista opcional de interfaces fsicas para as quais se deseja desabilitar o multicast ou definir parametros especficos. Limpa as configuraes < interface > { inteiro | NONE } Altera a preferncia nas mensagens assertivas enviadas para esta interface. { inteiro | NONE } Altera a mtrica nas mensagens assertivas enviadas para esta interface. { inteiro | NONE } { endereo IP | NONE } Filtro de multicast por escopo, mensagens no escopo deste IP no sero repassadas. < inteiro > Inicia o servio Pra o servio Limpa as configuraes
ESTATSTICAS DE INTERFACE
Os roteadores NR-2G possuem diversas caractersticas de troubleshooting. Uma das mais utilizadas a verificao de erros em interfaces. A seguir est a descrio dos contadores para os diversos protocolos de encapsulamento:
Frame descartado por timeout na interface (pode ocorrer, por exemplo, por problemas fsicos, falta ou
problemas no relgio de Tx)
Frame descartado por limitao da capacidade de processamento na recepo (no deve ocorrer
normalmente)
94
No usado
CRC ERRORS: Frame recebido com erro de CRC TX ABORTED: Frame descartado por timeout na interface (pode ocorrer, por exemplo, por problemas fsicos, falta ou problemas no relgio de Tx) TX FIFO ERROR: Underrun na transmisso (no deve ocorrer normalmente) TX CARRIER ERROR:
Frame recebido com erro de protocolo (frame curto, erro de endereamento, erro de tamanho)
95
No usado
RX DROPPED:
Frame descartado por limitao da capacidade de processamento ou de memria na recepo (no deve
ocorrer normalmente) TX OVERRUN: No usado
96
IPACCT - IP ACCOUNTING
O mdulo de fica escutando o trfego nas interfaces especificadas. gravando para futura anlise.
Lista de Comandos
SET IPACCT AGGREGATE SOCKET<n> FROM TO INTO PURGE IP<n> ADDR MASK STRIP MEM TTL O uso de agregaes ajuda a economizar memria e recomendada para maior eficincia. Agrega o intervalo de portas UDP/TCP especificadas na porta dada. <inteiro> Incio do intervalo de portas. <inteiro> Fim do intervalo de portas. <inteiro> Porta onde agregar. Agrega endereos da rede especificada. <endereo IP> Endereo a agregar. <endereo IP> Mscara. <inteiro> Bit de mscaras para configurar um intervalo. <inteiro> Define um limite de memria para guardar associaes per-stream (em KB) <inteiro> Manter o TTL baixo para evitar ataques remotos. O padro 3, o que significa que, se estiver buscando informaes de um roteador distante pode haver falhas.
97
(ou outra interface) Escuta na interface especificada. { TRUE| FALSE } Habilita essa interface. { TRUE| FALSE } Coloca a interface em modo promscuo, habilitando o IPACCT a contar todo o trfego da rede local.
UP DOWN PURGE
SYSLOG
Outra forma de realizar a verificao de erros utilizando o Syslog, uma poderosa ferramenta para utilizao em troubleshooting, que pode ser visualizada tanto na prpria Console (buffer) como por um servidor remoto, onde as mensagens tambm podem ser armazenadas. Para direcionar a sada das mensagens, podemos criar diversas entradas (ENTRYx) onde especificamos, por exemplo, um servidor de Syslog remoto ou o prprio terminal. A seguir so apresentados os parmetros para configurao: NR2Gt > SET SYSTEM LOG <enter> Valid SET options for LOG: UP Inicializa o daemon de Syslog DOWN Pra o daemon de Syslog PURGE Limpa o mdulo Log ENTRY0 Gera uma configurao de entrada NR2Gt > SET SYSTEM LOG ENTRY0 <enter> Applying to: ENTRY0 Valid SET options are: FACILITY Tipo de facilidade PRIORITY Tipo de prioridade OUTPUTTYPE Tipo de sada HOST* No caso de um servidor de Syslog remoto, identifica o IP do mesmo PURGE Limpa o mdulo ENTRY0 *Only when OUTPUTTYPE=REMOTE
Facility
O parmetro FACILITY usado para especificar qual tipo de programa vai gerar mensagens de log. Segue abaixo a descrio: NR2Gt > SET SYSTEM LOG ENTRY0 FACILITY <enter> Applying to: ENTRY0 You must provide one of these: ALL Todas as mensagens AUTH Mensagens de segurana/autenticao SECURITY Mensagens de segurana AUTHPRIV Mensagens de segurana/autenticao (private) CRON Daemon de cron e at DAEMON Outros daemons do sistema KERN Mensagens de kernel LPR Subsistemas de impresso MAIL Subsistemas de mail MARK Timer para mensagem MARK NEWS Subsistema de notcias USENET SYSLOG Mensagens internas do Syslog
98
Priority (Level)
Determina a importncia das mensagens. Os seguintes nveis so permitidos, por ordem de importncia: NR2Gt > SET SYSTEM LOG ENTRY0 PRIORITY <enter> Applying to: ENTRY0 You must provide one of these: ALL Todos os nveis DEBUG Mensagens de depurao INFO Mensagens de informao NOTICE Condies normais do sistema WARNING Condies de alerta WARN Sinnimo para o nvel warning ERR Condies de erro ERROR Sinnimo para o nvel err CRIT Condies crticas ALERT Dever ser providenciado algum tipo de ao imediatamente EMERG O sistema est inutilizvel PANIC Sinnimo para o nvel emerg NR2Gt > SET SYSTEM LOG ENTRY0 OUTPUTTYPE <enter> Applying to: ENTRY0 You must provide one of these: REMOTE Define um servidor como remoto TERMINAL Define um servidor como local
Por default, o Syslog j vem habilitado. Para habilitar o Syslog com todas as facilidades, execute o seguinte comando: SET SYSTEM LOG ENTRY0 FACILITY ALL PRIORITY ALL OUTPUTTYPE TERMINAL Para visualizar as mensagens na Console (TERMINAL), execute o seguinte comando: SHOW SYSTEM LOG MESSAGES <enter> Se voc possui um servidor de Syslog na rede, somente altere o tipo de sada (REMOTE) e configure o endereo IP do host: SET SYSTEM LOG ENTRY0 FACILITY ALL PRIORITY ALL OUTPUTTYPE REMOTE HOST 192.168.100.23
99
mecanismos. Uma soluo mais apropriada para o cenrio ter um roteador operando como backup do gateway da rede, de forma que, quando o gateway falhar, o backup entrar em operao. O Virtual Router Redundancy Protocol (VRRP) vai ao encontro dessa necessidade. Ele definido na RFC 2338 e prov um backup automtico, assumindo o IP do roteador principal (Master). O VRRP possui a mesma funcionalidade que o Hot Standby Router Protocol (HSRP) da CISCO e o IP Standy Protocol (IPSTB) da Digital Equipment Corporation.
Definies
VRRP Router: Roteador executando Virtual Router Redundancy Protocol. Virtual Router ID: Identificador associado ao IP da LAN. Tanto o Master quanto o Backup devem ter o
mesmo identificador.
IP Address Owner ou IP: IP que representa o endereo do VRRP Router. Virtual Router Master: Roteador VRRP que assume a responsabilidade de rotear pacotes atravs do IP
associado com o Virtual Router (incluindo a ao de responder ao ARP request deste IP). Somente o Master envia pacotes VRRP na rede.
Virtual Router Backup: Roteador VRRP disponvel para assumir a responsabilidade do Virtual Router
quando ocorrer uma falha.
