Instalando Packet Tracer no linux

     A Cisco disponibiliza um simulador de rede com alguns dos seus equipamentos, permitindo criar cenários que vão desde configurações básicas até ambientes completos. A utilização do programa exige uma conta no site netacad.com, ambiente de treinamento da Cisco, para acesso a todas as funcionalidades, no entanto permite um acesso mais restrito como usuário convidado.

     Após realizar o cadastramento e login no Net Acad, é possível baixar a última versão do programa (7.2.1), para Windows e Linux nas versões 32 e 64 bits. Além das versões para desktop, também são disponibilizadas versões para dispositivos móveis com iOS e Android.

     A instalação nos dois ambientes ocorre de forma trivial, no entanto para linux algumas bibliotecas ficam faltando, sendo necessário a sua instalação. De uma forma resumida, os passos a seguir resultam na instalação correta da versão 7.2.1:

1. Descompactar o aquivo .tar.gz em um diretório:

mkdir pkttar -xvzf Packet Tracer 7.2.1 for Linux 64 bit.tar.gz -C pkt/

2. Acessar o diretrório e instalar o programa. Caso seja executado como usuário sem poderes administrativos, será solicitada a senha de root.

cd pkt
./install

3. Agora a instalação das bibliotecas pendentes, como root.

apt install libqt5xml5 libqt5webkit5 libqt5script5 libqt5scripttools5 libqt5sql5
wget http://ftp.us.debian.org/debian/pool/main/libp/libpng/libpng12-0_1.2.50-2+deb8u3_amd64.deb
dpkg -i libpng12-0_1.2.50-2+deb8u3_amd64.deb

4. Pronto, o programa já pode ser executado com o comando abaixo:

/opt/pt/bin/PacketTracer7

Corrigindo o atalho

     Ao executar somente o comando packettracer, o programa não inicializa, sendo necessário passar todo o caminho como no passo 4 descrito anteriormente. 

     Para que esse comando execute corretamente, é necessário editar o arquivo /opt/pt/packettracer realizando uma das duas alterações descritas abaixo.

• trocar a linha pushhd $PTDIR/bin > /dev/null por cd $PTDIR/bin > /dev/null. 
• ou alterar a linha seguinte incluindo o caminho necessário /opt/pt/bin/PacketTracer7 "$@" > /dev/null 2>&1

Referências

• https://www.netacad.com/
• http://labcisco.blogspot.com/ 

Servidor TFTP para backup e restore

     O TFTP (Trivial File Transfer Protocol) é um protocolo de transferência de  arquivos, muito simples, semelhante ao FTP, geralmente utilizado para transferir pequenos arquivos entre hosts numa rede. É baseado em UDP (usa a porta 69) ao contrário do FTP que se baseia no TCP (usa a porta 21) e não permite listar o conteúdo de directoórios e principalmente, não apresenta mecanismos de autenticação ou encriptação de dados.

• OBS: certifique-se de não deixar o servidor tftp ativo, pois por não possuir autenticação pode ser explorado como vulnerabilidade.

SO Linux

1. Instalar os pacotes servidor tftpd-hba. Observar que o pacote em questão é o tftpD-hpa e não o tftp-hpa.

apt-get install tftpd-hpa

2. Verificar as configurações do arquvio tftpd-hpa

vim /etc/default/tftpd-hpa
....
TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/caminho/diretorio/tftp"
TFTP_ADDRESS="[::]:69"
TFTP_OPTIONS="--secure --create"
...

3. Em algumas configurações o valor da quarta linha de configuração teve que ser alterado de [::]:69 para 0.0.0.0:69, ficando conforme abaixo:

TFTP_ADDRESS="[0.0.0.0]:69"

4. Dar as devidas permissões a pasta

chmod 777 /caminho/diretorio/tftp

5. Inicializar/Parar serviço

/etc/init.d/tftpd-hpa {start|stop|restart|force-reload|status}
service tftpd-hpa {start|stop|restart|force-reload|status}

SO Windows

1. Instalar o programa tftp32 de acordo com a versão do SO [link].

2. Após a instalação será necessário adicionar uma exceção no firewall do windows, para que o servidor funcione.

3. Ao executar o programa, altere a pasta de destino do servidor tftp para uma pasta no seu diretório de usuário. Esta configuração é a primeira linha exibida no topo da janela aberta ao executar o programa.

4. O programa ja está pronto para ser utilizado. Após utilizar remova a exceção do firewall para garantir que o SO não fique vulnerável

Backup e Restores em switches gerenciáveis

     Os procedimentos abordados neste tópico são realizados via linha de comando (CLI), não abordando equipamentos que não suportem esse método de configuração.

     Para equipamentos que Nesses equipamentos o backup e restore pode ser realizado por TFTP ou com o auxílio de um dispositivo USB, sendo necessário observar alguns requisitos:

• para dispositivos USB é necessário formatar em FAT;
• é importante não esquecer de remover dispositivos USB ao reiniciar os equipamentos, em alguns modelos o equipamento não inicia caso não seja removido o dispositivo;
• o arquivo de configuração deve estar em um formato texto puro;
• para uso do TFTP é necessário comunicação via rede e um servidor TFTP;

Backup 

Via TFTP

1. Acesse o switch em modo exec privilegiado.

hostname#

2. Execute o comando a seguir.

copy startup-config tftp

3. Será solicitado o ip do servidor TFTP e o nome do arquivo de backup ou ENTER para salvar com o nome indicado.

Address or name of remote host []? 192.168.15.10
Destination filename [hostname-confg]?
!!
9170 bytes copied in 0.140 secs (65500 bytes/sec)

4. Em caso de falha na realização do backup, será exibido o aviso de erro abaixo. Em geral este problema ocorre por falha na configuração do servidor TFTP

Address or name of remote host []? 192.168.15.10
Destination filename [hostname-confg]?
.....
%Error opening tftp://192.168.15.10/hostname-confg (Timed out)]

Via dispositivo USB

1. Plugar o dispositivo USB no switch e verificar em qual das portas o mesmo foi inserido. Se estiver conectado no console, será exibido um aviso como

%USBFLASH-5-CHANGE: usbflash0 has been inserted!

2. Realizar os procedimentos de copy tendo como destinho o usb

copy startup-config usbflash0:BKP_SWXYZ.conf

Restaurar Backup

Via TFTP

1. Acesse o switch em modo exec privilegiado.

hostname#

2. Execute o comando a seguir, onde flash representa o destino onde será salvo o arquivo.

copy tftp flash

3. Será solicitado o IP do servidor TFTP, o nome do arquivo a ser copiado do servidor para o switch e o nome a ser utilizado para salvar o arquivo, caso deva ser alterado.

Address or name of remote host []? [IP DO SERVIDOR TFTP]
Source filename []? [NOME DO ARQUIVO]
Destination filename [NOME DO ARQUIVO]? [NOVO NOME CASO DESEJE]
Accessing tftp://xx.yy.zz.ww/NOME DO ARQUIVO ...
Loading NOME DO ARQUIVO from xx.yy.zz.ww (via Vlan13): !
[OK - 2056 bytes]

2056 bytes copied in 8.087 secs (254 bytes/sec)

4. As principais causas de falhas no envio de arquivos do servidor para o switch são:

• falha na configuração do servidor TFTP
• divergência entre o nome indicado e o nome do arquivo salvo no servidor tftp

Via dispositivo USB

1. Para restaurar execute o procedimento contrário.

copy usbflash0:BKP_SWXYZ.conf nvram:startup-config

2. Reiniciar o switch e não esquecer de remover o dispositivo USB

Referências 

• http://brainwork.com.br/

Configurando portas em um switch - parte II

Removendo configurações de uma porta

     Para remover determinadas configurações aplicada a porta de um switch,  é necessário acessar a mesma e aplicar o comando no sobre cada uma das configurações existentes.     Por exemplo, para remover a descrição e o acesso a VLAN 5 da configuração acima, seria necessário executar os seguintes comandos ao acessar o switch:

switch(config)# interface gigabitEthernet 1/0/7
switch(config-if)# no description
switch(config-if)# no switchport mode access
switch(config-if)# no switchport access vlan

Alterando as configurações

     Algumas configurações não necessitam ser removidas, apenas aplicadas, pois sobrescrevem as atuais, tais como:

• switchport mode trunk : quando aplicada em uma porta com mode access, sobrescreve essa configuração, e vice versa;
• switchport access-vlan [ID]: altera o ID da VLAN em uma porta; 
• description [descricao]: sobrescreve a descrição da porta

Zerando as configurações de uma porta

      Para remover totalmente as configurações de uma porta, pode ser executado o comando default, fazendo com que a porta retorne ao estado original.

default interface gigabitEthernet 1/0/7

Utilizando voice vlan

     Para realizar o compartilhamento de um único ponto de rede, entre equipamentos VOiP e outro dispositivo de rede, é necessário realizar a configuração da VLAN de voz definida, adicionando a configuração inicial apresentada, o seguinte comando

switchport voice vlan [ID]

     Em determinados aparelhos, também é necessário definir esta VLAN no dispositivo, para que o mesmo identifique o trafego corretamente.

Power inline

     Em switches POE, é possível aplicar configurações sobre o fornecimento de energia das portas, sendo as mais básica, a sua desativação (never) e a sua ativação (auto), através dos comandos a seguir:

switchport power inline never
switchport power inline auto

     Outras opções também são disponíveis, tais como static e max.

Referências

• https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/PoE.html
• https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/release/12-2_52_se/configuration/guide/3560scg/swvoip.html

Configurando portas em um switch

     Primeiramente, para configurarmos uma porta é necessário acessá-la, utilizando para tal a sua identificação [tipo_de_interface] [interface], sendo estas informações variáveis de acordo com o equipamento utilizados. 

     Nos exemplos são utilizados switches gigabit e por isso o tipo de interface é gibabitEthernet. Outros tipos poderiam ser também fastEthernet ou tengigabitEthernet.

Porta em modo access

     Uma porta de acesso pode pertencer somente a uma VLAN por vez, com exceção as porta conectada a um telefone IP, que no entanto necessitam de configurações adicionais.

hostname(config)# interface gigabitEthernet 1/0/7
hostname(config-if)# description descricao da porta
hostname(config-if)# switchport mode access
hostname(config-if)# switchport access vlan 5

     O comando switchport mode access é opcional, mas altamente recomendável como prática de segurança, pois com esse comando a interface é alterada para o modo de acesso permanente e obriga o tráfego tagueado. Para atribuir uma VLAN a várias portas utilize a palavra-chave range seguido das atribuições.

     O comando switchport access vlan define qual VLAN será utilizada na porta em questão e força a criação de uma VLAN se ainda não houver nenhuma no switch. 

Porta em modo tronco

     Um tronco de VLAN é um link de camada 2 OSI entre dois switches que transporta o tráfego de todas as VLANs (a menos que a lista de VLANs permitidas seja restrita manual ou dinamicamente). Para permitir links de tronco, configure as portas em cada extremidade do link físico com os conjuntos de comandos paralelos switchport mode trunk.

     Com esse comando, a interface é alterada para o modo de entroncamento permanente. A porta entra em uma negociação de Dynamic Trunking Protocol (DTP) para converter o link em uma trunk, mesmo que a interface de conexão não concorde com a alteração.
     Sempre configure ambas as extremidades de um link de tronco com as mesmas configurações, a fim de evitar erros ou falhas na comunicação. Ainda, por padrão, todas as VLANs são permitidas em um link de tronco.

hostname(config)# interface gigabitEthernet 1/0/7
hostname(config-if)# description descricao da porta
hostname(config-if)# switchport mode trunk

