Configuração Rapida

ACCESS ROUTERS
Versão 1.18.4
GUIA DE CONFIGURAÇÃO RÁPIDA
204.0301.14 - 17 de fevereiro de 2023

DM2500 - Guia de Configuração Rápida Contatos
Contatos
Suporte Técnico
A Datacom disponibiliza um portal de atendimento - DmSupport, para auxílio aos clientes no uso e configuração de nossos
equipamentos.
O acesso ao DmSupport pode ser feito através do link: https://supportcenter.datacom.com.br
Neste portal estão disponíveis firmwares, descritivos técnicos, guia de configuração, MIBs e manuais para download. Além
disto, permite a abertura de chamados para atendimento com a nossa equipe técnica.
Para contato telefônico: +55 51 3933-3122
Salientamos que o atendimento de nosso suporte por telefone ocorre de segunda a sexta-feira das 08:00 as 17:30.
Importante: Para atendimento de suporte em regime 24x7, favor solicitar cotação ao nosso setor comercial.
Informações Gerais
Para qualquer outra informação adicional, visite https://www.datacom.com.br ou entre em contato:
DATACOM
Rua América, 1000
92990-000 - Eldorado do Sul - RS - Brazil
+55 51 3933-3000
DATACOM 204.0301.14 - 17 de fevereiro de 2023 2

DM2500 - Guia de Configuração Rápida Documentações de Produto
Documentações de Produto
Este documento é parte de um conjunto de documentações preparado para oferecer todas as informações necessárias
sobre os produtos DATACOM.
Plataforma de Software
• Guia de Configuração Rápida - Fornece orientações sobre como configurar as funcionalidades de forma rápida no
equipamento
• Release Notes - Fornece orientações sobre as novas funcionalidades, defeitos conhecidos e compatibilidades entre
Software e Hardware
Plataforma de Hardware
• Descritivo - Fornece as características técnicas do Hardware e Software do produto
• Guia de Instalação - Fornece orientações sobre os procedimentos para instalação do produto
A disponibilidade de alguns documentos pode variar dependendo do tipo de produto.
Accesse https://supportcenter.datacom.com.br para localizar as documentações relacionadas ou entre em contato com o

Suporte Técnico para mais informações.

DM2500 - Guia de Configuração Rápida Introdução ao documento
Introdução ao documento
Sobre este documento
Este documento é uma coleção de orientações que proveem uma explanação rápida e objetiva sobre o uso das funcionali-
dades disponíveis no produto. Também cobre as configurações iniciais que normalmente são necessárias imediatamente
após a instalação do produto.
Esse documento foi elaborado para servir como uma fonte eventual para resolução de questões técnicas, por isso
sua leitura sequencial não é mandatória. Entretanto, se você está configurando o equipamento e não é familiar com o
produto é recomendada a leitura do documento desde o princípio.
É assumido que o indivíduo ou indivíduos que gerenciam qualquer aspecto do produto tenham conhecimentos básicos de
Ethernet, protocolos de rede e redes de comunicações em geral.
Público-Alvo
Este guia é voltado para administradores de rede, técnicos ou equipes qualificadas para instalar, configurar, planejar e
manter este produto.
Convenções
Para facilitar o entendimento ao longo deste manual foram adotadas as seguintes convenções:
Ícones
Ícone Tipo Descrição
Nota As notas explicam melhor algum detalhe apresentado no texto.

DM2500 - Guia de Configuração Rápida Introdução ao documento
Ícone Tipo Descrição
Símbolo da diretiva WEEE (Aplicável para União Europeia e outros países com sistema
de coleta seletiva). Este símbolo no produto ou na embalagem indica que o produto não
pode ser descartado junto com o lixo doméstico. No entanto, é sua responsabilidade
levar os equipamentos a serem descartados a um ponto de coleta designado para
a reciclagem de equipamentos eletroeletrônicos. A coleta separada e a reciclagem
Nota
dos equipamentos no momento do descarte ajudam na conservação dos recursos
naturais e garantem que os equipamentos serão reciclados de forma a proteger a saúde
das pessoas e o meio ambiente. Para obter mais informações sobre onde descartar
equipamentos para reciclagem entre em contato com o revendedor local onde o
produto foi adquirido.
Indica que, caso os procedimentos não sejam corretamente seguidos, existe risco de
Perigo
choque elétrico.
Indica presença de radiação laser. Se as instruções não forem seguidas e se não for
Perigo evitada a exposição direta à pele e olhos, pode causar danos à pele ou danificar a
visão.
Perigo Indica emissão de radiação não ionizante.
Esta formatação indica que o texto aqui contido tem grande importância e há risco de
Advertência
danos.
Indica equipamento ou parte sensível à eletricidade estática. Não deve ser manuseado
Advertência
sem cuidados como pulseira de aterramento ou equivalente.
Um ícone de advertência pede atenção para condições que, se não evitadas, podem causar danos físicos ao
equipamento.
Um ícone de perigo pede atenção para condições que, se não evitadas, podem resultar em risco de morte
ou lesão grave.

DM2500 - Guia de Configuração Rápida Sumário
Sumário
Contatos 2
Documentações de Produto 3
Introdução ao documento 4
1 Gerenciamento Básico 12
1.1 Login inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.1 Instalando e energizando o Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.2 Conectando via porta Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.3 Conectando via porta ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.1.4 Conectando pela primeira vez no equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2 Gerenciamento do firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.1 Atualizando o firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3 Visão geral do CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.1 Modo Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.2 Modo de Configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.3 Tipos de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.4 Colando comandos de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4 Gerenciamento da Configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.1 Restaurando configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.2 Restaurando a configuração de fábrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Gerenciamento dos Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.1 Salvando a configuração em arquivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.2 Exportando os arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.3 Importando os arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5.4 Manipulando de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.5.5 Configuração a partir de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.5.6 Configuração a partir do SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 Gerenciamento do Equipamento 22
2.1 Configuração da gerência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.1.1 Gerência exclusiva através da interface física . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.1.2 Gerência compartilhada através da interface física . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.2 Configuração do Acesso a CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.2.1 Configuração do SSH e Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.3 Configuração do hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.4 Configuração do banner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.5 Configuração do relógio e data do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

DM2500 - Guia de Configuração Rápida SUMÁRIO
2.6 Configuração do horário de verão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.7 Recuperação de senha padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3 Gerenciamento de Rede 28
3.1 Configuração do NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.1 Configurando o cliente NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.2 Restrições de acesso do NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.1.3 Verificando o NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2 Configuração do Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.1 Verificando o Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.3 Configuração do protocolo SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.3.1 Configurando o SNMPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.3.2 Configurando o SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.3.3 SNMP Traps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.3.4 Verificando o SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.4 Razão do último reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.4.1 Verificando a razão do último reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4 Ferramentas de Conectividade 35
4.1 Ping e Ping6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.2 Traceroute e Traceroute6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.3 SSH Client e Telnet Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4 Configuração do Source Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.5 Wake on Lan (Wol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
5 OAM 39
5.1 Configuração do NetFlow/IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.1.1 Verificando o NetFlow/IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.2 Macros e Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5.2.1 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.2.2 Verificando o Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.2.3 Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.2.4 Executando uma ação com Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.2.5 Verificando o Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3 Configuração do TWAMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3.1 Configurando o TWAMP Reflector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.3.2 Configurando o TWAMP Sender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.3.3 Configurando o TWAMP atrás de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.3.4 IP SLA Object Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.3.5 TWAMP Comparator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.3.6 Verificando o Twamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5.4 Tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.5 Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.6 Show tech-support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.7 Monitor Bandwidth Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.7.1 Configurando o modo servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.7.2 Configurando o modo cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
6 Autenticação de Usuários 51
6.1 Alterando a senha padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6.2 Configuração dos Usuários Locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6.3 Configuração do TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
6.3.1 Verificando o TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.4 Configuração do RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.4.1 Verificando o RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
7 Interfaces 56
7.1 Configuração das Interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
7.1.1 Configurando o speed e duplex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.1.2 Verificando as Interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.2 Configuração das Interfaces Loopback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.2.1 Verificando as Interfaces Loopback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
7.3 Configuração das Interfaces Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
7.3.1 Verificando as Interfaces Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
7.4 Configuração das Interfaces Bonding (Agregação) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
7.4.1 Interface Bonding modo Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7.4.2 Interface Bonding modo Dinâmico (LACP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7.4.3 Verificando as Interfaces Bonding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
8 Conexão LTE 62
8.1 Conexão LTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
8.2 Configuração do LTE utilizando template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
8.3 Configuração manual do LTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.4 Verificando Conexão LTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
9 Serviços IP 66
9.1 Configuração do Servidor DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
9.1.1 Configurando as opções do servidor DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
9.1.2 Verificando o Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
9.2 Configuração do servidor DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

9.2.1 Verificando o Servidor DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

9.3 Configuração do DHCPv4 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.3.1 Verificando o DHCPv4 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.4 Configuração do DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9.4.1 Verificando o DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.5 Configuração do Cliente DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
9.5.1 Verificando Cliente do DHCPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.6 Configuração do Cliente DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.6.1 Verificando Cliente do DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.7 Configuração do Cliente PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
9.7.1 Verificando Cliente do PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
10 Roteamento 74
10.1 Configuração do Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
10.1.1 Roteamento Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
10.1.2 Roteamento entre VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
10.1.3 Habilitando ECMP em rotas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
10.1.4 Verificando Rotamento Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
10.2 Configuração do PBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
10.2.1 Verificando Configuração do PBR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
10.3 Configuração do RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
10.3.1 Verificando Roteamento RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
10.4 Configuração do RIPng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
10.4.1 Verificando Roteamento RIPng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
10.5 Configuração do OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
10.5.1 Configurando um Virtual Link no OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
10.5.2 Habilitando ECMP no OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.5.3 Configurando filtragem de LSAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.5.4 Filtragem de LSAs anunciadas para outras áreas . . . . . . . . . . . . . . . . . . . . . . . . . . 82
10.5.5 Filtragem de LSAs anunciadas para a área especificada . . . . . . . . . . . . . . . . . . . . . . . 82
10.5.6 Filtragem de LSAs usando prefix-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
10.5.7 Verificando Roteamento OSPFv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
10.6 Configuração do OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
10.6.1 Habilitando ECMP no OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
10.6.2 Filtragem de LSAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
10.6.3 Verificando Roteamento OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
10.7 Configuração do BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
10.7.1 Configurando um neighbor iBGP IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
10.7.2 Configurando um neighbor eBGP IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

10.7.3 Configurando um neighbor eBGP IPv4 entre loopbacks . . . . . . . . . . . . . . . . . . . . . . . 88

10.7.4 Verificando Roteamento BGP IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
10.7.5 Configurando um neighbor iBGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
10.7.6 Configurando um neighbor eBGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
10.7.7 Configurando um neighbor eBGP IPv6 entre loopbacks . . . . . . . . . . . . . . . . . . . . . . . 92
10.7.8 Configurando communities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
10.7.9 Habilitando ECMP no BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
10.7.10 Configurando AS-Override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
10.7.11 Verificando Roteamento BGP IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
10.8 Configuração do BFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
10.8.1 BFD nas rotas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
10.8.2 BFD no OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
10.8.3 BFD no OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
10.8.4 BFD no BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.8.5 Verificando Sessões BFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
10.9 Configuração do VRRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
10.9.1 Configurando o VRRPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
10.9.2 Configurando o VRRPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
10.9.3 Configurando o VRRP Track Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
10.9.4 Configurando o VRRP Track Route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
10.9.5 Configurando o VRRP Transition Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
10.9.6 Verificando VRRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
10.10 Configuração do PIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
10.10.1 Alterando a versão do IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
10.10.2 Verificando PIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
10.11 Configuração da VRF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
10.11.1 Configurando o VRF lite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
10.11.2 Verificando VRF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
10.12 Configuração do ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
10.12.1 Balaceamento por pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
10.12.2 Balanceamento por fluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
10.12.3 Desabilitando o ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
11 Tunelamento 114
11.1 Configuração de túneis GRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.1.1 Túnel IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11.1.2 Túnel IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
11.1.3 Túnel GRE IPv4 com IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
11.2 Configuração de túneis IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

11.2.1 Túnel IPsec IPv4 site-to-site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

11.2.2 Túnel IPsec IPv6 site-to-site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
11.2.3 Túnel IPsec site-to-site com NAT Traversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
11.2.4 Túnel IPsec com Virtual Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
11.2.5 Túnel IPsec através da interface LTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
11.2.6 Túnel Dynamic Multipoint IPsec VPNs (DMVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
12 QoS 134
12.1 Configuração do Rate Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
12.2 Configuração de classificação, priorização e remarcação de tráfego de saída . . . . . . . . . . . . . . . 135
12.2.1 Classificação e priorização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
12.2.2 Remarcação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
12.2.3 Classificação de pacotes gerados localmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
12.2.4 Classificação por intervalo de endereços ou portas . . . . . . . . . . . . . . . . . . . . . . . . . 137
12.3 Configuração de remarcação do DSCP no tráfego de entrada . . . . . . . . . . . . . . . . . . . . . . . . 138
12.3.1 Configurando o shaper no tráfego de entrada . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
13 Segurança 140
13.1 Configuração do NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
13.1.1 NAT Origem (SNAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
13.1.2 NAT Destino (DNAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
13.1.3 Verificando NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
13.2 Configuração do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
13.2.1 Configurando o Firewall por ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
13.2.2 Configurando o Firewall stateful . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
13.2.3 Proteções do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
13.2.4 Verificando Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
13.3 Verificando sockets abertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
13.4 Configuração do 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
13.4.1 Habilitando o dot1x em interface ethernet/bonding . . . . . . . . . . . . . . . . . . . . . . . . . 153
13.4.2 Habilitando o dot1x em interface bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
13.4.3 Verificando dot1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Nota Legal 155
Garantia 155

DM2500 - Guia de Configuração Rápida 1 Gerenciamento Básico
1 Gerenciamento Básico
Este capítulo contém as seguintes seções:
• Login inicial
• Gerenciamento do Firmware
• Visão geral do CLI
• Gerenciamento da Configuração
• Gerenciamento dos Arquivos
1.1 Login inicial
1.1.1 Instalando e energizando o Equipamento
Por favor, verificar as instruções detalhadas no Guia de Instalação do equipamento.
1.1.2 Conectando via porta Console
Conectando via porta console
O acesso a CLI do equipamento pode ser realizado pela porta console. É necessário conectar um cabo serial e utilizar um
emulador de terminal como, por exemplo, o Hyper Terminal ou outro similar. O terminal deve ser configurado com 9600
8N1.
1.1.3 Conectando via porta ethernet
Acessando o equipamento via porta ethernet

Na configuração padrão de fábrica o equipamento configura a interface Ethernet 1 (eth1) com o endereço IP 192.168.0.25/24.
Os protocolos SSHv2 e TELNET são habilitados por padrão.
É possível gerenciar o equipamento por qualquer interface Ethernet do equipamento. Configurações adicionais podem ser
feitas para acesso a partir de outras interfaces e também para desabilitar os protocolos SSHv2 ou TELNET, caso seja
necessário.
1.1.4 Conectando pela primeira vez no equipamento
Para acessar o equipamento via CLI é necessário utilizar o usuário de fábrica admin e a senha de fábrica admin.
dm2500 login: admin

Password: admin
dm2500:~$
Por razões de segurança é altamente recomendado modificar a senha padrão do equipamento.
Consulte o capítulo referente à Autenticação de Usuários para verificar como proceder com a alteração das senhas.
1.2 Gerenciamento do firmware
1.2.1 Atualizando o firmware
Entre em contato com o Suporte Técnico DATACOM para verificar as imagens de firmware disponíveis para
download e instalação de acordo com seu produto e seus requisitos.
Para atualização via CLI será necessário utilizar um PC com um servidor TFTP, SCP ou HTTP instalado a fim de encaminhar
o arquivo de firmware para o equipamento.
É possível verificar o firmware instalado no equipamento através do comando show firmware:
dm2500:~$ show firmware

Software:
Version Release Date State
----------------- --------------------- -----------------
1.4.2 2018-07-06 14:25:24 Active/Startup
1.4.0 2018-06-22 09:57:23 Inactive
State:
Active - Running firmware
Invalid - Partition is empty or corrupted
Inactive - Firmware is not running
Startup - Firmware to be used in the next boot
Para enviar o arquivo de firmware através do TFTP, usar o seguinte comando:

firmware add tftp://172.22.107.11/pd3701-1.4.4.swu

Warning! This will overwrite 1.4.0.
Proceed with this operation? (Yes/No) [No] yes
1.4.4 loaded successfully in inactive partition.
Do you want to mark the new firmware as startup and reboot now? (Yes/No) [No] yes [Enter]
Um reboot automático irá ocorrer após o usuário confirmar o reboot.
Caso seja feita a opção por não realizar a troca de firmware e reboot após o download, o usuário poderá realizar a ativação
posteriormente através do comando firmware swap:
dm2500:~$ firmware swap

Do you want to swap the startup firmware partition? [Yes/No] [Yes] yes
1.4.4 is now the startup firmware partition.
Proceed with reboot? (Yes/No) [No] yes
O usuário pode optar por não realizar o reboot do equipamento após o download e ativação do firmware para finalizar o
upgrade em outro momento. Para finalizar o upgrade, poderá reiniciar o equipamento através do comando reboot:
reboot
1.3 Visão geral do CLI
A CLI do DM2500 suporta o modo operacional e o modo de configuração.
1.3.1 Modo Operacional
Ao realizar o login no equipamento o usuário automaticamente entrará no modo operacional. Neste modo é possível
verificar as informações do equipamento, executar teste de conectividade e outros. Neste modo, porém, não é possível
realizar modificações na configuração do equipamento. Enquanto estiver no modo operacional, o prompt do CLI irá
apresentar como prefixo o nome do host configurado e o caractere $ no final da linha, conforme exemplo:
dm2500:~$
Para verificar a lista de comandos operacionais possíveis basta pressionar o ponto de interrogação ? ou
pressionar a tecla [Tab] no prompt.
É possível verificar algumas informações do equipamento no modo operacional através dos seguintes comandos:

Comando Descrição
show inventory Apresenta o inventário do equipamento
show environment Apresenta os valores dos sensores de temperatura
show psu Apresenta os status das fontes de alimentação
show firmware Apresenta a versão de firmware
show configuration Apresenta a configuração atual do equipamento
show system cpu-utilization Apresenta os valores da CPU em uso do equipamento
show system memory Apresenta os valores de memória do equipamento
show system uptime Apresenta o uptime do equipamento
show system clock Apresenta o horário atual do equipamento
show users Apresenta os usuários conectados no equipamento
show system storage Apresenta o espaço de armazenamento do sistema
É possível executar qualquer comando do modo operacional dentro do modo de configuração adicionando a palavra-chave
run antes do comando. Abaixo um exemplo:
run show configuration
1.3.2 Modo de Configuração
Para modificar a configuração é necessário entrar no modo de configuração através do seguinte comando:
configure
Ao entrar no modo de configuração, o prompt do CLI irá apresentar o caractere # conforme abaixo:
dm2500#
Para sair do modo de configuração, o usuário deverá usar o comando abaixo:
dm2500# exit
1.3.3 Tipos de configuração
O DM2500 possui a configuração candidata, a configuração de inicialização e a configuração corrente, conforme explicado
abaixo.

• Configuração candidata (candidate-config): Enquanto o usuário altera a configuração e não realiza o commit, a
configuração é salva temporariamente como configuração candidata. Se o dispositivo reinicializar ou sair da sessão,
a configuração do candidato será perdida.
• Configuração corrente (running-config): Depois que o usuário executa o comando commit, a configuração
candidata é aplicada à configuração corrente se tornando ativa no equipamento. Se o dispositivo reinicializar a
configuração também será perdida.
• Configuração de inicialização (startup-config): É a configuração salva que será utilizada na inicialização do

equipamento. O uso do comando commit não grava a running-config na configuração de inicialização. O usuário
deverá executar o comando save para salvar a configuração.
Para ativar a configuração candidata no equipamento, é necessário copiá-la para a running-config. O comando commit
aplica a configuração candidata na running-config.
commit
O usuário também pode aplicar temporariamente uma configuração candidata. Ao executar o comando commit-confirm,
a configuração candidata será aplicada temporariamente. O usuário deve realizar um novo commit para que a configuração
seja aplicada definitivamente. Se o novo commit não for executado, a configuração é desfeita após o tempo padrão de 10
minutos.
O padrão de 10 minutos pode ser modificado, como mostrado abaixo, em que o usuário deve confirmar a configuração em
no máximo 5 minutos.
commit-confirm 5
! Confirmando a aplicação da configuração

confirm
Para salvar a configuração corrente do equipamento na configuração de inicialização, o usuário deverá utilizar o comando
save, que salvará a configuração. A configuração é salva por padrão no arquivo config.boot. O comando save deve ser
executado no modo de configuração.
save
Saving configuration to ’config.boot’...
Done
[edit]
No modo de configuração, para apagar todas as alterações executadas até então na configuração candidata o usuário
deverá executar o comando abaixo:
discard
O usuário pode verificar a configuração atual do equipamento utilizando o comando abaixo no modo operacional:
show configuration

Para verificar a configuração candidata corrente, o usuário pode executar o comando show enquanto estiver no modo de
configuração:
show
Para verificar as diferenças entre a configuração atual e a candidata execute o usuário deverá executar o comando
compare:
compare
1.3.4 Colando comandos de configuração
Para colar grande quantidade de linhas no modo de configuração, deve-se utilizar o modo paste. No modo de configuração,
entre com o comando paste. Em seguida, podem ser coladas todas as linhas de configuração. Ao final, entre com o
comando commit para aplicar as configurações e sair do modo paste.
Somente configurações no formato set ou delete podem ser utilizadas.
No exemplo abaixo, o usuário entra no modo paste.
configure
paste
E, em seguida, cola a configuração com o comando commit ao fim.
set system host-name DM2500-A

delete interfaces ethernet eth1 address
set interfaces ethernet eth2 address 10.0.0.1/24
set protocols static route 0.0.0.0/0 next-hop 10.0.0.254
commit
1.4 Gerenciamento da Configuração
1.4.1 Restaurando configuração
Se o usuário deseja reverter para a última configuração aplicada, deve usar o seguinte procedimento:
rollback
commit
Após o rollback o equipamento requer um reboot. Esteja ciente que durante este procedimento haverá
uma breve interrupção no tráfego de dados do equipamento.

1.4.2 Restaurando a configuração de fábrica
Para carregar a configuração de fábrica na configuração candidata o usuário deverá executar o comando:
O procedimento a seguir apagará a configuração atual do equipamento e carregará a configuração de

fábrica.
load default
commit
1.5 Gerenciamento dos Arquivos
1.5.1 Salvando a configuração em arquivo
O usuário pode salvar a configuração candidata em um arquivo (incluindo as configurações padrão) sem aplicá-la no
equipamento. O comando a seguir salvará a configuração candidata em um arquivo chamado CANDIDATE-CONFIG:
save CANDIDATE-CONFIG
1.5.2 Exportando os arquivos
O usuário pode exportar um arquivo de configuração para um servidor SCP, FTP e TFTP externo. O comando a seguir
encaminhará o arquivo via protocolo TFTP salvo como CONFIG_1 para o servidor 172.1.1.1.
save tftp://172.1.1.1/CONFIG_1
1.5.3 Importando os arquivos
O comando abaixo mostra como copiar para o equipamento um arquivo de configuração config_1 existente em um
servidor TFTP com endereço IP 192.168.0.15.
O comando load irá remover a configuração atual e substituí-la pela configuração presente no arquivo.
configure
load tftp://192.168.0.15/config_1
commit
O comando merge também pode ser utilizado. Este comando irá combinar a configuração atual com a configuração
presente no arquivo.
configure
merge tftp://192.168.0.15/config_1
commit

1.5.4 Manipulando de arquivos
Para exibir todos os arquivos salvos, o usuário deve usar o comando abaixo. Uma vez que é um comando de modo
operacional, deve-se adicionar a palavra-chave run na frente do comando quandoestiver no modo de configuração.
show configuration files
É possível exibir o conteúdo de um arquivo de configuração no modo operacional adicionando o nome do arquivo como
parâmetro:
show configuration files <file-name>
Para deletar um arquivo deve-se usar o seguinte comando:
delete configuration <file-name>
1.5.5 Configuração a partir de arquivos
O comando load irá substituir a configuração candidata por aquela contida no arquivo passado como argumento.
load <file-name>
commit
O usuário também pode mesclar uma configuração condidata com um arquivo salvo. Dessa forma, se há novas configura-
ções no arquivo, estas serão carregadas para a configuração candidata. Se há configuração conflitante com a configuração
candidata, as partes conflitantes serão sobrescritas na configuração candidata.
merge <file-name>
commit
1.5.6 Configuração a partir do SNMP
O DM2500 permite configurar o equipamento através do protocolo SNMP utilizando a MIB DATACOM-ROUTER-B-MIB.
O usuário poderá utilizar arquivos de configuração em modo texto criados e disponibilizados previamente em um servidor
TFTP.
É necessário que o equipamento tenha gerência e SNMP configurados previamente. Para maiores detalhes
consultar o capítulo Configurando o protocolo SNMP. Por motivos de segurança, sugerimos utilizar SNMPv3
para estas operações.