Configurao
A configurao de VRRP nos roteadores NR-2G est disponvel via interface de linha de comando (CLI). Para ver as opes de configurao, usamos o comando SET VRRP. As opes de configurao so apresentadas a seguir: Configura se o roteador deve iniciar como MASTER ou BACKUP Identificador do Virtual Router (roteador executando VRRP). Interface na qual o VRRP ficar amarrado. Interface que o roteador dever monitorar. Quanto decrementar da prioridade se a interface monitorada cair (o VRRP no entra em FAULT). IP IP virtual utilizado pelo VRRP. MASK Mscara de rede. PRIORITY Define a prioridade entre o equipamento Master e o Backup. Aquele que possui prioridade mais alta tido como Master. Quando a prioridade no informada, assume-se o valor 255. ADVERT Intervalo de envio de mensagens (pacotes VRRP). AUTH Tipo de autenticao (NONE, PW ou AH). PREEMPT Previne que um roteador VRRP Backup de mais alta prioridade assuma o lugar do Master. O valor default ser preenpitvo. PASSWORD Senha para autenticaes do tipo pw ou ah. NO-PASSWORD Limpa a senha. UP Executa o VRRP. DOWN Finaliza a execuo. PURGE Limpa a configurao. * Apenas quando TRACKIF estiver configurado Como exemplo, podemos configurar um roteador para ser um roteador VRRP Master. A configurao mnima para esse funcionamento seria configurar o VRID, a interface e o endereo IP , como visto a seguir: SET VRRP STATE MASTER VRID 10 INTERFACE LAN0 PRIORITY 200 IP 20.20.20.20 UP No nosso exemplo, a configurao do roteador VRRP Backup ficaria: SET VRRP STATE BACKUP VRID 10 INTERFACE LAN0 PRIORITY 50 IP 20.20.20.20 UP SET VRRP STATE VRID INTERFACE TRACKIF DECREMENT*
100
Protocolo CRTP
O protocolo CRTP um mtodo de compresso de datagrama IP/UDP/RTP , sendo utilizado para minimizar overhead em links de baixa velocidade. Seu algoritmo consegue fazer uma compresso dos cabealhos de 40 bytes para 2 a 4 bytes, o que caracteriza uma tima escolha quando o tamanho da banda crtico - em especial, links de 14.400kbps ou 28.800kbps. Seu uso desencorajado em links de maior capacidade, uma vez que pode aumentar o delay dos pacotes devido ao aumento do processamento.
Nota:
Atualmente, s possvel configurar o CRTP sob um link Frame_Relay. SET WAN WAN<n>-PVC<n> CRTP ENABLED NON-TCP-SPACE F-MAX-PERIOD F-MAX-TIME MAX-HEADER TIMEOUT RETRIES SET WAN WAN<n>-PVC<n> CRTP ENABLED NEGOTIATION NON-TCP-SPACE F-MAX-PERIOD F-MAX-TIME MAX-HEADER TIMEOUT RETRIES Compresso de cabealhos (IP/UDP/RTP) (des)habilitar a compresso (des)habilitar a negociao Maximum value of a non-TCP context identifier (CID) Largest number of compressed non-TCP headers Maximum time interval between full header Largest header size that may be compressed Handshake timeout (negociao) Try again (negociao) {TRUE|FALSE} 3 - 65535 1 - 65535 1 - 255 60 - 1500 1 - 10 1 - 10 (suggested (suggested (suggested (suggested (suggested 15 - default) 256 - default) 5 - default) 168 - default) 3 - default)
(suggested 3 - default)
101
Habilitar o CRTP
SET WAN WAN0-PVC0 CRTP ENABLED TRUE
PROTOCOLO NTP
O protocolo NTP oferece um mecanismo de sincronizao de horrio. RFC1305 - Network Time Protocol (Version 3)
Nota:
Nos roteadores da linha NR-2G, no possvel mapear o time zone. Quando a diferena entre o horrio do servidor NTP e o roteador for grande, ser necessrio dois servidores para atualizar o horrio, seno, ele manter o horrio do roteador.
Configuraes
Cenrio 1
Apenas um servidor sem autenticao. SET NTP SERVER0 TYPE SERVER IP 192.168.1.207 SET NTP UP
Cenrio 2
Utilizando o roteador como servidor local. SET NTP PURGE SET NTP MASTER ENABLED TRUE STRATUM 7 SET NTP RESTRICT DEFAULT FLAG IGNORE SET NTP RESTRICT RESTRICT0 IP 192.168.1.0 MASK 255.255.255.0 FLAG NOMODIFY SET NTP UP
Nota:
Estaes que no pertencem rede 192.168.1.0/24 no conseguem acessar o servidor. A escolha do valor do stratum(7) arbitrria, mas se recomenda um valor entre 5 e 10 devido a preciso limitada do relgio interno do roteador.
Cenrio 3
Utilizando autenticao simtrica. O lado servidor: SET NTP PURGE SET NTP AUTHENTICATION ENABLED TRUE SET NTP AUTHENTICATION KEY0 SECRET B050B18564FD16A420176DD01744ABDF TRUSTED TRUE SET NTP MASTER ENABLED TRUE STRATUM 7 SET NTP RESTRICT DEFAULT FLAG IGNORE SET NTP RESTRICT RESTRICT0 IP 192.168.1.0 MASK 255.255.255.0 FLAG NOTRUST SET NTP UP O lado cliente: SET NTP PURGE SET NTP AUTHENTICATION ENABLED TRUE SET NTP AUTHENTICATION KEY0 SECRET B050B18564FD16A420176DD01744ABDF TRUSTED TRUE SET NTP SERVER0 TYPE SERVER IP 192.168.1.161 KEY 0 SET NTP UP
102
Parmetros da CLI
SET NTP PREFER MASTER ENABLED STRATUM AUTHENTICATION ENABLED REQUESTKEY CONTROLKEY SECRET TRUSTED RESTRICT DEFAULT RESTRICT<n> IP MASK FLAG NOQUERY Identify the preferred server Enable/disable the NR2G as a NTP server server number in the NTP hierarchy usually stratum 3 or above Enable/disable NTP request authentication Request key number Control key number KEY<n> Password for this key Is this key trusted (has it been verified)?
Along with the mask, set the IP range for this restriction Define the mask Define default restrictions for NTP access control.
The options are non-exclusive: all of them can be set using NOMODIFY a white space between them. NOTRUST PURGE Clean the configuration for this restriction only Start the NTP service Stop the NTP service Clean all NTP configuration TYPE IP KEY BURST IBURST Specify if it will be a server or a peer Server IP address Identify the key to be used with this server Set if this server should send bursts of eight NTP packets, instead of one by one - if the server is reachable Set if this server should send bursts of eight NTP packets, instead of one by
103
one - if the server is unreachable Maximum NTP request interval Minimum NTP request interval Clean this server configuration
URL do servidor NTP Reference Clock Identifier stratum tipo do peer (local, unicast, multicast ou broadcast) quando o ltimo pacote foi recebido perodo de pooling (s) Reachability Register RTT at o peer (ms) atraso entre o peer e o relgio de referncia (ms) disperso (ms)
ROOTDISPERSION
104
XOT
Introduo
XOT um protocolo desenvolvido pela Cisco Systems e significa X.25 sobre TCP (X.25 over TCP). Esse mdulo, como sugere seu nome, permite o encapsulamento e envio de pacotes X.25 sobre uma rede TCP/IP .
Lista de Comandos
Aqui se encontra a lista de todos comandos do mdulo XOT para o Roteador NR2G. Todos os comandos devem iniciar com a expresso SET XOT ou SHOW XOT (onde for apropriado utilizlos, conforme a tabela). Comando SET XOT REMOTE_IP <endereo IP> Opes Descrio Essa expresso deve iniciar todos oscomandos abaixo Endereo da interface de rede do gateway remoto ao qual o XOT ir se conectar Nvel das mensagens de depurao Configura o mais alto canal de transmisso
Adiciona uma rota normal ou uma rota padro com sada pela interface virtualdo XOT, tendo a possibilidade de trocar o endereo do destinatrio e/ou do originador da chamada (conforme comandos abaixo) ADD <endereo X121> SUBST_SOURCE <endereo X121> ADD <endereo X121> SUBST_DEST <endereo X121> ADD DEFAULT ADD DEFAULT SUBST_DEST <endereo X121> <endereo X121> Remove uma rota DELETE Inicia o servio XOT UP Para o servio XOT DOWN Retorna configurao de fbrica PURGE Essa expresso deve iniciar todos os SHOW XOT comandos abaixo Mostra o IP remoto configurado REMOTE_IP Mostra todas as rotas configuradas e em ROUTES ALL uso Mostra informaes de estado dos circuitos VC virtuais ativos Mostra informaes de conexo entre os peers CONNECTIONS Estado atual do XOT STATS Para mostrar todas as informaes ALL disponveis
105
Aplicaes
A Srie NetRouter 2G uma famlia de roteadores destinada principalmente s aplicaes sobre enlaces de alta velocidade dedicados ou comutados ou sobre redes Frame Relay pblicas ou privadas, na conexo de escritrios remotos (remote office) ou conexes corporativas a provedores de acesso (ISPs) ou diretamente Internet. Devido caracterstica de VPN/IP , possvel realizar a interconexo segura de redes atravs de tneis criptografados sobre um backbone pblico IP . Por outro lado, devido compatibilidade do NetRouter 2G com roteadores de terceiros e redes pblicas Frame Relay e IP , tambm possvel formar qualquer topologia de interligao. A seguir sero apresentadas algumas das aplicaes mais freqentes para a srie NetRouter 2G.
ESCRITRIOS REMOTOS
Empresas com vrias unidades remotas distribudas geograficamente, com necessidade de automatizao/ informatizao de processos em todas as localidades e com alta disponibilidade de conexo a uma unidade central (dial backup) so potenciais usurios desta aplicao (tipicamente, empresas de varejo com uma cadeia de lojas de atendimento e/ou postos de servios espalhados geograficamente, como, por exemplo, bancos e agncias financeiras, redes de supermercados, drogarias, lojas de materiais de construo, lojas de departamentos, etc.). A figura abaixo ilustra o NetRouter 2G nessa aplicao.
Devido compatibilidade do NetRouter 2G com roteadores de terceiros, possvel coloc-lo em um escritrio remoto conectado a outro roteador de terceiro no ponto central. Aplicaes deste porte quase sempre exigem solues heterogneas, multi-vendor, pois os fabricantes de roteadores de maior porte, localizados quase sempre apenas no ponto central, no possuem alternativas de baixo custo para os vrios pontos remotos. A utilizao dos modelos 3200 em localidades remotas possibilita uma alta disponibilidade de conexo com o ponto central, devido a caractersticas de uma porta auxiliar para dial backup. Os enlaces digitais podem ser de alta ou baixa velocidade devido caracterstica de mltiplas interfaces. Pode-se, inclusive, comear com um enlace de baixa velocidade e depois migrar para um circuito de alta velocidade, trocando-se apenas o tipo de cabo do NetRouter 2G. No caso de enlaces dedicados para cada localidade remota, necessrio utilizar um roteador com vrias portas WAN, onde se poder fazer a composio com vrios NetRouter 2G, cada um atendendo at quatro acessos remotos (j considerando a utilizao de mdulos WAN para adicionar mais portas seriais). A figura a seguir ilustra essa situao.
106
Aplicaes
BACKBONE REGIONAL
Devido caracterstica de mais de uma porta sncrona de alta velocidade, possvel de constituir pequenos backbones de redes WAN, tipicamente regionais, com os modelos de NetRouter 2G. A figura a seguir ilustra essa aplicao.
ACESSO INTERNET
Um ISP (Internet Service Provider) pode utilizar o NetRouter 2G para realizar o uplink com um backbone Internet de alguma operadora/prestadora ou para atender acessos corporativos Internet sobre enlaces dedicados sncronos ou Frame Relay. Empresas ou escritrios podem utilizar o NetRouter 2G para fazer uma conexo comutada ou dedicada a um ISP . O acesso corporativo Internet via ISP substitui os vrios acessos comutados dos usurios corporativos, conectando a rede local de toda a organizao diretamente ao provedor e, por conseguinte, Internet. Esta aplica-
107
Aplicaes
o traz ganhos de disponibilidade e velocidade na conexo. No caso de conexo de uma empresa/organizao Internet utilizando um acesso dedicado, funcionrios em campo ou trabalhando em casa podem acessar a Intranet da empresa pela Internet atravs do mesmo ISP ou outro provedor de acesso. Normalmente, o ISP utiliza portas assncronas de um RAS (Remote Access Server) para acessos com velocidades menores do que 64 kbps, onde o modelo 3200 pode ser aplicado no lado da empresa sobre circuitos dedicados ou comutados. Normalmente, para velocidades a partir de 64 kbps, so utilizadas portas sncronas de um roteador do ISP , podendo-se utilizar o modelo 3212, com a alternativa de configurar uma segunda porta WAN para dial backup. possvel tambm utilizar acesso comutado sncrono de alta velocidade (Data Fone ou ISDN/ RDSI) com o NetRouter 2G, embora esta aplicao no seja comum em provedores de acesso Internet. No caso do ISDN, deve-se utilizar um terminal adaptador externo, tambm chamado de NT (Network Terminator). Outra possibilidade de uso cada vez mais freqente o acesso corporativo Internet via um servio Frame Relay. Neste caso, o ISP mantm um acesso nico com um provedor de servio Frame Relay, por onde atende a todos os seus clientes corporativos, economizando em portas sncronas, roteadores e acessos dedicados. A figura a seguir ilustra essas aplicaes.
Outro grande benefcio do uso do NetRouter 2G para acesso Internet a caracterstica de compartilhamento de endereos IP (NAT/PAT). Assim, vrios endereos da rede corporativa podem compartilhar um nico endereo IP vlido fornecido pelo provedor. Essa caracterstica confere um alto grau de segurana rede corporativa, pois, alm de esconder o esquema de endereamento interno da rede (atravs de uma tabela de compartilhamento configurada no NetRouter 2G), utiliza endereos que no so vlidos (no so roteados) para a Internet. Apenas alguns servios podem ser acessados externamente, desde que devidamente configurados. Esta facilidade possibilita uma grande economia no fornecimento de endereos vlidos por parte do provedor e simplifica os esquemas de roteamento. A utilizao de uma segunda porta LAN no NetRouter 2G, associada s caractersticas de Firewall, oferece uma conexo segura Internet em acessos de banda larga (cable modem, ADSL ou wireless). A figura a seguir ilustra essa aplicao.
Operando com NAT, compartilhando um nico endereo IP vlido para toda rede interna
10.10.10.2 10.10.10.3
TCP/IP
TCP/IP
Rede 10.10.10.0
108
Aplicaes
As empresas podem interligar suas unidades atravs da Internet, via provedores de acesso (ISPs) ou conectando-as diretamente ao backbone de uma operadora/prestadora de servios. Nesse caso, pode-se ter uma conexo em alta velocidade diretamente ao backbone Internet no ponto central, utilizando o NR-2G, e uma segunda porta WAN para a contingncia (dial backup) de um ou mais pontos remotos. Tambm possvel utilizar as portas WAN adicionais para conexo direta de alguns pontos remotos estratgicos ao ponto central. Para o acesso dos escritrios remotos com ISPs locais atravs de enlaces de baixa velocidade dedicados ou comutados, ou atravs de enlaces dedicados de alta velocidade, pode-se utilizar o modelo 3212, que possui uma porta auxiliar para a opo de dial backup. J para os acessos atravs de servios de banda larga, como ADSL ou cable modem, pode-se utilizar o modelo 3214, que possui uma segunda porta LAN para isolar fisicamente a rede interna. Os modelos de NetRouter 2G permitem a formao de VPN/IP , com tneis criptografados (IPSec/3DES ou AES), para realizar uma interconexo extremamente segura sobre a Internet. A figura a seguir ilustra essa aplicao.
Ao utilizar uma rede Frame Relay pblica ou privada como um backbone de interligao dos escritrios remotos com o ponto central, ou at mesmo entre os prprios escritrios, pode-se utilizar um nico acesso fsico em cada localidade, economizando em portas WAN de roteadores e na quantidade de enlaces dedicados. Caso contrrio, ou seja, sem o uso de uma rede Frame Relay e havendo muitos pontos remotos, seria necessrio um roteador de grande capacidade no ponto central, o que elevaria muito o custo do projeto. Com o NetRouter 2G, um roteador de baixo custo porm de alta performance, possvel estabelecer uma conexo de at 2 Mbps com a rede Frame Relay e atender a at 256 escritrios remotos (256 DLCIs) atravs de um nico acesso fsico. A grande vantagem no uso de uma rede Frame Relay a garantia de banda disponvel atravs da contratao de um CIR (Committed Information Rate), alm de um custo de servio mais baixo se comparado ao enlace dedicado. O NetRouter 2G suporta os modos ANSI ou ITU de formao de frame. possvel, ainda, utilizar portas WAN adicionais para conexo direta ao ponto central ou para a contingncia (dial backup) de escritrios remotos. A prxima figura ilustra essa aplicao.
109
Aplicaes
EXEMPLOS DE USO PARA XOT E X.25 Cenrio bsico, utilizando um roteador Cisco como DCE:
Configure o Roteador01 como segue: SET WAN WAN0 PROTO X25 SPEED 64 SET WAN WAN0 ROUTES ADD 123 SET WAN WAN0 ROUTES ADD 456 SET WAN WAN0 SVC0 PROTOCOL IP X121BIND 345 WAITCONNECTION IP 192.168.6.2 PEER 192.168.6.1 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 SVC1 PROTOCOL IP X121BIND 234 X121TO 123 IP 192.168.5.2 PEER 192.168.5.1 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 UP
110
Aplicaes
version 11.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname cisco ! enable password password ! ip subnet-zero x25 routing !! interface Loopback100 no ip address ! interface Ethernet0 ip address 192.168.1.51 255.255.255.0 ! interface Ethernet0.1 ! interface Serial0 no ip address encapsulation x25 dce ietf no ip mroute-cache ! ip classless ! x25 route 234.* interface Serial0 x25 route 123.* xot 192.168.1.247 x25 route 456.* xot 192.168.1.247 x25 route 345.* interface Serial0 ! line con 0 transport input none line vty 0 4 password password login ! end Configure o Roteador02 como segue: SET SET SET SET SET SET SET SET SET SET SET LAN LAN WAN WAN WAN WAN XOT XOT XOT XOT XOT LAN0 IP 192.168.1.247 LAN0 UP WAN0 PROTO X25 SPEED 64 MODE DCE LAPB WAN0 ROUTES ADD 123 WAN0 ROUTES ADD 456 WAN0 UP REMOTE_IP 192.168.1.51 DEBUG_LEVEL 3 ROUTES ADD 234 ROUTES ADD 345 UP
Configure o Roteador03 como segue: SET SET SET SET WAN WAN WAN WAN WAN0 WAN0 WAN0 WAN0 PROTO X25 SPEED 64 ROUTES ADD 234 ROUTES ADD 345 SVC0 PROTOCOL IP X121BIND 456 X121TO 345 IP 192.168.6.1
111
Aplicaes
PEER 192.168.6.2 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 SVC1 PROTOCOL IP X121BIND 123 WAITCONNECTION IP 192.168.5.1 PEER 192.168.5.2 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 UP CENRIO 2 Cenrio para testes dos comandos SUBST_SOURCE e SUBST_DEST:
Configure o Roteador01 como segue: SET WAN WAN0 PROTO X25 SPEED 64 SET WAN WAN0 ROUTES ADD 123 SET WAN WAN0 ROUTES ADD 456 SET WAN WAN0 SVC0 PROTOCOL IP X121BIND 9345 WAITCONNECTION IP 192.168.6.2 PEER 192.168.6.1 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 SVC1 PROTOCOL IP X121BIND 9234 X121TO 123 IP 192.168.5.2 PEER 192.168.5.1 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 UP Configure o Roteador Alvo como segue: SET SET SET SET SET SET SET SET SET SET SET LAN LAN WAN WAN WAN WAN XOT XOT XOT XOT XOT LAN0 IP 192.168.100.51 LAN0 UP WAN0 PROTO X25 SPEED 64 WAN0 ROUTES ADD 234 SUBST_DEST 9234 WAN0 ROUTES ADD 345 SUBST_DEST 9345 WAN0 UP REMOTE_IP 192.168.100.248 DEBUG_LEVEL 3 ROUTES ADD 123 SUBST_SOURCE 234 ROUTES ADD 456 SUBST_SOURCE 345 UP
Configure o Roteador02 como segue: SET SET SET SET SET SET SET SET SET LAN LAN WAN WAN WAN WAN XOT XOT XOT LAN0 IP 192.168.100.248 LAN0 UP WAN0 PROTO X25 SPEED 64 MODE DCE LAPB WAN0 ROUTES ADD 123 WAN0 ROUTES ADD 456 WAN0 UP REMOTE_IP 192.168.100.51 DEBUG_LEVEL 3 ROUTES ADD 234
112
Aplicaes
SET XOT ROUTES ADD 345 SET XOT UP Configure o Roteador03 como segue: SET WAN WAN0 PROTO X25 SPEED 64 SET WAN WAN0 ROUTES ADD 234 SET WAN WAN0 ROUTES ADD 345 SET WAN WAN0 SVC0 PROTOCOL IP X121BIND 456 X121TO 345 IP 192.168.6.1 PEER 192.168.6.2 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 SVC1 PROTOCOL IP X121BIND 123 WAITCONNECTION IP 192.168.5.1 PEER 192.168.5.2 MASK 255.255.255.0 MTU 1500 SET WAN WAN0 UP
Router Tnel Central IPSec/3DES Figura Aplicao tpica de Roteador GPRS com uma interface LAN
Ethernet
A interface LAN suporta o protocolo XOT (X.25 sobre TCP/IP), atendendo aplicaes legadas que ainda utilizem o protocolo X.25, mas sobre uma interface Ethernet.
113
Aplicaes
Roteador EDGE como Backup de outro Roteador Uma outra possibilidade de aplicao para o NR-2G 3261 de ser o gateway backup de outro roteador que no possui interfaces fsicas para contingncia, utilizando como alternativa uma rede GSM/GPRS e o protocolo VRRP para controle de qual o dispositivo o ativo e qual o standby.
Tnel IPSec/3DES
Router Central
Router
Ethernet
Mquinas X.25 sobre GSM/GPRS/EDGE Para a conexo de mquinas X.25 (DTE) sobre redes GSM/GPRS indicado o modelo NR-2G 3268 EDGE, onde a porta serial conectada ao DTE utilizando o protocolo X.25 do roteador, que para transportar sobre a rede GPRS utiliza o protocolo XOT (X.25 sobre TCP/IP).
Conexo X.25 sobre uma rede IP , ADSL ou EDGE (IP), com XOT
X.25
Tnel IPSec/3DES
Gateway X.25
Com o NR-2G 3268 EDGE sendo utilizado para esta aplicao, ainda resta a porta LAN, que pode ser conectada a um acesso com interface Ethernet (ADSL ou Cable Modem, por exemplo) para servir de contingncia ou para balanceamento de carga. Neste caso, tambm ser utilizado o protocolo XOT para transporte do X.25 sobre a rede IP .
114
Aplicaes
Roteador GPRS/EDGE com Dial Backup Em casos de acessos crticos, que necessitam operar com SLA, indicado o modelo NR-2G 3262 EDGE, onde a interface serial pode ser conectada a um modem analgico/discado para operar como contingncia do acesso GSM/GPRS. Neste caso, num evento de falha do acesso GSM/GPRS, link principal, o roteador Digitel comanda a discagem no modem, faz a autenticao em um servidor de acesso remoto (RAS) e estabelece uma rota alternativa para o trfego IP . Quando o acesso GSM/GPRS retornar, desconecta o modem analgico e volta a rota para o caminho original.
Tnel IPSec/3DES
Router Central
GSM/GPRS/EDGE como Backup de Porta WAN Serial O GPRS uma excelente opo de contingncia para acessos dedicado, Frame Relay ou X.25. Neste caso, o modelo indicado o NR-2G 3268 EDGE, onde a porta WAN/Serial ser o link principal, sobre uma rede multiservio (IP), Frame Relay ou X.25, e a interface GSM/GPRS ser o acesso backup. No evento de falha do link principal, o Roteador GPRS automaticamente desviar o trfego IP para a interface GSM/GPRS, retornando a porta WAN/Serial quando o link principal voltar a operar sem problemas.
Tnel IPSec/3DES
Router Central
115
Aplicaes
GSM/GPRS/EDGE como Backup de Acesso Ethernet Ocasionalmente o link principal pode ser um acesso ADSL, Cable ou WiFi, onde a interface de uplink (WAN) do tipo Ethernet. O GPRS tambm pode ser uma excelente opo de contingncia para esses tipos de acessos. Neste caso, o modelo indicado o NR-2G 3264 EDGE, onde uma porta Ethernet estar conectada ao link principal (WAN Ethernet ou LAN uplink), a outra porta Ethernet estar conectada a rede local (LAN) e a interface GSM ser o acesso backup. No evento de falha do link principal, o Roteador EDGE automaticamente desviar o trfego IP da porta WAN Ethernet para a interface GSM/GPRS/EDGE, retornando a porta WAN Ethernet quando o link principal voltar a operar sem problemas. Como o acesso GPRS possui a caracterstica de estar sempre ativo (allaways on) possvel estar realizando tambm um balanceamento de carga entre as duas interfaces de uplink.
Tnel IPSec/3DES
Router Central
Ethernet
116
117
{SERVER, LOCAL} <IP address> <Date> <Time> <zone name> <hour, in the format of +0:0:0 >
<User identifier number> TYPE OPERATOR,MODERATOR,ADMINISTRATOR} LOGIN PASS PURGE AUTHENTICATION TACACS ENCRYPT DEBUG SERVER SECRET ONERROR UP PURGE RADIUS DEBUG SERVER SECRET TIMEOUT ONERROR UP PURGE SHADOW UP DOWN ORDER AUTHORIZATION TACACS SHADOW ACCOUNTING TACACS SHADOW
118
PRIORITY OUTPUTTYPE PURGE HOST UP DOWN PURGE UPDATE TYPE FILE SERVER USER PASS EXECUTE RESTART
Configurao de Ethernet/LAN
SET LAN LAN <interface identifier number> IP MASK BROADCAST RESETCOUNTERS UP DOWN PURGE <interface identifier number>:<virtual device number> IP MASK BROADCAST RESETCOUNTERS UP DOWN PURGE
LAN
Protocolo HDLC
IP MASK PEER CLOCK SPEED TXINV INTERVAL TIMEOUT RESETCOUNTERS <IP address> <Network address> <Peer address> {INTERNAL,EXTERNAL} {64,128,192,256,512,768,1024,1536,2048,3072,4096,4915.2} {TRUE,FALSE} <numeric value> <numeric value>
119
120
121
Protocolo X25
CLOCK SPEED TXINV MODE HTC LAPB EXTENDEDMODE WINDOWSIZE EXTENDED NEGOTIATE WINDOWSIZE PACKETSIZE REVERSECHARGING ROUTES (DEFAULT, SUBST_SOURCE ADD {INTERNAL,EXTERNAL} {64,128,192,256,512,768,1024,1536,2048,3072,4096,4915.2} {TRUE,FALSE} {DTE,DCE} <number> {TRUE,FALSE} <numeric value> {TRUE,FALSE} {TRUE,FALSE} {TRUE,FALSE} {TRUE,FALSE} and SUBST_DEST are used within ADD) {X121_address only} X121_address SUBST_SOURCE X121_address, X121_address SUBST_DEST X121_address, DEFAULT , DEFAULT SUBST_SOURCE X121_address} {X121 address} {IP, IPX} <numeric value> <numeric value> {16,32,64,128,256,512,1024,2048,4096} {16,32,64,128,256,512,1024,2048,4096} {TRUE,FALSE} <X121 address>
DELETE SVC <number> PROTOCOL WINSIZEIN WINSIZEOUT PACSIZEIN PACSIZEOUT REVCHARG X121BIND
122
<X121 address> <IP address> <IP address> <IP address> <numeric value> {IPX net number} {IPX node address}
123
124
{TRUE,FALSE} {TRUE,FALSE} {NONE,EMERGENCIES,ALERTS,CRITICAL,ERRORS, WARNINGS, NOTIFICATIONS,INFORMATIONAL, DEBUGGING} AREA <area identifier number> ID <Area ID number (x.y.z.w)> AUTH {NONE,SIMPLE,MD5} STUB {TRUE,FALSE} COST <numeric value> VIRTUAL ENABLED {TRUE,FALSE} TRANSIT <IP address> RANGE <range identifier number> ADDRESS <IP address> MASK <IP address> PURGE EXPORT <Export identifier number> LIST <LIST> PURGE IMPORT <Import identifier number> LIST <LIST> PURGE PURGE LIST <List identifier number> ENTRY <Entry identifier number> ADDRESS <Address> MASK <Network mask> TYPE {PERMIT,DENY} PURGE PURGE NETWORK <Network identifier number> ADDRESS <Address> MASK <Network mask> AREA <Area identifier> PURGE <INTERFACE> DIGEST <Digest identifier number> KEYID <numeric value> PASS <Password> PURGE PASS <Password> NOPASS PRIORITY <numeric value> COST <numeric value> HELLOINTERVAL <numeric value> DEADINTERVAL <numeric value> DELAY <numeric value> RETRANSMISION <numeric value> UP DOWN PURGE