Limitação de vlans em portas tronco

      Para permitir que somente determinadas vlans trafeguem em uma porta já configurada em modo tronco, basta utilizar o argumento allowed vlan, conforme o exemplo a seguir, onde são permitidas as vlans 10 e 20 e o intervalo de 30 à 40.

hostname(config)# interface gigabitEthernet 1/0/7
hostname(config-if)# switchport trunk allowed vlan 10,20,30-40

     Para adicionar novas vlans as permitida

hostname(config-if)# switchport trunk allowed vlan add 102

     Para remover uma vlan

hostname(config-if)# switchport trunk allowed vlan remove 102 

     Para remover todas as vlans e permitir todoas novamente.

hostname(config-if)# no switchport trunk allowed vlan  .

Link aggregation

     Ethernet bonding ou port channel é uma técnica usada para o acoplamento de dois ou mais canais Ethernet em paralelo para produzir um único canal de maior velocidade e/ou aumentar a disponibilidade e redundância desse canal.

     Para a configuração de um link aggregation, preferencialmente não se deve estar conectado a porta ou portas que se deseja configurar. Inicialmente deve-se criar um port-channel com um id não utilizado, que varia de 1 a metade das portas existentes no switch:

hostname(config-if)# interface port-channel 5

     Em seguida, é necessário aplicar a configuração de channel-group nas portas que se deseja configurar:

hostname(config-if)# interface range gibabitEthernet g1/0/15-16
hostname(config-if)# channel-group 5 mode on

     O modo de utilização do channel-group permite configurações adicionais de alén do on, tais como :

• active: habilita LACP incondicionalmente. Um exemplo deste uso é em configurações de servidores de virtualização como XenSever;
• passive:   habilita LACP somente se um dispositivo LACP for detectado;
• auto:  habilita PAgP somente se um dispositivo com PAgP for detectado;
• desirable: habilita PAgP incondicionalmente;
• on: habilita somente etherchannel.
  

     E por fim, retornar ao port-channel e aplicar as configurações desejadas para o agrupamento de links:

hostname(config)# interface range gibabitEthernet g1/0/15-16 
hostname(config-if)# description descricao do LA
hostname(config-if)# switchport mode trunk 

     A configuração deve ser a mesma em ambos os lados do LA para evitar que ocorram problemas como portas desabilitadas ou em estado de erro. 

Referências

• http://brainwork.com.br/2009/03/27/tipos-de-portas-em-um-switch/
• https://www.security.unicamp.br/blog/89-boas-praticas-em-configuracao-de-switches-de-camada-2/

Gerenciamento de VLANs

     Para criação de uma VLAN, é necessário definir um identificador (ID) e um nome únicos, sendo importante mater a atenção pois dependendo do equipamento, nenhum alerta é exibido, podendo resultar em falhas de funcionamento. Para criação de uma VLAN são necessários os seguintes comandos:

switch# conf t
switch(config)#vlan 600
switch(config-vlan)#name [nome_da_vlan]
switch(config-vlan)#end
switch#

     Além de inserir um único VLAN ID, é possível inserir uma série de IDs da VLAN separados por vírgulas ou um intervalo de IDs de VLAN separados por hífens usando o comando vlan vlan-id. Por exemplo, use o seguinte comando para criar as VLANs 10, 20,31,32,33,34,35:

switch(config)#vlan 10, 20, 31-35

     A definição 31-35, cria as dentro do intervalo definido, sendo criada com o nome padrão VLAN0ID. A inclusão do comando no a frente do comando de criação, remove todas as VLANs criadas.

switch(config)#no vlan 601, 602, 605-610

     O comando show vlan permite que sejam visualizadas as VLANs existentes, bem como quais portas cada uma está atribuída. As portas que não possuem nenhuma atribuição, são mantidas na VLAN Padrão (ID 1), conforme figura abaixo.