A sequência de comandos abaixo é suportada apenas em computadores com sistema operacional Linux.
Importar arquivo de configuração
Suponha que o usuário queira aplicar a configuração cfg-snmp-dm2500 na running-config do equipamento DM2500
com IPv4 172.22.109.30 através do protocolo SNMP usando um servidor TFTP com endereço IPv4 10.0.120.96.
Abaixo a sequencia de comandos para aplicar a configuração do arquivo cfg-snmp-dm2500 na running-config.
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyFile-
Name.0 s cfg-snmp-dm2500
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyServerAd-
dress.0 a 10.0.120.96
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyProto-
col.0 i 1
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyDestFi-
leType.0 i 1
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyInit-
Transfer.0 i 2
snmpget -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyStatus.0
Exportar arquivo de configuração
Utilizando a MIB DATACOM-ROUTER-B-MIB também é possível exportar a startup-config do equipamento utilizando

TFTP, FTP e SFTP. A seguir exemplos de backup utilizando o protocolo SNMP.
É necessário que o equipamento tenha gerência e SNMP configurados previamente. Para maiores detalhes
consultar o capítulo Configurando o protocolo SNMP. Por motivos de segurança, sugerimos utilizar SNMPv3
para estas operações.
A sequência de comandos abaixo é suportada apenas em computadores com sistema operacional Linux.
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyServerAd-
dress.0 a 10.0.120.96
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyProto-
col.0 i 1
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyDestFi-
leType.0 i 2
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyFile-
Name.0 s cfg-snmp-dm2500
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyEx-
port.0 i 2
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyInit-
Transfer.0 i 2
snmpget -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyStatus.0
Para utilizar os protocolos FTP e SFTP é necessário utilizar usuário e senha conforme exemplo.

snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyU-
ser.0 s username
snmpset -v3 -l authPriv -u userv3 -a SHA -A "user1234" -x AES -X "pass1234" 172.22.109.30 rtbConfigCopyPas-
sword.0 s password

DM2500 - Guia de Configuração Rápida 2 Gerenciamento do Equipamento
2 Gerenciamento do Equipamento
Este capítulo irá guiar o usuário para realizar configurações de gerenciamento do equipamento. Este capítulo contém as
seguintes seções:
• Configuração da gerência
• Configuração do Acesso a CLI
• Configuração do hostname
• Configuração do banner
• Configuração do relógio e data do sistema
• Configuração do horário de verão
• Recuperação de senha padrão
2.1 Configuração da gerência
O equipamento pode ser gerenciado através de qualquer interface que possua um endereço IP configurado.
A seguir é descrito como configurar um IP de gerência para estas interfaces.
É possível configurar o gerenciamento do equipamento com endereçamento IPv4 ou IPv6.
O diagrama abaixo representa uma topologia de rede que será utilizada como base nesta sessão.
Configuração da gerência
2.1.1 Gerência exclusiva através da interface física
Este modo de configuração é utilizado em casos em que é possível dedicar uma interface física exclusivamente para a
gerência do equipamento. Por padrão, o endereço IP 192.168.0.25/24 é configurado na interface física eth1.
No procedimento a seguir, é removido o endereço IP padrão da interface e configurado o novo endereço IP 172.24.22.1/24
com gateway 172.24.22.254:

configure
delete interfaces ethernet eth1 address 192.168.0.25/24
set system gateway-address 172.24.22.254
commit
save
2.1.2 Gerência compartilhada através da interface física
Neste modo de configuração, o endereço de gerência é associado à uma VLAN. Desta forma, é possível configurar outras
VLANs com seus respectivos endereços IPs na interface. Por padrão o endereço IP 192.168.0.25/24 é configurado na
interface física eth1.
No procedimento a seguir, é removido o endereço IP padrão da interface e é configurado o novo endereço IP 172.24.22.1/24
e com gateway 172.24.22.254 na VLAN 10:
configure
delete interfaces ethernet eth1 address 192.168.0.25/24
set interfaces ethernet eth1 vif 10 address 172.24.22.1/24
commit
save
2.2 Configuração do Acesso a CLI
O SSH (Secure Shell) e TELNET são protocolos utilizados para acesso ao terminal do equipamento. Ambos vêm habilitados
na configuração de fábrica do equipamento. Recomenda-se desativar o TELNET caso o mesmo não seja utilizado, pois é
um protocolo menos seguro que o SSH.
2.2.1 Configuração do SSH e Telnet
Os próximos passos irão demonstrar como desativar o protocolo TELNET.
configure
delete service telnet
commit
Caso seja necessario é possível alterar as portas e endereços habilitados para acessar os serviços. Suponha que o usuário
queira alterar a porta do TELNET da 23 para a porta 2323. Já para o SSH a porta será alterada da 22 para a porta 2222.
O procedimento descrito abaixo apresentará como realizar estas configurações:
configure
set service telnet port 2323
set service ssh port 2222
commit
Para persistir a configuração após um eventual reboot, o usuário deverá utilizar o comando save após o comando de
commit.

Abaixo os principais comandos disponíveis para realizar a verificação da funcionalidade. Caso o usuário esteja no nível de
configuração, é necessário utilizar a palavra-chave run antes do comando.
show system login users
2.3 Configuração do hostname
Para configurar o hostname DATACOM-ROUTER-R1, utilizar os comandos abaixo:
configure
set system host-name DATACOM-ROUTER-R1
commit
save
2.4 Configuração do banner
A configuração do banner pode ser realizada para pré-login e pós-login.
O conteúdo do banner deve ser informado em uma única linha e demarcado por aspas duplas (””).
É possível criar o banner com várias linhas utilizando o caractere \n para executar a quebra de linha.
O procedimento abaixo informa como configurar o banner pré-login:
configure
set system login banner pre-login "Permitido o acesso apenas de\npessoal
autorizado.\n"
commit
save
O procedimento abaixo informa como configurar o banner pós-login:
configure
set system login banner post-login "Bem-vindo ao DM2500\n"
commit
save
2.5 Configuração do relógio e data do sistema
A configuração do relógio e data é importante para visualização de logs e eventos no equipamento. O usuário pode ajustar
o relógio do sistema manualmente no modo operacional. Este comando não exige commit.

Recomenda-se fazer uso de sincronização de tempo centralizada através do protocolo NTP.
A sintaxe para configurar a data e hora é: Mês|Dia|Hora|Minuto|Ano.
O comando abaixo configura a data e hora para 08/06/2017 15:40.
set system clock 060815402017
Para alterar a timezone para Brazil/East, utilizar o comando abaixo:
configure
set system time-zone Brazil/East
commit
save
Para verificação do horário do equipamento, utilizar o comando show system clock:
show system clock
2.6 Configuração do horário de verão
Quando configurado o timezone para uma localidade especifica, automaticamente é configurado o horário de verão
seguindo o padrão deste timezone. Porém, caso seja necessário alterar o horário de verão, pode-se utilizar os comandos a
seguir:
configure
set system clock summer-time recurring BRST month-to-start 11
set system clock summer-time recurring BRST month-to-end 2
set system clock summer-time recurring BRST time-to-start 00:00
set system clock summer-time recurring BRST time-to-end 00:00
set system clock summer-time recurring BRST week-day-to-start 1
set system clock summer-time recurring BRST week-day-to-end 1
set system clock summer-time recurring BRST week-to-start 1
set system clock summer-time recurring BRST week-to-end 4
commit
save
2.7 Recuperação de senha padrão
Para realizar o reset de senha do usuário admin no DM2500, é necessário acessar o equipamento através do console e
reiniciá-lo. Durante o boot, ao ver a mensagem Hit Ctrl+C to stop autoboot: 3, pressione CTRL+C para acessar o U-Boot.
Será solicitada uma senha.

bsup .............
Stage 1 bootloader
Stage 2 bootloader (Build time: Oct 29 2020 - 14:01:38) (DM2500-0.1-0)
Quad-Core UPC, Core clock: 1500 MHz, IO clock: 600 MHz, DDR clock: 667 MHz (1334 Mhz DDR)
DRAM: 1 GiB
Clearing DRAM...... done
Searching for a valid stage 3 bootloader... Found at first region
Stage 3 bootloader (Build time: May 20 2020 - 15:15:02) (DM2500-0.2-0)
Quad-Core UPC, Core clock: 1500 MHz, IO clock: 600 MHz, DDR clock: 667 MHz (1334 Mhz DDR)
DRAM: 1 GiB
Clearing DRAM...... done
Hit Ctrl+C to stop autoboot: 1
Equipment info: SN 5474034 MAC 70:cd:91:69:80:c4
Password:
Para gerar a senha do U-Boot, é necessário entrar em contato com o Suporte Datacom e informar o número serial e
endereço MAC do equipamento, exibidos durante o boot. Após inserir o password e pressionar ENTER, digite printenv.
Equipment info: SN 5474034 MAC 70:cd:91:69:80:c4

Password: ********
dm2500# printenv
...
octeon_boot=bootoctlinux $loadaddr coremask=$coremask mem=0 console=ttyS0,$baudrate root=$rootfs_dev ro-
otwait rootfstype=sqs
...
dm2500#
Execute o comando abaixo para carregar a configuração de fábrica adicionando o parâmetro dmrestore_cfg no final da
linha.
dm2500# edit octeon_boot
edit: bootoctlinux $loadaddr coremask=$coremask mem=0 console=ttyS0,$baudrate root=$rootfs_dev rootwait ro-
otfstype=squashfs dmrestore_cfg
dm2500#
Verifique se a edição foi realizada com sucesso através do comando printenv.
dm2500# printenv
...
octeon_boot=bootoctlinux $loadaddr coremask=$coremask mem=0 console=ttyS0,$baudrate root=$rootfs_dev ro-
otwait rootfstype=squashfs dmrestore_cfg
...
dm2500#
Execute run bootcmd para carregar a configuração default.
dm2500# run bootcmd

Booting system from second firmware region...
Allocating memory for ELF segment: addr: 0xffffffff80800000 (adjusted to: 0x800000), size 0x1066850
## Loading big-endian Linux kernel with entry point: 0xffffffff80f3bbe0 ...
Bootloader: Done loading app on coremask:
0xf
Starting cores:
0xf
Initializing, please wait...
Offload disabled
Loading configuration
Force default config. Backup to restored-config.bkp. Default config was restored.
dm2500 login:
Utilize usuário e senha admin para fazer login no equipamento.

dm2500 login: admin

Password:
Last login: Tue Feb 8 18:16:14 UTC 2022 on ttyS0
dm2500:~$
Os comandos para alterar a senha de um usuário local podem ser verificados no tópico Alterando a senha padrão.
A última configuração pode ser restaurada conforme exemplo abaixo.
dm2500:~$ configure
l[edit]
[edit]
dm2500# load restored-config.bkp
Loading configuration from ’restored-config.bkp’...
Load complete. Use ’commit’ to make changes active.
[edit]
dm2500# commit
[edit]
dm2500-cpe-client# save
Saving configuration to ’config.boot’...
Done
[edit]
dm2500-cpe-client# exit
exit
dm2500-cpe-client:~$

DM2500 - Guia de Configuração Rápida 3 Gerenciamento de Rede
3 Gerenciamento de Rede
Este capítulo irá guiar o usuário para realizar configurações de gerenciamento de rede. Este capítulo contém as seguintes
seções:
• Configuração do NTP
• Configuração do Syslog
• Configuração do protocolo SNMP
• Razão do último reboot
3.1 Configuração do NTP
O NTP (Network Time Protocol) é o protocolo utilizado para sincronizar o relógio do sistema com um servidor remoto. Esta
configuração é importante para visualização de logs e eventos no equipamento.
O DM2500 pode atuar simultaneamente como servidor (fornece o tempo) e cliente (consulta o tempo).
É possível configurar o NTP com endereçamento IPv4 ou IPv6.
3.1.1 Configurando o cliente NTP
O cenário abaixo será usado para demonstrar a configuração do NTP para atuar como cliente.
Configuração do NTP
Para configurar o DM2500 como cliente de dois servidores NTP com endereços IPv4 172.24.22.201 e 172.24.22.202,
seguir o procedimento a seguir:
configure
set system ntp server 172.24.22.201
commit
save
Após o cliente NTP estar configurado, o roteador também estará atuando como servidor NTP através das interfaces ativas.

Configure o parâmetro prefer para marcar o servidor como preferido. Todos os outros parâmetros de qualidade sendo
iguais, este host será escolhido para sincronização entre um conjunto de hosts operando corretamente.
configure
set system ntp server 172.24.22.202 prefer
commit
save
Os comandos disponíveis para a realização do Troubleshooting podem ser verificados no tópico Verificando
o NTP.
3.1.2 Restrições de acesso do NTP
As restrições de acesso do NTP adicionam regras de acesso no roteador, atuando como um firewall.
A figura abaixo ilustra um cenário com DM2500 sincronizando o relógio a partir de um servidor NTP da Internet e atuando
como servidor NTP com regras de acesso.
Servidor NTP
Suponha que o DM2500 sincronize o relógio através da Internet com o servidor NTP 200.160.7.186 e o administrador deseja
que o roteador atue como servidor NTP apenas para o dispositivo com endereço IP 10.0.120.1 e dispositivos na rede
172.22.108.0/24.
As configurações abaixo irão demonstrar como realizar esse procedimento.
configure
set system ntp access-control rule 1 action ’permit’
set system ntp access-control rule 1 match-group ’1’
set system ntp access-control rule 1 permit ’serve’
set system ntp access-group 1 address ’10.0.120.1’
set system ntp access-control rule 2 action ’permit’
set system ntp access-control rule 2 match-group ’2’
set system ntp access-control rule 2 permit ’serve’
set system ntp access-group 2 address ’172.22.108.0/24’
set system ntp server ’200.160.7.186’
commit
save

Suponha que o administrador deseja que o roteador atue apenas como cliente NTP, não permitindo que ele atue como
servidor. As configurações abaixo irão demonstrar como realizar esse procedimento.
configure
set system ntp access-control default action deny-all
commit
save
o NTP.
3.1.3 Verificando o NTP
Abaixo os principais comandos disponíveis para realizar o Troubleshooting. Caso o usuário esteja no nível de configuração,
é necessário utilizar a palavra-chave run antes do comando.
show ntp
show ntp detail
show ntp <IP Server>
show ntp authentication
show vrf <vrf-name> ntp
show vrf <vrf-name> ntp detail
show vrf <vrf-name> ntp <IP Server>
show vrf <vrf-name> ntp authentication
show system clock
3.2 Configuração do Syslog
De acordo com a RFC5424, o protocolo Syslog é usado para transportar mensagens de notificação de eventos. O Syslog
é usado por dispositivos de rede para enviar mensagens de eventos para um servidor externo, geralmente chamado
de Syslog Server. Por exemplo, se uma interface Ethernet for desativada, uma mensagem será enviada para o servidor
externo configurado para alertar esta mudança. Esta configuração é importante para visualização de logs e eventos dos
equipamentos da rede de forma centralizada. O DM2500 não trabalha com a severidade dos logs, neste caso todos os logs
serão enviados para o servidor.
É possível configurar o Syslog Remoto com endereçamento IPv4 ou IPv6.
O cenário abaixo será usado para demonstrar a configuração de um servidor de Syslog remoto.

Configuração do Syslog Remoto
O procedimento a seguir demonstra como configurar o DM2500 como cliente de um servidor Syslog remoto com endereço
IPv4 10.1.100.7
configure
set system syslog host 10.1.100.7
commit
save
o Syslog.
3.2.1 Verificando o Syslog
show configuration | match syslog

show log
show log tail
clear log
3.3 Configuração do protocolo SNMP
O SNMP é um protocolo que auxilia administradores de rede a gerenciar dispositivos e solucionar problemas na rede.
O protocolo SNMP possui três versões
Comando Descrição
Versão original do SNMP, não possui nenhum tipo de segurança, pois é

SNMPv1
utilizada uma community, enviada em texto simples, para autenticação.
Versão desenvolvida para corrigir alguns dos problemas da v1, porém a

SNMPv2 segurança ainda é um problema porque utiliza communities em texto
simples.

Comando Descrição
Suporta segurança e autenticação SHA e MD5, além de suportar cripto-

SNMPv3 grafia dos pacotes com DES ou AES. Recomenda-se utilizar-la, especial-
mente em redes não confiáveis.
É possível configurar o SNMP com endereçamento IPv4 ou IPv6.
O cenário abaixo será usado para demonstrar a configuração do protocolo SNMP.
Configuração do protocolo SNMP
3.3.1 Configurando o SNMPv2
Para habilitar o protocolo SNMPv2 com community private para leitura ou escrita (rw) e enviar traps para o servidor
172.22.1.252, seguir o procedimento a seguir:
configure
set service snmp community private authorization rw
set service snmp trap-target 172.22.1.252
commit
save
o SNMP.
3.3.2 Configurando o SNMPv3
O SNMP trabalha em árvore, por este motivo a view mostra a partir de qual ramo da árvore será possível
consultar os OIDs. Por exemplo: Caso seja configurado root(1).iso(3).org(6).internet(1) todos os OIDs
que iniciam com 1.3.6.1 estarão acessíveis para serem consultados, ou seja, todos OIDs suportados pelo
equipamento.

No exemplo a seguir, é demonstrado a configuração de SNMPv3 com criptografia dos pacotes utilizando AES e usuário
userv3 mais senha user1234 criptografados utilizando SHA. As views configuradas permitem somente as consultas da
IF-MIB (1.3.6.1.2.1.2.2.1) e SysName (1.3.6.1.2.1.1.5.0). As traps serão enviadas para o servidor 172.22.1.252.
configure
set service snmp v3 engineid ’0x80001f8880243d9cbd000000005e5d04ce’
set service snmp v3 user userv3 mode ro
set service snmp v3 user userv3 auth plaintext-key user1234
set service snmp v3 user userv3 auth type ’sha’
set service snmp v3 user userv3 privacy plaintext-key pass1234
set service snmp v3 user userv3 privacy type ’aes’
set service snmp v3 view OidView oid 1.3.6.1.2.1.1.5.0
set service snmp v3 view OidView oid 1.3.6.1.2.1.2.2.1
set service snmp v3 group ReadOnlyGroupAuthPriv seclevel priv
set service snmp v3 group ReadOnlyGroupAuthPriv mode ro
set service snmp v3 group ReadOnlyGroupAuthPriv view OidView
set service snmp v3 user userv3 engineid ’0x80001f8880243d9cbd000000005e5d04ce’
set service snmp v3 user userv3 group ReadOnlyGroupAuthPriv
set service snmp v3 trap-target 172.22.1.252 auth plaintext-key ’user1234’
set service snmp v3 trap-target 172.22.1.252 auth type ’sha’
set service snmp v3 trap-target 172.22.1.252 engineid ’23’
set service snmp v3 trap-target 172.22.1.252 user ’userv3’
commit
save
o SNMP.
3.3.3 SNMP Traps
O agente SNMP também tem a função de gerar alertas (Traps). Para envio das Traps é necessário habilitá-las em pelo
menos um grupo como demonstrado a seguir.
configure
set service snmp trap-enable config
set service snmp trap-enable cpu-core
set service snmp trap-enable cpu-overall
set service snmp trap-enable dying-gasp
set service snmp trap-enable link-up
set service snmp trap-enable link-down
set service snmp trap-enable login
set service snmp trap-enable memory
set service snmp trap-enable temperature
commit
save
o SNMP.
3.3.4 Verificando o SNMP

show configuration | match snmp
3.4 Razão do último reboot
O DM2500 informa a última razão do reboot. Esta informação é notificada através do SNMP, CLI e log do sistema.
3.4.1 Verificando a razão do último reboot
Para verificar a última razão do reboot na CLI, basta executar o comando abaixo:
show system reboot
A informação da última razão do reboot via SNMP pode ser consultada através da MIB DMOS-REBOOT-MIB no objeto
rebootReason.
O exemplo abaixo mostra que o último reboot ocorreu devido a atualização de firmware.
DMOS-REBOOT-MIB::rebootReason.0 = STRING: firmware upgrade

DM2500 - Guia de Configuração Rápida 4 Ferramentas de Conectividade
4 Ferramentas de Conectividade
O DM2500 fornece algumas ferramentas para executar a verificação da conectividade de rede bem como acessar
equipamentos a partir do próprio DM2500.
O usuário deve usar a palavra-chave run antes do comando caso estiver no modo de configuração.
• Ping e Ping6
• Traceroute e Traceroute6
• SSH Client e Telnet Client
• Configuração do Source Address
• Wake on Lan (Wol)
4.1 Ping e Ping6
O comando ping é um método comum para verificar a conectividade do equipamento com os demais ou para testar algum
protocolo específico.
Para executar um ping com endereçamento IPv4, seguir o procedimento abaixo:
ping 5.178.41.1
PING 5.178.41.1 (5.178.41.1) 56(84) bytes of data.
64 bytes from 5.178.41.1: icmp_seq=1 ttl=61 time=2.15 ms
--- 5.178.41.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.065/2.139/2.272/0.074 ms
Para executar um ping com endereçamento IPv6, seguir o procedimento abaixo:
ping6 2002:c0a8:fe05::6
PING 2002:c0a8:fe05::6(2002:c0a8:fe05::6) 56 data bytes
64 bytes from 2002:c0a8:fe05::6: icmp_seq=1 ttl=62 time=7.94 ms
--- 2002:c0a8:fe05::6 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 4.664/5.903/7.948/1.274 ms

4.2 Traceroute e Traceroute6
O comando traceroute é um método para realizar o diagnóstico da rede informando a conectividade salto a salto
(hop-by-hop) por onde o pacote está passando até o destino final.
Para executar um traceroute com endereçamento IPv4, seguir o procedimento abaixo:
traceroute 5.178.41.1
traceroute to 5.178.41.1 (5.178.41.1), 30 hops max, 38 byte packets
1 192.168.48.3 (192.168.48.3) 2.029 ms 4.345 ms 1.751 ms
2 192.168.48.1 (192.168.48.1) 2.842 ms 2.488 ms 3.226 ms
3 192.168.254.22 (192.168.254.22) 3.582 ms 3.403 ms 3.622 ms
4 192.168.84.22 (192.168.84.22) 2.306 ms 1.802 ms 2.264 ms
5 5.178.41.1 (5.178.41.1) 2.219 ms 1.651 ms 54.376 ms
Pode-se especificar um endereço IP como origem dos pacotes utilizando o parâmetro source-address, conforme o
exemplo a seguir.
traceroute 5.178.41.1 source-address 172.22.103.240
Para executar um traceroute com endereçamento IPv6, seguir o procedimento abaixo:
traceroute6 2002:c0a8:fe05::6
traceroute to 2002:c0a8:fe05::6 (2002:c0a8:fe05::6) from 1997::c0a8:3002,
30 hops max, 16 byte packets
1 1997::c0a8:3001 (1997::c0a8:3001) 13.877 ms 2.298 ms 2.249 ms
2 2001::c0a8:3001 (2001::c0a8:3001) 3.64 ms 2.969 ms 2.869 ms
3 2002:c0a8:fe05::6 (2002:c0a8:fe05::6) 4.444 ms 3.624 ms 5.787 ms
Pode-se especificar um endereço IPv6 como origem dos pacotes utilizando o parâmetro source-address, conforme o
exemplo a seguir.
traceroute 2002:c0a8:fe05::6 source-address 2020:ffff:ac16::67f0
4.3 SSH Client e Telnet Client
É possível acessar outros equipamentos através dos protocolos SSH e TELNET a partir de um equipamento com DM2500.
Para acessar um equipamento com endereço IPv4 192.168.1.254através do SSH ,o usuário deve usar o comando abaixo,
especificando o usuário a ser autenticado, neste exemplo, o usuário admin:
ssh [email protected]
Pode-se especificar um endereço IP como origem da conexão utilizando o parâmetro source-address, conforme o
exemplo a seguir.
ssh [email protected] source-address 172.22.103.240
Para acessar um equipamento com endereço IPv4 192.168.1.254 através do TELNET o usuário deve usar o comando
abaixo:

telnet 192.168.1.254
4.4 Configuração do Source Address
É possível especificar um endereço IP na configuração global a qual será utilizado como endereço de origem para os
pacotes gerados pelas aplicações configuradas.
O roteador irá utilizar o endereço IP da configuração mais específica como precedência para o source-
address, logo se um comando for executado ou algum protocolo for configurado com o parâmetro de
source-address, a requisição será enviada com o endereço IP específico.
configure
set system ip source-address-global ’172.22.37.1/32’
set system ipv6 source-address-global ’2001:db8:37::1/128’
commit
Outra forma de configuração possível é especificar o endereço de origem que será utilizado por determinada aplicação.
Configuração IPv4.
configure
set system ip source-address copy-files ’172.22.37.1/32’
set system ip source-address dhcp-relay ’172.22.37.1/32’
set system ip source-address fw-upgrade ’172.22.37.1/32’
set system ip source-address ntp ’172.22.37.1/32’
set system ip source-address ssh ’172.22.37.1/32’
set system ip source-address telnet ’172.22.37.1/32’
set system ip source-address traceroute ’172.22.37.1/32’
commit
Configuração IPv6.
configure
set system ipv6 source-address copy-files ’2001:db8:37::1/128’
set system ipv6 source-address fw-upgrade ’2001:db8:37::1/128’
set system ipv6 source-address ntp ’2001:db8:37::1/128’
set system ipv6 source-address ssh ’2001:db8:37::1/128’
set system ipv6 source-address telnet ’2001:db8:37::1/128’
set system ipv6 source-address traceroute ’2001:db8:37::1/128’
commit
Para persistir a configuração após reboot, o usuário deverá utilizar o comando save no modo de configuração.
Abaixo o principal comando disponível para realizar a verificação do source-address. Caso o usuário esteja no nível de
show configuration | match source-address
Pode-se especificar um endereço IP como origem da conexão utilizando o parâmetro source-address, conforme o
exemplo a seguir.
telnet 192.168.1.254 source-address 172.22.103.240

4.5 Wake on Lan (Wol)
A função Wake on Lan é utilizada para ligar ou reativar um host em estado de suspensão através do envio de informações
pela interface de rede. O dispositivo deverá ter suporte a esta funcionalidade, portanto a configuração pode mudar de
acordo com o host.
Wake on Lan
Seu funcionamento é bem simples, onde basicamente é enviado um pacote com destino a interface e MAC do host.
wake-on-lan interface eth4 host 50:e5:49:00:04:df

DM2500 - Guia de Configuração Rápida 5 OAM
5 OAM
Este capítulo exibe um grupo de funcionalidades de Operação, Administração e Manutenção (OAM) de rede que fornecem
indicação de falha de rede, localização de falhas, informações de desempenho e funções de dados e diagnóstico. Ele
contém as seguintes seções:
• Configuração do NetFlow/IPFIX
• Macros e Watch
• Configuração do TWAMP
• Tcpdump
• Dump
• Show tech-support
• Monitor Bandwidth Test
5.1 Configuração do NetFlow/IPFIX
O serviço de Monitoramento de fluxo permite coletar informações de fluxos IP. O Roteador suporta as versões 5, 9 e 10 do
NetFlow, onde a última também é conhecida como IPFIX (IP Flow Information Export) que está baseado no padrão IETF
(Internet Engineering Task Force). Este padrão define como as informações do fluxo IP são formatadas e transferidas do
exportador para o coletor, coletando informações de fluxos IPv4, conforme mostrado na seguinte figura. O exportador
coleta periodicamente informações sobre pacotes que fluem através do roteador para um registro do fluxo. Então, o
exportador envia o registro em um pacote UDP para o coletor.
Cenário NetFlow/IPFIX
Suponha que o usuário queira monitorar o fluxo das interfaces eth1 e eth2 e deseja encaminhar esta coleta para o servidor
10.0.120.102 através da porta 4739 utilzando a versão 10 do Netflow. O procedimento a seguir apresentará como realizar
esta configuração:

configure
set service netflow destination 10.0.120.102 port ’4739’
set service netflow version ’10’
set service netflow interface ’eth1’
ser service netflow interface ’eth2’
commit
commit.
Ao configurar NetFlow/IPFIX é possível fornecer uma amostragem determinística ou aleatória para um subconjunto de
tráfego selecionando apenas um pacote em um conjunto de pacotes de forma sequencial (n é um parâmetro configurável
pelo usuário). Diz-se que a amostragem é determinística se o usuário definir a taxa de amostragem para 1 em cada 100
pacotes, neste ponto o NetFlow/IPFIX examinará os pacotes 1, 101, 201, 301 e assim por diante. No modo de amostragem
aleatória, os pacotes de entrada são selecionados aleatoriamente para que um em cada n-pacotes sequencias seja
selecionado em média para seu processamento.
configure
! Amostragem 1 em 100 pacotes
set service netflow sampling-rate 100
! Modo da amostragem
set service netflow sampling-rate 100 mode deterministic
commit
o NetFlow/IPFIX.
5.1.1 Verificando o NetFlow/IPFIX
show netflow configuration

show netflow export
show netflow interfaces
show netflow stats
show vrf <vrf-name> netflow configuration
show vrf <vrf-name> netflow export
show vrf <vrf-name> netflow interfaces
show vrf <vrf-name> netflow stats
5.2 Macros e Watch
Este capítulo apresenta ferramentas do DM2500 para automação na execução de tarefas, bem como a possibilidade de
criar scripts de execução automática com base no status das funcionalidades do DM2500.

5.2.1 Macro
Macros são conjuntos de comandos do CLI que podem ser executados pelo usuário ou através da funcionalidade Watch do
DM2500. As ações de macro são executadas em ordem, como se fossem digitadas ou executadas pelo operador.
O exemplo abaixo cria uma macro para configurar o servidor NTP:
set system macro 1 action 1 cli ’configure’

set system macro 1 action 2 cli ’set system ntp server 172.22.107.2’
set system macro 1 action 3 cli ’commit’
commit
Para executar a macro que configura o servidor NTP deve ser utilizado o comando abaixo:
system execute macro 1
o Macro.
5.2.2 Verificando o Macro
show configuration | match macro
5.2.3 Watch
O Watch é uma funcionalidade que permite ao DM2500 tomar decisões (execuções de macros) com base na saída de
comandos do CLI. O Watch atua como um operador que executa comandos no equipamento em intervalos predefinidos e
a partir da saída desses comandos, executa determinadas ações de forma proativa.
O exemplo abaixo executa um PING para um IPv4 a cada 10 segundos, procura a expressão 0 received no retorno do
comando e registra logs com o resultado desta operação.
set system watch 1 cli ’ping 10.0.120.96 count 1’

set system watch 1 interval ’10’
set system watch 1 match 1 regex ’0 received’
set system watch 1 ’log’
set system watch 1 ’enabled’
commit
o Watch.

5.2.4 Executando uma ação com Watch
Após ter uma Macro definida, é possível executá-la via Watch. Os passos abaixo irão demonstrar uma aplicação com
execução via Watch.
No exemplo abaixo o Watch irá monitorar o status do VRRP na interface eth5 e alterar o hostname do equipamento para
MASTER-ROUTER ou BACKUP-ROUTER com base no status do VRRP.
Configuração das Macros:

set system macro 9 action 2 cli ’set system host-name MASTER-ROUTER’
set system macro 10 action 2 cli ’set system host-name BACKUP-ROUTER’
commit
Configuração do Watch:
set system watch 1 cli ’show vrrp interface eth5 group 1’

set system watch 1 ’log’
set system watch 1 match 1 regex ’MASTER’
set system watch 1 match 1 execute macro ’9’
set system watch 1 match 1 else execute macro ’10’
commit
A cada 10 segundos o equipamento irá executar o comando show vrrp interface eth5 e irá procurar pela palavra chave
MASTER. Caso a palavra chave seja encontrada, a macro 9 será executada, caso contrário, a macro 10 será executada.
o Watch.
5.2.5 Verificando o Watch
show configuration | match watch

show log watch
5.3 Configuração do TWAMP
O protocolo TWAMP (Two-Way Active Measurement Protocol) mede parâmetros de desempenho da rede, sendo eles:
latência, variação de latência (jitter) e perda de pacotes. A implementação do servidor TWAMP é baseada nas especificações
descritas na RFC 5357.
A arquitetura da solução de servidor no TWAMP possui os seguintes componentes lógicos:

• Session Reflector: Adiciona informações aos pacotes de teste recebidos e os envia de volta.
• Server: Gerencia várias sessões do TWAMP.
A arquitetura da solução de cliente no TWAMP possui os seguintes componentes lógicos:
• Session Sender: Cria e envia pacotes de teste TWAMP para o Session Reflector.
• Control Client: Envia solicitações ao servidor TWAMP para estabelecer novas sessões.
Arquitetura do TWAMP
O TWAMP no DM2500 possui algumas restrições conforme indicado abaixo:
• São suportadas até 10 sessões de monitoramento.
• Não há suporte a autenticação/criptografia.
• O reflector é capaz de escutar uma única porta de controle de cada vez.
O cenário abaixo será usado para demonstrar a configuração do TWAMP.
Cenário TWAMP
5.3.1 Configurando o TWAMP Reflector
Suponha que o usuário queira configurar um Sender e Reflector se comunicando através da porta 15000 (default é 862). O
procedimento a seguir apresentará como realizar esta configuração:

configure
set service twamp reflector port 15000
commit
o Twamp.
5.3.2 Configurando o TWAMP Sender
configure
set service twamp sender session 1 port 15000
set service twamp sender session 1 destination-ip 20.20.20.250
set service twamp sender session 1 source-ip 10.10.10.250
set service twamp sender session 1 time-interval 10
set service twamp sender session 1 session-duration 120
set service twamp sender session 1 packet-size 1280
set service twamp sender session 1 enable
commit
No sender é possível configurar a opção para ter medições de forma unidirecionais
configure
set service twamp sender session 1 one-way-results
commit
commit.
É possível configurar TWAMP tanto Sender como Reflector com suporte a IPv6, o que muda na configuração
são os endereços que ao invés de ser IPv4 serão IPv6.
o Twamp.
5.3.3 Configurando o TWAMP atrás de NAT
Os campos source-ip e destination-ip contêm, respectivamente, os endereços do remetente e do destinatário dos endpoints
do caminho da LAN sobre o qual uma sessão de teste TWAMP é solicitada. Eles podem ser definidos como 0 (zero-address),
onde os endereços IP usados para de troca de mensagens, source-ip ou destination-ip, esteja atrás de NAT.
O cenário abaixo será usado para demonstrar a configuração do TWAMP Sender atrás de NAT.

Cenário Control-Client atrás de NAT
TWAMP Control-Client
configure
set service twamp sender session 1 zero-address enable
commit
Caso o TWAMP Reflector esteja atrás de NAT como no cenário abaixo, o endereço de destino do é alterado para o IP da WAN
do DM2500.
Cenário Server TWAMP-Control atrás de NAT
TWAMP Control-Client
configure
set service twamp sender session 1 zero-address enable
commit
Os comandos disponíveis para a configuração de NAT podem ser verificados no tópico Configuração do NAT.

o Twamp.
5.3.4 IP SLA Object Tracking
O TWAMP pode atuar como monitor da rede e gerar informações da qualidade do caminho entre um ou mais roteadores.
Em conjunto com as funcionalidades Macros e Watch, é possível criar uma aplicação para atuar como IP SLA na rede.
Cenário TWAMP IP SLA
Dado o cenário da figura acima, imagine que o administrador de rede queira monitorar a latência dos pacotes da rede
entre o R1 e R2, e da rede entre R1 e R3. Para isso serão configuradas duas sessões do TWAMP entre o R1 e R2 e entre R1 e R3.
Configuração do roteador 1:
set service twamp sender session 1 ’enable’

set service twamp sender session 1 session-duration ’10’
set service twamp sender session 1 time-interval ’10’
set service twamp sender session 1 source-ip ’25.12.0.1’
set service twamp sender session 1 destination-ip ’25.12.0.2’
set service twamp sender session 2 ’enable’
set service twamp sender session 2 session-duration ’10’
set service twamp sender session 2 time-interval ’10’
set service twamp sender session 2 source-ip ’25.13.0.1’
set service twamp sender session 2 destination-ip ’25.13.0.3’
commit
No R2 e R3 basta habilitar o reflector que irá passar a refletir os pacotes de volta para o R1:
set service twamp reflector

commit
Para verificar o funcionamento do TWAMP no R1, deve-se usar os seguintes comandos:
show twamp sender session 1

show twamp sender session 2
o Twamp.

5.3.5 TWAMP Comparator
Dado o cenário anterior onde o R1 com IP 33.33.33.31 pode alcançar o R4 com IP 33.33.33.34 por dois caminhos, um
passando pelo R2 e o outro passando pelo R3. Se o R1 estiver rodando o TWAMP monitorando os caminhos R1, R2 e R1,
R3, o Watch pode forçar o tráfego do IP 33.33.33.31 passar através do melhor caminho de acordo com os resultados e
métricas do TWAMP.
Para simplificar as regras do Watch é possível configurar comparadores de sessão do TWAMP no R1:
! Habilita o comparador 1 para as sessões 1 e 2 do TWAMP

set service twamp sender comparator 1 sessions ’1’
set service twamp sender comparator 1 sessions ’2’
! Atribui peso 100 (máximo) para perda de pacotes
set service twamp sender comparator 1 weights loss ’100’
! Atribui peso 10 para delays
set service twamp sender comparator 1 weights max-delay ’10’
commit
A configuração do parâmetro weights serve para priorizar os parâmetros comparados.
O comparador busca os resultados da sessão do TWAMP 1 e 2 e retorna a melhor (Best session):
show twamp sender comparator 1

Session 1
Status: Enabled/Running
Test: 4151
Max delay: 0.29 ms
Avg delay: 0.21 ms
Max jitter: 0.12 ms
Avg jitter: 0.02 ms
Loss ratio: 0.000000 % (weight: 100)
Calculated weight: 100
Session 2
Status: Enabled/Running
Test: 4170
Max delay: 0.27 ms (weight: 10)
Avg delay: 0.21 ms
Max jitter: 0.07 ms
Avg jitter: 0.03 ms
Loss ratio: 0.000000 % (weight: 100)
Calculated weight: 110
Best session: 2
Com o TWAMP configurado e funcionando juntamente com o comparador de sessões, os comandos para configurar o
Watch são:
set system watch 1 cli ’show twamp sender comparator 1’
! Se encontrar ’Best session: 2’ executa macro 2
set system watch 1 match 1 regex ’Best session: 2’
! Se encontrar ’Best session: 1’ executa macro 1
set system watch 1 match 2 regex ’Best session: 1’
commit
A cada 10 segundos o equipamento irá executar o comando show twamp sender comparator 1 e irá procurar por Best
session: 2 ou Best session: 1 tomando uma ação de acordo.

A ação para forçar o tráfego do R1 passar através do melhor caminho a partir dos dados e métricas dos resultados do
TWAMP, será alterar a métrica da rota de destino para o R1 alcançar o R2, utilizando Macros.
Configuração das Macros que serão usadas para configurar as rotas estáticas no R1.
! Configura rota para o caminho R1, R2 e R4:

set system macro 1 action 2 cli ’set protocols static route 33.33.33.4/32 next-hop 25.12.0.2 distance 1’
! Configura rota para o caminho R1, R3 e R4:
commit
o Twamp.
5.3.6 Verificando o Twamp
show twamp reflector

show twamp reflector clients
show twamp sender session [ <1-10> ]
show twamp sender session [ <1-10> ] details
show twamp sender session [ <1-10> ] details two-way
show twamp sender session [ <1-10> ] details far-end
show twamp sender session [ <1-10> ] details near-end
show twamp debug [ all | tail [ <number> ] ]
show vrf <vrf-name> twamp reflector
show vrf <vrf-name> twamp reflector clients
show vrf <vrf-name> twamp sender session [ <1-10> ]
show vrf <vrf-name> twamp sender session [ <1-10> ] details
show vrf <vrf-name> twamp sender session [ <1-10> ] details two-way
show vrf <vrf-name> twamp sender session [ <1-10> ] details far-end
show vrf <vrf-name> twamp sender session [ <1-10> ] details near-end
show vrf <vrf-name> twamp debug [ all | tail [ <number> ] ]
5.4 Tcpdump
O tcpdump é um recurso de captura de pacotes que permite aos administradores de rede capturar pacotes recebidos
e/ou enviados pelo equipamento e analisá-los localmente ou salvá-los e exportá-los para análise off-line usando uma
ferramenta como o Wireshark. Para ativar e capturar pacotes, use o comando debug tcpdump no modo de usuário.
dm2500:~$ debug tcpdump interface <interface> save-to-file count 100
A captura gerada será salva no arquivo capture.pcap e exportá-la para um servidor TFTP o usuário deverá utilizar o
seguinte comando:

dm2500:~$ copy tcpdump-capture to tftp://172.22.107.11
5.5 Dump
O comando dump é uma ferramenta de diagnóstico que gera um arquivo criptografado solicitado pelo suporte da
DATACOM quando o usuário abre um chamado.
O comando dump deve ser utilizado no modo usuário.
dm2500:~$ dump
O comando irá gerar um arquivo binário com a data e hora do dia, e o usuário pode exportá-lo para um servidor TFTP.
DM2500:~$ copy dump ?

Possible completions:
dump_20181106092150.bin Copy from local dump file
DM2500:~$ copy dump dump_20181106092150.bin to tftp://172.22.107.11
######################################################################## 100.0%
5.6 Show tech-support
O comando show tech-support é uma ferramenta de diagnóstico que fornece uma série de informações importantes para
depurar problemas que ocorrem na operação do equipamento.
O comando show tech-support deve ser utilizado no modo usuário.
dm2500:~$ show tech-support
Os comandos de show a seguir são executados automaticamente através do comando show tech-support.
show firmware
show inventory
show environment
show psu
show config tree
show log dhcp
5.7 Monitor Bandwidth Test
A funcionalidade monitor bandwidth-test é uma ferramenta de diagnóstico que permite testar o throughput entre o
cliente e o servidor utilizando o Iperf3. O DM2500 suporta os modos cliente e servidor utilizando endereços IPv4 e IPv6.
5.7.1 Configurando o modo servidor

A porta TCP 5201 é utilizada no modo servidor.
Somente é suportado o teste Throughput TCP.
O servidor suporta conexões IPv4 e IPv6.
Configurando para o DM2500 ficar aguardando a conexão do cliente Iperf:
monitor bandwidth-test accept
Configurando para o DM2500 ficar aguardando a conexão do cliente Iperf na VRF:
monitor bandwidth-test vrf <vrf_name> accept
5.7.2 Configurando o modo cliente
O cliente suporta conexões IPv4 e IPv6.
Configurando para o DM2500 se conectar ao servidor Iperf:
monitor bandwidth-test initiate <ip_address>
Configurando para o DM2500 se conectar ao servidor Iperf na VRF:
monitor bandwidth-test vrf <vrf_name> initiate <ip_address>

DM2500 - Guia de Configuração Rápida 6 Autenticação de Usuários
6 Autenticação de Usuários
Apenas uma conta de usuário é configurada por padrão no DM2500. O usuário é o admin com senha admin e possui nível
de privilégio admin.
• Alterando a senha padrão
• Configuração dos Usuários Locais
• Configuração do TACACS+
• Configuração do RADIUS
6.1 Alterando a senha padrão
Por razões de segurança é altamente recomendado modificar a senha padrão do equipamento.
Para alterar a senha padrão do usuário admin, seguir os passos abaixo:
configure
set system login user admin authentication plaintext-password new-password
commit
commit.
6.2 Configuração dos Usuários Locais
Os próximos passos irão demonstrar como configurar um novo usuário chamado “joao” com senha “joao1234” e
privilégios de administrador “admin”.
configure
set system login user joao authentication plaintext-password joao1234
set system login user joao level ’admin’
commit
Também é possível criar usuários locais utilizando letras maiúsculas.
configure
set system login user Joao authentication plaintext-password 1234joao
set system login user Joao level ’admin’
set system login user JOAO authentication plaintext-password jo1234ao
set system login user JOAO level ’admin’
commit
Os próximos passos irão demonstrar como deletar o usuário “joao”.

configure
delete system login user joao
commit
commit.
Abaixo os principais comandos disponíveis para realizar a verificação da funcionalidade. O usuário deve usar a palavra-
chave run antes do comando caso estiver no modo de configuração.
show system login user
6.3 Configuração do TACACS+
O TACACS+ (Terminal Access Controller Access-Control System) é um protocolo baseado no modelo AAA (Authentication,
Authorization and Accounting) que fornece os serviços de autenticação, autorização e auditoria de forma segura com
criptografia do pacote inteiro. Esta criptografia depende de uma chave secreta compartilhada em cada dispositivo. São
suportados os modos de autenticação PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication
Protocol) e ASCII (American Standard Code for Information Interchange).
O cenário abaixo será usado para demonstrar a configuração do TACACS+.
Cenário do TACACS+
Para configurar o TACACS+, o usuário deve especificar o endereço do servidor e a chave secreta a ser usada para autenticar
os usuários. É recomendável escrever a chave secreta entre aspas simples para permitir utilizar caracteres especiais.
Suponha que o usuário queira configurar a autenticação tipo ascii, autorização e contabilidade com dois servidores
TACACS+, um IPv4 e outro IPv6. O servidor IPv4 possui o endereço 10.1.100.7 e o servidor IPv6 o endereço 2019:1234::1,
ambos com a chave secreta pass1234.
O servidor TACACS+ IPv4 terá prioridade de autenticação sobre o servidor TACACS+ IPv6, caso os dois sejam
configurados.
O procedimento a seguir apresentará como realizar esta configuração:

configure
set system login tacplus-server host 10.1.100.7 secret ’pass1234’
set system login tacplus-server host 2019:1234::1 secret ’pass1234’
set system login tacplus-server authentication-type ’ascii’
set system login tacplus-server authorization
set system login tacplus-server accounting
commit
Após realizar esta configuração, a autenticação ocorrerá na base do TACACS+. Se a autenticação no servidor TACACS+
falhar, a autenticação ocorrerá na base local.
commit.
O timeout default do TACACS+ é de 2 segundos para alterar para o próximo modo de autenticação ou para o próximo
servidor TACACS+ configurado. Caso o usuário deseje é possível alterar este valor utilizando os comandos a seguir:
configure
set system login tacplus-server timeout 1
commit
Não é permitido configurar servidores RADIUS e TACACS+ simultaneamente.
commit.
o TACACS+.
6.3.1 Verificando o TACACS+
show tacacs
show log tacacs
show vrf <vrf-name> tacacs
6.4 Configuração do RADIUS
O RADIUS (Remote Authentication Dial In User Service) é um protocolo cliente-servidor que protege as redes contra acesso
não autorizado e é baseado no modelo AAA que fornece os serviços de autenticação, autorização e contabilidade. Os
clientes RADIUS neste caso os DM2500 enviam solicitações de autenticação para um servidor RADIUS central que contém
todas as informações de autenticação do usuário e de acesso ao serviço de rede.

O cenário abaixo será usado para demonstrar a configuração do RADIUS.
Cenário do RADIUS
Não é possível configurar o RADIUS com endereçamento IPv6.
Para configurar o RADIUS, o usuário deve especificar o endereço do servidor e a chave secreta a ser usada para autenticar
os usuários. É recomendavel escrever a chave secreta entre aspas simples para permitir utilizar caracteres especiais.
Suponha que o usuário queira configurar a autenticação, autorização e contabilidade com dois servidores RADIUS que
possuem IPv4 192.168.1.1 e 172.22.107.4, ambos com a chave secreta pass1234. O procedimento a seguir apresentará como
realizar esta configuração:
configure
set system login radius-server host 192.168.1.1 port ’1812’
set system login radius-server host 192.168.1.1 secret ’pass1234’
set system login radius-server host 192.168.1.1 timeout ’2’
set system login radius-server host 172.22.107.4 port ’1812’
set system login radius-server host 172.22.107.4 secret ’pass1234’
set system login radius-server host 172.22.107.4 timeout ’2’
commit
Não é permitido configurar servidores RADIUS e TACACS+ simultaneamente.
commit.
o RADIUS.

6.4.1 Verificando o RADIUS
show radius
show log radius
show vrf <vrf-name> radius

DM2500 - Guia de Configuração Rápida 7 Interfaces
7 Interfaces
Este capítulo apresentará como configurar as interfaces disponíveis no equipamento.
Ao definir mais de um endereço IPv4/IPv6 na interface recomenda-se, usar o parâmetro address-secondary.

Caso contrario o endereço primário (endereço que foi definido com o parâmetro address) será sobrescrito.
• Configuração das Interfaces Ethernet
• Configuração das Interfaces Loopback
• Configuração das Interfaces Bridge
• Configuração das Interfaces Bonding (LAG)
7.1 Configuração das Interfaces Ethernet
Por padrão, todas as interfaces Ethernet estão desativadas, exceto a interface eth1, que possui o IP de
gerência na configuração padrão.
Para ativar administrativamente uma interface ethernet, o usuário deve utilizar o procedimento abaixo.
configure
delete interfaces ethernet eth2 disable
commit
Para desativar administrativamente uma interface ethernet, o usuário deve utilizar o procedimento abaixo.
configure
set interfaces ethernet eth2 disable
commit
Interfaces que não estão configuradas ficam desativadas e não aparecem no show configuration. É possível remover a
configuração inteira de uma interface ethernet através do seguinte procedimento:
configure
delete interfaces ethernet eth2
commit
as Interfaces Ethernet.

7.1.1 Configurando o speed e duplex
No DM2500 todas as interfaces ethernet possuem o modo auto-negociado habilitado por padrão. Nesse modo ocorre a
negociação do speed e duplex da interface de modo automático, levando em consideração o link remoto.
É possível alterar a configuração da interface para trabalhar no modo forçado. O procedimento abaixo exibe como
configurar uma interface para trabalhar no modo forçado com velocidade de 100 Mbps full-duplex.
Ambos os lados do link (local e remoto) devem estar configurados da mesma forma.
configure
set interfaces ethernet eth7 speed 100
set interfaces ethernet eth7 duplex full
commit
Seguindo o exemplo acima, caso a interface utilize um link ótico deve-se utilizar o parâmetro 100fx.
configure
set interfaces ethernet eth7 speed 100fx
set interfaces ethernet eth7 duplex full
commit
commit.
as Interfaces Ethernet.
7.1.2 Verificando as Interfaces Ethernet
show interfaces ethernet

show interfaces ethernet detail
show interfaces counters
show vrf <vrf-name> interfaces ethernet
show vrf <vrf-name> interfaces ethernet detail
show vrf <vrf-name> interfaces counters
show interfaces utilization bandwidth
show interfaces utilization packets
7.2 Configuração das Interfaces Loopback
Uma interface de loopback é uma interface especial somente de software que emula uma interface física e permite que o
roteador “conecte-se” a si mesmo. Os pacotes roteados para a interface de loopback são roteados novamente para o

roteador e processados localmente. Os pacotes roteados pela interface de loopback, mas não destinados à interface de
loopback, são descartados.
É possível configurar até quatro interfaces loopback (lo1 até lo4)
Suponha que o usuário queira criar duas interfaces loopback a lo1 e a lo2 com endereços IPv4 e IPv6. O procedimento a
seguir demonstra como realizar esta configuração.
configure
set interfaces loopback lo1 address 192.168.255.105/32
set interfaces loopback lo1 address-secondary 192.168.254.105/32
set interfaces loopback lo2 address 2400:c0ca:beef::1/64
commit
commit.
as Interfaces Loopback.
7.2.1 Verificando as Interfaces Loopback
show interfaces
show interfaces loopback
show vrf <vrf-name> interfaces loopback
show vrf <vrf-name> interfaces loopback detail
7.3 Configuração das Interfaces Bridge
A configuração da Bridge permite conectar vários segmentos de rede (geralmente segmentos de LAN) no nível da camada 2
(switching).
Como a Bridge ocorre na camada 2 e os endereços IP são relevantes apenas na camada 3 (routing, a camada
de rede), os endereços IP não são permitidos nas interfaces que estão sendo conectadas.

Podem ser adicionadas diretamente a uma Bridge as interfaces Ethernet e as Interfaces de VLANs.
Suponha que o usuário queira criar uma bridge br1 com endereço IPv4 e IPv6 para conectar as interfaces ethernet eth2,
eth3 e eth4. O procedimento a seguir demonstra como realizar esta configuração.
configure
set interfaces bridge br1 address 192.168.10.2/24
set interfaces bridge br1 address 2018:c0ca:cafe::2/64
set interfaces ethernet eth2 bridge-group bridge br1
commit
as Interfaces Bridge.
7.3.1 Verificando as Interfaces Bridge
show bridge
show interfaces
show interfaces bridge
show vrf <vrf-name> interfaces bridge
show vrf <vrf-name> interfaces bridge detail
7.4 Configuração das Interfaces Bonding (Agregação)
A agregação de link IEEE 802.3ad permite criar uma interface lógica contendo uma ou mais interfaces físicas. A agregação
de vários links ou interfaces físicas cria um único link lógico (LAG) ponto-a-ponto. O LAG possibilita dividir os fluxos entre
as interfaces físicas aumentando efetivamente a largura de banda. Outra vantagem da agregação de links é o aumento da
disponibilidade do link de comunicação entre os dois equipamentos, se uma das interfaces físicas falhar, o LAG continuará
a transportar o tráfego através das interfaces remanescentes.

Exemplo de cenário com agregação de links
As interfaces Bonding do DM2500 suportam três modos de balanceamento do tráfego de saída, chamados de Hash Policy:
• layer2: Usa endereço MAC para gerar o hash.
• layer2+3: Combina endereço MAC e endereço IP para gerar o hash.
• layer3+4: Combina endereço IP e porta para gerar o hash.
7.4.1 Interface Bonding modo Estático
Os próximos passos irão demonstrar como configurar a interface bonding no modo estático usando duas (2) interfaces
Ethernet, totalizando uma banda possível de 2Gbps.
configure
set interfaces bonding bond8 address ’192.168.53.1/24’
set interfaces bonding bond8 description ’INTF-BONDING’
set interfaces bonding bond8 hash-policy ’layer2’
! Configura modo estático
set interfaces bonding bond8 mode ’xor-hash’
set interfaces ethernet eth7 bond-group ’bond8’
commit
as Interfaces Bonding.
7.4.2 Interface Bonding modo Dinâmico (LACP)
O LACP (Link Aggregation Control Protocol) é um protocolo utilizado para garantir a conectividade fim-a-fim de interfaces
agregadas (LAG). Ele detecta e protege a rede contra uma variedade de configurações incorretas, garantindo que os links
sejam agregados apenas em um bundle se eles forem configurados e cabeados de forma consistente. O LACP pode ser
configurado de dois modo:
• Modo Ativo (Active): O dispositivo envia imediatamente mensagens LACP (LACP PDUs) quando a interface é
ativada.
• Modo Passivo (Passive): Coloca uma interface em um estado de negociação passivo, no qual a interface aguarda o

envio das PDUs do remoto para iniciar a negociação e estabelecimento do Link Aggregation.
Se pelo menos um dos lados (endpoints) estiver configurado como ativo, o LAG pode ser formado assumindo uma
negociação bem-sucedida dos outros parâmetros.
Os próximos passos irão demonstrar como configurar a interface bonding de forma dinâmica usando duas (2) interfaces
Ethernet, totalizando uma banda possível de 2Gbps.
configure
set interfaces bonding bond8 address ’192.168.53.1/24’
set interfaces bonding bond8 description ’INTF-BONDING’
set interfaces bonding bond8 hash-policy ’layer2’
set interfaces bonding bond8 lacp-rate ’slow’
! Configura modo dinâmico
set interfaces bonding bond8 mode ’802.3ad’
commit
as Interfaces Bonding.
7.4.3 Verificando as Interfaces Bonding
show interfaces bonding

show interfaces bonding <bondX>
show interfaces bonding <bondX> brief
show interfaces bonding <bondX> slaves
show interfaces bonding <bondX> status
show vrf <vrf-name> interfaces bonding
show vrf <vrf-name> interfaces bonding <bondX>
show vrf <vrf-name> interfaces bonding <bondX> brief
show vrf <vrf-name> interfaces bonding <bondX> slaves
show vrf <vrf-name> interfaces bonding <bondX> status

DM2500 - Guia de Configuração Rápida 8 Conexão LTE
8 Conexão LTE
Este capítulo apresentará como configurar a conexão LTE disponível no equipamento.
• Conexão LTE
• Configuração do LTE utilizando template
• Configuração manual do LTE
8.1 Conexão LTE
Long-Term Evolution (LTE) é um padrão para comunicação de banda larga sem fio para dispositivos móveis e terminais de
dados, baseado nas tecnologias GSM/UMTS. Por utilizar uma conexão sem fio, as empresas podem usar a conexão LTE
para substituir ou fazer backup de links WAN com fio.
A figura abaixo apresenta uma aplicação básica, onde, para configurar uma conexão LTE no DM2500 os seguintes requisitos
devem ser atendidos:
• Cobertura de rede 4G LTE onde o roteador está fisicamente instalado.
• Um SIM CARD disponível para rede 4G LTE com um plano de serviço.
• Versão do firmware igual ou superior a 1.16.4 instalado no DM2500 4GT+LTE.
Cenário para conexão LTE.
8.2 Configuração do LTE utilizando template
Existem alguns modelos já salvos para configurar os parâmetros padrão dos provedores de serviço. Se o seu provedor
de serviços não estiver listado no comando network será necessário configurar os parâmetros user, password e apn,
conforme exemplo da sessão Configuração manual do LTE. O comando da operadora de rede define as strings de discagem
do provedor de serviços.
Templates Network Carrier: ATT, CLARO, OI, SC1, TIM, VERIZON, VIVO.
Será necessário definir o modo de autenticação e o protocolo usado pelo seu provedor de serviços.

• Authentication mode: Modo de conexão utilizado pelo provedor de serviços. Os parâmetros aceitáveis são: QMI ou
PPP.
• Tipo de protocolo: Especifica a versão de IP que será configurado: Os parâmetros aceitáveis são: IPv4, IPv6 ou BOTH.
configure
set interfaces wirelessmodem wlm0 network ’claro’
set interfaces wirelessmodem wlm0 mode ’ppp’
set interfaces wirelessmodem wlm0 protocol ’IPv4’
commit
commit.
Conexão LTE
8.3 Configuração manual do LTE
A configuração abaixo irá configurar uma conexão LTE com a operadora. Neste exemplo, a operadora DATACOM4G foi
usada. Se o seu provedor de serviços não estiver listado nos modelos ou se você quiser definir outro APN para teste, será
necessário definir o APN, o usuário e a senha manualmente:
configure
set interfaces wirelessmodem wlm0 apn ’datacom4g.com.br’
set interfaces wirelessmodem wlm0 password ’user_pass’
set interfaces wirelessmodem wlm0 user ’[email protected]’
commit
Será necessário definir o tipo, o modo de autenticação e o protocolo usado pelo seu provedor de serviços.
• Authentication type: Especifica o tipo de autenticação. Os parâmetros aceitáveis são: PAP, CHAP ou BOTH.
• Authentication mode: Modo de conexão utilizado pelo provedor de serviços. Os parâmetros aceitáveis são: QMI ou
PPP.
• Tipo de protocolo: Especifica a versão de IP que será configurado: Os parâmetros aceitáveis são: IPv4, IPv6 ou BOTH.
configure
set interfaces wirelessmodem wlm0 auth ’chap’
set interfaces wirelessmodem wlm0 mode ’ppp’
set interfaces wirelessmodem wlm0 ppp-options idle-disconnect ’60’
set interfaces wirelessmodem wlm0 ppp-options ’ondemand’
set interfaces wirelessmodem wlm0 protocol ’both’
commit
O protocolo both é suportado apenas para conexões ppp.

O protocolo IPv4 é o valor padrão e será adotado caso nenhum valor seja configurado.
Quando nenhum protocolo de roteamento dinâmico estiver associado a interface wlm0, uma rota default será configurada
para encaminhar todo o tráfego através da interface LTE wlm0.
configure
set protocols static interface-route 0.0.0.0/0 next-hop-interface ’wlm0’
commit
No caso do exemplo de configuração a seguir, o usuário pode conectar algum equipamento como um PC ao eth1 do
DM2500 para testar a velocidade, status, potência de sinal, conexão com a rede LTE. Neste exemplo, o PC foi conectado na
eth1 utilizando a rede 192.168.0.0/24 e realizado NAT com a interface wlm0 para poder encaminhar o tráfego da LAN para
internet.
• PC: 192.168.0.100/24
• DM2500 ETH1: 192.168.0.25/24
configure
set interfaces ethernet eth1 address ’192.168.0.25/24’
set interfaces ethernet eth1 duplex ’auto’
set interfaces ethernet eth1 speed ’auto’
set interfaces ethernet eth1 description ’LAN’
set nat source rule 1 outbound-interface ’wlm0’
set nat source rule 1 source address ’192.168.0.0/24’
set nat source rule 1 translation address ’masquerade’
commit
commit.
Conexão LTE
8.4 Verificando Conexão LTE
show interfaces wirelessmodem wlm0 card-status

show interfaces wirelessmodem wlm0 cell-location
show interfaces wirelessmodem wlm0 current-profile
show interfaces wirelessmodem wlm0 current-profile
show interfaces wirelessmodem wlm0 current-settings
show interfaces wirelessmodem wlm0 hardware
show interfaces wirelessmodem wlm0 home-network
show interfaces wirelessmodem wlm0 queue
show interfaces wirelessmodem wlm0 serving-system
show interfaces wirelessmodem wlm0 status
show log wirelessmodem
show log ppp

show log ppp wlm0

DM2500 - Guia de Configuração Rápida 9 Serviços IP
9 Serviços IP
Alguns provedores de acesso à Internet requerem o uso de PPPoE (Point-to-Point Protocol ver Ethernet) para a conexão à
Internet . Também podem utilizar o protocolo DHCP (Dynamic Host Configuration Protocol) para realizar a atribuição
dinâmica de endereços IPs, DNS, gateway, entre outros. Este capítulo abordará como configurar estes tipos de serviços no
DM2500.
Este capítuo contém as seguintes seções:
• Configuração do Servidor DHCPv4
• Configuração do servidor DHCPv6
• Configuração do DHCPv4 Relay
• Configuração do DHCPv6 Relay
• Configuração do Cliente DHCPv4
• Configuração do Cliente DHCPv6
• Configuração do Cliente PPPoE
9.1 Configuração do Servidor DHCPv4
O DM2500 oferece a funcionalidade de servidor DHCPv4. Através desse recurso o equipamento pode distribuir dinamica-
mente endereços IPv4 a outros elementos conectados na mesma sub-rede Supondo que o usuário deseja configurar um
servidor DHCPv4 na rede 10.10.10.0/24 no range 10.10.10.5 até 10.10.20. Também deseja que um servidor identificado por
um MAC específico receba o endereço 10.10.10.2 e que a validade dos IPs concedidos até o processo de renovação dure 24
horas.
Os próximos passos irão mostrar como realizar estas configurações.
O servidor DNS enviado pelo DHCP server deve ser o utilizado na sua rede, no exemplo abaixo é utilizado o
DNS público do Google.
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 lease 86400
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 dns-server
8.8.8.8
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 default-router
10.10.10.1
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 start 10.10.10.5
stop 10.10.10.20
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 domain-name
dhcp-internal
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 static-mapping
SERVER-10-2 ip-address 10.10.10.2
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 static-mapping
SERVER-10-2 mac-address 00:04:df:cc:3a:04
commit

commit.
o Servidor DHCP.
9.1.1 Configurando as opções do servidor DHCPv4
O DM2500 suporta algumas opções do DHCPv4 predefinidas, além da configuração por código, permitindo que qualquer
opção disponível no protocolo DHCP seja configurado. Para maiores informações sobre os códigos e formatos aceitos
por cada código, favor consultar a RFC 2132. Os próximos passos irão mostrar alguns exemplos de como realizar estas
configurações.
Configuração da opção SMTP server predefinida:
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 smtp-server
172.22.103.32
commit
Configuração da opção LPR Server (código 9) com um endereço IPv4:
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 option 9 ipv4
172.22.103.32
commit
Configuração da opção LPR Server (código 9) com dois endereços IPv4 (172.22.103.32 e 172.22.103.40):
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 option 9
hex ac:16:67:20:ac:16:67:28
commit
Configuração da opção Hostname (código 12):
configure
set service dhcp-server shared-network-name DM2500-NETWORK subnet 10.10.10.0/24 option 12
ascii DM2500-6GT
commit
o Servidor DHCP.
9.1.2 Verificando o Servidor DHCP

show dhcp server leases

show dhcp server statistics
show vrf <vrf-name> dhcp server leases
show vrf <vrf-name> dhcp server statistics
show log dhcp
9.2 Configuração do servidor DHCPv6
O DM2500 oferece a funcionalidade de servidor DHCPv6. Através desse recurso o equipamento pode distribuir dinamica-
mente endereços IPv6 a outros hosts conectados na mesma sub-rede.
Os próximos passos irão demonstrar como configurar o serviço para prover endereços IPv6 na rede 2001:C0A8:5600::/64
com validade dos endereços para renovação de 24 horas e um host identificado pelo UID recebendo o endereço
2001:c0a8:5600::10.
configure
set interfaces ethernet eth3 address ’2001:C0A8:5600::1/64’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 address-range
prefix ’2001:C0A8:5600::/64’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 domain-search
’dhcp-internal’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 lease-time
default ’86400’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 name-server
’2001::2’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 static-mapping
teste identifier ’00:01:00:01:5b:cd:f6:b7:00:aa:00:00:00:0a’
set service dhcpv6-server shared-network-name systemTest subnet 2001:C0A8:5600::/64 static-mapping
teste ipv6-address ’2001:c0a8:5600::10’
commit
commit.
o Servidor DHCPv6.
9.2.1 Verificando o Servidor DHCPv6
show dhcpv6 server leases

show dhcpv6 server statistics
show vrf <vrf-name> dhcpv6 server leases
show vrf <vrf-name> dhcpv6 server statistics
show log dhcp

9.3 Configuração do DHCPv4 Relay
O DM2500 oferece a funcionalidade de DHCPv4 Relay para encaminhar as solicitações DHCP de uma determinada rede
para um servidor DHCP presente em outra rede. Cada interface envolvida no DHCPv4 Relay deve ser configurada. Assim,
por exemplo, se as solicitações estão chegando na interface eth0 e o servidor DHCPv4 especificado na configuração é
acessado através da interface eth1, tanto a eth0 quanto a eth1 devem ser configuradas para o DHCP Relay.
Supondo que o usuário deseja configurar um DHCPv4 Relay para encaminhar as solicitações DHCP dos clientes que estão
na rede 10.10.10.0/24 para o servidor DHCPv4 que está em outra rede com o endereço 10.20.30.1/24. Os próximos passos
irão mostrar como realizar estas configurações.
configure
set service dhcp-relay interface ’eth1’
set service dhcp-relay interface ’eth0’
set service dhcp-relay server ’10.20.30.1’
set service dhcp-relay relay-options relay-agents-packets ’discard’
commit
Através da configuração abaixo é possível especificar um endereço de origem para o pacote de DHCP enviado para o DHCP
Server. Neste caso será utilizado o IP da LAN.
configure
set service dhcp-relay server ’10.20.30.1’ source-address ’10.10.10.1’
commit
commit.
o DHCPv4 Relay.
9.3.1 Verificando o DHCPv4 Relay
show configuration | match dhcp-relay

show log dhcp
9.4 Configuração do DHCPv6 Relay
O DHCPv6 Relay atende a solicitações enviadas por clientes DHCPv6 e as encaminha para servidores DHCPv6. Como os
pacotes de solicitação do cliente e as solicitações retransmitidas geralmente são transportados em pacotes multicast IPv6,
o usuario deve especificar explicitamente as interfaces nas quais o Relay deve atender solicitações e as interfaces nas

quais ele deve retransmitir essas solicitações.
Supondo que o usuário deseja configurar um DHCPv6 Relay para encaminhar as solicitações DHCP dos clientes que estão
na rede 2605:ef80:240::1/64 para o servidor DHCPv6 que está em outra rede com o endereço 2600::c0a8:2d01. Os próximos
passos irão mostrar como realizar estas configurações.
configure
set interfaces ethernet eth0 address ’2605:ef80:240::1/64’
set interfaces ethernet eth1 ipv6 address eui64 ’2404:6800:4001::/64’
set service dhcpv6-relay listen-interface ’eth0’
set service dhcpv6-relay upstream-interface eth1 address ’2600::c0a8:2d01’
commit
Como o funcionamento do DHCPv6 Relay é diferente do DHCPv4 Relay, é necessario configurar Router Advertisement na
interface que está recebendo as solicitações.
configure
set interfaces ethernet eth0 ipv6 router-advert managed-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert other-config-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert prefix 2605:ef80:240::/64 autonomous-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert prefix 2605:ef80:240::/64 on-link-flag ’true’
set interfaces ethernet eth0 ipv6 router-advert send-advert ’true’
commit
commit.
o DHCPv6 Relay.
9.4.1 Verificando o DHCPv6 Relay
show configuration | match dhcpv6-relay

show log dhcp
9.5 Configuração do Cliente DHCPv4
É possível configurar um cliente DHCPv4 vinculado a uma interface Ethernet para atribuição dinâmica de IPv4 conforme
determinação de um servidor DHCPv4. Suponha que o usuário queira obter o endereço IPv4 através da interface eth4. Os
próximos passos irão mostrar como realizar estas configurações.
configure
set interfaces ethernet eth4 address dhcp
commit

commit.
Cliente do DHCPv4.
9.5.1 Verificando Cliente do DHCPv4
show dhcp client leases

show interfaces
show vrf <vrf-name> dhcp client leases
show vrf <vrf-name> interfaces
show log dhcp
9.6 Configuração do Cliente DHCPv6
É possível configurar um cliente DHCPv6 vinculado a uma interface Ethernet para atribuição dinâmica de IPv6 conforme
determinação de um servidor DHCPv6. Suponha que o usuário deseja que o endereço IPv6 da interface Ethernet eth4 seja
atribuído dinamicamente a partir de um servidor DHCPv6 conectado a ela. Os próximos passos irão mostrar como realizar
estas configurações.
configure
set interfaces ethernet eth4 address dhcpv6
commit
commit.
Cliente do DHCPv6.
9.6.1 Verificando Cliente do DHCPv6
show dhcpv6 client leases

show dhcpv6 client identifiers
show interfaces
show vrf <vrf-name> dhcpv6 client leases
show vrf <vrf-name> dhcpv6 client identifiers
show vrf <vrf-name> interfaces
show log dhcp

9.7 Configuração do Cliente PPPoE
O encapsulamento PPPoE (Point-to-Point Protocol over Ethernet) para uma interface Ethernet está definido na RFC2516.
Esse tipo de interface é modelado como ponto-a-ponto e é usado para conectar-se a um ponto da rede com suporte a
PPPoE. Com o encapsulamento PPPoE, os endereços IP locais e remotos podem ser negociados automaticamente em vez
de explicitamente especificados pelo usuário. Por padrão a negociação é executada automaticamente se os endereços não
forem especificados.
A sessão PPPoE apenas pode ser configurada para funcionar com endereços IPv4, e é possível configurar
até 15 interfaces PPPoE.
Suponha que o usuário deseja estabelecer uma sessão PPPoE usando a interface pppoe 15 a qual está associada com a
interface ethernet eth1. Os próximos passos irão mostrar como realizar estas configurações.
configure
set interfaces pppoe 15 user-id [email protected]
set interfaces pppoe 15 password d4t4c0m
set interface ethernet eth1 pppoe 15
commit
O tamanho máximo do MSS (Maximum Segment Size) do TCP é 1460 bytes considerando 1500 bytes de MTU (Maximum
Transmission Unit). O PPPoE utiliza 8 dos 1460 bytes para o encapsulamento dos dados, isto faz com que pacotes TCP que
utilizem o MSS com tamanho de 1460 bytes sejam fragmentados ou descartados no roteador. Uma das formas de resolver
este problema é ajustando o tamanho do MSS utilizando os comandos a seguir:
configure
set interfaces ethernet eth1 policy route ’MSS’
set policy route MSS description ’TCP_MSS’
set policy route MSS rule 1 protocol ’tcp’
set policy route MSS rule 1 set tcp-mss ’1452’
set policy route MSS rule 1 tcp flags ’SYN’
commit
commit.
Cliente do PPPoE.
9.7.1 Verificando Cliente do PPPoE

show interfaces pppoe

show interfaces pppoe <interface pppoe> log

DM2500 - Guia de Configuração Rápida 10 Roteamento
10 Roteamento
O roteamento é o processo de encaminhar pacotes ao seu destino usando endereços de rede. O roteamento é executado
por dispositivos capazes de trocar informações necessárias para criar tabelas contendo informações de caminho para
chegar a um destino, usando protocolos de roteamento dinâmicos ou entradas atribuídas manualmente. Os protocolos de
roteamento dinâmico, como o OSPF, reúnem as informações necessárias dos dispositivos vizinhos para criar sua tabela de
roteamento, usada para determinar para onde o tráfego será enviado. Como alternativas aos métodos dinâmicos, existem
rotas estáticas. As rotas estáticas são recomendadas em roteadores que possuem poucas redes e menos caminhos para o
destino. As informações recebidas através dos protocolos de roteamento são adicionadas em uma tabela chamada RIB
(Routing Information Base) que é a base para o cálculo da definição do melhor caminho. O resultado do cálculo da rota é a
FIB (Forwarding Information Base) que contém as informações que os dispositivos utilizam para rotear o tráfego.
• Configuração do Roteamento
• Configuração do PBR
• Configuração do RIP
• Configuração do RIPng
• Configuração do OSPFv2
• Configuração do OSPFv3
• Configuração do BGP
• Configuração do BFD
• Configuração do VRRP
• Configuração do PIM
• Configuração da VRF
• Configuração do ECMP
10.1 Configuração do Roteamento
10.1.1 Roteamento Estático
O roteamento estático tem por objetivo encaminhar pacotes entre redes distintas com a configuração das rotas de forma
manual pelos administradores de rede. Por padrão, VLANs diferentes não se comunicam, pois estão em domínios de
broadcast exclusivos.

10.1.2 Roteamento entre VLANs
Para que a comunicação entre duas VLANs seja realizada, é necessário utilizar um roteador ou uma forma de roteamento
no próprio equipamento. O roteamento entre VLANs permite esta comunicação. A rede associada à interface é inserida na
tabela de roteamento e pode ser acessada por outras redes.
O cenário abaixo será usado para demonstrar a configuração do roteamento estático e entre VLANs.
Configuração do roteamento estático e entre VLANs
Suponha que o usuário deseje permitir o roteamento entre as VLAN 100 e VLAN 200 na interface ethernet eth1 e a VLAN
2 na interface eth2 para ser utilizada como rota default estática onde o gateway possui o endereço IPv4 10.10.0.1/30. Os
próximos passos irão mostrar como realizar estas configurações.
configure
commit
Rotamento Estático.
10.1.3 Habilitando ECMP em rotas estáticas
O ECMP é automaticamente habilitado para rotas estáticas caso seja habilitado globalmente. Não há configuração
específica para rotas estáticas.
Para mais detalhes sobre os modos de balanceamento do ECMP, consultar a sessão Configuração do ECMP.
commit.

Rotamento Estático.
10.1.4 Verificando Rotamento Estático
show ip route
show ip route static
show vrf <vrf-name> ip route
show vrf <vrf-name> ip route static
10.2 Configuração do PBR
O roteamento baseado em políticas (Policy-based routing PBR) permite ao usuário usar regras de tráfego IP para classificar
o tráfego com base em seus atributos e aplicar processamento diferencial de acordo com sua classificação e rotear
seletivamente os pacotes IP, por exemplo, para um próximo salto alternativo. Todos os pacotes recebidos em uma interface
são considerados para roteamento baseado em políticas, desde que a interface seja atribuída a uma politica de roteamento.
Quando nenhuma política de roteamento é aplicada, as decisões de roteamento são feitas usando a tabela de roteamento
padrão (main) do sistema. As políticas PBR podem ser aplicadas a interfaces do data-plane para tráfego de entrada, mas
não para interfaces loopback, túnel ou bridge. No DM2500 o usuário não pode aplicar políticas PBR a pacotes gerados
localmente. O cenário abaixo será usado para demonstrar a configuração do PBR.
Configuração do PBR
Suponha que o usuário deseja configurar uma política PBR nas VLANs 10 e 20 que estão configuradas na interface eth1,
para que o tráfego originado na rede 192.168.10.0/24 seja encaminhado pelo próximo salto 192.168.100.1 que é alcançável

via interface eth2, e para o tráfego originado na rede 192.168.20.0/24 seja encaminhado pelo próximo salto 192.168.200.1
que é alcançável via interface eth3. Os próximos passos irão mostrar como realizar estas configurações.
configure
set interface ethernet eth1 vif 10 address 192.168.10.1/24
set interface ethernet eth1 vif 20 address 192.168.20.1/24
set interface ethernet eth2 address 192.168.100.2/30
set interface ethernet eth3 address 192.168.200.2/30
set policy route PBR-LAN rule 10 destination address 0.0.0.0/0
set policy route PBR-LAN rule 10 source address 192.168.10.0/24
set policy route PBR-LAN rule 10 set table 10
set policy route PBR-LAN rule 20 destination address 0.0.0.0/0
set policy route PBR-LAN rule 20 source address 192.168.20.0/24
set policy route PBR-LAN rule 20 set table 20
set interfaces ethernet eth1 policy route PBR-LAN
set protocols static table 10 route 0.0.0.0/0 next-hop 192.168.100.1
set protocols static table 20 route 0.0.0.0/0 next-hop 192.168.200.1
commit
commit.
Configuração do PBR.
10.2.1 Verificando Configuração do PBR
show policy route

show ip route
show vrf <vrf-name> policy route
10.3 Configuração do RIP
O RIP (Routing Information Protocol) é um protocolo de roteamento dinâmico adequado para redes pequenas e homogê-
neas. É classificado como um protocolo de gateway interior (IGP) e emprega o algoritmo de roteamento de vetor de
distância. O RIP determina o melhor caminho, contando os saltos até o destino. A contagem máxima de saltos é 15 (16 é
considerada uma distância infinita), tornando o RIP menos adequado para grandes redes.
Configuração do RIP

Suponha que o usuário deseja configurar uma sessão RIP através da interface eth2 pelo endereço IPv4 10.0.40.1/30 e
também deseja divulgar a rede 10.0.30.0/24 que está conectada pela eth4. Os próximos passos irão mostrar como realizar
estas configurações.
configure
set protocols rip network 10.0.30.0/24
set protocols rip interface eth2
commit
commit.
Roteamento RIP.
10.3.1 Verificando Roteamento RIP
show ip route
show ip route rip
show ip rip status
show ip rip
show log rip
debug rip
show vrf <vrf-name> ip route rip
show vrf <vrf-name> ip rip status
show vrf <vrf-name> ip rip
debug vrf <vrf-name> rip
10.4 Configuração do RIPng
O RIPng (Routing Information Protocol next generation) é um protocolo de roteamento dinâmico adequado para redes
IPv6 pequenas e homogêneas. É classificado como um protocolo de gateway interior (IGP) e emprega o algoritmo de
roteamento de vetor de distância. O RIPng determina o melhor caminho contando os saltos até o destino. A contagem
máxima de saltos é 15 (16 é considerada uma distância infinita), tornando o RIPng menos adequado para grandes redes.
RIPng é uma extensão do RIP versão 2 para IPv6. O cenário abaixo será usado para demonstrar a configuração do RIPng.
Configuração do RIPng

Suponha que o usuário deseja configurar uma sessão RIPng através da interface eth2 pelo endereço IPv6 2001:cafe:1::1/64
e também deseja divulgar a rede 2001:cafe:4::/64 que está conectada pela eth4. Os próximos passos irão mostrar como
realizar estas configurações.
configure
set interfaces ethernet eth2 address 2001:cafe:1::1/64
set interfaces ethernet eth4 address 2001:cafe:4::1/64
set protocols ripng network 2001:cafe:4::/64
set protocols ripng interface eth2
commit
commit.
Roteamento RIPng.
10.4.1 Verificando Roteamento RIPng
show ipv6 route

show ipv6 route ripng
show ipv6 ripng
show ipv6 ripng status
show log rip
debug ripng
show vrf <vrf-name> ipv6 route
show vrf <vrf-name> ipv6 route ripng
show vrf <vrf-name> ipv6 ripng
show vrf <vrf-name> ipv6 ripng status
debug vrf <vrf-name> ripng
10.5 Configuração do OSPFv2
O OSPFv2 (Open Shortest Path First version 2) é o IGP (Internal Gateway Protocol) descrito pela RFC 2328 (versão 2) para
roteamento de endereços IPv4. Este protocolo é utilizado dentro de um mesmo AS (Autonomous System), justificando a
sua denominação de Internal. É baseado no algoritmo de Dijkstra, que calcula o caminho mais curto para cada destino
com base nos custos de cada link. O cenário abaixo será usado para demonstrar a configuração do OSPFv2.
Configuração do OSPFv2

Recomenda-se usar a interface loopback ao invés das interfaces físicas devido à estabilidade, pois estão
sempre ativas.
Suponha que o usuário queira realizar um sessão OSPF na área 8048 com network-type do tipo ponto-a-ponto através das
seguintes configurações: DM2500: Interface eth1 na VLAN 503 com endereço IPv4 192.168.72.5/30 e interface loopback
com IPv4 192.168.255.41/32 sendo utilizada como router-id no OSPFv2 na área 0. O DM2500 também irá divulgar a rede
192.168.64.0/22 no qual está conectada pela interface eth3.
configure
set interfaces loopback lo address 192.168.255.41/32
set interfaces ethernet eth1 vif 503 ip ospf network point-to-point
set protocols ospf area 8048 network 192.168.255.41/32
set protocols ospf log-adjacency-changes detail
set protocols ospf parameters abr-type standard
set protocols ospf parameters router-id 192.168.255.41
commit
commit.
Roteamento OSPFv2.
10.5.1 Configurando um Virtual Link no OSPFv2
Para um cenário OSPF funcionar corretamente, todas as áreas do protocolo devem estar conectadas diretamente com
a Área 0 (backbone) do OSPF. Entretanto, existem situações em que o roteador de outras áreas do OSPF não estejam
conectados fisicamente ao roteador de borda (ABR - Area Border Router) da Área 0. Para resolver este problema, um link
virtual pode ser configurado entre estes roteadores simulando uma conexão direta.
O cenário abaixo será usado para demonstrar a configuração do Virtual Link no OSPFv2.
Configurando o Virtual Link no OSPFv2

Suponha que o usuário queira conectar a Área 20 com a Área 0 através da Área 10. Um Virtual Link será configurado entre
os ABRs da Area 0 (DM25-1) e da Area 20 (DM25-2).
DM25-1
configure
set interfaces loopback lo1 address ’1.1.1.1/32’
set protocols ospf area 0 network ’192.168.0.0/28’
set protocols ospf area 0 area-type ’normal’
set protocols ospf area 10 virtual-link ’2.2.2.2’
set protocols ospf log-adjacency-changes ’detail’
set protocols ospf parameters abr-type ’standard’
set protocols ospf parameters router-id ’1.1.1.1’
commit
DM25-2
configure
set interfaces loopback lo1 address ’2.2.2.2/32’
set protocols ospf area 10 virtual-link ’1.1.1.1’
set protocols ospf parameters abr-type ’standard’
commit
commit.
Roteamento OSPFv2.
10.5.2 Habilitando ECMP no OSPFv2
O ECMP é automaticamente habilitado no OSPFv2 caso seja habilitado globalmente. Não há configuração específica para
OSPF.
Para mais detalhes sobre os modos de balanceamento do ECMP, consultar a sessão Configurando o ECMP.
10.5.3 Configurando filtragem de LSAs
O recurso de filtragem de anúncios LSAs do tipo 3 (Summary) estende a capacidade de um ABR que está executando
o protocolo OSPFv2 para filtrar LSAs do tipo 3 entre diferentes áreas OSPF. Esse recurso permite que apenas prefixos
especificados sejam enviados de uma área para outra e restringe todos os outros prefixos. Esse tipo de filtragem por área

pode ser aplicado fora de uma área específica, em uma área específica, ou dentro e fora das áreas OSPF ao mesmo tempo.
Os seguintes casos mostram ao usuário como configurar a filtragem de LSAs de diferentes maneiras:
10.5.4 Filtragem de LSAs anunciadas para outras áreas
Suponha que o usuário deseja filtrar LSAs do tipo 3 (Summary) as quais são anunciadas para outras áreas de rotas
intra-area de uma área especifica. A seguinte configuração com uma breve explicação demonstra como pode ser feito esse
tipo de filtragem.
configure
set policy access-list 5 rule 1 action ’permit’
set policy access-list 5 rule 1 source inverse-mask ’0.0.255.255’
set policy access-list 5 rule 1 source network ’10.10.0.0’
set protocols ospf area 5 export-list 5
commit
No exemplo acima, qualquer rota intra-área da área 5 e do range 10.10.0.0/16 (por exemplo, 10.10.1.0/24 e 10.10.2.128/30)
serão anunciados para outras áreas como um LSA Summary, de Tipo 3 mas quaisquer outros (por exemplo, 10.11.0.0/16 ou
10.128.30.16/30) não. Esta configuração só é relevante se o roteador for um ABR para a área especificada.
Roteamento OSPFv2.
10.5.5 Filtragem de LSAs anunciadas para a área especificada
Suponha que o usuário deseja filtrar LSAs do tipo 3 (Summary) sendo anunciados para dentro da área especificada. A
seguinte configuração com uma breve explicação demonstra como pode ser feito esse tipo de filtragem.
configure
set policy access-list 5 rule 1 action ’permit’
set policy access-list 5 rule 1 source inverse-mask ’0.0.255.255’
set policy access-list 5 rule 1 source network ’10.20.0.0’
set protocols ospf area 5 import-list 5
commit
No exemplo acima, qualquer rota anunciada dentro da área 5 e do range 10.20.0.0/16 será anunciada na área como LSAs
do tipo 3, mas quaisquer outras não. Esta configuração só é relevante se o roteador for um ABR para a área especificada.
Roteamento OSPFv2.

10.5.6 Filtragem de LSAs usando prefix-list
A filtragem de LSAs to tipo 3 (Summary) também pode ser configurada como nos exemplos anteriores, mas usando
prefix-lists e especificando a direção da filtragem (inbound ou outbound). A seguinte configuração demonstra como pode
ser feito esse tipo de filtragem.
configure
set policy prefix-list Deny-Route-192 rule 1 action ’deny’
set policy prefix-list Deny-Route-192 rule 1 le ’32’
set policy prefix-list Deny-Route-192 rule 1 prefix ’192.168.20.0/24’
set policy prefix-list Deny-Route-192 rule 2 action ’permit’
set policy prefix-list Deny-Route-192 rule 2 le ’32’
set policy prefix-list Deny-Route-192 rule 2 prefix ’0.0.0.0/0’
set protocols ospf area 5 filter-list out ’Deny-Route-192’
commit
O exemplo acima permite filtrar uma rota com o prefixo 192.168.20.0/24 que está sendo propagada na área 5, mas que
atualmente está sendo repassada para todo o dominio OSPF. Para isso é configurado um filter-list no ABR com a área 5 e
com ajuda do prefix-list o usuario poderá fazer o bloqueio do prefixo 192.168.20.0/24
Roteamento OSPFv2.
10.5.7 Verificando Roteamento OSPFv2
show ip ospf
show ip ospf neighbors
show ip ospf database
show ip route
show ip route ospf
show log ospf
debug ospf
show vrf <vrf-name> ip ospf
show vrf <vrf-name> ip ospf neighbors
show vrf <vrf-name> ip ospf database
show vrf <vrf-name> ip route ospf
debug vrf <vrf-name> ospf
10.6 Configuração do OSPFv3
O OSPFv3 (Open Shortest Path First version 3) é um IGP (Internal Gateway Protocol) descrito na RFC 5340 para roteamento
de endereços IPv6. Por se tratar de um IGP, é um protocolo utilizado dentro de um mesmo AS (Autonomous System). É
baseado no algoritmo de Dijkstra, que calcula o caminho mais curto para cada destino com base nos custos de cada link.
O cenário abaixo será usado para demonstrar a configuração do OSPFv3.

Configurando o OSPFv3
No exemplo abaixo será configurado um neighbor IPv6 do tipo ponto-a-ponto na interface eth1.150. A loopback do DM2500
terá o endereço IPv6 2001:db8:ffff::1/128 e também o endereço IPv4 177.66.5.1/32. O endereço IPv4 da loopback será
utilizado como router-id do OSPFv3. Ainterface loopback lo1 será configurada como passive, pois não serão formadas
adjacências através dela. A interface eth2 terá o endereço IPv6 2001:db8:100::1/64 e não formará nenhuma adjacência
OSPFv3. Sua rede será redistribuída para o OSPFv3 através do comando redistribute connected.
configure
set interfaces loopback lo1 address 2001:db8:ffff::1/128
set interfaces loopback lo1 ipv6 ospfv3 passive
set interfaces ethernet eth1 vif 150 address 2001:db8::1/64
set interfaces ethernet eth1 vif 150 ipv6 ospfv3 network point-to-point
set interfaces ethernet eth2 address 2001:db8:100::1/64
set protocols ospfv3 parameters router-id 177.66.5.1
set protocols ospfv3 area 0 interface lo1
set protocols ospfv3 area 0 interface eth1.150
set protocols ospfv3 redistribute connected
commit
Roteamento OSPFv3.
10.6.1 Habilitando ECMP no OSPFv3
O ECMP é automaticamente habilitado no OSPFv3 caso seja habilitado globalmente. Não há configuração específica para
OSPF.
10.6.2 Filtragem de LSAs
No cenário abaixo, o DM2500 tem interfaces em duas áreas diferentes do OSPFv3. A interface eth1 está na área 0 e a
interface eth2 está na área 1. Considerando que ambas são áreas normais, os LSAs recebidos na área 0 serão enviandos
também para a área 1. Neste cenário, não há filtragem de LSAs. Os LSAs são anunciados de uma área para outra.

Topologia OSPFv3 sem filtragem de LSAs
configure
set interfaces loopback lo1 address 2001:db8::1/128
set interfaces loopback lo1 ipv6 ospfv3 passive
set interfaces ethernet eth1 2001:db8:100::1/64
set interfaces ethernet eth1 ipv6 ospfv3 network point-to-point
set interfaces ethernet eth2 address 2001:db8:200::1/64
set protocols ospfv3 area 0 interface eth1
commit
Caso não se queira que todos os LSAs da área 0 sejam anunciados à area 1, é possível configurar import e export lists nas
áreas.
É necessário que o equipamento seja um ABR (area border router) para fazer filtragem de LSAs.
Um modo de filtrar os LSAs é configurar um import-list na área 1. No exemplo abaixo, é configurada uma access-list IPv6
rejeitando qualquer rede dentro do prefixo 2001:db8:ffff::/48. Esta ACL é aplicada como import-list na area 1, fazendo com
que LSAs contendo estas redes não sejam importados para esta área.
Filtragem de LSAs
configure
set policy access-list6 reject-lsas rule 10 action ’deny’
set policy access-list6 reject-lsas rule 10 source network ’2001:db8:ffff::/48’
set policy access-list6 reject-lsas rule 100 action ’permit’

set policy access-list6 reject-lsas rule 100 source ’any’

set protocols ospfv3 area 1 import-list reject-lsas
commit
Outra forma de filtrar os LSAs é configurar uma export-list na área 0. Os LSAs recebidos na área 0 deixaram de ser
exportados para outras áreas.
configure
set protocols ospfv3 area 0 export-list reject-lsas
commit
Roteamento OSPFv3.
10.6.3 Verificando Roteamento OSPFv3
show ipv6 ospf

show ipv6 ospf neighbors
show ipv6 ospf database
show ipv6 route
show ipv6 route ospf
show log ospfv3
debug ospfv3
show vrf <vrf-name> ipv6 ospf
show vrf <vrf-name> ipv6 ospf neighbors
show vrf <vrf-name> ipv6 ospf database
show vrf <vrf-name> ipv6 route
show vrf <vrf-name> ipv6 route ospf
debug vrf <vrf-name> ospfv3
10.7 Configuração do BGP
O protocolo BGP (Border Gateway Protocol) é usado para a troca de informações de roteamento entre AS’s (Autonomous
Systems) na Internet. Ao estabelecer uma vizinhança com um AS diferente, o BGP é chamado de eBGP (external BGP) e
quando a vizinhança é estabelecida entre roteadores do mesmo AS, o BGP é chamado de iBGP (internal BGP).
10.7.1 Configurando um neighbor iBGP IPv4
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com ambos os neighbors pertencentes
ao mesmo Autonomous System, sendo uma sessão iBGP (internal BGP). Em uma sessão iBGP, a sessão é estabelecida

entre as interfaces loopback dos equipamentos. Para que os equipamentos envolvidos tenha conectividade com as suas
loopbacks, é necessário que um IGP, como o OSPF, seja habilitado.
Configurando um neighbor BGP IPv4
Será estabelecida uma sessão iBGP com os seguintes parâmetros:
• AS number: 27686
• Loopback: 192.168.0.1/32
• Neighbor loopback: 192.168.0.2/32
• Interface eth5, VLAN 377, endereço IPv4 192.168.84.1/30
• Interface eth2, endereço IPv4 150.185.128.1/19
• Redistribuição das rotas conectadas
configure
set interfaces loopback address 192.168.0.1/32
set protocols bgp 27686 neighbor 192.168.0.2 nexthop-self
set protocols bgp 27686 neighbor 192.168.0.2 soft-reconfiguration inbound
set protocols bgp 27686 neighbor 192.168.0.2 remote-as 27686
set protocols bgp 27686 neighbor 192.168.0.2 update-source 192.168.0.1
set protocols bgp 27686 redistribute connected
set protocols bgp 27686 parameters log-neighbor-changes
commit
Roteamento BGP IPv4.
10.7.2 Configurando um neighbor eBGP IPv4
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com neighbors pertencentes a AS’s
diferentes, sendo uma sessão eBGP (external BGP). Para sessões eBGP, geralmente usam-se os endereços das interfaces
físicas entre os equipamentos para estabelecer a sessão, e não a interface loopback, como é feito em sessões iBGP.

Configurando um neighbor eBGP IPv4
Será estabelecida uma sessão eBGP com os seguintes parâmetros:
• Local AS number: 27686
• Remote AS number: 232318
• Redistribuição das rotas conectadas
configure
commit
Abaixo os principais comandos disponíveis para realizar a verificação do BGP IPv4. Caso o usuário esteja no nível de
10.7.3 Configurando um neighbor eBGP IPv4 entre loopbacks
diferentes, sendo uma sessão eBGP (external BGP).
Neste exemplo, a sessão BGP é estabelecida entre as interfaces loopbacks dos equipamentos. Para que o equipamento
consiga chegar até a loopback do vizinho, é necessário a configuração de uma rota estática.
O parâmetro ebgp-multihop é utilizado para permitir que uma sessão BGP seja estabelecida entre roteadores a mais
de um hop de distância. O valor padrão do parâmetro ebgp-multihop é 1, ou seja, é possível estabelecer uma sessão
somente entre roteadores diretamente conectados.

Neste caso, apesar dos roteadores estarem diretamente conectados, o DM2500 exige que seja configurado o ebgp-
multihop com um valor maior que 1 para se permita o estabelecimento da sessão eBGP entre as loopbacks.
Configurando um neighbor eBGP IPv4 entre loopbacks
• Loopback: 192.168.0.1/32
• Neighbor loopback: 192.168.0.2/32
configure
set interfaces loopback address 192.168.0.1/32
set protocols bgp 27686 neighbor 192.168.0.2 ebgp-multihop 2
commit
10.7.4 Verificando Roteamento BGP IPv4

show ip bgp
show ip bgp summary
show ip bgp neighbors
show ip route
show ip route bgp
debug bgp
show log bgp
show vrf <vrf-name> ip bgp
show vrf <vrf-name> ip bgp summary
show vrf <vrf-name> ip bgp neighbors
show vrf <vrf-name> ip route bgp
debug vrf <vrf-name> bgp
10.7.5 Configurando um neighbor iBGP IPv6
O cenário abaixo será usado para demonstrar a configuração do protocolo BGP com ambos os neighbors pertencentes
ao mesmo Autonomous System, sendo uma sessão iBGP (internal BGP). Em uma sessão iBGP, a sessão é estabelecida
entre as interfaces loopback dos equipamentos. Para que os equipamentos envolvidos tenha conectividade com as suas
loopbacks, é necessário que um IGP, como o OSPFv3, seja habilitado.
Configurando um neighbor iBGP IPv6
Será estabelecida uma sessão iBGP com os seguintes parâmetros:
• AS number: 27686
• Loopback: 2001:db8::1/128
• Neighbor loopback: 2001:db8::2/128
• Interface eth5, VLAN 377, endereço IPv6 2001::1/64
• Interface eth2, endereço IPv6 2001:cafe::1/48
• Redistribuição de rotas conectadas
configure
set interfaces loopback address 2001:db8::1/128
set interfaces ethernet eth2 address 2001:cafe::1/48
set interfaces ethernet eth5 vif 377 address 2001::1/64
set protocols ospfv3 area 0 interface eth2.101
set protocols ospfv3 area 0 interface loopback
set protocols bgp 27686 neighbor 2001:db8::2 address-family ipv6-unicast soft-reconfiguration’inbound’
set protocols bgp 27686 neighbor 2001:db8::2 remote-as 27686
set protocols bgp 27686 neighbor 2001:db8::2 update-source 2001:db8::1
set protocols bgp 27686 address-family ipv6-unicast redistribute connected
commit

10.7.6 Configurando um neighbor eBGP IPv6
diferentes, sendo uma sessão eBGP (external BGP). Para sessões eBGP, geralmente usam-se os endereços das interfaces
físicas entre os equipamentos para estabelecer a sessão, e não a interface loopback, como é feito em sessões iBGP.
Configurando um neighbor eBGP IPv6
• Redistribuição de rotas conectadas
configure
set protocols bgp 27686 neighbor 2001::2 address-family ipv6-unicast soft-reconfiguration ’inbound’
set protocols bgp 27686 neighbor 2001::2 remote-as 232318
set protocols bgp 27686 neighbor 2001::2 update-source 2001::1
set protocols bgp 27686 address-family ipv6-unicast redistribute connected
commit

10.7.7 Configurando um neighbor eBGP IPv6 entre loopbacks
diferentes, sendo uma sessão eBGP (external BGP).
Neste exemplo, a sessão BGP é estabelecida entre as interfaces loopbacks dos equipamentos. Para que o equipamento
consiga chegar até a loopback do vizinho, é necessário a configuração de uma rota estática.
O parâmetro ebgp-multihop é utilizado para permitir que uma sessão BGP seja estabelecida entre roteadores a mais
de um hop de distância. O valor padrão do parâmetro ebgp-multihop é 1, ou seja, é possível estabelecer uma sessão
somente entre roteadores diretamente conectados.
Neste caso, apesar dos roteadores estarem diretamente conectados, o DM2500 exige que seja configurado o ebgp-
multihop com um valor maior que 1 para se permita o estabelecimento da sessão eBGP entre as loopbacks.
Configurando um neighbor eBGP IPv6 entre loopbacks
• Loopback: 2001:db8::1/128
• Neighbor loopback: 2001:db8::2/128
configure
set interfaces loopback address 2001:db8::1/128
set protocols bgp 27686 neighbor 2001:db8::2 address-family ipv6-unicast soft-reconfiguration ’inbound’
set protocols bgp 27686 neighbor 2001:db8::2 remote-as 232318
set protocols bgp 27686 neighbor 2001:db8::2 update-source 2001:db8::1
set protocols bgp 27686 neighbor 2001:db8::2 ebgp-multihop 2
set protocol static route6 2001:db8::2/128 next-hop 2001::2
commit

10.7.8 Configurando communities
O cenário abaixo será usado para demonstrar a configuração de communities no protocolo BGP.
Configurando communities
configure
commit
Os prefixos recebidos do ASN 3549 serão reanunciados ao ASN 232318. O prefixo 203.0.0.13/24 será marcado com a
community 3549:1000 antes de ser reanunciado.
set policy prefix-list asn3549-203_0_0_13 rule 1 action ’permit’

set policy prefix-list asn3549-203_0_0_13 rule 1 prefix ’203.0.0.13/24’
set policy route-map adv-to-asn232318 rule 10 action ’permit’
set policy route-map adv-to-asn232318 rule 10 match ip address prefix-list ’asn3549-203_0_0_13’
set policy route-map adv-to-asn232318 rule 10 set community ’3549:1000’
set protocols bgp 27686 neighbor 192.168.84.2 route-map export ’adv-to-asn232318’
Dois prefixos são recebidos do ASN 232318. Um dos prefixos, o 198.51.100.0/24, é recebido com a community 27686:501. Há
uma configuração no DM2500 para que prefixos com esta community específica sejam anunciados com prepend de 2 ASNs.

set policy community-list 1 rule 1 action ’permit’

set policy community-list 1 rule 1 regex ’27686:501’
set policy route-map adv-to-asn3549 rule 10 match community community-list 1
set policy route-map adv-to-asn3549 rule 10 set as-path-prepend ’27686 27686’
set protocols bgp 27686 neighbor 192.168.84.6 route-map export ’adv-to-asn3549’
10.7.9 Habilitando ECMP no BGP
O ECMP pode ser habilitando no BGP definindo um número máximo de caminhos de mesmo custo para um mesmo
destino que o protocolo pode utilizar. Na configuração abaixo, são definidos quatro caminhos máximos para eBGP e iBGP.
Desta forma, o protocolo irá instalar até 4 rotas para um mesmo destino, caso as rotas possuam o mesmo custo.
configure
set protocols bgp 27686 maximum-paths ebgp 4
set protocols bgp 27686 maximum-paths ibgp 4
10.7.10 Configurando AS-Override
A funcionalidade AS-Override é utilizada para sobrescrever o AS no atributo AS_PATH de um prefixo, evitando que este
prefixo seja descartado pelo mecanismo de detecção de loop do BGP. O cenário abaixo será usado para demonstrar a
configuração do AS-Override para atender um cliente que possui pontos de acesso distintos em um mesmo provedor.
Configuração AS-Override
CE1

configure
commit
CE2
configure
commit
PE1
configure
set protocols bgp 200 neighbor 10.0.1.2 as-override
commit
PE2
configure
set protocols bgp 200 neighbor 10.0.2.2 as-override
commit
10.7.11 Verificando Roteamento BGP IPv6
show ip bgp
show ip bgp summary
show ip bgp neighbors
show ipv6 route
show ipv6 route bgp
debug bgp
show log bgp
show vrf <vrf-name> ip bgp
show vrf <vrf-name> ip bgp summary
show vrf <vrf-name> ip bgp neighbors
show vrf <vrf-name> ip route bgp
debug vrf <vrf-name> bgp

10.8 Configuração do BFD
BFD (Bidirectional Forwarding Detection) é um protocolo para detecção de falhas de continuidade no link entre dois
equipamento. Ele pode ser habilitado para rotas estáticas, BGP ou OSPF. Sua utilização possibilita que a convergência dos
referidos protocolos seja mais rápida quando ocorre alguma falha no caminho entre os dois equipamentos. Para cada link
monitorado pelo BFD é criada uma sessão.
Os seguintes parâmetros podem ser configurados para cada interface:
• Minrx (Desired Minimum Receive Interval) – É o intervalo mínimo, em microssegundos, entre pacotes de controle
recebidos que o equipamento deseja utilizar.
• Mintx (Required Minimum Transmit Interval) – É o intervalo mínimo, em microssegundos, entre pacotes de
controle transmitidos que o sistema deseja utilizar.
• Multipler (Detection Multiplier) – O intervalo de transmissão do pacote de controle é multiplicado por este valor,
que dará o timeout da sessão BFD.
set protocols bfd interface <interface> mintx <100-10000>

set protocols bfd interface <interface> minrx <100-10000>
set protocols bfd interface <interface> multiplier <3-255>
Estas configurações são realizadas por interface, ou seja, todas as sessões BFD criadas em uma dada
interface serão configuradas com os estes valores.
As sessões BFD funcionam apenas no modo single-hop.
Não há suporte ao modos “Echo mode” e “Demand Mode”.
10.8.1 BFD nas rotas estáticas
O BFD pode ser configurado nas rotas estáticas para todas as interfaces, uma interface específica, ou apenas para uma rota
estática.
Só é possível habilitar o BFD em uma rota estática se existir uma interface com IP na mesma rede do IP
configurado como “next-hop” da Rota Estática.

Para ativar o BFD em todas as rotas estáticas em todas as interfaces, o usuário deverá executar o seguinte procedimento:
configure
set protocols static bfd all-interfaces
commit
Para ativar o BFD somente nas rotas estáticas de uma interface específica, o usuário deverá executar o seguinte procedi-
mento:
configure
set protocols static bfd interface <interface>
commit
Para ativar o BFD somente em uma rota estática específica, o usuário deverá executar o seguinte procedimento:
configure
set protocols static route <network/mask> next-hop <next-hop-ip> bfd
commit
O cenário abaixo será usado para demonstrar a configuração do BFD habilitado em rotas estáticas.
Rota estática com BFD
Assumindo o cenário acima, os próximos passos irão demonstrar como configurar o BFD habilitado em rotas estáticas:
configure
! Configurações no DM25_1
set protocols static route 20.20.20.0/24 next-hop 1.1.1.2 bfd
set protocols static route 10.10.10.0/24 next-hop 1.1.1.2 bfd
commit
Sessões BFD.
10.8.2 BFD no OSPF
O BFD pode ser configurado no OSPFv2 para todas as interfaces ou para uma interface específica. Para ativar o BFD em
todas as interfaces participantes do OSPF, o usuário deverá executar a seguinte configuração:

configure
set protocols ospf bfd all-interfaces
commit
Para ativar o BFD em apenas uma interface participante do OSPF, o usuário deverá executar a seguinte configuração:
configure
set protocols ospf bfd interface <interface>
commit
O cenário abaixo será usado para demonstrar a configuração do BFD habilitado com OSPF.
OSPF com BFD
Segue um exemplo de configuração do BFD com OSPF baseado no cenário acima:
configure
set interfaces loopback lo address ’10.0.0.1/32’
set protocols ospf bfd interface eth1
set interfaces loopback lo address ’10.0.0.2/32’
set protocols ospf bfd interface eth1
commit
Sessões BFD.
10.8.3 BFD no OSPFv3
O BFD pode ser configurado no OSPFv3 para todas as interfaces ou para uma interface específica. Para ativar o BFD em
todas as interfaces participantes do OSPFv3, o usuário deverá executar a seguinte configuração:

configure
set protocols ospfv3 bfd all-interfaces
commit
Para ativar o BFD em apenas uma interface participante do OSPFv3, o usuário deverá executar a seguinte configuração:
configure
set protocols ospfv3 bfd interface <interface>
commit
O cenário abaixo será usado para demonstrar a configuração do BFD com OSPFv3.
OSPFv3 com BFD
Segue um exemplo de configuração do BFD com OSPFv3 baseado no cenário acima:
configure
set interfaces ethernet eth1 address ’2001:db8:ff::1/64’
set interfaces loopback lo1 address ’2001:db8::1/128’
set protocols ospfv3 bfd interface eth1
set interfaces ethernet eth1 address ’2001:db8:ff::2/64’
set interfaces loopback lo1 address ’2001:db8::2/128’
set protocols ospfv3 bfd interface eth1
commit
Sessões BFD.
10.8.4 BFD no BGP
O BFD pode ser configurado para um neighbor BGP através do comando “fall-over” conforme o procedimento descrito
abaixo:
configure
set protocols bgp <bgp_id> neighbor <neighbor_ip> fall-over bfd
commit
O cenário abaixo será usado para demonstrar a configuração do BFD habilitado com BGP.

BGP com BFD
Segue um exemplo de configuração do BFD com BGP baseado no cenário acima:
configure
set protocols bgp 1 neighbor 1.1.1.2 fall-over bfd
set protocols bgp 2 neighbor 1.1.1.1 fall-over bfd
commit
É possível utilizar o BFD com neighbors BGP IPv4 e também IPv6.
Sessões BFD.
10.8.5 Verificando Sessões BFD
show bfd
show bfd session
show bfd session detail
show log bfd
show vrf <vrf-name> bfd
show vrf <vrf-name> bfd session
show vrf <vrf-name> bfd session detail

10.9 Configuração do VRRP
O protocolo VRRP (Virtual Router Redundancy Protocol) funciona para redundância de Gateway em uma rede, com o
objetivo de dois ou mais roteadores compartilharem o mesmo IP virtual no modo ativo/backup (por padrão).
Para os outros dispositivos da rede, o VRRP permite que o gateway seja visualizado como um único equipamento.
O VRRP é bastante simples em sua função básica: um Roteador é eleito o Master e é responsável pelo encaminhamento do
tráfego da rede para os equipamentos que tem o IP Virtual como gateway. O segundo roteador chamado de Backup
apenas monitora os pacotes VRRP do barramento. Quando o equipamento Master deixar de funcionar, o equipamento
Backup assume suas funções como Master.
No DM2500, o VRRP é suportado nas interfaces físicas, e nas sub-interfaces (VLAN interfaces).
O roteador configurado com a maior prioridade será inicialmente eleito como Master. Se todos os roteadores
tiverem a mesma prioridade, o roteador com o endereço IP mais alto será eleito como Master.
É recomendado habilitar a função de preemption que permitirá que o roteador que era master antes de
uma falha, ao retornar da falha assuma novamente a posição de master.
10.9.1 Configurando o VRRPv2
O DM2500 tem suporte a versão VRRPv2 com endereçamento IPv4, descrito pelas RFCs 2338 e 3768.
O cenário abaixo será usado para demonstrar a configuração do VRRPv2.
VRRPv2
Assumindo o cenário conforme o diagrama acima, temos o seguinte exemplo para configurar o roteador master do VRRP:

configure
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication password ’d4t4c0m’
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication type ’ah’
set interfaces ethernet eth2 vrrp vrrp-group 254 preempt ’true’
set interfaces ethernet eth2 vrrp vrrp-group 254 priority ’200’
set interfaces ethernet eth2 vrrp vrrp-group 254 virtual-address ’192.168.253.41’
set interfaces ethernet eth4 vif 4056 address ’192.168.45.105/24’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication password ’d4t4c0m’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication type ’ah’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 preempt ’true’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 priority ’200’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 virtual-address ’192.168.45.1’
commit
Assumindo o cenário conforme o diagrama acima, temos o seguinte exemplo para configurar o roteador backup do VRRP:
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 version 2
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication password ’d4t4c0m’
set interfaces ethernet eth2 vrrp vrrp-group 254 authentication type ’ah’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 version 2
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication password ’d4t4c0m’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 authentication type ’ah’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 virtual-address ’192.168.45.1’
commit
O próximo exemplo baseia-se no exemplo anterior, incluindo todas as interfaces em um grupo de sincronização para que,
se uma das interfaces no Master falhar em qualquer um dos grupos VRRP, todas as interfaces que controlam o Master
passem a ser interfaces em um roteador backup.
Master
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 sync-group ’DATACOM_SYNC’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 sync-group ’DATACOM_SYNC’
commit
Backup
configure
set interfaces ethernet eth2 vrrp vrrp-group 254 sync-group ’DATACOM_SYNC’
set interfaces ethernet eth4 vif 4056 vrrp vrrp-group 255 sync-group ’DATACOM_SYNC’
commit
VRRP.

10.9.2 Configurando o VRRPv3
O protocolo VRRP versão 3 oferece suporte para endereços IPv4 e IPv6 descrito pela RFC 5798, enquanto o VRRP versão 2
suporta apenas endereços IPv4.
No DM2500, o VRRPv3 é suportado nas interfaces físicas e nas sub-interfaces (VLAN interfaces).
A versão 3 do VRRP não tem suporte a autenticação.
O cenário abaixo será usado para demonstrar a configuração do VRRPv3.
VRRPv3
Será demonstrada a configuração do protocolo VRRPv3 nos roteadores Master e Backup utilizando como base o cenário
acima.
Master
configure
set interfaces ethernet eth2 address ’2018::2/64’
set interfaces ethernet eth2 vrrp vrrp-group 21 version ’3’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-address ’2018::1’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-link-local ’auto-configuration’
set interfaces ethernet eth4 vif 2477 address ’2477::2/64’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 version ’3’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-address ’2477::1’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-link-local ’auto-configuration’
commit
Backup

configure
set interfaces ethernet eth2 address ’2018::3/64’
set interfaces ethernet eth2 vrrp vrrp-group 21 version ’3’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-address ’2018::1’
set interfaces ethernet eth2 vrrp vrrp-group 21 virtual-link-local ’auto-configuration’
set interfaces ethernet eth4 vif 2477 address ’2477::3/64’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 version ’3’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-address ’2477::1’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 virtual-link-local ’auto-configuration’
commit
O próximo exemplo baseia-se no exemplo anterior, incluindo todas as interfaces em um grupo de sincronização para que,
se uma das interfaces no Master falhar em qualquer um dos grupos VRRP, todas as interfaces que controlam o Master
passem a ser interfaces em um roteador backup.
Master
configure
set interfaces ethernet eth2 vrrp vrrp-group 21 sync-group ’DTC_SYNC’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 sync-group ’DTC_SYNC’
commit
Backup
configure
set interfaces ethernet eth2 vrrp vrrp-group 21 sync-group ’DTC_SYNC’
set interfaces ethernet eth4 vif 2477 vrrp vrrp-group 22 sync-group ’DTC_SYNC’
commit
VRRP.
10.9.3 Configurando o VRRP Track Interface
Existem cenários onde o roteador Master do VRRP continua ativo mas não consegue encaminhar os pacotes devido a
interface de saída (como para a Internet por exemplo) cair. O DM2500 permite configurar o track para o processo VRRP
monitorar algum objeto, que pode ser o estado da interface (Up/Down) ou monitorar o estado de uma rota, desta forma
reduzir a prioridade VRRP baseando-se em uma condição.
O VRRP Track Interface monitora o estado da interface (Up/Down) e reduz a prioridade do roteador VRRP caso a interface
altere seu estado para down.
O VRRP Track Interface é suportado para IPv4 e IPv6

Caso o roteador seja o IP address owner (o endereço configurado na interface é igual ao endereço virtual), a
prioridade será sempre 255 e não será decrementada pelo tracking.
O cenário abaixo será usado para demonstrar a configuração do VRRP Track Interface.
VRRP Track Interface
A configuração abaixo será utilizada para demonstrar a redução da prioridade do VRRP do Roteador Master de forma que
quando o link de saída configurado com track-interface cair, o Roteador Backup se tornará o Master.
Master
configure
! Configurando o track-interface, em caso de falha ele reduzirá a prioridade do VRRP para 150
set interfaces ethernet eth4 vrrp vrrp-group 254 track-interface eth2 weight ’50’
commit
Backup
configure
commit
Quando a interface eth2 do Roteador Master falhar, o track do VRRP irá identificar a falha e assim reduzir a prioridade do
VRRP do Roteador Master, dessa forma o Roteador Backup se tornará o Master.
VRRP.

10.9.4 Configurando o VRRP Track Route
O VRRP Track Route monitora o estado de alguma rota e reduz a prioridade do roteador VRRP caso a rota não seja mais
atingível.
O VRRP Track Interface é suportado apenas para IPv4
O cenário abaixo será usado para demonstrar a configuração do VRRP Track Route.
VRRP Track Route
A configuração abaixo será utilizada para demonstrar a redução da prioridade do VRRP do Roteador Master de forma que
quando a rota 8.8.8.8 não for atingível, o Roteador Backup se tornará o Master.
Master
configure
! Configurando o track-route, em caso de falha ele reduzirá a prioridade do VRRP para 150
set interfaces ethernet eth4 vrrp vrrp-group 254 track-route IPv4 target ’8.8.8.8’
set interfaces ethernet eth4 vrrp vrrp-group 254 track-route IPv4 weight ’50’
commit
VRRP.
10.9.5 Configurando o VRRP Transition Scripts
Os scripts de transição podem ajudá-lo a implementar vários ajustes, como iniciar e interromper serviços, ou até mesmo
modificar a configuração do DM2500 na transição do VRRP. Esta configuração fará com que o processo VRRP faça chamada
a um script que será executado conforme configurado durante as transições do VRRP.

O VRRP Transition Scripts suporta apenas ações sobre os túneis IPSec
Os estados do VRRP que são monitorados para disparar os scripts são:
• backup: Ação de transição do estado do VRRP para backup.
• fault: Ação de transição do estado do VRRP para fault.
• master: Ação de transição do estado do VRRP para master.
As ações que os scripts podem executar com base nos estados do VRRP são:
• ipsec-start: Inicia o IPSec na transição de estado do VRRP.
• ipsec-restart: Reinicia o IPSec na transição de estado do VRRP.
• ipsec-stop: Para o IPSec na transição de estado do VRRP.
A configuração abaixo será utilizada para demonstrar a parada do processo dos túneis IPSec após o estado do VRRP alterar
para backup, assim como o inicio do processo dos túneis IPSec quando o VRRP alterar para master.
Master:
configure
! Configurando o transition-scripts, em caso do estado mudar para backup ira parar o IPSec
set interfaces ethernet eth4 vrrp vrrp-group 254 run-transition-scripts
backup ’ipsec-stop’
! Configurando o transition-scripts, em caso do estado mudar para master ira iniciar o IPSec
set interfaces ethernet eth4 vrrp vrrp-group 254 run-transition-scripts
master ’ipsec-start’
commit
VRRP.
10.9.6 Verificando VRRP
show vrrp
show vrrp detail
show vrrp interfaces <interface>
show vrrp statistics
show vrrp sync-group
show log vrrp
show vrf <vrf-name> vrrp
show vrf <vrf-name> vrrp detail
show vrf <vrf-name> vrrp interfaces <interface>

show vrf <vrf-name> vrrp statistics

show vrf <vrf-name> vrrp sync-group
10.10 Configuração do PIM
O protocolo PIM (Protocol Independent Multicast) é uma família de protocolos com objetivo de suportar o roteamento de
fluxos multicast. Estes protocolos utilizam as rotas aprendidas pelo equipamento para criação do caminho dos fluxos
multicast, não dependendo de nenhum protocolo de roteamento específico. Existem diversos protocolos da família PIM,
sendo eles: PIM SM (Sparse Mode) , PIM SSM (Source-Specific Multicast), PIM DM (Dense Mode) e Bidirectional PIM. Estes
protocolos basicamente se diferenciam no modo de construção do caminho para roteamento dos fluxos multicast.
Somente são suportados os modos PIM SM e PIM SSM.
O cenário abaixo será usado para demonstrar a configuração dos protocolos PIM SM com RP estático, PIM SSM e OSPF.
PIM
Será demonstrado a configuração do protocolo PIM utilizando como base o cenário acima.
EQUIPMENT-A
configure
set protocols ospf log-adjacency-changes
set protocols pim rp-address 20.20.20.20
set interfaces loopback lo1 multicast enable
set interfaces loopback lo1 ip pim enable
set interfaces ethernet eth1 ip ospf network broadcast
set interfaces ethernet eth1 ip pim enable
commit
EQUIPMENT-B

configure
set protocols ospf log-adjacency-changes
set protocols pim rp-address 20.20.20.20
set interfaces loopback lo1 multicast enable
set interfaces loopback lo1 ip pim enable
set interfaces ethernet eth1 ip ospf network broadcast
commit
PIM.
10.10.1 Alterando a versão do IGMP
O IGMP versão 3 é a configuração default deste equipamento, mas caso seja necessário é possível alterar a versão do IGMP
utilizando os comandos abaixo.
O IGMP versão 3 suporta o PIM SM e PIM SSM, e a versão 2 do IGMP suporta somente o PIM SM.
Alterar o protocolo IGMP para versão 2:
configure
set interfaces ethernet eth1 ip pim igmp v2
commit
Alterar o protocolo IGMP para versão 3:
configure
set interfaces ethernet eth1 ip pim igmp v3
commit
PIM.

10.10.2 Verificando PIM
show pim
show pim route-cache
show pim statistics
show log pim
10.11 Configuração da VRF
O VRF (Virtual Routing and Forwarding) é uma funcionalidade que permite a existência de instâncias de roteamento
isoladas em um mesmo equipamento.
Somente é suportada a criação de sete VRFs no produto.
Algumas funcionalidades não são suportadas em VRFs. Para mais detalhes sobre as funcionalidades não
suportadas, consultar o documento DM2500 Release Notes.
10.11.1 Configurando o VRF lite
A VRF lite é uma versão mais básica do VRF, sem suporte a sinalização por MPLS.
O cenário abaixo será usado para demonstrar a configuração do VRF lite.
Isolamento de tráfego entre clientes com VRFs
Não deve haver comunicação entre os clientes 1 e 2. Portanto, duas VRFs serão configuradas para isolar as tabelas de

roteamento e o tráfego entre ambos. Serão utilizadas as seguintes especificações:
VRF CLI1
• Interface na VLAN 10 com endereço IPv4 192.168.10.1/24
VRF CLI2
configure
set vrf CLI1 interfaces ethernet eth1 vif 10 address 192.168.10.1/24
commit
O cenário abaixo será usado para demonstrar a configuração de um cenário com gerência fora da VRF e uma VRF de dados
com sobreposição dos endereços IP.
VRF com sobreposição dos endereços IP
Não existe comunicação entre a rede de gerência na interface eth1 e a VRF de dados CLI1 na interface eth6. As duas
interfaces utilizam o mesmo endereço IP.
Serão utilizadas as seguintes especificações:
GERÊNCIA
• Interface eth1 com endereço IPv4 192.168.0.1/24
VRF CLI1
• Interface eth6 com endereço IPv4 192.168.0.1/24
configure
set vrf CLI1 interfaces ethernet eth6 address 192.168.0.1/24
commit

VRF.
10.11.2 Verificando VRF
show vrf <vrf name> interfaces

show vrf <vrf name> ip route
10.12 Configuração do ECMP
O ECMP (Equal Cost Multi-Path) permite que fluxos ou pacotes para um mesmo destino possam ser transmitidos através de
multiplos caminhos de mesmo custo.
O balanceamento pode ser realizado por pacotes ou por fluxos.
10.12.1 Balaceamento por pacotes
No modo packet, não são levados em consideração fluxos. Os pacotes são balanceados utilizando round-robin entre os
next-hops disponíveis.
Configuração para IPv4:
configure
set system ip ecmp packets
commit
configure
set system ipv6 ecmp packets
commit
10.12.2 Balanceamento por fluxo
O balanceamento por fluxo pode ser realizado de duas formas: ports-unaware e ports-aware.
No modo ports-unware, as portas TCP/UDP não são consideradas na identificação do flow.

configure
set system ip ecmp ports-unaware
commit
configure
set system ipv6 ecmp ports-unaware
commit
No modo ports-aware, as portas TCP/UDP são consideradas na identificação do flow.
configure
set system ip ecmp ports-aware
commit
configure
set system ipv6 ecmp ports-aware
commit
10.12.3 Desabilitando o ECMP
Para desabilitar o ECMP, basta seguir as configurações abaixo.
configure
set system ip ecmp disabled
commit
configure
set system ipv6 ecmp disabled
commit
A configuração de ECMP pode ser realizada também em VRFs. Para isto, basta executar as as configurações
listadas anterioremente no contexto da VRF, como em set vrf <vrf-name> system ip ecmp ... ou set vrf
<vrf-name> system ipv6 ecmp ...
Consulte a sessão do protocolo de roteamento específico para ver como habilitar o ECMP no mesmo.

DM2500 - Guia de Configuração Rápida 11 Tunelamento
11 Tunelamento
O tunelamento consiste no encapsulamento de um protocolo em outro protocolo para viabilizar transparência e maior
segurança na passagem de dados através das redes públicas não seguras ou até mesmo em redes privadas.
Este capítulo contém as seguintes sessões:
• Configuração de túneis GRE
• Configuração de túneis IPSec
11.1 Configuração de túneis GRE
O GRE (Generic Routing Encapsulation) é um método de encapsulamento de pacotes IP através de infraestrutura IP, com
objetivo de interconectar redes que se comunicam através de infraestrutura pública (geralmente a Internet).
11.1.1 Túnel IPv4
O cenário abaixo será utilizado para descrever como configurar um túnel GRE.
Cenário com Túnel GRE
Suponha que o usuário deseja criar um túnel GRE ponto-a-ponto na rede 35.35.35.0/31 entre os equipamentos R1 e R2,
ambos conectados na Internet com endereços IPv4 fixos atribuídos e redes internas distintas aprendidas por OSPF. O
procedimento a seguir demonstra como realizar esta configuração.
Roteador 1 (R1)
configure
set interfaces tunnel tun0 address 35.35.35.1/31
set interfaces tunnel tun0 encapsulation gre
set interfaces tunnel tun0 local-ip 209.165.201.15
set interfaces tunnel tun0 remote-ip 201.122.120.3
commit

Roteador 2 (R2)
configure
set interfaces tunnel tun0 address 35.35.35.2/31
set interfaces tunnel tun0 encapsulation gre
set interfaces tunnel tun0 local-ip 201.122.120.3
set interfaces tunnel tun0 remote-ip 209.165.201.15
commit
commit.
GRE.
11.1.2 Túnel IPv6
O GRE pode também ser utilizado com endereçamento IPv6 para o DM2500. O cenário abaixo será utilizado para descrever
como configurar um túnel GRE com IPv6.
Cenário com Túnel GRE IPv6
Suponha que o usuário deseja criar um túnel GRE IPv6 ponto-a-ponto na rede fd01::1/64 entre os equipamentos R1 e R2,
ambos conectados na Internet com endereços IPv6 fixos atribuídos e redes internas configuradas via rotas estáticas. O
procedimento a seguir demonstra como realizar esta configuração.
Roteador 1 (R1)
configure
set interfaces ethernet eth1 address ’fd00:1::1/64’
set interfaces ethernet eth8 address ’2001:1290:1::6/64’
set interfaces tunnel tun0 address ’fd01::1/64’
set interfaces tunnel tun0 encapsulation ’gre6’
set interfaces tunnel tun0 local-ip ’2001:1290:1::6’
set interfaces tunnel tun0 mtu ’2000’
set interfaces tunnel tun0 remote-ip ’2001:1290:1:5::2’

set protocols static route6 ::/0 next-hop ’2001:1290:1::1’

commit
Roteador 2 (R2)
configure
set interfaces ethernet eth1 address ’fd00::1/64’
set interfaces ethernet eth8 address ’2001:1290:1:5::2/64’
set interfaces tunnel tun0 address ’fd01::2/64’
set interfaces tunnel tun0 encapsulation ’gre6’
set interfaces tunnel tun0 local-ip ’2001:1290:1:5::2’
set interfaces tunnel tun0 mtu ’2000’
set interfaces tunnel tun0 remote-ip ’2001:1290:1::6’
set protocols static route6 ::/0 next-hop ’2001:1290:1:5::1’
commit
commit.
GRE.
11.1.3 Túnel GRE IPv4 com IPsec
Os túneis GRE não são criptografados e não fornecem segurança além de uma simples chave trocada em texto puro em
cada pacote. Isso significa que os túneis GRE, por conta própria, não fornecem segurança adequada para ambientes
de produção. Ao mesmo tempo, os túneis baseados em políticas do IPsec, não conseguem transportar protocolos de
roteamento, tráfego não IP como Internetwork Packet Exchange (IPX) ou multicast, o IPsec também possui limitações
do ponto de vista das operações. O uso de interfaces de túnel em conjunto com IPsec VPN fornece conexões de túnel
roteáveis entre gateways. Para túneis roteáveis seguros, as interfaces do túnel GRE devem ser usadas em conjunto com
uma conexão IPsec, de modo que o túnel IP possa ser protegido pelo túnel IPsec. O cenário abaixo será usado para
demonstrar a configuração da proteção do túnel GRE com IPsec.
Cenário Túnel GRE com IPsec
Suponha que o usuário deseja configurar um túnel GRE entre dois DM2500 com segurança utilizando IPsec entre os
mesmos pontos finais. O procedimento a seguir demonstra como realizar esta configuração.
Roteador 1 (DM2500 4GT)

configure
set interfaces tunnel tun1 remote-ip ’192.168.72.6’
set interfaces tunnel tun1 multicast ’enable’
set interfaces tunnel tun1 address ’192.168.191.1/30’
set interfaces tunnel tun1 local-ip ’192.168.254.41’
set interfaces tunnel tun1 encapsulation ’gre’
set vpn ipsec ike-group IKE-CLINK-BRM key-exchange ’ikev2’
set vpn ipsec ike-group IKE-CLINK-BRM lifetime ’3600’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 dh-group ’14’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 encryption ’aes256’
set vpn ipsec esp-group ESP-CLINK-BRM lifetime ’1800’
set vpn ipsec esp-group ESP-CLINK-BRM pfs ’enable’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 encryption ’aes128’
set vpn ipsec esp-group ESP-CLINK-BRM mode ’transport’
set vpn ipsec site-to-site peer 192.168.72.6 authentication pre-shared-secret ’d4t4c0m’
set vpn ipsec site-to-site peer 192.168.72.6 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 192.168.72.6 ike-group ’IKE-CLINK-BRM’
set vpn ipsec site-to-site peer 192.168.72.6 tunnel 2018 protocol ’gre’
set vpn ipsec site-to-site peer 192.168.72.6 tunnel 2018 esp-group ’ESP-CLINK-BRM’
set vpn ipsec site-to-site peer 192.168.72.6 local-address ’192.168.254.41’
set vpn ipsec site-to-site peer 192.168.72.6 connection-type ’initiate’
set vpn ipsec ipsec-interfaces interface ’eth2’
set protocols static route 192.168.64.0/22 next-hop ’192.168.191.2’
commit
configure
set interfaces tunnel tun1 remote-ip ’192.168.254.41’
set vpn ipsec ike-group IKE-CLINK-BRM key-exchange ’ikev2’
set vpn ipsec ike-group IKE-CLINK-BRM lifetime ’3600’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 dh-group ’14’
set vpn ipsec ike-group IKE-CLINK-BRM proposal 10 encryption ’aes256’
set vpn ipsec esp-group ESP-CLINK-BRM lifetime ’1800’
set vpn ipsec esp-group ESP-CLINK-BRM pfs ’enable’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 hash ’sha1’
set vpn ipsec esp-group ESP-CLINK-BRM proposal 10 encryption ’aes128’
set vpn ipsec esp-group ESP-CLINK-BRM mode ’transport’
set vpn ipsec site-to-site peer 192.168.254.41 authentication pre-shared-secret ’d4t4c0m’
set vpn ipsec site-to-site peer 192.168.254.41 ike-group ’IKE-CLINK-BRM’
set vpn ipsec site-to-site peer 192.168.254.41 tunnel 2018 protocol ’gre’
set vpn ipsec site-to-site peer 192.168.254.41 tunnel 2018 esp-group ’ESP-CLINK-BRM’
set vpn ipsec ipsec-interfaces interface ’eth1.503’
set protocols static route 192.168.45.0/24 next-hop ’192.168.191.1’
commit
commit.
GRE com IPsec.

Verificando GRE
show interfaces tunnel

show interfaces tunnel detail
show vrf <vrf-name> interfaces tunnel
show vrf <vrf-name> interfaces tunnel detail
Verificando GRE com IPsec
show interfaces tunnel

show interfaces tunnel detail
show vpn ipsec status
show vpn ipsec sa
show vpn ipsec sa detail
show vpn debug
show vpn debug detail
show vpn debug peer <IP Address>
show log vpn ipsec
show vrf <vrf-name> interfaces tunnel
show vrf <vrf-name> interfaces tunnel detail
show vrf <vrf-name> vpn ipsec status
show vrf <vrf-name> vpn ipsec sa
show vrf <vrf-name> vpn ipsec sa detail
show vrf <vrf-name> vpn ike sa
show vrf <vrf-name> vpn debug
show vrf <vrf-name> vpn debug detail
show vrf <vrf-name> vpn debug peer <IP Address>
11.2 Configuração de túneis IPSec
O IPsec (Internet Protocol Security) é um conjunto de protocolos definidos pela IETF para garantir a troca segura de pacotes
IPv4 e IPv6 através de redes não seguras (Internet). O protocolo conta com mecanismos de verificação da integridade dos
dados garantindo que não tenham sido modificados por alguém não autorizado, além de assegurar a confidencialidade,
onde somente os peers autorizados podem ver os dados, adotando métodos de encriptação e controle de acesso.
Por padrão o DM2500 utiliza o IKE (Internet Key Exchange) versão 1 para gerenciamento automático das
chaves para encriptação.
11.2.1 Túnel IPsec IPv4 site-to-site
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com IPv4.

Cenário VPN IPsec
Os roteadores DM2500 possuem LAN com endereçamento IPv4 conforme apresentado na figura acima. O endereçamento
IP da WAN dos roteadores está demonstrado nas configurações a seguir, assim como todos os parâmetros utilizados para o
IPsec. O procedimento a seguir demonstra como realizar esta configuração.
configure
set vpn ipsec ike-group ike-grp-1 proposal 1 hash ’sha1’
set vpn ipsec ike-group ike-grp-1 proposal 1 dh-group ’14’
set vpn ipsec ike-group ike-grp-1 proposal 1 encryption ’aes256’
set vpn ipsec esp-group esp-grp-1 pfs ’dh-group14’
set vpn ipsec esp-group esp-grp-1 proposal 1 hash ’sha1’
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption ’aes256’
set vpn ipsec site-to-site peer 80.80.80.1 authentication pre-shared-secret ’datacom123’
set vpn ipsec site-to-site peer 80.80.80.1 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 80.80.80.1 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 80.80.80.1 tunnel 1 local prefix ’192.168.10.0/24’
set vpn ipsec site-to-site peer 80.80.80.1 tunnel 1 remote prefix ’192.168.6.0/24’
commit
configure
set vpn ipsec esp-group esp-grp-1 pfs dh-group14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 80.80.80.2 tunnel 1 local prefix 192.168.6.0/24
set vpn ipsec site-to-site peer 80.80.80.2 tunnel 1 remote prefix 192.168.10.0/24
commit
commit.

IPsec.
11.2.2 Túnel IPsec IPv6 site-to-site
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com IPv6.
Cenário VPN IPsec com IPv6
Os roteadores DM2500 possuem LAN com endereçamento IPv6 conforme apresentado na figura acima. O endereçamento
IPv6 da WAN dos roteadores está demonstrado nas configurações a seguir, assim como todos os parâmetros utilizados
para o IPsec. O procedimento a seguir demonstra como realizar esta configuração.
configure
set interfaces ethernet eth1 vif 104 address ’2804:130c::2/64’
set interfaces ethernet eth2 vif 101 address ’fd00::1/64’
set vpn ipsec site-to-site peer 2804:130c::1 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2804:130c::1 authentication pre-shared-secret ’d4t4c4m’
set vpn ipsec site-to-site peer 2804:130c::1 connection-type ’respond’
set vpn ipsec site-to-site peer 2804:130c::1 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2804:130c::1 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2804:130c::1 local-address ’2804:130c::2’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 id ’@respondTun1’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 allow-nat-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 allow-public-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 local prefix ’fd00::/64’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 remote prefix ’fd00:1::/64’
set vpn ipsec site-to-site peer 2804:130c::1 tunnel 1 remote-id ’@initiatorTun1’
set protocols static interface-route6 fd00:1::/64 next-hop-interface ’eth1.104’
commit

configure
set interfaces ethernet eth1 vif 104 address ’2804:130c::1/64’
set interfaces ethernet eth2 vif 101 address ’fd00:1::1/64’
set vpn ipsec site-to-site peer 2804:130c::2 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2804:130c::2 authentication pre-shared-secret ’d4t4c4m’
set vpn ipsec site-to-site peer 2804:130c::2 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2804:130c::2 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2804:130c::2 local-address ’2804:130c::1’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 id ’@initiatorTun1’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 allow-nat-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 allow-public-networks ’disable’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 local prefix ’fd00:1::/64’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 remote prefix ’fd00::/64’
set vpn ipsec site-to-site peer 2804:130c::2 tunnel 1 remote-id ’@respondTun1’
set protocols static interface-route6 fd00::/64 next-hop-interface ’eth1.104’
commit
commit.
IPsec.
11.2.3 Túnel IPsec site-to-site com NAT Traversal
Os pacotes IPsec nativos são encapsulados usando o ESP (Encapsulated Security Payload). Nesses pacotes, os endereços IP
são incorporados no pacote encapsulado. Isso causa problemas quando os pacotes IPsec devem atravessar um dispositivo
que faz NAT. Quando acontece o NAT (Network Address Translation), o dispositivo NAT substitui seu próprio endereço
IP de origem (e às vezes um número de porta) pelo IP de origem e pela porta nos pacotes de saída. O dispositivo NAT
escuta uma resposta e, quando um pacote de resposta é recebido, o dispositivo NAT inverte a tradução para que o
pacote de entrada possa chegar ao destino correto. Isso permite que endereços IP dentro de uma rede privada sejam
“ocultos” de redes externas. O NAT não funciona bem com o IPsec, porque os endereços IP são incorporados no payload do
pacote encapsulado. Por vários motivos, isso significa que o peer IPsec não pode ser localizado atrás de um dispositivo
NAT. O IPsec possui uma feature chamada NAT Traversal (NAT-T, RFCs 3947 e 3948) permite que cada pacote IPsec seja
reencapsulado em um pacote UDP, que pode ser manipulado corretamente pelo dispositivo configurado com NAT. O NAT-T
é executado sobre o IPsec. Para suportar NAT-T, o dispositivo que faz NAT e possui firewall deve ser configurado para
permitir a seguinte configuração: - IKE através da porta UDP 500 - IPsec NAT-T através da porta UDP 4500 - ESP Alguns
dispositivos de NAT já vem pré-configurados com tudo isso em um recurso chamado “IPsec Passthrough”. No entanto, o
IPsec Passthrough é incompatível com o NAT traversal. Os dispositivos com IPsec Passthrough reconhecem os pacotes
IPsec UDP e tentam incorretamente encaminhar os pacotes. Isso corrompe os pacotes de tal maneira que o NAT-T não
funciona mais.
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com NAT-Traversal.

Cenário VPN IPsec com NAT-Traversal
O procedimento a seguir demonstra como pode ser configurado o cenário proposto.
Configuração – DM2500 4GT
configure
set vpn ipsec site-to-site peer 0.0.0.0 tunnel 1 local prefix ’192.168.10.0/24’
set vpn ipsec site-to-site peer 0.0.0.0 tunnel 1 remote prefix ’192.168.60.0/24’
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 192.168.0.0/16 exclude 192.168.10.0/24
commit
Uma mudança importante em essa configuração é o endereço do peer. Ele está definido como 0.0.0.0 para representar
“qualquer” endereço IP. Como o endereço IP do peer é praticamente desconhecido, o DM2500 4GT não iniciará conexões
com o peer, apenas receberá conexões do peer.
Configuração – DM2500 6GT
configure
set vpn ipsec esp-group esp-grp-1 pfs dh-group14
set vpn ipsec esp-group esp-grp-1 proposal 1 hash sha1
set vpn ipsec esp-group esp-grp-1 proposal 1 encryption aes256
set vpn ipsec site-to-site peer 190.100.10.210 tunnel 1 local prefix 192.168.60.0/24
set vpn ipsec site-to-site peer 190.100.10.210 tunnel 1 remote prefix 192.168.10.0/24
set vpn ipsec nat-traversal enable
set vpn ipsec nat-networks allowed-network 192.168.0.0/16 exclude 192.168.60.0/24
commit
commit.