125
REDIST-CONNECTED { TRUE | FALSE } REDIST-STATIC { TRUE | FALSE } REDIST-RIP { TRUE | FALSE } REDIST-OSPF { TRUE | FALSE } ROUTER-ID PURGE NETWORKn PURGE NEIGHBORn PEER REMOTE-AS PURGE LISTn ENTRYn ADDRESS MASK TYPE PURGE UP DOWN PURGE SHOW BGP ALL NEIGHBORS COMPLETE SUMMARY ROUTES SCAN STATUS <IP address> <IP address / CIDR> (A.B.C.D/E)
Configurao de NAT
SET NAT MASQUERADE INTERFACE ADDRESS MASK REDIRECT FROMINTERFACE FROMADDRESS FROMPORT TOADDRESS <Masquerad identifier number> <Interface> <IP address> <Network mask> <Redirect identifier number> <Interface> <IP address> <numeric value> <IP address>
126
UP DOWN PURGE
127
128
129
DNS ADDRESS PURGE ROUTER ADDRESS PURGE WINS ADDRESS PURGE PURGE
<DNS identifier number> <DNS identifier number> <IP address> <Router identifier number> <IP address> <Wins identifier number> <IP address>
UP DOWN PURGE (when TYPE=RELAY) SERVER <IP address of the server> ALLINTERFACES {TRUE,FALSE} LISTEN <Listen identifier number> INTERFACE <Interface name> PURGE UP DOWN PURGE
<IP address>
130
Configurao de Firewall
SET FIREWALL INPUT POLICY {ACCEPT,DROP} RULE <Rule identifier number> PROTOCOL {TCP,UDP,ICMP,ALL} PROTOCOLINVERTED {TRUE,FALSE} ACTION {ACCEPT,REJECT,DROP,RETURN,LOG} FRAGMENT ENABLED { TRUE,FALSE} WHICH {FIRST,REMAIN} SOURCE INTERFACE <Interface name> INTERFACEINVERTED {TRUE,FALSE} ADDRESS <IP address> MASK <IP address> ADDRESSINVERTED {TRUE,FALSE} DESTINATION INTERFACE <Interface name> INTERFACEINVERTED {TRUE,FALSE} ADDRESS <IP address> MASK <IP address> ADDRESSINVERTED {TRUE,FALSE} PACKETTYPE ENABLED {TRUE,FALSE} UNICAST BROADCAST MULTCAST MAC ENABLED {TRUE,FALSE} SOURCE <MAC address> LIMIT ENABLED {TRUE,FALSE} RATE <numeric value>{D,H,M,S} BURST <numeric value> CONNECTIONSTATE ENABLED {TRUE,FALSE} INVERTEDLOGIC {TRUE,FALSE} INVALID {TRUE,FALSE} ESTABLISHED {TRUE,FALSE} NEW {TRUE,FALSE} RELATED {TRUE,FALSE}
131
TOS ENABLED INVERTED VALUE {TRUE,FALSE} {TRUE,FALSE} {MINIMIZEDELAY, MAXIMIZETHROUGHTPUT, MAXIMIZERELIABILITY, MINIMIZECOST, NORMALSERVICE}
132
TIME ENABLED {TRUE,FALSE} START <Time> END <Time> SUNDAY {TRUE,FALSE} MONDAY {TRUE,FALSE} TUESDAY {TRUE,FALSE} WEDNESDAY {TRUE,FALSE} THURSDAY {TRUE,FALSE} FRIDAY {TRUE,FALSE} SATURDAY {TRUE,FALSE} UDP SPORT <numeric value>[-<numeric value>] DPORT <numeric value>[-<numeric value>] TCP SPORT <numeric value>[-<numeric value>] DPORT <numeric value>[-<numeric value>] SYNENABLED {TRUE,FALSE} SYNINVERTED {TRUE,FALSE} TCPOPTION <numeric value>=1 and <= 65536> TCPOPTIONINVERTED {TRUE,FALSE} FLAGS INVERTED {TRUE,FALSE} LIST SYN {TRUE,FALSE} ACK {TRUE,FALSE} FIN {TRUE,FALSE} RST {TRUE,FALSE} URG {TRUE,FALSE} PSH {TRUE,FALSE} ALL {TRUE,FALSE} NONE {TRUE,FALSE} ENABLED SYN {TRUE,FALSE} ACK {TRUE,FALSE} FIN {TRUE,FALSE} RST {TRUE,FALSE} URG {TRUE,FALSE} PSH {TRUE,FALSE} ALL {TRUE,FALSE} NONE {TRUE,FALSE} ICMP ENABLED {TRUE,FALSE} INVERTED {TRUE,FALSE} TYPE {ECHO-REPLY, DESTINATION-UNREACHABLE, NETWORK-UNREACHABLE, HOST-UNREACHABLE, PROTOCOL-UNREACHABLE, PORT-UNREACHABLE, FRAGMENTATION-NEDEED, SOURCE-ROUTE-FAILED, NETWORK-UNKNOWN, HOST-UNKNOWN, NETWORK-PROHIBITED, HOST-PROHIBITED, TOS-NETWORK-UNREACHABLE, TOS-HOST-UNREACHABLE,COMMUNICATION-PROHIBITED, HOST-PRECEDENCE-VIOLATION, PRECEDENCE-CUT-OFF,SOURCE-QUENCH, REDIRECT, NETWORK-REDIRECT, HOST-REDIRECT, TOS-NETWORK-REDIRECT, TOS-HOST-REDIRECT, ECHO-REQUEST, ROUTER-ADVERTISEMENT, ROUTER-SOLICITATION, TIME-EXCEEDED, TTL-ZERO-DURING-TRANSIT,
OUTPUT <Same as the INPUT chain> FORWARD <Same as the INPUT chain> QOS <Same as the INPUT chain, without POLICY and including subtree below> RULE <Rule identifier number> MARK <numeric value> REJET ENABLED {TRUE,FALSE} WITH {ICMP-NET-UNREACHABLE,NET-UNREACH,ICMP-HOSTUNREACHABLE, HOST-UNREACH,ICMP-PROTO UNREACHABLE,PROTO-UNREACH, ICMP-PORTUNREACHABLE,PORT-UNREACH,ICMP-NET-PROHIBITED, NETPROHIB,ICMP-HOST-PROHIBITED,HOST-PROHIB,TCP-RESET} LOG ENABLED {TRUE,FALSE} ENABLED LEVEL {DEBUG,INFO,NOTICE,WARNING,ERROR,CRIT,ALERT,EMERG, PANIC} PREFIX <string> NO-PREFIX TCPSEQUENCE {TRUE,FALSE} TCPOPTIONS {TRUE,FALSE} IPOPTIONS {TRUE,FALSE} CHAIN <Chain identifier number> <Same as the INPUT chain, without POLICY and including subtree below> NAME <User chain name> PURGE
133
DEFAULT NO-DEFAULT RATE BURST CEIL NO-CEIL PRIORITY NO-PRIORITY GRED VQUEUES DEFAULT GRIO VQUEUE SFQ NEW-FILTER HANDLE LABEL PERTURBATION QUANTUM NO-QUANTUM FILTER TBF NEW-FILTER HANDLE LABEL RATE BURST MPU NO-MPU PEAKRATE MTU NO-PEAK-MTU TYPE LATENCY LIMIT FILTER FILTER HANDLE DSCP ENABLED CLASS CLASSID PRIORITY PROTOCOL HFSC NEW-HFSC NEW-FILTER HANDLE LABEL DEFAULT NO-DEFAULT SC-BW1 SC-DURATION
<numeric value>{BPS,KBPS,MBPS,KBIT,MBIT} <numeric value>{B,KB,MB,KBIT,MBIT} <numeric value>{BPS,KBPS,MBPS,KBIT,MBIT} <numeric value> <numeric value>:[< numeric value >] <1-16> <1-16> {TRUE,FALSE} <1-16> <numeric value>:[< numeric value >] <numeric value>:[< numeric value >] <numeric value>{S,MS,US} <numeric value>{B,KB,MB,KBIT,MBIT} <number> <Commands for filter, below> <numeric value>:[< numeric value >] <numeric value>:[< numeric value >] <numeric value>{BPS,KBPS,MBPS,KBIT,MBIT} <numeric value>{B,KB,MB,KBIT,MBIT} <numeric value>{BPS,KBPS,MBPS,KBIT,MBIT} <numeric value>{BPS,KBPS,MBPS,KBIT,MBIT} <numeric value>{B,KB,MB,KBIT,MBIT} {LIMIT,LATENCY} <numeric value>{S,MS,US} <numeric value>{B,KB,MB,KBIT,MBIT} <number> <Commands for filter, below>