Saída com comando show vlan

     O comando show vlan pode também ser complementado com outras palavras chaves tais como:

• show vlan name [NOME]: exibe informações da vlan [NOME]
• show vlan id [ID]: exibe informações da vlan [ID]

     A criação de VLANs em todos os equipamentos da rede, também pode ser automatizada, através do protocolo GRVP (Generic Vlan Registration Protocol), ou de protocolos proprietários, os quais devem ser utilizados com uma atenção especial, visto que permite também a exclusão automatizada, resultando em problemas de conectividade.

Referências: 

• http://www.dltec.com.br/blog/cisco/como-criar-vlan-e-alocar-portas-em-switches-cisco-ccna/ 
• https://www.cisco.com/c/m/en_us/techdoc/dc/reference/cli/nxos/commands/l2/show-vlan.html

Raspberry - configuração básica

     Na última postagem compilei informações sobre algumas das formas de instalar um SO no Raspyberry. Agora descrevo algumas configurações que foram realizadas.

SSH

     Nas instalações do raspbian  que realizei, foi necessário instalar o openssh-server, já na versão pré configurada do ubuntu 16.04, a instalação não foi necessária. Mas de qualquer forma, o processo incluindo a instalação do pacote será:

1. Instalar o openssh-server

apt-get install openssh-server

2. Alterar a porta caso deseje

sed -i 's/#Port 22/Port 4242/' /etc/ssh/sshd_config

3. Habilitar a inicialização com o sistema

update-rd.c ssh enable

4. Reiniciar e testar o acesso.

Transmission Web

      Versão do cliente BitTorrent Transmission que roda em um servidor e pode ser gerenciada por uma interface web ou ou cliente instalado em outro computador.

1. Instalação

apt-get install transmission-daemon

2. Criação do diretório

mkdir /media/dados/torrents
chmod -R 775 /media/dados/torrents
chown -R [user_local]:debian-transmission /media/dados/torrents
usermod -G sudo,debian-transmission [user_local]

3. Configuração básica

service transmission-daemon stop
vim /etc/transmission-daemon/settings.json
...
"download-dir": "/media/dados/torrents",
"incomplete-dir-enabled": false,
"rpc-authentication-required": true,
"rpc-bind-address": “0.0.0.0″,
"rpc-enabled": true,
"rpc-password": "[senha]",
"rcp-port": 9091,
"rpc-username": "[user_local]",
"rpc-whitelist-enabled": false, 
...
service transmission-daemon start

4. Testar acesso em um computador cliente

• Via navegador: http://192.168.1.2:9091
• Via cliente remoto: 
• apt-get install transmission-gtk e,
• acessar trasmission-gui
• configurar e conectar

SAMBA

     Compartilhamento de arquivos através do protocolo SMB, permitindo compartilhar os arquivos em rede.

1. Instalar os pacotes necessários

sudo apt-get install samba samba-common-bin

2. Adicionar o usuário ao samba

smbpasswv -a [user_local]

3. Configuração básica que necessitam ser alteradas

vim /etc/samba/smb.conf
....
workgroup=[grupo_dominio]
netbios name=[hostname]
....
; o ponto e virgula comenta a linha
[privado]
    comment = compartilhamento privado
    browseable = no
    path = /media/dados/privado
    guest ok = no
    writeable = yes
    public = no
    create mask = 775
    valid user=[usuario_valido]
   valid group=[grupo_usuario_valido]
 
[publico]
   comment = compartilhamento público
   browseable = yes
   path = /media/dados/publico
   guest ok = yes
   read only = yes
   writeable = no
   public = yes   
....
service smbd restart

     O que faz cada uma das opções nos compartilhamentos:

• [nome]: nome do compartilhamento
• comment: comentário
• browseable : permite ou impede a descoberta de rede
• path: caminho do diretório compartilhado. Se estiver incorreto, o compartilhamento será exibido mas não acessível.
• guest ok: permite acesso com usuário anonimo
• read only: se o mesmo é somente para leitura
• writeable: permite que seja editável e tem prioridade sobre a configração read only
• public: define se todos podem acessar o compartilhamento 
• create mask: mascara com a qual o compartilhamentos será criado
• valid user: usuário válidos para acessar
• valid group: grupo válidos para acessa
• em ambas as configuraçoes valid* o usuário deve ser adicionado com smbpasswd -a [login]

