Cheat Sheet – Configuração Inicial Cisco IOS (Switch e Roteador)

Por /

Este é um resumo de um roteiro padronizado para configurar, do zero, switches e roteadores Cisco IOS: hostname, senhas, SSH, DNS, NTP, interface de gerenciamento, default gateway, etc.

1. Configuração Básica Completa

1.1. Acesso inicial ao modo privilegiado e de configuração

Sw> enable
Sw# configure terminal
Sw(config)#

1.2. Identidade do equipamento e criptografia de senhas

Sw(config)# hostname Switch
Switch(config)# ip domain-name MEU_DOMINIO
Switch(config)# service password-encryption
Switch(config)# enable secret SENHA_AQUI

1.3. Usuário administrativo (login local)

Switch(config)# username USUARIO privilege 15 secret SENHA_DO_USUARIO

1.4. Configuração de DNS (ip name-server)

Configure os servidores DNS que você usa normalmente na sua rede. Podem ser servidores internos ou externos.

Switch(config)# ip name-server 192.168.1.25
Switch(config)# ip name-server 1.1.1.1

1.5. Configuração de NTP (servidor de hora)

Mesma coisa que os servidores DNS. Podem ser internos ou externos. Os melhores servidores para usar no Brasil são os servidores NTP.br. A lista pode ser vista em ntp.br.

Switch(config)# ntp server 192.168.1.1
Switch(config)# ntp server a.st1.ntp.br
Switch(config)# ntp server 201.49.148.135

1.6. Gerar chaves RSA e habilitar SSHv2

Para poder acessar o dispositivo por ssh é preciso gerar uma chave. A chave RSA precisa ser gerada dentro do próprio dispositivo Cisco para que o serviço SSH possa operar, pois ela serve como a Chave de Host do Servidor. Essa chave não é utilizada para autenticar o usuário (que, neste caso, utiliza login por senha), mas sim para duas funções cruciais: primeiro, identificar o switch de forma criptográfica ao cliente, prevenindo ataques man-in-the-middle; e segundo, para estabelecer e negociar o túnel de criptografia da sessão, garantindo que o nome de usuário, a senha e todos os dados trocados sejam transmitidos de forma segura e ilegível através da rede. 

Switch(config)# crypto key generate rsa

Você será perguntado sobre o tamanho da chave. Escolha 2048, que é o tamanho mínimo recomendado atualmente, e pressione enter.

Switch(config)# ip ssh version 2

É crucial o uso da versão 2 por motivos de compatibilidade e de segurança.

1.7. Console – logging, timeout e senha

Os comandos abaixo proporcionam segurança e conforto no acesso ao dispositivo Cisco através da conexão console.

Switch(config)# line console 0
Switch(config-line)# logging synchronous
Switch(config-line)# exec-timeout 10 0
Switch(config-line)# password SENHA_CONSOLE
Switch(config-line)# login
Switch(config-line)# exit

1.8. VTY 0–15 – acesso remoto via SSH com login local

Configurações equivalentes da linha console, mas para o acesso por ssh.

Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh
Switch(config-line)# logging synchronous
Switch(config-line)# exec-timeout 10 0
Switch(config-line)# login local
Switch(config-line)# exit

1.9. Interface de gerenciamento – VLAN 1

Caso haja a intenção de acessar o switch Cisco remotamente, é preciso atribuir um endereço IP de gerenciamento. Como se trata de um dispositivo L2, o endereço IP não estará atrelado a nenhuma interface física, mas a uma interface virtual, no caso, a VLAN 1.

É sempre recomendado descrever as interfaces/VLANs, para documentação dos dispositivos da rede.

Switch(config)# interface vlan 1
Switch(config-if)# description Management VLAN - Gerenciamento do Switch
Switch(config-if)# ip address 192.168.1.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit

1.10. Configuração da interface de um roteador com IP estático

Diferentemente dos switches, os roteadores devem ter suas interfaces configuradas com um endereço IP. É sempre bom descrever cada interface para documentação e clareza.

Router(config)# interface gigabitEthernet0/1
Router(config-if)# description LAN PRINCIPAL
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit

1.11. Configuração da interface de um roteador via DHCP

Caso o roteador receba o IP de um servidor DHCP (pouco provável), use os comandos abaixo.

Router(config)# interface gigabitEthernet0/1
Router(config-if)# description LAN - Endereco via DHCP
Router(config-if)# ip address dhcp
Router(config-if)# no shutdown
Router(config-if)# exit

1.12. Default gateway para gerenciamento remoto

Para acesso remoto ao switch é fundamental a configuração do default gateway.

Switch(config)# ip default-gateway 192.168.1.1

1.13. Desativação de serviços HTTP

Por questões de segurança, recomenda-se desativar o acesso http.

Switch(config)# no ip http server

1.14. Banner de aviso (MOTD)

Switch(config)# banner motd # Acesso restrito. Uso nao autorizado e proibido. #

1.15. Salvar configuração

Switch(config)# end
Switch# write memory

Ou:

Switch# copy running-config startup-config

Obs:

Lembrar: mesmo recebendo IP por DHCP, o switch não aprende o default gateway via DHCP, entao:

Switch(config)# ip default-gateway 192.168.1.1

2. Comandos de Verificacao Rápida

Switch# show running-config
Switch# show ip interface brief
Switch# show version
Switch# show users
Switch# show ssh
Switch# show logging
Switch# show ntp status
Router# show running-config
Router# show ip interface brief
Router# show ip route
Router# show dhcp lease
Router# show ssh
Router# show logging
Router# show ntp status

Um jeito fácil de replicar configurações básicas é copiar a saída de show running config, excluir as linhas de comentário e colar todos os comandos no prompt do dispositivo, no modo de configuração global.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima