A Cisco tem um simulador de rede chamado Packet Tracer que é bem bacana. Você pode usá-lo para aprender sobre configuração de switches e roteadores. Nele dá para simular redes completas incluido pcs e servidores.
Seu único defeito é só simular equipamentos da Cisco, mas para que está querendo tirar certificação CCNA, por exemplo é uma mão na roda.
O lugar melhor lugar para baixar o software é no blog.ccna.com.br que também tem muitas informações e dicas relevantes sobre certificação Cisco.
Nas diversas distribuições Linux a configuração de sua rede é a mais diversa possível. São arquivos de configuração diferentes que podem ficar em diretórios diferentes. Entretando para configurar a rede manualmente, todos funcionam da mesma forma. Utilizado os comandos abaixo você poderá configurar a rede no Linux para testes. Lembre-se que tudo funcionará somente até o próximo reboot, já que a configuração não ficará guardada somente na memória do sistema operacional.
Dificilmente nas distribuições atuais, você terá problemas para reconhecer placas rede, mas se você quiser verificar se a mesma está disponível, execute o comando
ifconfig
Se o resultado for parecido com o abaixo, a sua placa de rede estará disponível para continuar o procedimento. O importante é você ter disponível uma placa de rede que comece com eth. Neste caso será a eth0:
eth0 Link encap:Ethernet Endereço de HW 00:30:67:00:69:fc
inet end.: 10.x.x.x Bcast:10.x.x.255 Masc:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:561047 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:403935 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:1000
RX bytes:236857056 (236.8 MB) TX bytes:47795609 (47.7 MB)
IRQ:23
lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Métrica:1
pacotes RX:158 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:158 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:0
RX bytes:11892 (11.8 KB) TX bytes:11892 (11.8 KB)
Outra maneira, é abrir uma console e executar o comando:
ls /sys/class/net/
Se o retorno for parecido com o abaixo, você terá disponível para configuração a interface eth0.
eth0 lo
Primeiramente você precisará saber o endereçamento da rede. Acesse um computador que esteja conectado na mesma rede e veja qual é o endereço que o mesmo usa. Se, por exemplo, o computador ao lado usa o endereço 192.168.0.100 e tem a máscara de rede 255.255.255.0, você poderá usar qualquer endereço da faixa 192.168.0.1 até 192.168.0.254. Tente pingar um endereço desta faixa e verifique se o mesmo responde. Caso não responda, provavelmente estará livre para ser utilizado. Neste caso vamos usar o endereço 192.168.0.50:
ifconfig eth0 192.168.0.50 netmask 255.255.255.0 up
Para validar se o comando funcionou, execute o comando abaixo:
ping 192.168.0.100 -c 1
Caso a resposta seja parecida com a abaixo, a configuração funcionou:
PING 192.168.0.100 (192.168.0.100) 56(84) bytes of data. 64 bytes from 192.168.0.100: icmp_seq=1 ttl=63 time=1.48 ms
--- 192.168.0.100 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 1.487/1.487/1.487/0.000 ms
Também no computador ao lado, verifique qual é o roteador ou gateway que o mesmo está usando. Neste exemplo, o gateway tem o IP 192.168.0.1:
route add default gw 192.168.0.1
Finalmente, para poder resolver nomes, você precisa apontar para o servidor DNS. Esta informação também pode ser obtida de um computador que esteja conectado na rede e esteja acessando a Internet, por exemplo. Neste exemplo, o servidor DNS é 192.168.0.2:
echo nameserver 192.168.0.2> /etc/resolv.conf
Para validar o se a configuração do servidor DNS e a do roteador funcionaram, execute o comando abaixo:
ping ufpr.br -c 1
Se a resposta for parecida com a abaixo, suas configurações funcionaram:
PING ufpr.br (200.17.203.29) 56(84) bytes of data.
64 bytes from ufpr.br 200.17.203.29: icmp_seq=1 ttl=56 time=2 ms
--- ufpr.br ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.769/2.769/2.769/0.000 ms
A partir do Service Pack 2 o Windows XP incluiu um firewall. Foi uma evolucão já que antes disso era necessário utilizar ferramentas de terceiros.
No firewall do Windows é bacana você poder restringir os acessos à sua máquina e controlar os programas do seu computador que podem acessar a rede.
Mas ele tem uma deficiência. Você diz quem pode conectar no seu computador mas não tem como dizer quem não pode. Imagine que você tem uma rede grande (com mais de 1.000 computadores, por exemplo) e descobre que um computador de uma filial está com vírus. Enquanto ninguém for nesta máquina resolver o problema, ela pode ficar tentando infectar sua rede inteira. Apesar de você poder configurar o firewall do Windows utilizando políticas de grupo de um diretório Active Directory não terá como proteger os outros computadores das tentativas de infecção por este computador.
Um dia destes descobrimos um outro jeito bem bacana de isolar um computador como este. Desde o Windows 2000 há a possibilidade de bloquear endereços IPs, além de muitas outras coisas, utilizando o Gerenciamento de Diretivas de Segurança IP (IP Security Policy Management, no Windows em inglês).
Vamos imaginar que você tenha um computador cujo IP é 10.1.1.1 e o mesmo esteja infectado e você deseja protejer seu Windows para evitar problemas.
Vá em Iniciar, Executar e digite MMC.
Na janela que abrir, vá em Arquivo, Adicionar/Remover Snap-in.
Na tela que abrir, escolha Adicionar e Gerenciamento de Diretivas de Segurança IP, escolha a opção Computador Local, clique em Concluir e clique em Fechar e OK.
A tela que será aberta será parecida com esta:
Clique com o botão direito do mouse em Diretivas de seguraça IP em computador local e clique em Criar diretiva de segurança IP.
Será aberto um assistente, para criar a regra. Clique em Avançar para ir para a próxima tela.
Dê um nome para a diretiva, no nosso caso será Teste e clique em Avançar.
Na tela seguinte desmarque a opção Ativar a regra de resposta padrão e clique em Avançar.
Deixe marcada a opção Editar propriedades e clique em Concluir. Será aberta um tela igual a esta:
Clique em Adicionar para criar uma nova regra e clique em Avançar na tela que for aberta.
Na tela seguinte deixe marcada a opção Esta regra não especifica um encapsulamento e clique em Avançar.
Deixe marcada a opção Rede Local (LAN) e clique em Avançar.
Na tela seguinte é solicitado um método de autenticação para a regra de segurança. Deixe marcada a primeira opção. Caso seu computador não faça parte de um domínio, você será avisado que o Kerberos está disponível só para computadores membros de um domínio Active Directory. Confirme e a tela seguinte será exibida:
Clique em Adicionar para criar a lista de IPs que será bloqueada.
Será aberta uma outra tela, em que você poderá escolher o nome do filtro, no nosso caso, Máquinas infectadas com Conficker. Clique em Adicionar para adicionar a máquina.
Clique em Avançar. Na tela seguinte deixe selecionada a opção Meu endereço IP e clique em Avançar.
Na tela seguinte escolha a opção Um endereço IP específico e preencha com o IP da máquina infectada (10.1.1.1 no nosso exemplo) e clique em Avançar.
Na tela Tipo de Protocolo IP, deixe marcada a opção Qualquer e clique em Avançar e clique em Concluir.
Clique em OK da tela Lista de filtros IP:
Na lista de filtros, selecione o filtro que você acabou de criar e clique em Avançar:
Na tela seguinte clique em Adicionar para criar uma ação para bloquear.
Clique em Avançar, dê um nome para a ação, no nosso caso será Bloquear e clique em Avançar.
Escolha a opção bloquear, clique em Avançar e clique em Concluir.
Na lista de ações de filtro escolha Bloquear e clique em Avançar:
Desmarque a opção Editar propriedades e clique em Concluir.
Clique em Fechar na tela inicial da criação da diretiva:
A regra está criada, agora precisamos ativá-la. Na inicial clique com o botão direito do mouse em Teste e escolha a opção Atribuir.
Pronto, o bloqueio está ativo. Para testar abra uma console (Iniciar, Executar, cmd) e digite ping 10.1.1.1
Você receberá o seguinte retorno:
C:Documents and SettingsVicente>ping 10.1.1.1
Disparando contra 10.1.1.1 com 32 bytes de dados:
Host de destino inacessível.
Host de destino inacessível.
Host de destino inacessível.
Host de destino inacessível.Estatísticas do Ping para 10.1.1.1:
Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
Note a diferença se eu pingar o endereço 10.1.1.2 que não está bloqueado:
C:Documents and SettingsVicente>ping 10.1.1.2
Disparando contra 10.1.1.2 com 32 bytes de dados:
Resposta de 10.1.1.2: bytes=32 tempo=1ms TTL=64
Resposta de 10.1.1.2: bytes=32 tempo=4ms TTL=64
Resposta de 10.1.1.2: bytes=32 tempo=1ms TTL=64
Resposta de 10.1.1.2: bytes=32 tempo=1ms TTL=64Estatísticas do Ping para 10.1.1.2:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% de perda),
Aproximar um número redondo de vezes em milissegundos:
Mínimo = 1ms, Máximo = 4ms, Média = 1ms
Este bloqueio estará ativo somente no seu computador. Mas existe como fazer isso de maneira centralizada no seu Active Directory e distribuir esta política para todas as máquinas do seu domíno. Como já está ficando tarde, amanhã eu posto como fazer isso.
O Márcio Rocha achou esta dica aqui.
Depois de ter escrito o procedimento para configurar failover em máquinas Red Hat agora chegou a vez do Suse.
Não execute este procedimento através da rede.
Primeiro é necessário usar o YAST para habilitar as duas placas de rede que farão parte do bonding. Entre no YAST, escolha Network Devices / Network Card e então configure as duas placas como Automatic address setup (via DHCP). Confirme e saia do YAST.
Agora modifique os dois arquivos ifcfg-eth-id-<mac> correspondentes as duas placas que você acabou de configurar como DHCP localizados em /etc/sysconfig/network conforme modelo (serão os arquivos com data mais recente).
DE PARA
BOOTPROTO=’dhcp’ BOOTPROTO=’none’
MTU=”
REMOTE_IPADDR=”
STARTMODE=’onboot’ STARTMODE=’off’
UNIQUE=’gZD2.ZqnB7JKTdX0′ UNIQUE=’gZD2.ZqnB7JKTdX0′
_nm_name=’bus-pci-0000:00:0b.0′ _nm_name=’bus-pci-0000:00:0b.0′
OBS.: Não alterar as duas últimas linhas (UNIQUE e _nm_name)
Crie o arquivo ifcfg-bond0 em /etc/sysconfig/network conforme modelo
BOOTPROTO=’static’
IPADDR='<IP_ADDRESS>’
NETMASK='<NETMASK>’
BROADCAST=”
NETWORK=”
REMOTE_IPADDR=”
MTU=”
STARTMODE=’onboot’
BONDING_MASTER=’yes’
BONDING_MODULE_OPTS=’mode=active-backup miimon=100 use_carrier=1′
BONDING_SLAVE0=’eth0′
BONDING_SLAVE1=’eth1′
Cuidado para não digitar nada errado por que senão não vai funcionar.
Alterar /etc/sysconfig/network/routes
default <default_gateway> – –
Alterar /etc/resolv.conf
nameserver <dns_server_1>
nameserver <dns_server_2>
domain <dominio>
Alterar /etc/hosts
127.0.0.1 localhost linux.local
<IP_ADDRESS> <hostname> <hostname>.<dominio>
Reinicie o serviço de rede
/etc/init.d/network restart
ou dê um reboot na máquina.
Este mapa feito pela TeleGeography mostra os cabos de fibra distribuídos pelo mundo. O impressionante é a quantidade de cabos que liga os Estados Unidos à Europa.
Clique na imagem se quiser ver o mapa em tamanho maior.
Fonte: Info
 |
O nmap é um poderosa ferramenta para escanear computadores procurando por portas tcp ou udp abertas. Por exemplo: se você tem um servidor web funcionando em um computador, há grandes chances da porta tcp 80 estar aberta. Se você tem um servidor ftp funcionando em um computador, muito provavelmente a porta 21 estará aberta. |
O nmap faz esta varredura para você, dependendo das portas que você descobre que estão abertas, você pode deduzir o sistema operacional do computador. Caso as portas 135, 139 e 445 estejam abertas, provavelmente se trata de Windows. Se as portas abertas são 22, 111 ou 2049 se trata de um Unix.