IPsec.
11.2.4 Túnel IPsec com Virtual Tunnel Interface
O IPsec com Virtual Tunnel Interfaces (VTIs) fornece um tipo de interface roteável para estabelecer túneis IPsec e uma
maneira fácil de definir a proteção entre sites para formar uma rede sobreposta. As VTIs IPsec simplificam a configuração
do IPsec para proteção de links remotos e simplifica o gerenciamento de rede.
No DM2500 não há suporte para cenários com alta disponibilidade ou balanceamento de carga utilizando
túneis com VTI.
Cenário IPsec com VTI
Note que em um cenário IPsec com VTI não se utiliza a configuração de tunnel X local e tunnel X remote dentro do IPsec
peer. É utilizado a configuração de vti bind dentro do peer e o tráfego a ser encriptado deve ser encaminhado para uma
interface VTI que está associada com o IPSec.
As interfaces VTI possuem a config de IP address, mas esta não realiza nenhum tipo de encapsulamento no pacote
(diferente do GRE). O endereço do IPsec peer e o local-address devem ser os endereços das interfaces físicas (WANs), não
os endereços das VTIs.
Suponha que o usuário deseja configurar um túnel com MTU (Maximum Transmission Unit) de 1400 bytes utilizando
interfaces VTI entre dois DM2500 com proteção IPsec. O procedimento a seguir demonstra como realizar esta configuração.
O MTU da interface VTI deve ser menor que o MTU da interface física por onde vão ser enviados os pacotes
criptografados. No exemplo abaixo a VTI tem MTU de 1400 e a eth4 tem MTU de 1500. Neste caso existe uma
diferença de 100 bytes, suficiente para o overhead que o IPsec adiciona e para evitar fragmentação na
interface eth2.

Roteador R1 (DM2500)
configure
set interfaces ethernet eth4 mtu ’1500’
set interfaces vti vti1 address ’11.11.11.1/30’
set interfaces vti vti1 description ’IPsec-IPv4’
set interfaces vti vti1 mtu ’1400’
set protocols static interface-route 192.167.0.0/16 next-hop-interface ’vti1’
set vpn ipsec esp-group esp-grp-1 compression ’disable’
set vpn ipsec esp-group esp-grp-1 lifetime ’28800’
set vpn ipsec esp-group esp-grp-1 mode ’tunnel’
set vpn ipsec esp-group esp-grp-1 pfs ’enable’
set vpn ipsec ike-group ike-grp-1 dead-peer-detection action ’hold’
set vpn ipsec ike-group ike-grp-1 dead-peer-detection interval ’30’
set vpn ipsec ike-group ike-grp-1 dead-peer-detection timeout ’120’
set vpn ipsec ike-group ike-grp-1 key-exchange ’ikev2’
set vpn ipsec ike-group ike-grp-1 lifetime ’28800’
set vpn ipsec site-to-site peer 192.168.3.2 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 192.168.3.2 connection-type ’respond’
set vpn ipsec site-to-site peer 192.168.3.2 vti bind ’vti1’
set vpn ipsec site-to-site peer 192.168.3.2 vti esp-group ’esp-grp-1’
commit
save
configure
set interfaces ethernet eth4 mtu ’1500’
set interfaces vti vti1 address ’11.11.11.2/30’
set interfaces vti vti1 mtu ’1400’
set protocols static interface-route 192.168.0.0/16 next-hop-interface ’vti1’
set vpn ipsec site-to-site peer 192.168.3.1 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 192.168.3.1 vti bind ’vti1’
set vpn ipsec site-to-site peer 192.168.3.1 vti esp-group ’esp-grp-1’
commit
save
Alternativamente ao IPv4, o IPsec com VTI pode também ser configurado com endereçamento IPv6.
O cenário abaixo será usado para demonstrar a configuração do VPN IPsec com IPv6 utilizando interface VTI.

Cenário IPsec com VTI
O procedimento a seguir demonstra como realizar esta configuração.
configure
set interfaces ethernet eth3 address ’2001:f0ca::1/64’
set interfaces ethernet eth4 address ’2001:b0ca::1/64’
set interfaces vti vti2 address ’fc00:1111::1/126’
set protocols static interface-route6 2001:f0ca::/64 next-hop-interface ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::2 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2001:b0ca::2 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 2001:b0ca::2 connection-type ’respond’
set vpn ipsec site-to-site peer 2001:b0ca::2 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::2 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::2 local-address ’2001:b0ca::1’
set vpn ipsec site-to-site peer 2001:b0ca::2 vti bind ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::2 vti esp-group ’esp-grp-1’
commit
save
configure
set interfaces ethernet eth3 address ’2001:ba1a::1/64’
set interfaces ethernet eth4 address ’2001:b0ca::2/64’
set interfaces vti vti2 address ’fc00:1111::2/126’
set protocols static interface-route6 2001:ba1a::/64 next-hop-interface ’vti2’


set vpn ipsec site-to-site peer 2001:b0ca::1 authentication mode ’pre-shared-secret’
set vpn ipsec site-to-site peer 2001:b0ca::1 authentication pre-shared-secret ’mysecret123’
set vpn ipsec site-to-site peer 2001:b0ca::1 connection-type ’initiate’
set vpn ipsec site-to-site peer 2001:b0ca::1 default-esp-group ’esp-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::1 ike-group ’ike-grp-1’
set vpn ipsec site-to-site peer 2001:b0ca::1 local-address ’2001:b0ca::2’
set vpn ipsec site-to-site peer 2001:b0ca::1 vti bind ’vti2’
set vpn ipsec site-to-site peer 2001:b0ca::1 vti esp-group ’esp-grp-1’
commit
save
commit.
IPsec com VTI.
11.2.5 Túnel IPsec através da interface LTE
Em equipamentos DM2500 4GT+LTE é possível configurar a VPN IPSec IPv4 ou VPN IPSec IPv4 com Virtual Tunnel Interface
através da interface LTE. Com a conexão de WAN configurada através da interface LTE, abaixo as linhas de configurações
para utilizar a interface LTE como WAN da VPN IPSec. As demais configurações referentes a VPN podem ser utilizadas
conforme exemplo do capítulo anterior. Neste caso, a linha de comando set vpn ipsec site-to-site peer <REMOTE-IP>
local-address <LOCAL-IP> não é necessária.
configure
set vpn ipsec ipsec-interfaces interface ’wlm0’
set vpn ipsec site-to-site peer 191.247.197.3 wirelessmodem-interface ’wlm0’
commit
configure
set vpn ipsec ipsec-interfaces interface ’wlm0’
set vpn ipsec site-to-site peer 187.71.241.187 wirelessmodem-interface ’wlm0’
commit
commit.
IPsec.

IPsec com VTI.
11.2.6 Túnel Dynamic Multipoint IPsec VPNs (DMVPN)
A funcionalidade DMVPN é o conjunto dos protocolos Multipoint Generic Routing Encapsulation (mGRE), Next Hop
Resolution Protocol (NHRP) e o IPsec (Internet Protocol Security). A solução utiliza IPsec para encapsular o tráfego mGRE,
que por sua vez é utilizado para transporte de dados e a comunicação de protocolos de roteamento através dos túneis GRE.
Utilizando estes protocolos é criada a topologia hub-and-spoke onde o hub, ou roteador principal, tem conexão com todos
os spokes e os spokes tem apenas com o hub. A finalidade da DMVPN é criar túneis dinâmicos entre os spokes, garantindo
tráfego criptografado entre todos os elementos da topologia sem passar pelo hub. No DM2500 estão implementadas as
fases 2 e 3. A diferença entre elas é que na fase 3 tanto os túneis, quanto a tabela de roteamento serão sob-demanda. Desta
forma o spoke irá sobrescrever o next-hop do pacote e ignorar a rota default, caso existir (que poderia apontar para o hub).
O cenário abaixo será usado para demonstrar a configuração de uma DMVPN fase 2 entre um hub e dois spokes.
Cenário DMVPN.
DM25-R1
configure
set interfaces ethernet eth3 description ’LAN-R1’
set interfaces ethernet eth1 description ’WAN-INTERNET-R1’
set interfaces tunnel tun0 description ’DMVPN-Tunnel-GRE-R1’
set interfaces tunnel tun0 parameters ip key ’1’
set protocols memory-limit ’100’
set protocols nhrp tunnel tun0 cisco-authentication ’P@ssw0rd’
set protocols nhrp tunnel tun0 holding-time ’90’
set protocols nhrp tunnel tun0 multicast ’dynamic’
set vpn ipsec esp-group ESP-DMVPN compression ’disable’
set vpn ipsec esp-group ESP-DMVPN lifetime ’3600’

set vpn ipsec esp-group ESP-DMVPN mode ’tunnel’

set vpn ipsec esp-group ESP-DMVPN pfs ’disable’
set vpn ipsec esp-group ESP-DMVPN proposal 1 encryption ’aes256’
set vpn ipsec esp-group ESP-DMVPN proposal 1 hash ’sha1’
set vpn ipsec ike-group IKE-DMVPN key-exchange ’ikev1’
set vpn ipsec ike-group IKE-DMVPN lifetime ’28800’
set vpn ipsec ike-group IKE-DMVPN proposal 1 dh-group ’24’
set vpn ipsec ike-group IKE-DMVPN proposal 1 encryption ’aes256’
set vpn ipsec ike-group IKE-DMVPN proposal 1 hash ’sha1’
set vpn ipsec profile NHRPVPN authentication mode ’pre-shared-secret’
set vpn ipsec profile NHRPVPN authentication pre-shared-secret ’P@ssw0rd’
set vpn ipsec profile NHRPVPN bind tunnel ’tun0’
set vpn ipsec profile NHRPVPN esp-group ’ESP-DMVPN’
set vpn ipsec profile NHRPVPN ike-group ’IKE-DMVPN’
commit
DM25-R2
configure
set protocols nhrp tunnel tun0 map 10.0.0.1/16 nbma-address ’200.18.241.10’
set protocols nhrp tunnel tun0 map 10.0.0.1/16 ’register’
set protocols nhrp tunnel tun0 multicast ’nhs’
set vpn ipsec ike-group IKE-DMVPN dead-peer-detection action restart
set vpn ipsec ike-group IKE-DMVPN dead-peer-detection timeout 30
set vpn ipsec ike-group IKE-DMVPN dead-peer-detection interval 15
commit
DM25-R3
configure


commit
Para configurar a DMVPN fase 3, basta adicionar a linha de configuração abaixo.
DM25-R1
configure
set protocols nhrp tunnel tun0 redirect
commit
DM25-R2 e DM25-R3
configure
set protocols nhrp tunnel tun0 shortcut
commit
Desta forma é possível estabelecer sessões RIP, OSPF e BGP, além de configurar rotas estáticas entre o hub e os spokes.
DM25-R1
configure
set interfaces tunnel tun0 ip ospf network broadcast
set interfaces tunnel tun0 ip ospf priority 2
commit
DM25-R2
configure
commit
DM25-R3

configure
commit
commit.
DMVPN.
Configuração de DMVPN com Suporte a Endereços Dinâmicos nos Spokes
A DMVPN pode ser configurada para que a interface WAN do spoke receba endereço IP de um servidor DHCP. O cenário
abaixo será usado para demonstrar esta configuração.
Cenário DMVPN com DHCP.
DM25-R1
configure
set interfaces ethernet eth3 description ’DMVPN-REDE-LOCAL’
set interfaces ethernet eth1 description ’DMVPN-HUB-UPLINK’
set interfaces tunnel tun0 description ’DMVPN-Tunnel-GRE’
set protocols nhrp tunnel tun0 cisco-authentication ’123abc!@#’
set protocols nhrp tunnel tun0 multicast ’dynamic’
set service dhcp-server disabled ’false’
set service dhcp-server shared-network-name DMVPN-HUB authoritative ’disable’
set service dhcp-server shared-network-name DMVPN-HUB subnet 172.16.0.0/24 lease ’86400’
set service dhcp-server shared-network-name DMVPN-HUB subnet 172.16.0.0/24 start 172.16.0.1 stop ’172.16.0.253’


set vpn ipsec esp-group ESP-DMVPN proposal 1 encryption ’3des’
set vpn ipsec ike-group IKE-DMVPN proposal 1 encryption ’3des’
set vpn ipsec profile NHRP-DMVPN authentication mode ’pre-shared-secret’
set vpn ipsec profile NHRP-DMVPN authentication pre-shared-secret ’123abc!@#’
set vpn ipsec profile NHRP-DMVPN bind tunnel ’tun0’
set vpn ipsec profile NHRP-DMVPN esp-group ’ESP-DMVPN’
set vpn ipsec profile NHRP-DMVPN ike-group ’IKE-DMVPN’
commit
DM25-R2
configure
set interfaces ethernet eth1 address ’dhcp’
set protocols nhrp tunnel tun0 dhcp interface ’eth1’
commit
DM25-R3
configure
set interfaces ethernet eth1 address ’dhcp’
set protocols nhrp tunnel tun0 dhcp interface ’eth1’


commit
commit.
DMVPN.
o Servidor DHCP.
Cliente do DHCPv4.
Verificando IPsec

show vpn ipsec sa
show vpn ipsec sa detail
show vpn ike sa
show vpn ike status
show vpn debug
show log vpn ipsec
show vrf <vrf-name> vpn ipsec sa detail

show vrf <vrf-name> vpn ike sa

Verificando IPsec com VTI
show interfaces vti

show vpn ipsec sa
show vpn debug
show log vpn ipsec
Verificando DMVPN
show vpn ipsec sa

show vpn ipsec state
show vpn debug
show nhrp interface
show nhrp tunnel
show log vpn ipsec
show log nhrp
show vrf <vrf-name> vpn ipsec state
show vrf <vrf-name> nhrp interface
show vrf <vrf-name> nhrp tunnel

DM2500 - Guia de Configuração Rápida 12 QoS
12 QoS
QoS (Quality of Service) é um conjunto de mecanismos e algoritmos utilizados para classificar e priorizar tráfego. O
objetivo principal é garantir que serviços que necessitem maior qualidade de transmissão na rede (latência, jitter e largura
de banda), por exemplo, VoIP e multicast, funcionem adequadamente.
• Configuração do Rate Limit
• Configuração de classificação, priorização e remarcação de tráfego de saída
• Configuração de remarcação do DSCP no tráfego de entrada
12.1 Configuração do Rate Limit
O Rate limit é a funcionalidade que limita a taxa máxima de tráfego e o burst que uma interface poderá encaminhar
(output) ou receber (input).
O uso do Rate Limit não é recomendado para controle de banda com tráfego TCP. O recomendado nesse
caso é o uso do traffic-policy shaper, conforme exemplos da sessão Classificação, priorização e remarcação
de tráfego.
O cenário abaixo será usado para demonstrar a configuração do Rate Limit.
Cenário Rate Limit
Os próximos passos irão demonstrar como configurar o acesso à Internet com tráfego limitado na entrada e na saída
através dos mecanismos de controle de banda do DM2500 com característica assimétrica do ponto de vista do usuário.
Suponha que o usuário deseja obter taxa de download de 50 Mbps e upload de 10 Mbps, sendo utilizada a interface eth1
para o acesso e o uplink na interface eth2 com a VLAN 300.
configure
set traffic-policy rate-control WAN_OUT bandwidth 10mbit
set interfaces ethernet eth2 vif 300 traffic-policy out WAN_OUT
set traffic-policy limiter WAN_IN default bandwidth 50mbit
set interfaces ethernet eth2 vif 300 traffic-policy in WAN_IN
commit
O limiter, por padrão, não considera o overhead L2 para a limitação de tráfego. Para que o overhead L2 de pacotes com
uma VLAN seja considerado, configurar como no exemplo abaixo.

configure
set traffic-policy limiter WAN_IN default bandwidth 50mbit
set traffic-policy limiter WAN_IN default account-layer2-overhead single-tagged
commit
commit.
12.2 Configuração de classificação, priorização e remarcação de tráfego de saída
12.2.1 Classificação e priorização
A classificação e priorização do tráfego de saída são úteis para garantir que determinados tipos de tráfego sejam priorizados
em detrimento de outros nas situações em que ocorra congestionamento no tráfego de saída. O cenário abaixo será usado
para demonstrar a configuração destes mecanismos.
Classificação e priorização
A configuração a seguir irá classificar os pacotes em quatro categorias descritas abaixo. Os pacotes serão destinados para a
interface de uplink eth2 que possui um link de 10 Mbps com a Internet.
• Classe 2 para pacotes de controle e sinalização VoIP (SIP). Os pacotes IPv4 provenientes da interface eth3 marcados
com DSCP 26 terão reserva de 10% da banda.
• Classe 3 para pacotes de dados VoIP (RTP). Os pacotes IPv4 provenientes da interface eth3 marcados com DSCP 46
terão reserva de 35% da banda e limite máximo de 35% da banda.
• Classe 4 para dados streaming. Os pacotes provenientes da interface eth1 através do IPv4 10.0.0.25 terão reserva de
30% da banda.
• Classe default para os demais tipos de tráfego. Os pacotes excedentes serão remarcados com DSCP 0 (default).
O parâmetro queue-limit define o tamanho do buffer da classe do shaper, que pode ser em pacotes ou bytes dependendo
do tipo da fila. O queue size deve ser configurado de acordo com as características do tráfego (como tamanho do pacote,
burst, taxa adaptativa) para atingir boa latência, evitando descartes e retransmissão de muitos pacotes. Este valor deve ser

aumentado quando o bandwidth ou ceiling forem aumentados. Se uma classe de serviço não está atingindo a banda
configurada, é um bom sinal aumentar o valor da queue size.
A configuração default da queue-type drop-tail tem queue-limit 1 com objetivo de priorizar a latência.
O parâmetro priority define a prioridade entre as classes do shaper em relação ao tráfego excedente, que está entre o
bandwidth e o ceiling. No exemplo a seguir devido todas as classes estarem na mesma prioridade, o tráfego excedente
será distribuido igualitariamente entre as classes.
configure
set traffic-policy shaper WAN_SHAPER bandwidth 10mbit
set traffic-policy shaper WAN_SHAPER class 2 description SIP Traffic
set traffic-policy shaper WAN_SHAPER class 2 match SIP ip dscp 26
set traffic-policy shaper WAN_SHAPER class 2 bandwidth 10%
set traffic-policy shaper WAN_SHAPER class 2 ceiling 100%
set traffic-policy shaper WAN_SHAPER class 2 priority 1
set traffic-policy shaper WAN_SHAPER class 2 queue-type drop-tail
set traffic-policy shaper WAN_SHAPER class 2 queue-limit 100
set traffic-policy shaper WAN_SHAPER class 3 description RTP Traffic

set traffic-policy shaper WAN_SHAPER class 3 match RTP ip dscp 46
set traffic-policy shaper WAN_SHAPER class 3 queue-type drop-tail
set traffic-policy shaper WAN_SHAPER class 3 queue-limit 100
set traffic-policy shaper WAN_SHAPER class 4 description Streaming
set traffic-policy shaper WAN_SHAPER class 4 match IP25 ip source address 10.0.0.25/27
set traffic-policy shaper WAN_SHAPER class 4 queue-type fair-queue
set traffic-policy shaper WAN_SHAPER default description Internet
set traffic-policy shaper WAN_SHAPER default bandwidth 25%
set traffic-policy shaper WAN_SHAPER default ceiling 100%
set traffic-policy shaper WAN_SHAPER default priority 1
set traffic-policy shaper WAN_SHAPER default queue-type fair-queue
set traffic-policy shaper WAN_SHAPER default set-dscp default
set traffic-policy shaper WAN_SHAPER default set-dscp-excess default
set interfaces ethernet eth2 traffic-policy out WAN_SHAPER
commit
O DM2500 não considera o FCS dos frames como parte do tamanho total do frame. Portanto, QoS também não os considera
durante o cálculo do rate. Isto é importante porque geradores de tráfego podem considerar o FCS como parte do frame L2,
e a taxa que os geradores calculam vai ficar diferente da taxa configurada em um shaper. Para que o shaper considere
também o FCS é necessário configurar o account-layer2-overhead com o valor 4 (Bytes).
configure
set traffic-policy shaper WAN_SHAPER account-layer2-overhead 4
commit
12.2.2 Remarcação
É possível também alterar os valores de DSCP do pacote de saída no shaper. No exemplo abaixo, é alterado o DSCP dos
pacotes da classe 3.

set traffic-policy shaper WAN_SHAPER class 3 set-dscp EF
12.2.3 Classificação de pacotes gerados localmente
Para que seja possível classificar e remarcar pacotes gerados pelo próprio DM2500, é necessário configurar uma policy
para marcar o pacote e em seguida, no shaper, fazer match nesta marcação. Pacotes gerados localmente pelo DM2500
incluem ARP, ICMP, pacotes de controle de protocolos, entre outros.
No configuração abaixo, pacotes gerados pelo DM2500 são marcados com a tag 5 através da policy local-route. No shaper
aplicado, é feito match na marcação 5 e o DSCP do pacote é marcado com o valor 48 (CS6):
Para que após dar match em uma regra, as demais regras do policy route não sejam verificadas é necessário
utilizar o mode stop.
set policy route mypolicyroute rule 10 set mark 5

set policy route mypolicyroute rule 10 set mode stop
set traffic-policy shaper WAN_SHAPER class 5 match mypolicyroute mark 5
set traffic-policy shaper WAN_SHAPER class 5 set-dscp cs6
set interfaces ethernet eth2 policy local-route mypolicyroute
12.2.4 Classificação por intervalo de endereços ou portas
É possível realizar classificação de pacotes por um intervalo de endereços ou portas. Para que seja possível realizar esta
classificação, é necessário primeiramente marcar os pacotes através de uma policy na interface de entrada, e em seguida,
classificá-los no shaper na interface de saída.
Na topologia apresentada, os pacotes com endereço de origem entre 10.0.0.1 e 10.0.0.5 e portas entre 1000 e 1400 são
marcados com o tag 1 por um policer e depois classificados pelo shaper.
set policy route myrange rule 10 source address 10.0.0.1-10.0.0.5

set policy route myrange rule 10 source port 1000-1400
set policy route myrange rule 10 set mark 1
set policy route myrange rule 10 set mode stop
set interface ethernet eth1 policy route myrange
set traffic-policy shaper WAN_SHAPER class 5 match myrange mark 1
set traffic-policy shaper WAN_SHAPER class 5 queue-type fair-queue

commit.
Abaixo os principais comandos disponíveis para realizar a verificação do shaper aplicado nas interfaces. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
show queueing
show queueing ethernet <interface>
12.3 Configuração de remarcação do DSCP no tráfego de entrada
A remarcação DSCP dos pacotes permite que o equipamento determine um novo valor de prioridade DSCP baseado em
critérios como endereço IP, protocolo de transporte (UDP/TCP) ou endereço MAC. Esse recurso pode ser utilizado para
garantir que o pacote receba o tratamento adequado por outros elementos da rede após ter sido encaminhado pelo
roteador. Suponha que o usuário deseja marcar o DSCP 18 (AF21) dos pacotes do tipo Telnet, SSH e Syslog que ingressam
na interface eth1 pela VLAN 200. O procedimento a seguir demonstra como realizar esta configuração:
configure
set policy route DSCP-REMARK rule 1 set dscp 18
set policy route DSCP-REMARK rule 1 destination port syslog
set policy route DSCP-REMARK rule 1 protocol udp
set policy route DSCP-REMARK rule 1 set mode stop
set policy route DSCP-REMARK rule 2 destination port telnet
set policy route DSCP-REMARK rule 2 protocol tcp
set policy route DSCP-REMARK rule 3 destination port ssh
set policy route DSCP-REMARK rule 3 protocol tcp_udp
set interfaces ethernet eth1 vif 200 policy route DSCP-REMARK
commit
commit.
Abaixo os principais comandos disponíveis para realizar a verificação remarcação do DSCP. Caso o usuário esteja no nível
de configuração, é necessário utilizar a palavra-chave run antes do comando.
show policy route

show policy route statistics
12.3.1 Configurando o shaper no tráfego de entrada
Para limitar o tráfego de entrada com shaper, é recomendado o usar o redirect para a interface ifb na interface ethernet e
aplicar o shaper na interface input ifb.

Suponha que o usuário já tenha configurado um shaper com nome SHAPPER-IN e deseja realizar o shaper na entrada da
interface eth1. O procedimento a seguir demonstra como realizar esta configuração:
Associação do shaper ao IFB como Ingress:
set interfaces input ifb1 traffic-policy in SHAPER-IN
Redirecionamento do tráfego de uma interface ao IFB:
set interfaces ethernet eth1 redirect ifb1
commit.
Abaixo os principais comandos disponíveis para realizar a verificação do shaper aplicado nas interfaces. Caso o usuário
esteja no nível de configuração, é necessário utilizar a palavra-chave run antes do comando.
show queueing
show queueing input ifb<id>

DM2500 - Guia de Configuração Rápida 13 Segurança
13 Segurança
Manter a segurança na rede consiste em adotar políticas de acesso, monitoramento dos recursos e proteção dos
equipamentos para evitar ataques indesejados.
Este capítulo descreve como configurar algumas funcionalidades e recursos de segurança disponíveis no DM2500.
• Configuração do NAT
• Configuração do Firewall
• Verificando sockets abertos
• Configuração do 802.1X
13.1 Configuração do NAT
A funcionalidade de tradução de endereços NAT (Network Address Translation) tem por objetivo a tradução dos endereços
internos de uma rede local para a rede pública. Além de prover segurança ao ocultar detalhes das estações e dispositivos
conectados à rede interna também tem por objetivo mitigar o esgotamento de endereços IPv4 públicos através do reuso
de endereços internos.
Configurando o NAT
As regras de NAT não atuam sobre interfaces loopback.
13.1.1 NAT Origem (SNAT)
O SNAT (Source NAT) é a forma mais comum de uso do NAT. Esta funcionalidade altera o endereço IP de origem (e
opcionalmente também a porta TCP/UDP) de um pacote que é roteado no DM2500. A alteração do endereço IP de origem
acontece após a decisão sobre o roteamento do pacote já ter sido realizada.

O cenário abaixo será usado para demonstrar a configuração do SNAT.
Configurando o SNAT
Suponha que o usuário deseja alterar o endereço de um pacote da rede 10.0.0.0/8 para o endereço público 90.80.70.60 e
cujo destino é a interface eth2. Os próximos passos irão mostrar como realizar estas configurações.
configure
set nat source rule 10 source address 10.10.0.0/8
set nat source rule 10 translation address 90.80.70.60
set nat source rule 10 outbound-interface eth2
commit
Ainda é possível utilizar a funcionalidade de NAT simétrico, o que altera a porta TCP/UDP de origem do tráfego para uma
porta de origem aleatória. Para utilizar a funcionalidade de Nat simétrico, basta adicionar o comando de "translation
port"como demonstrado a seguir:
configure
set nat source rule 10 translation address 90.80.70.60
set nat source rule 10 translation port ’random’
commit
Alternativamente caso o endereço da rede pública seja definido dinamicamente é possível utilizar o parâmetro masquerade
para o endereço de tradução. Dessa forma o NAT usará o endereço da interface eth2 como endereço de origem:
configure
set nat source rule 10 translation address masquerade
commit
commit.
NAT
13.1.2 NAT Destino (DNAT)
O DNAT (Destination NAT), também conhecido por Port Forwarding é um mecanismo de tradução de endereços IP e
portas de destino, que tem por objetivo redirecionar pacotes com destino de uma rede pública para um endereço e porta

específicos de uma rede interna. A alteração do endereço de destino ocorre antes de o mesmo ser roteado internamente
pelo equipamento.
O cenário abaixo será usado para demonstrar a configuração do DNAT.
Configurando o DNAT
Suponha que o usuário deseja alterar o endereço de um pacote da rede 10.0.0.0/8 para o endereço público 90.80.70.60 e
cujo destino é a interface eth2.
configure
set nat destination rule 10 destination address 90.80.70.60
set nat destination rule 10 destination port 80
set nat destination rule 10 protocol tcp_udp
set nat destination rule 10 translation address 10.10.0.3
set nat destination rule 10 translation port 8080
set nat destination rule 10 inbound-interface eth2
commit
commit.
NAT
13.1.3 Verificando NAT
show nat source rules

show nat source statistics
show nat source translations
show nat destination rules
show nat destination statistics
show nat destination translations
clear nat source counters
clear nat destination counters
show vrf <vrf-name> nat source rules
show vrf <vrf-name> nat source statistics
show vrf <vrf-name> nat source translations
show vrf <vrf-name> nat destination rules
show vrf <vrf-name> nat destination statistics
show vrf <vrf-name> nat destination translations
clear vrf <vrf-name> nat source counters
clear vrf <vrf-name> nat destination counters

13.2 Configuração do Firewall
Este capítulo demonstra a configuração do Firewall por ACL e o Firewall stateful.
13.2.1 Configurando o Firewall por ACL
O Firewall por ACL (Access Control List) é stateless, ou seja, não leva em conta os estados das conexões TCP ou das sessões
ICMP e UDP.
O Firewall por ACLs suporta endereçamento IPv4 e IPv6, além de ser suportado em VRF.
O exemplo utilizado para configuração do Firewall por ACL possui uma interface na LAN (Local Area Network) ou Inside e
outra interface na WAN (Wide Area Network) ou Outside.
ACL Firewall
O Firewall por ACL suporta três sentidos dos pacotes, sendo eles:
• in: Pacotes que entram na interface
• out: Pacotes que saem pela interface
• local: Pacotes que são destinados ao roteador
Cada interface pode ter configurado somente um conjunto de regras de cada sentido dos pacotes para IPv4
e IPv6.

Firewall.
Configurando a ACL entre a LAN e a WAN
Para bloquear os serviços entre a LAN e a WAN devem ser utilizados os sentidos in para filtrar os pacotes que entram pela
interface e out para filtrar os pacotes que saem pela interface.
Exemplo para bloquear o acesso ao serviço SMTP e SMTPs a partir da WAN originados de qualquer endereço IPv4 ou IPv6,
todos os outros serviços serão permitidos:
configure
set firewall name BLOCK_IPV4_SERVICES default-action accept
set firewall name BLOCK_IPV4_SERVICES rule 1 action drop
set firewall name BLOCK_IPV4_SERVICES rule 1 destination port smtp
set firewall name BLOCK_IPV4_SERVICES rule 1 protocol tcp
set firewall name BLOCK_IPV4_SERVICES rule 2 action drop
set firewall name BLOCK_IPV4_SERVICES rule 2 destination port smtps
set firewall name BLOCK_IPV4_SERVICES rule 2 protocol tcp
set firewall ipv6-name BLOCK_IPV6_SERVICES default-action accept
set firewall ipv6-name BLOCK_IPV6_SERVICES rule 1 action drop
set firewall ipv6-name BLOCK_IPV6_SERVICES rule 1 destination port smtp
set firewall ipv6-name BLOCK_IPV6_SERVICES rule 1 protocol tcp
set firewall ipv6-name BLOCK_IPV6_SERVICES rule 2 action drop
set firewall ipv6-name BLOCK_IPV6_SERVICES rule 2 destination port smtps
set firewall ipv6-name BLOCK_IPV6_SERVICES rule 2 protocol tcp
commit
Para aplicar o conjunto de regras IPV4 e IPv6 na interface WAN (eth4) utilizar os comandos a seguir:
configure
set interfaces ethernet eth4 firewall in name BLOCK_IPV4_SERVICES
set interfaces ethernet eth4 firewall in ipv6-name BLOCK_IPV6_SERVICES
commit
commit.
Abaixo os principais comandos disponíveis para realizar a verificação da funcionalidade. Caso o usuário esteja no nível de
show firewall summary

show firewall statistics
Firewall.

Configurando a ACL na gerência
Para filtrar os pacotes que são destinados ao equipamento será utilizado o sentido local. Os serviços de gerência ou
protocolos de roteamento são exemplos de serviços filtrados pelo local.
Exemplo para permitir o acesso aos serviços abaixo a partir da LAN e WAN, todos os outros serviços serão descartados:
• SNMP: regra 1 para permitir pacotes de consulta/escrita de OIDs SNMP.
• Telnet: regra 2 para permitir pacotes Telnet.
• SSH: regra 3 para permitir pacotes SSH.
• Tacacs: regra 4 para permitir pacotes Tacacs.
• OSPF: regra 5 para permitir pacotes OSPF.
• SNMP Traps: Não é necessário criar nenhuma regra por não existir pacotes destinados ao equipamento.
• Syslog: Não é necessário criar nenhuma regra por não existir pacotes destinados ao equipamento.
configure
set firewall name IPV4_MGMT default-action drop
set firewall name IPV4_MGMT rule 1 action accept
set firewall name IPV4_MGMT rule 1 destination port snmp
set firewall name IPV4_MGMT rule 1 protocol udp
set firewall name IPV4_MGMT rule 2 destination port telnet
set firewall name IPV4_MGMT rule 2 protocol tcp
set firewall name IPV4_MGMT rule 3 destination port ssh
set firewall name IPV4_MGMT rule 3 protocol tcp
set firewall name IPV4_MGMT rule 4 action ’accept’
set firewall name IPV4_MGMT rule 4 protocol ’tcp’
set firewall name IPV4_MGMT rule 4 source port ’tacacs’
set firewall name IPV4_MGMT rule 5 action ’accept’
set firewall name IPV4_MGMT rule 5 protocol ’ospf’
set firewall ipv6-name IPV6_MGMT default-action drop
set firewall ipv6-name IPV6_MGMT rule 1 action accept
set firewall ipv6-name IPV6_MGMT rule 1 destination port snmp
set firewall ipv6-name IPV6_MGMT rule 1 protocol udp
set firewall ipv6-name IPV6_MGMT rule 2 destination port telnet
set firewall ipv6-name IPV6_MGMT rule 2 protocol tcp
set firewall ipv6-name IPV6_MGMT rule 3 destination port ssh
set firewall ipv6-name IPV6_MGMT rule 3 protocol tcp
set firewall ipv6-name IPV6_MGMT rule 4 action ’accept’
set firewall ipv6-name IPV6_MGMT rule 4 protocol ’tcp’
set firewall ipv6-name IPV6_MGMT rule 4 source port ’tacacs’
set firewall ipv6-name IPV6_MGMT rule 5 action ’accept’
set firewall ipv6-name IPV6_MGMT rule 5 protocol ’ospf’
commit
Para aplicar as regras MGMT na interface LAN (eth1) e WAN (eth4) utilizar os comandos a seguir:
configure
set interfaces ethernet eth1 firewall local name IPV4_MGMT
set interfaces ethernet eth4 firewall local name IPV4_MGMT
set interfaces ethernet eth1 firewall local ipv6-name IPV6_MGMT
set interfaces ethernet eth4 firewall local ipv6-name IPV6_MGMT
commit

commit.
Firewall.
Configurando as ACLs por grupos
A configuração do Firewall suporta a criação de grupos eliminando a necessidade de criar uma regra para cada rede,
endereços ou portas facilitando a configuração. Utilizando os grupos a manipulação destas informações são realizadas
nos grupos e não mais nas regras.
Utilizando como exemplo a configuração da sessão Configurando a ACL na gerência é possível alterar as regras para
suportar que somente os serviços a partir das redes da LAN nas regras 1 a 4 e a partir da rede da WAN na regra 5.
configure
set firewall group network-group IPV4_LAN_NETWORK network ’192.168.0.0/24’
set firewall group network-group IPV4_LAN_NETWORK network ’172.22.0.0/16’
set firewall group network-group IPV4_WAN_NETWORK network ’1.0.0.0/30’
set firewall name IPV4_MGMT rule 1 source group network-group ’IPV4_LAN_NETWORK’
set firewall name IPV4_MGMT rule 5 source group network-group ’IPV4_WAN_NETWORK’
set firewall group ipv6-network-group IPV6_LAN_NETWORK network ’2001:db8:AAAA::/64’
set firewall group ipv6-network-group IPV6_LAN_NETWORK network ’2001:db8:BBBB::/64’
set firewall group ipv6-network-group IPV6_WAN_NETWORK network ’2001::1/64’
set firewall ipv6-name IPV6_MGMT rule 1 source group ipv6-network-group ’IPV6_LAN_NETWORK’
set firewall ipv6-name IPV6_MGMT rule 5 source group ipv6-network-group ’IPV6_WAN_NETWORK’
commit
commit.
Firewall.
13.2.2 Configurando o Firewall stateful
O Firewall stateful suporta endereçamento IPv4 e IPv6, além de ser suportado nas VRFs.

Para realizar as configurações demonstradas neste capítulo para endereços IPv6 é necessário somente
trocar nas configurações o name para ipv6-name.
O exemplo utilizado para configuração do Firewall stateful possui três zonas típicas, sendo elas: LAN (Local Area Network)
ou Inside, WAN (Wide Area Network) ou Outside e DMZ (Demilitarized Zone).
Firewall stateful
O Firewall stateful leva em conta os estados das conexões TCP para tomar alguma ação nos pacotes. O estado established
são conexões que já estão estabelecidas, podendo ser um pacote de resposta por exemplo. O estado related são pacotes
relacionados a conexão existente, por exemplo: um erro de ICMP IPv4 que é relacionado a conexão, mas não faz parte da
conexão TCP, e o estado invalid são estados inválidos, por exemplo: ICMP IPv4 de conexões inexistentes.
As sessões ICMP e UDP também são consideradas pelo Firewall stateful apesar de não ter uma conexão. Assim que receber
o primeiro pacote o Firewall considera como uma nova conexão, e após um timeout a conexão é considerada encerrada.
Configurando o Firewall em zonas
A configuração abaixo aplica a ação default para drop nas três zonas criadas. Isto faz com que todo o tráfego que passe
pelas três zonas seja descartado silenciosamente.
configure
set firewall name DMZ-TO-LAN default-action ’drop’
set firewall name DMZ-TO-WAN default-action ’drop’
set firewall name LAN-TO-DMZ default-action ’drop’
set firewall name LAN-TO-WAN default-action ’drop’
set firewall name WAN-TO-DMZ default-action ’drop’
set firewall name WAN-TO-LAN default-action ’drop’
set zone-policy zone DMZ default-action ’drop’
set zone-policy zone DMZ from LAN firewall name ’LAN-TO-DMZ’
set zone-policy zone DMZ from WAN firewall name ’WAN-TO-DMZ’
set zone-policy zone DMZ interface ’eth2’
set zone-policy zone LAN default-action ’drop’
set zone-policy zone LAN from DMZ firewall name ’DMZ-TO-LAN’
set zone-policy zone LAN from WAN firewall name ’WAN-TO-LAN’
set zone-policy zone LAN interface ’eth1’
set zone-policy zone WAN default-action ’drop’
set zone-policy zone WAN from DMZ firewall name ’DMZ-TO-WAN’

set zone-policy zone WAN from LAN firewall name ’LAN-TO-WAN’

set zone-policy zone WAN interface ’eth4’
commit
Firewall.
Permitindo os serviços no Firewall em zonas
Exemplo para permitir o acesso aos serviços Web (HTTPs) e E-mail (POP3 e SMTP) nos servidores da DMZ a partir da LAN e
WAN:
Como foi configurada a ação default das zonas para drop, os pacotes dos outros serviços serão descartados.
configure
set firewall name LAN-TO-DMZ rule 1 action ’accept’
set firewall name LAN-TO-DMZ rule 1 state ’established enable’
set firewall name LAN-TO-DMZ rule 1 state ’related enable’
set firewall name LAN-TO-DMZ rule 2 action ’drop’
set firewall name LAN-TO-DMZ rule 2 state ’invalid enable’
set firewall name LAN-TO-DMZ rule 3 state ’new enable’
set firewall name LAN-TO-DMZ rule 3 destination port ’https’
set firewall name LAN-TO-DMZ rule 3 protocol ’tcp’
set firewall name LAN-TO-DMZ rule 4 destination port ’pop3s’
set firewall name LAN-TO-DMZ rule 5 destination port ’smtps’
set firewall name DMZ-TO-LAN rule 1 action ’accept’
set firewall name DMZ-TO-LAN rule 1 state ’established enable’
set firewall name DMZ-TO-LAN rule 1 state ’related enable’
set firewall name DMZ-TO-LAN rule 2 action ’drop’
set firewall name DMZ-TO-LAN rule 2 state ’invalid enable’
set firewall name WAN-TO-DMZ rule 1 action ’accept’
set firewall name WAN-TO-DMZ rule 1 state ’established enable’
set firewall name WAN-TO-DMZ rule 1 state ’related enable’
set firewall name WAN-TO-DMZ rule 2 action ’drop’
set firewall name WAN-TO-DMZ rule 2 state ’invalid enable’
set firewall name WAN-TO-DMZ rule 3 state ’new enable’
set firewall name WAN-TO-DMZ rule 3 destination port ’https’
set firewall name WAN-TO-DMZ rule 3 protocol ’tcp’
set firewall name WAN-TO-DMZ rule 4 destination port ’pop3s’
set firewall name WAN-TO-DMZ rule 5 destination port ’smtps’
set firewall name DMZ-TO-WAN rule 1 action ’accept’
set firewall name DMZ-TO-WAN rule 1 state ’established enable’
set firewall name DMZ-TO-WAN rule 1 state ’related enable’
set firewall name DMZ-TO-WAN rule 2 action ’drop’
set firewall name DMZ-TO-WAN rule 2 state ’invalid enable’
commit
Exemplo para permitir o acesso aos serviços Web (HTTP e HTTPs) na WAN "Internet"a partir da LAN:

configure
set firewall name LAN-TO-WAN rule 1 action ’accept’
set firewall name LAN-TO-WAN rule 1 state ’established enable’
set firewall name LAN-TO-WAN rule 1 state ’related enable’
set firewall name LAN-TO-WAN rule 2 action ’drop’
set firewall name LAN-TO-WAN rule 2 state ’invalid enable’
set firewall name LAN-TO-WAN rule 3 state ’new enable’
set firewall name LAN-TO-WAN rule 3 destination port ’http’
set firewall name LAN-TO-WAN rule 3 protocol ’tcp’
set firewall name LAN-TO-WAN rule 4 state ’new enable’
set firewall name LAN-TO-WAN rule 4 destination port ’https’
set firewall name LAN-TO-WAN rule 4 protocol ’tcp’
set firewall name WAN-TO-LAN rule 1 action ’accept’
set firewall name WAN-TO-LAN rule 1 state ’established enable’
set firewall name WAN-TO-LAN rule 1 state ’related enable’
set firewall name WAN-TO-LAN rule 2 action ’drop’
set firewall name WAN-TO-LAN rule 2 state ’invalid enable’
commit
Firewall.
Configurando o Firewall na gerência
Para proteger o tráfego de gerência, ou seja, os pacotes que são enviados ou recebidos pelo DM2500 é necessário criar
uma zona com a opção local-zone.
No exemplo abaixo é utilizado a zona MGMT (management) com a opção local-zone:
configure
set zone-policy zone MGMT default-action ’drop’
set zone-policy zone MGMT local-zone
set zone-policy zone MGMT from LAN firewall name ’LAN-TO-MGMT’
set zone-policy zone MGMT from WAN firewall name ’WAN-TO-MGMT’
set zone-policy zone MGMT from DMZ firewall name ’DMZ-TO-MGMT’
commit
Firewall.
Permitindo os serviços na zona MGMT
Exemplo para permitir o acesso ao gerenciamento do equipamento via SSH originados de qualquer endereço IP da LAN e
OSPF originados de qualquer endereço IP da WAN:

configure
set firewall name LAN-TO-MGMT rule 1 action ’accept’
set firewall name LAN-TO-MGMT rule 1 state ’established enable’
set firewall name LAN-TO-MGMT rule 1 state ’related enable’
set firewall name LAN-TO-MGMT rule 2 action ’drop’
set firewall name LAN-TO-MGMT rule 2 state ’invalid enable’
set firewall name LAN-TO-MGMT rule 3 action ’accept’
set firewall name LAN-TO-MGMT rule 3 state ’new enable’
set firewall name LAN-TO-MGMT rule 3 destination port ’ssh’
set firewall name LAN-TO-MGMT rule 3 protocol ’tcp’
set firewall name WAN-TO-MGMT rule 1 action ’accept’
set firewall name WAN-TO-MGMT rule 1 state ’established enable’
set firewall name WAN-TO-MGMT rule 1 state ’related enable’
set firewall name WAN-TO-MGMT rule 2 action ’drop’
set firewall name WAN-TO-MGMT rule 2 state ’invalid enable’
set firewall name WAN-TO-MGMT rule 3 action ’accept’
set firewall name WAN-TO-MGMT rule 3 state ’new enable’
set firewall name WAN-TO-MGMT rule 3 protocol ’ospf’
set firewall name DMZ-TO-MGMT rule 1 action ’accept’
set firewall name DMZ-TO-MGMT rule 1 state ’established enable’
set firewall name DMZ-TO-MGMT rule 1 state ’related enable’
set firewall name DMZ-TO-MGMT rule 2 action ’drop’
set firewall name DMZ-TO-MGMT rule 2 state ’invalid enable’
commit
commit.
Firewall.
13.2.3 Proteções do Firewall
O Firewall possui algumas proteções de forma global, ou seja, a ação é válida para todas as zonas configuradas.
Por default somente o envio de ICMP IPv4 redirects está habilitado, sendo possível habilitar as outras
proteções conforme necessidade.
ICMP IPv4 Ping broadcast
Para responder os pacotes ICMP (Internet Control Message Protocol) IPv4 broadcast recebidos:
configure
set firewall broadcast-ping enable
commit
Para não responder os pacotes ICMP IPv4 broadcast recebidos:

configure
set firewall broadcast-ping disable
commit
ICMP IPv4 redirect
Para habilitar o processamento de IPv4 ICMP redirect recebidos:
configure
set firewall receive-redirects enable
commit
Para desabilitar o processamento de IPv4 ICMP redirect recebidos:
configure
set firewall receive-redirects disable
commit
Para habilitar o envio IPv4 ICMP redirect:

configure
set firewall send-redirects enable
commit
Para desabilitar o envio IPv4 ICMP redirect:

configure
set firewall send-redirects disable
commit
IPv4 Source Routing
O pacote IPv4 possui uma opção para dizer a rota que o pacote deve seguir até o destino.
Para habilitar o processamento de pacotes IPv4 que contem opções de source-routing:
configure
set firewall ip-src-route enable
commit
Para desabilitar o processamento de pacotes IPv4 que contem opções de source-routing:
configure
set firewall ip-src-route disable
commit
RPF
A proteção de RPF (Reverse Patch Forwarding) é definida na RFC3704. No modo strict valida se o equipamento possui rota
para o endereço IP de origem do pacote recebido pela mesma interface que recebeu o pacote. Caso não esteja o tráfego
será descartado.

configure
set firewall source-validation strict
commit
No modo loose valida se o equipamento possui rota para o endereço IP de origem do tráfego recebido. Caso não possua
rota o tráfego será descartado:
configure
set firewall source-validation loose
commit
É possível desabilitar a verificação de RPF:
configure
set firewall source-validation disable
commit
13.2.4 Verificando Firewall
show firewall summary

show firewall statistics
show firewall group
show zone-policy
show conntrack table ipv4
show conntrack table ipv6
clear firewall
clear firewall ipv6-name
clear firewall name
show vrf <vrf-name> firewall summary
show vrf <vrf-name> firewall statistics
show vrf <vrf-name> firewall group
show vrf <vrf-name> zone-policy
show vrf <vrf-name> conntrack table ipv4
show vrf <vrf-name> conntrack table ipv6
clear vrf <vrf-name> firewall
clear vrf <vrf-name> firewall ipv6-name
clear vrf <vrf-name> firewall name
13.3 Verificando sockets abertos
O comando show tcp brief exibe informações sobre os sockets abertos no DM2500.
dm2500:~$ show tcp brief

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 0 :::23 :::* LISTEN
dm2500:~$

13.4 Configuração do 802.1X
O padrão IEEE 802.1X (dot1x) tem por objetivo controlar a autenticação e autorização de usuários e dispositivos baseado
em porta, evitando assim o acesso indevido a rede. Os passos básicos para a configuração começam definindo um servidor
RADIUS para autenticação.
Suporte a configuração de 2 servidores RADIUS para autenticação.
configure
set system dot1x server 1 authentication address 192.168.1.1
set system dot1x server 1 authentication secret pass123
commit
A liberação de portas via dot1x pode ser aplicada em uma interface física, bonding ou a interface lógica bridge.
13.4.1 Habilitando o dot1x em interface ethernet/bonding
Para habilitar o dot1x em uma interface Ethernet, siga os passos a seguir:
configure
set interfaces ethernet eth1 ’dot1x’
set interfaces ethernet eth1 dot1x max-users 10
commit
Para habilitar o dot1x em uma interface bonding, siga os passos a seguir:
configure
set interfaces bonding bond8 ’dot1x’
set interfaces bonding bond8 dot1x max-users 10
commit
Para a criação da interface bonding, verifique a seção Configuração das Interfaces Bonding (LAG).
O comando set interfaces ethernet eth1 dot1x max-users 10 é utilizado para definir a quantidade de autenticações
simultâneas que são aceitas na interface. O mesmo vale para as interfaces bonding.
Os comandos disponíveis para a realização do troubleshooting podem ser verificados no tópico Verificando
dot1x
13.4.2 Habilitando o dot1x em interface bridge

Para a criação da interface em bridge, verifique a seção Configuração das Interfaces Bridge.
Para habilitar o dot1x em uma interface bridge, siga os passos a seguir:
configure
set interfaces bridge br1 ’dot1x’
set interfaces bridge br1 group-forward-mask eap
set interfaces bridge br1 dot1x max-users 10
commit
O comando set interfaces bridge br1 dot1x max-users 10 é utilizado para definir a quantidade de autenticações
simultâneas que são aceitas na interface.
Os comandos disponíveis para a realização do troubleshooting podem ser verificados no tópico Verificando
dot1x
13.4.3 Verificando dot1x
A seguir os principais comandos para realizar o Troubleshooting do dot1x. Caso o usuário esteja no nível de configuração, é
necessário utilizar a palavra-chave run antes do comando.
show log dot1x

show log dot1x all
show log dot1x tail

DM2500 - Guia de Configuração Rápida Nota Legal
Nota Legal
Apesar de terem sido tomadas todas as precauções na elaboração deste documento, a DATACOM não assume qualquer
responsabilidade por eventuais erros ou omissão bem como nenhuma obrigação é assumida por danos resultantes do uso
das informações contidas neste guia. As especificações fornecidas neste manual estão sujeitas a alterações sem aviso
prévio e não são reconhecidas como qualquer espécie de contrato.
© 2023 DATACOM - Todos direitos reservados.
Garantia
Os produtos da DATACOM possuem garantia contra defeitos de fabricação pelo período mínimo de 12 (doze) meses,
incluído o prazo legal de 90 dias, a contar da data de emissão da Nota Fiscal de fornecimento.
Nossa garantia é padrão balcão, ou seja, para o exercício da garantia o cliente deverá enviar o produto para a As-
sistência Técnica Autorizada DATACOM, com frete pago. O frete de retorno dos equipamentos será de responsabilidade da
DATACOM.
Para maiores detalhes, consulte nossa política de garantia no site https://www.datacom.com.br.
Para contato telefônico: +55 51 3933-3094

Configuração Rapida

Enviado por

Direitos autorais:

Formatos disponíveis

Configuração Rapida

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Configuração Rapida

Enviado por

Direitos autorais:

Formatos disponíveis

ACCESS ROUTERS

GUIA DE CONFIGURAÇÃO RÁPIDA

204.0301.14 - 17 de fevereiro de 2023

O acesso ao DmSupport pode ser feito através do link: https://supportcenter.datacom.com.br

Para contato telefônico: +55 51 3933-3122

Para qualquer outra informação adicional, visite https://www.datacom.com.br ou entre em contato:

Rua América, 1000

92990-000 - Eldorado do Sul - RS - Brazil

DATACOM 204.0301.14 - 17 de fevereiro de 2023 2

• Descritivo - Fornece as características técnicas do Hardware e Software do produto

• Guia de Instalação - Fornece orientações sobre os procedimentos para instalação do produto

A disponibilidade de alguns documentos pode variar dependendo do tipo de produto.

Accesse https://supportcenter.datacom.com.br para localizar as documentações relacionadas ou entre em contato com o

DATACOM 204.0301.14 - 17 de fevereiro de 2023 3

Sobre este documento

Ícone Tipo Descrição

Nota As notas explicam melhor algum detalhe apresentado no texto.

DATACOM 204.0301.14 - 17 de fevereiro de 2023 4

Ícone Tipo Descrição

Perigo Indica emissão de radiação não ionizante.

DATACOM 204.0301.14 - 17 de fevereiro de 2023 5

DATACOM 204.0301.14 - 17 de fevereiro de 2023 6

2.6 Configuração do horário de verão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

DATACOM 204.0301.14 - 17 de fevereiro de 2023 7

5.3.6 Verificando o Twamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

DATACOM 204.0301.14 - 17 de fevereiro de 2023 8

9.2.1 Verificando o Servidor DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

DATACOM 204.0301.14 - 17 de fevereiro de 2023 9

10.7.3 Configurando um neighbor eBGP IPv4 entre loopbacks . . . . . . . . . . . . . . . . . . . . . . . 88

DATACOM 204.0301.14 - 17 de fevereiro de 2023 10

11.2.1 Túnel IPsec IPv4 site-to-site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Nota Legal 155

DATACOM 204.0301.14 - 17 de fevereiro de 2023 11

• Visão geral do CLI

• Gerenciamento dos Arquivos

1.1 Login inicial

1.1.1 Instalando e energizando o Equipamento

Por favor, verificar as instruções detalhadas no Guia de Instalação do equipamento.

1.1.2 Conectando via porta Console

Conectando via porta console

1.1.3 Conectando via porta ethernet

Acessando o equipamento via porta ethernet

DATACOM 204.0301.14 - 17 de fevereiro de 2023 12

1.1.4 Conectando pela primeira vez no equipamento

dm2500 login: admin

Por razões de segurança é altamente recomendado modificar a senha padrão do equipamento.

1.2 Gerenciamento do firmware

1.2.1 Atualizando o firmware

É possível verificar o firmware instalado no equipamento através do comando show firmware:

dm2500:~$ show firmware

Para enviar o arquivo de firmware através do TFTP, usar o seguinte comando:

DATACOM 204.0301.14 - 17 de fevereiro de 2023 13

firmware add tftp://172.22.107.11/pd3701-1.4.4.swu

Um reboot automático irá ocorrer após o usuário confirmar o reboot.

dm2500:~$ firmware swap

1.3 Visão geral do CLI

A CLI do DM2500 suporta o modo operacional e o modo de configuração.

1.3.1 Modo Operacional

DATACOM 204.0301.14 - 17 de fevereiro de 2023 14