4. Testando o acesso

• smb://192.162.1.2/publico
• smb://192.162.1.2/privado

Referências

• http://www.rpi.uroboros.es/servers.html#9
• https://pt.wikibooks.org/wiki/Guia_do_Linux/Avan%C3%A7ado/SAMBA/Compartilhamento_de_arquivos_e_diret%C3%B3rios
• https://www.hardware.com.br/livros/linux-redes/configurando-manualmente-etcsambasmb.conf.html
• http://www.madeira.eng.br - compartilhando arquivos e diretorios com Samba em Redes Windows

Raspberry - Instalação de SO

     O Raspiberry Pi suporta uma gama de sistemas operacionais, estando dentre as oficiais, o Windows 10 IOT Core, Ubuntu e Raspbian (distribuição dedicada à Raspberry Pi, baseada no Debian). 
     As formas de instalação também são variadas, podendo ser realizado através
do:

• NOOBS (New Out Of the Box Software): pacote que contem várias versões do SO com uma interface para instalação.
• GNOME Disks:  é um front-end gráfico do udisks incluido no pacote gnome-disk-utility
• Linha de comando 

     A instalação será realizada a partir de um computador com SO Linux e será utilizado o SO Ubuntu Server 16.04, podendo ser utilizados outros SOs Linux compatíveis. Para instalção do Windows ou a partir de ou SO, existem links nas referências.
     Após a instalação, documentei algumas configurações adicionais em um outro post.

Requisitos    

• teclado USB
• monitor HDMI
• cartão microSD 
• Raspberry Pi 2/3
• SO a ser instalado
• https://ubuntu-pi-flavour-maker.org/download/ 
• https://www.raspberrypi.org/downloads/
• 2018-04-18-raspbian-stretch-lite 
• computador para escrita no microSD

Instalação via linha de comando

1. Descobrir o ponto de montagem do cartao SD e desmontar

    df -h
    umont /dev/mmcblk0p1
    umont /dev/mmcblk0p2

2. Formatar o cartao de memoria em FAT

    mkfs.vfat -I -F 32 /dev/mmcblk0

3. Descompactar a iso em um diretorio qualquer e gravar no cartão

    unxz ubuntu-16.04-preinstalled-server-armhf+raspi3.img.xz
    dd bs=4M if=ubuntu....raspi3.img of=/dev/mmcblk0 status=progress conv=fsync

Instalação via Gnome Disk

     Possibilidade de instalação gráfica que já vem por default no ubuntu ou mint, mas caso necessário, a instalação pode ser realizada como descrito a seguir:

sudo apt-get install gnome-disk-utility

 Instalação

1. Com o  Gnome Disks aberto, selecione o disco que será formatado e no canto superior esquerdo, abra o menu e escolha restaurar imagem no disco
2. Na janela aberta, clique para buscar a imagens a ser instalada
3. Na janela aberta, escola a ISO desejada
4. Inicie o processo de  gravação
5. Apenas confirme que a imagem será restaurada
6. Aguarda alguns minutos para finalizar
7. Remova o dispositivo no  mesmo menu onde iniciou o processo de restauração.

Usuário e senha

Após a instalação, o acesso poder ser realizado com os dados a seguirm de acordo com o SO instalado.