{TRUE,FALSE} {CS0,CS1,CS2,CS3,CS4,CS5,CS6,CS7,BE, AF11,AF12,AF13,AF21,AF22,AF23,AF31,AF32,AF33, AF41,AF42,AF43,EF} <numeric value>:[< numeric value >] <numeric value> {IP,ICMP,UDP,TCP} <numeric value>:[< numeric value >] <numeric value>:[< numeric value >] <numeric value> <numeric value> <numeric value>
134
135
RATE INTERVAL PHYINT<n> PURGE BIND PREFERENCE METRIC TTLTHRESHOLD SCOPED MASKLEN UP DOWN PURGE SHOW PIM ALL STATS
{ inteiro > 1000 | NONE } { inteiro > 5 } < interface > { inteiro | NONE } { inteiro | NONE } { inteiro | NONE } { endereo IP | NONE } < inteiro >
SET IPACCT
AGGREGATE SOCKET<n> FROM TO INTO PURGE IP<n> ADDR MASK STRIP MEM TTL LAN<n> ENABLE PROMISC UP DOWN PURGE SHOW IPACCT STATUS AGGREGATE SOCKET IP ALL MEM TTL LAN<n> SOCKET IP ALL <inteiro> <inteiro> <inteiro> <endereo IP> <endereo IP> <inteiro> <inteiro> <inteiro> (ou outra interface) { TRUE| FALSE } { TRUE| FALSE }
136
137
ADD
{X121_address only} X121_address SUBST_SOURCE X121_address, X121_address SUBST_DEST X121_address, DEFAULT , DEFAULT SUBST_SOURCE X121_address} {X121 address}
Configurao de NTP
SET NTP PREFER <server id> MASTER ENABLED {TRUE, FALSE} STRATUM NR2G NTP AUTHENTICATION ENABLED {TRUE, FALSE} REQUESTKEY <key number> CONTROLKEY <key number> SECRET TRUSTED {TRUE, FALSE} RESTRICT DEFAULT RESTRICT<n> IP <IP address> MASK <IP address> FLAG {IGNORE} NOQUERY NOMODIFY NOTRUST PURGE UP DOWN PURGE SERVER TYPE {SERVER, PEER} IP <IP address> KEY <number> BURST {TRUE, FALSE} IBURST {TRUE, FALSE} MAXPOLL <number>* MINPOLL <number>* PURGE * in seconds, as power of two values. Ex: value 4 = 16s; value 10 = 1024s.
138
Especificaes
Especificaes gerais Capacidade NR-2G 3201 1 porta LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta WAN multiinterface (V.24, V.36, V.35 e G.703 com adaptadores) NR-2G 3211 1 porta LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta WAN multiinterface (V.24, V.36, V.35 e G.703 com adaptadores) NR-2G 3212 1 porta LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta WAN multiinterface (V.24, V.36, V.35 e G.703 com adaptadores) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) NR-2G 3214 2 portas LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta WAN multiinterface (V.24, V.36, V.35 e G.703 com adaptadores) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) NR-2G 3218 2 portas LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 2 portas WAN multiinterface (V.24, V.36, V.35 e G.703 com adaptadores) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) NR-2G 3238 2 portas LAN 10/100 Mbps com autosense (Deteco automtica de velocidade) 2 portas WAN multiinterface (V.24, V.36,V.35 e G.703 com adaptadores) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) NR-2G 3261 EDGE 1 porta LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta Quadri Band GSM (GPRS/EDGE) NR-2G 3262 EDGE 1 porta LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta Quadri Band GSM (GPRS/EDGE) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) NR-2G 3264 EDGE 2 portas LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta Quadri Band GSM (GPRS/EDGE) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) NR-2G 3268 EDGE 2 portas LAN 10/100 Mbps com autosense (deteco automtica de velocidade) 1 porta Quadri Band GSM (GPRS/EDGE) 1 porta WAN auxiliar, assncrona (interface V.24/RS-232) 1 porta WAN multiinterface (V.24, V.36, V.35 e G.703 com adaptadores)
139
Especificaes
Portas LAN
Conectores: RJ45 UTP sem funo crossover Monitorao de estado do enlace, atividade e coliso no painel frontal (leds multifuncionais) Protocolo de acesso ao meio Ethernet de acordo com as normas ISO/IEC 8802-3 CSMA/CD LAN (Ethernet; 4 edio; julho/93) e ANSI/IEEE Std 802.3 CSMA/CD LAN (Ethernet; 4 edio)
Portas WAN
(Multiinterface)
Conector: dependente do cabo/adaptador de interface: conector DB25 macho (ISO 2110) para interface V.24/V.28 e V.35/DB25; conector MRAC34 macho (ISO 2593) para interface V.35/ MRAC34; conector macho DB37 (ISO 4902) para interface V.36; adaptador para interface G.703 Pinagem: tipo DTE Transmisso/recepo: modo sncrono HDLC ou modo assncrono Velocidades: o modo sncrono HDLC opera somente com relgio externo (qualquer velocidade menor ou igual a 5 Mbps); o modo assncrono opera com as velocidades de 9600, 14400, 19200, 28800, 38400, 57600, 115200 e 230400 bps Monitorao dos sinais de interface TD e RD no painel frontal Protocolos PPP , HDLC-Cisco e Frame Relay
Conector: dependente do cabo/adaptador de interface: conector DB25 macho (ISO 2110) para interface V.24/V.28, utilizando cabo CONSOLE RJ e adaptador MODEM DB25 Pinagem: tipo DTE Transmisso/recepo: modo assncrono Velocidades: 9600, 14400, 19200, 28800, 38400, 57600, 115200 e 230400 bps Monitorao dos sinais de interface TD e RD no painel frontal (AUX) Protocolo PPP assncrono
Freqncia: GSM 800 MHz, 900 MHz, 1800 MHz e 1900 MHz Acompanha antena com: Ganho: 36 dB Tamanho do cabo: 3 metros Conector: SMA macho Base magntica
140
Especificaes
Protocolos IETF (Internet Engineering Task Force) Protocolo CRTP UDP TFTP IP ICMP TCP IP ARP TELNET TELNET IP IP-E RFC
2508/3345