Utilização:
O uso mais simples do nmap para escanear as portas tcp de um computador:
nmap 192.168.0.222
O resultado deste comando, caso o computador seja um Windows 2000 é:
Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-03 10:05 GMT+3
Interesting ports on 192.168.0.222:
Not shown: 1711 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 08:00:27:02:DF:C7 (Cadmus Computer Systems)Nmap done: 1 IP address (1 host up) scanned in 2.524 seconds
O resultado deste comando, caso o computador seja um Linux é:
Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-03 10:06 GMT+3
Interesting ports on 192.168.0.222:
Not shown: 1711 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
2049/tcp open nfsNmap done: 1 IP address (1 host up) scanned in 0.135 seconds
Caso você queira escanear as portas UDP abertas, o comando deverá ser:
nmap 192.168.0.222 -sU
E o resultado será:
Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-03 10:11 GMT+3
Interesting ports on 192.168.0.60:
Not shown: 1480 closed ports
PORT STATE SERVICE
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
259/udp open|filtered firewall1-rdp
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1030/udp open|filtered iad1
1031/udp open|filtered iad2
4500/udp open|filtered sae-urn
MAC Address: 08:00:27:02:DF:C7 (Cadmus Computer Systems)Nmap done: 1 IP address (1 host up) scanned in 3.817 seconds
Existem muitas outras opções disponíveis que podem ser exploradas, digitando-se nmap sem parâmetros.
Ficou interessado? Visite: nmap.org há versões para Linux, Windows, BSD e outros sistemas operacionais.
Imagine que você contratou um link entre a matriz e a filial da empresa em que trabalha. O fornecedor do link disse que ofereceu um link de 512 kbps. Como aferir a real velocidade do link?
Resposta: Usando o Iperf.
Funciona assim: Em uma das pontas do link você vai colocar o iperf como servidor com o comando:
iperf -s
A partir deste momento o iperf ficará escutando conexões vindas de outros computadores.
Na outra ponta do link você se conecta ao servidor que acabou de criar com o comando:
iperf -c NOME_OU_IP_DO_SERVIDOR
A partir deste momento por 10 segundos as duas instâncias mandarão o máximo de dados possível para utilizar a capacidade máxima de transmissão do canal. A saída do comando no servidor e do cliente serão bem semelhantes. Abaixo a saída do comando servidor típica de uma rede de 100 Mbps:
————————————————————
Server listening on TCP port 5001
TCP window size: 8.00 KByte (default)
————————————————————
[852] local 127.0.0.1 port 5001 connected with 192.168.0.222 port 1175
[ ID] Interval Transfer Bandwidth
[852] 0.0-10.0 sec 80.2 MBytes 67.3 Mbits/sec
No teste acima, a velocidade final conseguida foi de 67 MBps. Considerando o overhead do protocolo Ethernet e outros fatores que podem limitar a comunicação, o valor acima pode ser considerado normal.
Uma outra utilidade do iperf é descobrir gargalos em uma rede. Imaginando que você tenha uma rede com vários saltos e ela está com problema de performance, é possível, mudando a localização do servidor e cliente localizar com precisão o exato ponto que está com gargalo. Assim como o Nmap, o Iperf está disponível com versões para os mais variados sistemas operacionais.
Existem muitas outras opções que podem ser exploradas digitando-se o comando iperf –help.
Ficou interessado? Acesse a página oficial do Iperf.
MAC address (Media Access Control) é o endereço único que uma placa de rede possui para se identificar dentro de uma rede local. Se um computador precisa conversar com outro, via protocolo ARP, descobre qual o MAC address de destino para estabelecer a comunicação. Este endereço possui o seguinte formato: 00:60:97:C2:72:E0
Já aconteceu comigo de um usuário configurar um servidor DHCP “pirata” e este começar a distribuir IP’s inválidos. Às vezes alguém liga algum equipamento que gere broadcast excessivo congestionando a rede onde está plugado.
Estas situações geram problemas para o administrador de rede. Com relativa facilidade é possível saber o IP ou MAC do equipamento causador do problema utilizando um sniffer (software que captura os pacotes que circulam na rede). Na maioria das vezes com o IP fica fácil descobrir o responsável mas quando isso não é possível o MAC pode ajudar.
Os primeiros 6 números do MAC identificam o fabricante da placa de rede. No exemplo 00:60:97:C2:72:E0, os dígitos 00:60:97 identificam que o fabricante é 3Com. Se o fabricante for a Cisco dá para deduzir que o causador é algum roteador ou switch, se for Toshiba um notebook, se for Xerox uma impressora e assim por diante.
O site http://www.coffer.com/mac_find é possível consultar um determinado MAC e verificar quem é o fabricante.
Blog do Vicente 