Tutorial Cisco Packet Tracer - Parte 1 Simplificada:

Configuração Básica de Rede com DHCP 🌐🔌

Objetivo: Nesta atividade, vamos construir uma rede local com conectividade cabeada
e Wi-Fi. O roteador será configurado para fornecer endereços IP automaticamente (via
DHCP) para todos os dispositivos: 5 computadores cabeados e até 15 dispositivos Wi-
Fi.

Passo 1: Montando a Topologia Física da Rede 🏢

1. Abra o Cisco Packet Tracer.

2. Adicione os Dispositivos:
o Roteador: Em "Network Devices" -> "Routers", adicione um roteador (por
exemplo, o "Router-PT" ou um modelo como o 1941 ou 4321). Vamos usar o
Router-PT para este exemplo.
o Switch: Em "Network Devices" -> "Switches", adicione um switch (por
exemplo, o "2960").
o Access Point (AP): Em "Network Devices" -> "Wireless Devices", adicione um
"AP-PT".
o Computadores Cabeados: Em "End Devices", adicione 5 "PC-PT"s.
o Dispositivos Wi-Fi: Em "End Devices", adicione 2 ou 3 dispositivos sem fio para
teste (como "Laptop-PT" ou "Smartphone"). Isso será suficiente para testar a
configuração para até 15 dispositivos.
3. Conecte os Dispositivos:
o Use "Connections" (o ícone de raio ⚡).
o Roteador ao Switch: Use um cabo "Copper Straight-Through" (Cabo Direto -
linha preta contínua) da porta GigabitEthernet0/0 do Roteador para uma
porta do Switch (ex: GigabitEthernet0/1).
o Switch aos PCs Cabeados: Use cabos "Copper Straight-Through" das portas
FastEthernet do Switch (ex: Fa0/1 a Fa0/5) para as portas FastEthernet de
cada um dos 5 PCs.
o Roteador ao Access Point: Use um cabo "Copper Straight-Through" da porta
GigabitEthernet0/1 do Roteador para a porta Port 0 (ou Port 1) do
Access Point.

Passo 2: Configurando o Roteador (Interfaces e DHCP) ⚙️

O roteador será o cérebro da nossa rede, atribuindo IPs e permitindo a comunicação.

1. Clique no Roteador e vá para a aba CLI (Command Line Interface).

2. Pressione Enter para começar. Se aparecer a pergunta Would you like to
enter the initial configuration dialog? [yes/no]:, digite no e
pressione Enter.
3. Digite os seguintes comandos:
 Fragmento do código

enable
configure terminal

! Configurar interface para a rede cabeada (LAN)

interface GigabitEthernet0/0
ip address [Link] [Link]
description Rede_Cabeada_Escritorio
no shutdown
exit

! Configurar interface para a rede Wi-Fi (WLAN)

interface GigabitEthernet0/1
ip address [Link] [Link]
description Rede_WiFi_Visitantes
no shutdown
exit

! Configurar DHCP para a Rede Cabeada (para 5 PCs)

ip dhcp pool POOL_CABEADA
network [Link] [Link]
default-router [Link]
dns-server [Link] ! Usando um DNS público para exemplo
exit

! Configurar DHCP para a Rede Wi-Fi (para até 15 dispositivos)

ip dhcp pool POOL_WIFI
network [Link] [Link]
default-router [Link]
dns-server [Link] ! Usando um DNS público para exemplo
exit

! Salvar a configuração
end
copy running-config startup-config

Pressione Enter para confirmar o nome do arquivo ao salvar.

Passo 3: Configurando o Access Point (Wi-Fi) 📶

1. Clique no Access Point.

2. Vá para a aba Config.
3. No menu à esquerda, clique em Port 1 (esta é a interface Wireless, o nome pode variar
ligeiramente, ex: "Wireless0").
o SSID: MinhaRedeWiFi (você pode escolher o nome que quiser).
o Authentication: Selecione WPA2-PSK.
o PSK Pass Phrase: senha12345 (escolha uma senha forte).
o Deixe as outras configurações como padrão (ex: Channel em Auto).
4. A porta Ethernet do AP (Port 0 na maioria dos AP-PT) já está conectada ao roteador
e não precisa de configuração de IP manual no AP, pois ele atuará como uma ponte
para a rede [Link]/24.
Passo 4: Configurando os Clientes para Receber IP via DHCP 💻📱

1. PCs Cabeados:
o Clique em cada um dos 5 PCs.
o Vá na aba "Desktop" -> "IP Configuration".
o Selecione a opção DHCP.
o Aguarde alguns segundos. O PC deverá receber um endereço IP da faixa
192.168.1.x (ex: [Link]), com Gateway Padrão [Link] e
Servidor DNS [Link].
2. Dispositivos Wi-Fi (Laptop, Smartphone):
o Clique em um Laptop.
o Adicionar Placa Wireless (se for um Laptop-PT):
 Vá na aba "Physical".
 Desligue o laptop clicando no botão Power.
 Na lista de "MODULES", encontre e remova o módulo de rede
Ethernet (ex: PC-HOST-NM-1CE ou similar) arrastando-o para fora do
slot.
 Na lista de "MODULES", encontre um módulo Wireless (ex: WPC300N)
e arraste-o para o slot vazio do laptop.
 Ligue o laptop novamente.
o Conectar à Rede Wi-Fi:
 Vá na aba "Desktop" -> "PC Wireless".
 Clique na aba "Connect".
 Aguarde a rede MinhaRedeWiFi aparecer na lista. Se não aparecer,
clique em "Refresh".
 Selecione a rede MinhaRedeWiFi e clique em "Connect".
 Quando solicitado, insira a "PSK Pass Phrase": senha12345.
 Clique em "Connect".
o Verificar o IP (após conectar):
 Feche a janela "PC Wireless".
 Vá na aba "Desktop" -> "IP Configuration".
 Selecione a opção DHCP (se não estiver selecionada).
 Aguarde alguns segundos. O laptop deverá receber um endereço IP da
faixa 192.168.2.x (ex: [Link]), com Gateway Padrão
[Link] e Servidor DNS [Link].
o Repita para outros dispositivos Wi-Fi.

Passo 5: Testando a Conectividade Básica 🧪

1. De um PC Cabeado:
o Abra "Desktop" -> "Command Prompt".
o Digite ping [Link] (ping para o gateway da rede cabeada). Deve
funcionar.
o Digite ping [Link] (ping para o gateway da rede Wi-Fi). Deve
funcionar.
2. De um Laptop Wi-Fi:
o Abra "Desktop" -> "Command Prompt".
o Digite ping [Link] (ping para o gateway da rede Wi-Fi). Deve
funcionar.
 o Digite ping [Link] (ping para o gateway da rede cabeada). Deve
funcionar.
3. Ping entre um PC Cabeado e um Laptop Wi-Fi:
o No PC Cabeado, pingue o IP do Laptop Wi-Fi (ex: ping [Link]). Deve
funcionar.
o No Laptop Wi-Fi, pingue o IP de um PC Cabeado (ex: ping [Link]).
Deve funcionar.

Conclusão: Você configurou uma rede com duas sub-redes (cabeada e Wi-Fi) onde
todos os dispositivos recebem suas configurações de rede automaticamente do roteador
via DHCP. Os dispositivos em ambas as redes conseguem se comunicar entre si através
do roteador. Este é um ótimo ponto de partida para projetos mais complexos! Salve seu
arquivo. 👍
Tutorial Cisco Packet Tracer: Criando uma Rede com
Servidor ERP e Controle de Acesso 💻🔒
Este tutorial guiará você na criação de uma rede no Cisco Packet Tracer com um
servidor que hospedará um sistema ERP (acessível via
[Link] fornecerá acesso à internet e gerenciará endereços
IP via DHCP para 15 computadores cabeados e até 100 dispositivos Wi-Fi.
Implementaremos também um firewall e um sistema de login/senha para acesso ao ERP
e à internet.

Passo 1: Configurando o Ambiente Físico 🏢

1. Abra o Cisco Packet Tracer.

2. Adicione os Dispositivos:
o Servidor: No canto inferior esquerdo, clique em "End Devices" e arraste
um "Server" para a área de trabalho.
o Roteador com Firewall: Clique em "Network Devices" -> "Routers".
Escolha um roteador que suporte firewall (por exemplo, um ISR da série
2900 ou superior. Se não encontrar um com firewall integrado explícito
para este exercício, usaremos as ACLs do roteador para simular o
firewall). Para simplificar, vamos usar um roteador genérico "Router-
PT".
o Switch: Clique em "Network Devices" -> "Switches". Adicione um
"Switch" (por exemplo, 2960) para os dispositivos cabeados.
o Access Point (AP): Clique em "Network Devices" -> "Wireless
Devices". Adicione um "AP-PT" para a rede Wi-Fi.
o Computadores Cabeados: Clique em "End Devices" e adicione 15
"PC"s.
o Dispositivos Wi-Fi: Adicione alguns "Laptop" ou "Smartphone" para
simular os clientes Wi-Fi. Não precisa adicionar todos os 100, apenas
alguns para teste.
3. Conecte os Dispositivos:
o Use "Connections" (o ícone de raio ⚡) no canto inferior esquerdo.
o Servidor ao Roteador: Use um cabo "Copper Straight-Through" (cabo
direto) da porta FastEthernet0 do Servidor para a porta
GigabitEthernet0/0 do Roteador.
o Roteador ao Switch: Use um cabo "Copper Straight-Through" da porta
GigabitEthernet0/1 do Roteador para uma porta FastEthernet do Switch.
o Switch aos PCs Cabeados: Use cabos "Copper Straight-Through" das
portas FastEthernet do Switch para as portas FastEthernet de cada PC.
o Roteador ao Access Point: Use um cabo "Copper Straight-Through" da
porta GigabitEthernet0/2 do Roteador para a porta Port 1 (ou
Internet/WAN se disponível no AP) do Access Point.
Passo 2: Configurando o Servidor (ERP, DNS, DHCP, HTTP) 🖥️

1. Clique no Servidor para abrir sua janela de configuração.

2. Aba "Desktop" -> "IP Configuration":
o Endereço IP: [Link] (este será o IP fixo do nosso servidor)
o Máscara de Sub-rede: [Link]
o Gateway Padrão: [Link] (este será o IP da interface
GigabitEthernet0/0 do Roteador conectada ao servidor)
o Servidor DNS: [Link] (o próprio servidor será o DNS)
3. Aba "Services":
o HTTP/HTTPS:
 HTTP: Deixe "On".
 HTTPS: Mude para "On".
 Clique em "[Link]" e depois em "Edit".
 Apague o conteúdo existente e cole o seguinte HTML simples
para simular a página de login do ERP:

HTML

<html>
<head><title>Login ERP TI01Senac</title></head>
<body>
<h1>Bem-vindo ao ERP TI01Senac</h1>
<form>
Usuário: <input type="text"
name="username"><br>
Senha: <input type="password"
name="password"><br>
<input type="button" value="Login"
onclick="alert('Login simulado! Em um sistema real,
haveria validação.')">
</form>
<p><a href="[Link]
target="_blank">Acesso à Internet (Simulado)</a></p>
</body>
</html>

 Clique em "Save" e confirme se "[Link]" está listado.

o DHCP:
 Interface: Certifique-se de que a interface correta
(FastEthernet0) está selecionada.
 Mude "Service" para "On".
 Pool Name: Deixe "serverPool" ou crie um novo.
 Default Gateway: [Link] (IP do Roteador na rede
interna)
 DNS Server: [Link] (IP do Servidor)
 Start IP Address: [Link] (para os 15 PCs cabeados)
 Subnet Mask: [Link]
 Maximum Number of Users: 15 (para a rede cabeada)
 Clique em "Add" para adicionar este pool.
 Crie um novo Pool para a rede Wi-Fi:
 Pool Name: wifiPool
  Default Gateway: [Link] (suporemos uma sub-
rede diferente para o Wi-Fi, gerenciada pelo roteador)
 DNS Server: [Link]
 Start IP Address: [Link]
 Subnet Mask: [Link]
 Maximum Number of Users: 100
 Clique em "Add". Nota: O DHCP para a rede Wi-Fi será
primariamente gerenciado pelo roteador, mas
configuramos aqui para referência ou se o AP estiver em
modo bridge e o servidor for o DHCP central. No nosso
cenário, o roteador fará o DHCP para o Wi-Fi. Portanto,
você pode desabilitar este wifiPool no servidor por
enquanto ou ajustar o gateway para [Link] se o
AP estiver na mesma sub-rede e o servidor for o
DHCP central para tudo. Para este tutorial, vamos
assumir que o roteador gerenciará o DHCP da rede Wi-Fi
([Link]/24).
o DNS:
 Mude "Service" para "On".
 Name: [Link]
 Type: "A Record"
 Address: [Link] (o IP do próprio servidor onde o ERP
está hospedado)
 Clique em "Add".
o AAA (Authentication, Authorization, Accounting):
 Mude "Service" para "On".
 Client Name: RouterFirewall (um nome para identificar o
roteador que usará este servidor para autenticação)
 Client IP: [Link] (IP do roteador na rede interna)
 Secret: senac123 (uma senha compartilhada entre o servidor
AAA e o roteador)
 Server Type: Deixe "RADIUS" (ou escolha TACACS+ se
preferir, mas RADIUS é comum).
 Clique em "Add".
 User Setup:
 User Name: aluno
 Password: senha123
 Clique em "Add". Adicione mais usuários conforme
necessário. Este usuário será usado para simular o login
para acesso à internet/ERP.

Passo 3: Configurando o Roteador (Gateway, DHCP para Wi-Fi, Firewall

Básico e Autenticação) 🌐🛡️

1. Clique no Roteador.
2. Aba "CLI" (Command Line Interface):
o Digite no para a pergunta "Would you like to enter the initial
configuration dialog?".
o Pressione Enter.
o enable
o configure terminal
o Configurar Interface GigabitEthernet0/0 (Conectada ao Servidor e à
Rede Interna Cabeada):

Fragmento do código

interface GigabitEthernet0/0
ip address [Link] [Link]
description Conexao_Servidor_e_Rede_Cabeada
no shutdown
exit

o Configurar Interface GigabitEthernet0/1 (Conectada ao Switch da

Rede Cabeada):
 Esta interface estará na mesma sub-rede que a Gi0/0, pois o
switch apenas estende essa rede.
 Se você conectou o switch a outra porta, por exemplo Gi0/1:

<!-- end list -->

Fragmento do código

interface GigabitEthernet0/1
description Conexao_Switch_Rede_Cabeada
no shutdown // Apenas ativamos a porta, ela não precisa
de IP pois está na mesma VLAN/sub-rede da Gi0/0
exit

 Alternativamente, se você quiser que a rede cabeada (PCs) esteja

em uma sub-rede diferente do servidor, você precisaria
configurar a Gi0/1 com um IP de gateway para essa nova sub-
rede e ajustar o DHCP no servidor ou roteador para ela. Para
simplificar, manteremos o servidor e os PCs cabeados na mesma
sub-rede [Link]/24.
o Configurar Interface GigabitEthernet0/2 (Conectada ao Access
Point - Rede Wi-Fi):

Fragmento do código

interface GigabitEthernet0/2
ip address [Link] [Link]
description Conexao_Access_Point_WiFi
no shutdown
exit

o Configurar DHCP para a Rede Wi-Fi (Sub-rede [Link]/24):

Fragmento do código
 ip dhcp pool POOL_WIFI
network [Link] [Link]
default-router [Link]
dns-server [Link] // O DNS é o nosso servidor
interno
exit

o Configurar NAT para permitir acesso à "Internet" (simulada):

 Primeiro, precisamos de uma interface "externa". Se este roteador
estivesse conectado à internet real, você configuraria a interface
WAN. No Packet Tracer, podemos simular isso ou apenas fazer
NAT entre as redes internas e o servidor.
 Para este exercício, o "acesso à internet" será o acesso ao servidor
(que tem o link para o Google).

<!-- end list -->

Fragmento do código

interface GigabitEthernet0/0
ip nat inside
exit

interface GigabitEthernet0/2
ip nat inside
exit

// Simular uma interface "externa" ou um próximo salto

para "internet"
// Se você adicionar outro roteador para simular a
internet:
// interface GigabitEthernet0/X (a que conecta ao
"roteador da internet")
// ip address dhcp (ou um IP estático)
// ip nat outside

// no shutdown // exit // ip route [Link] [Link]

[IP_do_proximo_salto_ou_interface_de_saida]

// Para simplificar e assumir que o servidor [Link] também

é a "internet":
access-list 1 permit [Link] [Link]
access-list 1 permit [Link] [Link]
ip nat inside source list 1 interface GigabitEthernet0/0
overload // Ou a interface que "sai" para o servidor, se diferente
```

* *Nota: A configuração de NAT pode variar dependendo de como

você define a "internet". Se o servidor `[Link]` é o destino
final que representa a internet e o ERP, a configuração acima pode
precisar de ajustes. O objetivo principal aqui é permitir que os
clientes `192.168.1.x` e `192.168.2.x` cheguem ao servidor
`[Link]`.*

* **Configurar Autenticação AAA para Acesso (Simulação de

Login/Senha):**
 ```cli
aaa new-model
aaa authentication login default group radius local // Tenta
autenticar via RADIUS, se falhar, tenta usuários locais do roteador
radius server MeuServidorAAA
address ipv4 [Link] auth-port 1812 acct-port 1813 //
Portas padrão RADIUS
key senac123 // Mesma chave secreta configurada no servidor AAA
exit
```

* **Configurar Firewall Básico (Access Control Lists - ACLs):**

* Vamos criar ACLs para permitir tráfego HTTP/HTTPS para o

servidor ERP e negar outros acessos não autorizados.
* **ACL para permitir acesso ao ERP e DNS ao servidor, e tráfego
estabelecido:**
```cli
ip access-list extended FIREWALL_ENTRADA
remark Permite DNS para o servidor interno
permit udp any host [Link] eq domain
remark Permite HTTPS para o ERP no servidor interno
permit tcp any host [Link] eq 443
remark Permite HTTP para o servidor interno (se necessário,
ou para redirecionamento)
permit tcp any host [Link] eq 80
remark Permite tráfego de retorno estabelecido
permit tcp any any established
permit udp any any established
remark Nega explicitamente outros tráfegos para o servidor
(opcional, pois há um deny implícito)
deny ip any host [Link]
remark Permite qualquer outro tráfego (para "internet" geral,
se houver) - ajuste conforme necessidade
permit ip any any
exit
```
* **Aplicar a ACL na interface que "entra" na sua rede vindo dos
usuários (ou que protege o servidor):**
* Aplicaremos na interface que leva ao servidor para
proteger o acesso a ele.
<!-- end list -->
```cli
interface GigabitEthernet0/0
ip access-group FIREWALL_ENTRADA in // Aplica na entrada da
interface que conecta ao servidor
exit
```
* *Nota sobre Login/Senha para Internet/ERP:* O Packet Tracer
tem limitações para simular um portal cativo ou um proxy com
login/senha para acesso geral à web. A configuração AAA acima é mais
para acesso administrativo ao roteador ou VPNs. Para simular o login
para o ERP, a página HTML que criamos no servidor já tem campos de
formulário. Para o acesso à "internet", podemos usar a autenticação no
roteador para permitir tráfego usando `dot1x` (mais complexo e
geralmente em switches) ou configurar ACLs que seriam
habilitadas/desabilitadas por um script (não diretamente suportado de
forma simples no PT para simular um login de usuário para internet).
**A maneira mais simples de simular o "login para internet" no Packet
Tracer é assumir que, após o login no ERP (simulado pela página web),
o acesso é concedido.** O firewall (ACL) pode restringir o acesso
inicial antes de uma "autenticação" (que neste tutorial é mais
conceitual do que uma implementação técnica completa de portal
cativo).

* **Salvar a Configuração:**

```cli
end
copy running-config startup-config
```

Pressione `Enter` para confirmar.

Passo 4: Configurando o Access Point (Wi-Fi) 📶

1. Clique no Access Point.

2. Aba "Config":
o Interface -> Port 1 (ou a porta conectada ao Roteador): Certifique-se
de que está ativa.
o Interface -> Wireless0 (ou similar):
 SSID: RedeTI01Senac-WiFi (Nome da sua rede Wi-Fi)
 Channel: Deixe em "Auto" ou escolha um canal (1, 6 ou 11 são
comuns).
 Authentication: WPA2-PSK (Escolha uma segurança robusta)
 PSK Pass Phrase: senhaforteWIFI (Crie uma senha forte para
o Wi-Fi)
 Deixe outras configurações como padrão por enquanto. O AP
deve estar em modo "Access Point" e obter seu IP da rede
[Link]/24 via DHCP do roteador (se a porta conectada ao
roteador estiver configurada para DHCP client no AP) ou você
pode definir um IP estático para ele (ex: [Link]). Para
este tutorial, o DHCP do roteador para a rede [Link]/24
deve fornecer um IP ao AP.

Passo 5: Configurando os Clientes (PCs Cabeados e Dispositivos Wi-Fi)

💻📱

1. PCs Cabeados:
o Clique em cada PC.
o Aba "Desktop" -> "IP Configuration".
o Selecione "DHCP". O PC deverá receber um IP da faixa [Link]
em diante, Gateway [Link] e DNS [Link].
2. Dispositivos Wi-Fi (Laptops, etc.):
o Clique em cada dispositivo Wi-Fi.
o Primeiro, troque a placa de rede:
 Aba "Physical".
 Desligue o laptop no botão Power.
 Remova o módulo de rede Ethernet (arraste-o para a lista de
módulos).
  Adicione um módulo Wireless (ex: WPC300N) arrastando-o para
o slot vazio.
 Ligue o laptop.
o Conecte-se à Rede Wi-Fi:
 Aba "Desktop" -> "PC Wireless".
 Clique na aba "Connect".
 Aguarde a rede RedeTI01Senac-WiFi aparecer.
 Selecione-a e clique em "Connect".
 Digite a "PSK Pass Phrase": senhaforteWIFI.
 Clique em "Connect".
o Verifique o IP:
 Aba "Desktop" -> "IP Configuration".
 Selecione "DHCP". O dispositivo deverá receber um IP da faixa
[Link] em diante, Gateway [Link] e DNS
[Link].

Passo 6: Testando a Rede e Funcionalidades 🧪

1. Teste de Ping:
o Em um PC cabeado, abra "Desktop" -> "Command Prompt".
o ping [Link] (ping para o servidor)
o ping [Link] (ping para o gateway da rede cabeada)
o Em um laptop Wi-Fi, faça o mesmo:
 ping [Link]
 ping [Link] (ping para o gateway da rede Wi-Fi)
2. Teste de Acesso ao ERP:
o Em um PC ou Laptop, abra "Desktop" -> "Web Browser".
o Digite a URL: [Link]
o A página de login do ERP deve aparecer. Tente "logar" (lembre-se que o
login é simulado na página HTML).
3. Teste de Acesso à "Internet" (Link na página do ERP):
o Na página do ERP, clique no link "Acesso à Internet (Simulado)". Ele
deve tentar abrir o Google em uma nova aba.
4. Verificação DHCP:
o Confirme nos PCs e laptops se eles receberam os endereços IP corretos
das faixas configuradas.
5. Teste de Firewall/Login (Conceitual):
o A ACL no roteador deve permitir o tráfego HTTPS/DNS para o servidor.
Tente acessar outros serviços no servidor (se houvesse) para ver se são
bloqueados.
o O login e senha aluno/senha123 configurados no AAA e RADIUS
seriam usados para cenários como autenticação para obter acesso à rede
via 802.1x ou para acesso VPN/administrativo ao roteador. A simulação
direta de um portal cativo para acesso à internet usando esse login/senha
é limitada no Packet Tracer. A ideia aqui é que o acesso ao ERP implica
uma forma de "autenticação".

Em duas partes:
Tutorial Cisco Packet Tracer - Parte 1: Infraestrutura
e Serviços Básicos 🏗️🌐
Objetivo: Nesta primeira parte, vamos construir a topologia física da rede, configurar o