• Ubuntu 16.04 server : usuário ubuntu e senha ubuntu
• Raspbian server: usuário pi e senha raspberry

Outras instalações

• A partir do windows - link 1 - link 2 -  link 3
• Instalação de windows - link 1 - link 2 - link 3 
• Instalação do NOOBS - link 1 - link 2 - link 3

Referências

• http://www.jairjunior.eng.br/artigos/instalando-o-raspbian-no-raspberry-pi/
• https://www.embarcados.com.br/primeiros-passos-linux-na-raspberry-pi-3/
• https://ubuntu-pi-flavour-maker.org/download/
• https://www.robocore.net/tutoriais/instalando-ubuntu-na-raspberry-pi.html
• http://www.rpi.uroboros.es/servers.html

VLANs - Virtual Lans

Representação do trafego isolado por VLANs

     As Virtual LANs ou Redes Virtuais, permitem a um administrador segmentar o seu domínio com base em fatores como a função, equipe do projeto ou a aplicação, independentemente da localização física do usuário ou do dispositivo. Dessa forma, os dispositivos pertencentes a determinada rede virtual, atuam em uma rede lógica independente, mesmo que compartilhem uma infraestrutura física comum.

     Essa independência faz com que os pacotes destinados às estações que não pertencem à VLAN sejam enviados através de um dispositivo com suporte para esse roteamento. Esse isolamento entre redes permite tanto uma maior segurança quanto uma melhora de desempenho devido a criação de um domínio de broadcast para cada rede virtual.

     Por exemplo, se um dispositivo em uma VLAN enviar um quadro ethernet de broadcast, somente os dispositivos na mesma VLAN receberão o quadro, os demais não.

     Ainda, cada VLAN corresponde a uma rede IP e a cada porta de um switch pode ser atribuída apenas uma rede virtual, exceto quando se tratam de VLANs de voz ou portas trunk.

Vantagens das VLANs

     As VLANs tornam mais fácil projetar uma rede para suportar os objetivos de uma organização. Os principais benefícios do seu uso são:

• segurança: proporcionam o isolamento entre grupos de dispositivos, reduzindo as chances de violações de informações sigilosas.
• redução de custos: resultante da menor abrangência e impacto das  possíveis atualizações de rede e do uso mais eficiente da largura de banda e dos equipamentos já existentes.
• melhor desempenho: dividir as redes simples de Camada 2 em vários grupos de trabalho lógicos (domínios de broadcast) reduz o tráfego desnecessário na rede e aumenta o desempenho.
• diminuir domínios de broadcast: além de melhorar o desempenho facilita na detecção e isolamento de problemas, devido a menor quantidade de equipamentos em cada rede.
• maior eficiência da equipe de TI: elas facilitam o gerenciamento da rede isolando grupos de usuários com requisitos semelhantes. 

Tipos deVLANs

     As redes virtuais podem ser classificadas de acordo com o elemento ao qual ela se associa, podendo ser baseada em:

1. portas (L1): onde cada VLANs existe em um conjunto de portas.
2. endereço MAC (L2): onde cada conjunto de MACs é associado a uma VLAN.
3. tipo de protocolo (L2): as VLANs são segmentadas de acordo com o protocolo envolvido na comunicação.
4. faixa de IP (L3): os dispositivos pertencentes a uma determinada VLANs são determinados pela faixa de endereço IP que recebem.
5. protocolo: os membros de uma VLANs são definidos de acordo com o protocolo ou conjunto de protocolos que utilizam. Por exemplo FTP, HTTP, etc.

     O padrão IEEE 802.1Q, define a criação de redes virtuais somente para as camadas 1 e 2 do modelo OSI. A utilização em outras camadas depende de soluções proprietárias.

VLANs de acordo com o uso

     De acordo com a utilização e a funcionalidade de uma VLANs, é possível também denominá-la de outra forma. 

1. VLAN padrão: configuração de fábrica que em geral utiliza o identificador 1 (um) e não pode ser renomeada ou excluída, sendo atribuída para todas as portas do equipamento por default, até que uma nova configuração seja realizada. Ela também é utilizada por padrão como VLAN nativa.
2. VLAN nativa: é uma VLAN especial que só existe na s portas trunk e que não será tagueada nestes links. Se a VLAN nativa for diferente em algum switch da rede ou em um dispositivo camada 3 que participa o processo de roteamento interVLAN, a parte do tráfego não será encaminhada.
3. VLAN de dados: é o nome dado aquelas que são configuradas para transportar o tráfego gerado pelo usuário.
4. VLAN de voz: é separada para suportar Voz sobre IP (VoIP), sendo necessárias as devidas configurações na rede para suportar os requisitos de tráfego, que são:
• Largura de banda garantida para assegurar a qualidade de voz;
• Prioridade de transmissão sobre outros tipos de tráfego de rede;
• Capacidade para roteamento em áreas congestionadas na rede;
• Atraso de menos de 150 ms na rede.
5. VLAN de gerência: é a VLAN que foi definida para ser utilizada pelos ativos de rede, permitindo que o mesmo seja acessado remotamente e gerenciado. Embora, teoricamente, um switch possa ter mais de uma VLAN de gerenciamento, isso aumenta a exposição a ataques à rede
   
6. VLAN trunk: ou tronco, permitem que o tráfego de todas as redes virtuais existentes em uma rede seja propagado, permitindo a comunicação entre dispositivos conectados em uma mesma VLANs mas em switches  distintos. As portas configuradas como trunk, suportam dois tipos de tráfego, denominados como:
• tagueado: ou marcado, o qual é oriundo de inúmeras VLANs, que tem uma marca (tag) de 4 bytes inserida no cabeçalho do quadro Ethernet original, especificando a VLAN à qual o quadro pertence.
• não tagueado: ou não marcado, que não possui nenhuma marcação de VLAN, sendo automaticamente colocado na VLAN nativa. Dessa forma, esse tráfego acaba na prática sendo descartado em uma porta trunk, caso a VLAN nativa não esteja sendo utilizada.

Referências

• https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2012_2/vlan/index.html
• https://pt.wikipedia.org/wiki/Virtual_LAN 

Confirugarndo acesso ssh a um switch

     O Secure Shell (SSH) é um protocolo que roda por padrão na porta 22 e fornece conexão de gerenciamento seguro (criptografia forte) a um dispositivo remoto, tanto para autenticação de login (usuário e senha) quanto para dados transmitidos entre os dispositivos de comunicação, sendo assim utilizado em substituição ao Telnet (porta 23), nas conexões de gerenciamento, pois este é um protocolo mais antigo que usa transmissão de texto não criptografado, não protegido.
     Assim como na maioria das postagens, essa configuração foi realizada em um switch Cisco modelo 2960, mas em geral pode ser replicada com algumas adaptações em equipamentos de outros fabricantes.

Configuração do SSH

1. Verifique o suporte a SSH com o comando show ip ssh. Se o switch não estiver executando um IOS que suporte recursos criptográficos, esse comando não será reconhecido.

switch# show ip ssh
SSH Disabled - version 1.99
%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.
Authentication timeout: 120 secs; Authentication retries: 3
switch#

2. Permita somente ssh versão 2 com o comando ip ssh version 2.

• OBS: por padrão, o SSH suporta ambas as versões 1 e 2, essa informação é mostrada na saída show ip ssh como suportando a versão 1.99, A versão 1 tem vulnerabilidades conhecidas, que com essa configuração, são evitadas.

3. Configure o nome de domínio com o comando ip domain-name;

4. Gere um par de chaves RSA, o que ativa automaticamente o SSH. Para tal use o comando crypto key generate rsa no modo de configuração global. Um comprimento para o módulo será solicitado, em geral utilizado 1024 ou 2048 bits.

• OBS: para excluir os pares de chaves RSA, use o comando crypto key zeroize rsa do modo de configuração global. Assim o servidor SSH será desativado automaticamente.

5. Configure o tempo limite de conexão com o comando ip ssh time-out [segundos].

6. Ative o protocolo SSH nas linhas vty com o comando do modo de configuração de linha transport input ssh, limitando o switch a aceitar conexões somente SSH, impedindo conexões como Telnet.

• OBS: quando se utiliza a configuração de autenticação aaa, referente aos usuários institucionais, está é a única configuração necessárias nas linhas console e vty.

7. Verifique a configuração e versão do ssh com o comando show ip ssh e as conexões ativas com o comando show ssh.