Ttulo CRTP User Datagram Protocol TFTP Protocol (revision 2) Internet Protocol Internet Control Message Protocol Transmission Control Protocol IP datagram reassembly algorithms Address Resolution Protocol Telnet Protocol Specification Telnet Extended Options - List Options Standart for the transmission of IP datagrams over Ethernet networks Internet Protocol on Ethernet Networks IP Broadcast Datagrams IP Broadcast Datagrams with Subnets IP Subnets Extension File Transfer Protocol Domain Names - Concepts and Facilities Domain Names - Implementation and Specification RIP - Routing Information Protocol Requeriments for Internet host - communication layers Requeriments for Internet host - Application and Support Compressing TCP/IP Headers Structure of Management Information Management Infomation Base-l Simple Network Management Protocol Internet numbers Management Information Base-II Defining traps for use with SNMP Gateway Congestion Control Survey/Stochastic Fairness Queuening The MD5 Message - Digest Algorithm PPP IP Control Protocol PPP Autentication Protocol Trivial File Transfer Protocol rev.2 Multiprotocol Interconnect over X.25 and ISDN in the Packet Mode Multiprotocol Interconnect over Frame Relay, IETF Access Control Protocol X.25 over TCP The IP Network Address Translator Novel IPX over Various WAN Media (IPX WAN) PPP Bridging Control Protocol
0768 0783 0791 0792 0793 0815 0826 0854 0861 0894 0894 0919 0922 0950
RIP V1 e V2 1058/1723
IP-CMPRS SMI MIB-I SNMP MIB-II SNMP-TRAPS SFQ MD5 PPP-IPCP PAP TFTP X.25 FRAME RELAY TACACS XOT NAT IPX Bridge
1144 1155 1156 1157 1166 1213 1215 1254 1321 1332 1334 1350 1356 1490 1492 1613 1631 1634 1638
141
Especificaes
SNMP PPP PPP-HDLC SNMP IP CHAP RIP-2 MD5 DPD DHCP SERVER DHCP RELAY RADIUS OSPF VRRP PF_KEY OSPF-LSA INVERSE ARP IPComp IPSEC AH HMAC-MD5 HMAC-SHA1 ESP DES-CBC ESP ISAKMP ISAKMP IKE OAKLEY 3DES RSA ESP-CBC RIP II TBF HTB GRED RSA/MD5 KEY OSPF-NSSA RSA/SHA-1 KEY MODP (IKE)
Definitions of Managed Object for the Ethernet - Like Interfaces Type Point-to-Point (PPP) PPP in HDLC Framing Assigned Numbers SNMPv2 Address Allocation for Private Internets PPP Challenge Handshake RIP-2 MD5 Authentication Key words for use in RFCs to Indicate Requirement Levels
2131/1542 Dynamic Host Configuration Protocol 2132/1542 DHCP Relay 2865/2866 Radius Accounting 2328 2338 2367 2370 2390 2393 2401 2402 2403 2404 2405 2406 2407 2408 2409 2412 2420 2437 2451 2453 2475 2475 2475 2537 3101 3110 3526 Open Shortest Path First Virtual Routing Redundancy Protocol PF_KEY Key Management API, Version 2 The OSPF Opaque LSA Option Inverse Address Resolution Protocol IP Payload Compression Protocol (IPComp) Security Architecture for the Internet Protocol IP Authentication Header The Use of HMAC-MD5-96 within ESP and AH The Use of HMAC-SHA1-96 within ESP and AH The ESP DES-CBC Cipher Algorithm With Explicit IV IP Encapsulation Security Payload (ESP) The Internet IP Security Domain of Interpretation for ISAKMP Interner Security Association and Key Management Protocol (ISAKMP) The Internet Key Exchange (IKE) The OAKLEY Key Determination Protocol The PPP Triple-DES Encryption Protocol PKCS#1: RSA Cryptography Specifications Version 2.0 The ESP CBC - Mode Cipher Algorithms Routing Information Protocol version 2 Architectore for Differentiated Services/Token Bucket Filter, Condicionador de Trfego - Shaper Architectore for Differentiated Services/Hierarquical Token Bucket, Condicionador de Trfego - Shaper Architectore for Differentiated Services/Generalized Random Early Detection/Discard, Condicionador de Trfego - Dropper RSA/MD5 KEYs and SIGs in the Domain Name System (DNS) The OSPF Not-So-Stubby Area (NSSA) Option RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS) More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange
142
Especificaes
3706 3947
A ttrafic-Based Method of Detection Dead Internet Key Exchange (IKE) Peer Negotiation of Nat - Traversal in the IKE
Referncia Anexo A
Ttulo Core Aspects of Q.922 for Use with Frame Relaying Bearer Service, ITU, 1992 Additional Procedures for PVCs Using Unnumbered Information Frames, ITU, 1995 Additional Procedures for PVCs Using Unnumbered Information Frames, ANSI, 1991 Multiprotocol Encapsulation over Frame Relay, ANSI, 1994 Core Aspects of Frame Protocol for Use with Frame Relay Bearer Service, ANSI, 1991 V.35 (1998) Data transmission at 48 kbps using 60-108 kHz group band circuits
FRAME RELAY Q.922, FRAME RELAY Q.933 revisada, Anexo A FRAME RELAY T1.617, Anexo D FRAME RELAY T1.617a, Anexo F FRAME RELAY T1.618 - ISDN V.35 (Red Book) ANSI/IEEE Referncia 802.3 802.1 D 802.1 Q Ttulo
Especificaes fsicas Condies ambientais Temperatura de operao: 0 a 45 C Temperatura de armazenamento: -40 a 70 C Umidade relativa: <95% (no condensado) Srie NR-2G 3200:
Largura: 230 mm
Dimenses
DC: FULL-RANGE 36 a 60 VDC para alimentao em corrente contnua Srie NR-2G 3200 = 3 W Srie NR-2G 3260 = 4W
143
Especificaes
MTBF
NR-2G 3200 - NR-2G 3201 - NR-2G 3211 - NR-2G 3212 - NR-2G 3214 - NR-2G 3218 - NR-2G 3238 - NR-2G 3261 - NR-2G 3262 - NR-2G 3264 - NR-2G 3268 472.850 hs 453.680 hs 423.840 hs 415.860 hs 385.550 hs 366.710 hs 372.991 hs 363.175 hs 356.979 hs 336.970 hs
NR-2G3260 EDGE
144
Porto Alegre
DIGITEL S.A. INDSTRIA ELETRNICA Rua Dr. Joo Incio, 1165 Navegantes CEP 90230-181 Porto Alegre, RS Tel.: 55 51 3337-1999 Fax: 55 51 3337-1923 CNPJ: 89.547.269/0001-04 Inscrio Estadual: 0960602577 http://www.digitel.com.br E-mail: info@digitel.com.br
145
2008 - DIGITEL S.A. INDSTRIA ELETRNICA Rua Dr. Joo Incio, 1165 Bairro: Navegantes CEP 90230-181 Porto Alegre/RS Brasil Tel.: 55 51 3337.1999 Fax: 55 51 3337.1923 http://www.digitel.com.br E-mail: info@digitel.com.br