servidor com os serviços essenciais de HTTP/HTTPS (para a página inicial do ERP),
DNS (para resolver [Link]) e DHCP para distribuir endere IPs para os
computadores cabeados. Também configuraremos o roteador para fornecer DHCP para
a rede Wi-Fi e o Access Point.

Passo 1: Configurando o Ambiente Físico 🏢

1. Abra o Cisco Packet Tracer.

2. Adicione os Dispositivos:
o Servidor: No canto inferior esquerdo, clique em "End Devices" e arraste
um "Server-PT" (Servidor) para a área de trabalho.
o Roteador: Clique em "Network Devices" -> "Routers". Adicione um
roteador "Router-PT" (Roteador).
o Switch: Clique em "Network Devices" -> "Switches". Adicione um
"Switch-PT" (Switch, por exemplo, o 2960) para os dispositivos
cabeados.
o Access Point (AP): Clique em "Network Devices" -> "Wireless
Devices". Adicione um "AP-PT" (Access Point) para a rede Wi-Fi.
o Computadores Cabeados: Clique em "End Devices" e adicione 3 "PC-
PT"s (PCs). (Para o exercício completo são 15, mas 3 são suficientes
para testar esta parte).
o Dispositivos Wi-Fi: Adicione 1 "Laptop-PT" (Laptop) para simular um
cliente Wi-Fi.
3. Conecte os Dispositivos:
o Use "Connections" (o ícone de raio ⚡) no canto inferior esquerdo.
o Servidor ao Roteador: Use um cabo "Copper Straight-Through" (Cabo
Direto - linha preta contínua) da porta FastEthernet0 do Servidor para a
porta GigabitEthernet0/0 do Roteador.
o Roteador ao Switch: Use um cabo "Copper Straight-Through" da porta
GigabitEthernet0/1 do Roteador para a porta GigabitEthernet0/1 (ou
FastEthernet0/1) do Switch.
o Switch aos PCs Cabeados: Use cabos "Copper Straight-Through" das
portas FastEthernet do Switch (ex: Fa0/1, Fa0/2, Fa0/3) para as portas
FastEthernet de cada PC.
o Roteador ao Access Point: Use um cabo "Copper Straight-Through" da
porta GigabitEthernet0/2 do Roteador para a porta Port 0 (ou
Internet/WAN, dependendo do modelo de AP) do Access Point.

[Imagem de uma topologia de rede simples no Packet Tracer com servidor,

roteador, switch, AP e alguns PCs/Laptops conectados]

Passo 2: Configurando o Servidor (HTTP/HTTPS, DNS, DHCP) 🖥️

1. Clique no Servidor para abrir sua janela de configuração.

2. Aba "Desktop" -> "IP Configuration":
o IP Address: [Link]
o Subnet Mask: [Link]
o Default Gateway: [Link] (Este será o IP da interface
GigabitEthernet0/0 do Roteador)
o DNS Server: [Link] (O próprio servidor será o DNS primário)
3. Aba "Services":
o HTTP e HTTPS:
 HTTP: Deixe "On".
 HTTPS: Mude para "On".
 Localize o arquivo [Link] na lista. Clique em "Edit".
 Apague o conteúdo existente e cole o seguinte HTML simples
para a página inicial do ERP:
 <!DOCTYPE html>
 <html lang="pt-BR">
 <head>
 <meta charset="UTF-8">
 <title>Bem-vindo ao ERP TI01Senac</title>
 <style>
 body { font-family: Arial, sans-serif; text-
align: center; margin-top: 50px; }
 h1 { color: #004080; }
 </style>
 </head>
 <body>
 <h1>Bem-vindo ao Sistema ERP TI01Senac</h1>
 <p>Acesso em constru&ccedil;&atilde;o.</p>
 </body>
 </html>

 Clique em "Save". Confirme a pergunta sobre sobrescrever o

arquivo.
o DHCP (para a rede cabeada [Link]/24):
 Interface: Certifique-se de que FastEthernet0 está selecionada.
 Mude "Service" para "On".
 Pool Name: pool_rede_cabeada
 Default Gateway: [Link]
 DNS Server: [Link]
 Start IP Address: [Link] (Início da faixa para os PCs
cabeados)
 Subnet Mask: [Link]
 Maximum Number of Users: 20 (Para os 15 PCs e uma
margem)
 Clique em "Add" para adicionar este pool.
 Nota: O DHCP para a rede Wi-Fi será configurado no roteador.
o DNS:
 Mude "Service" para "On".
 Name: [Link]
 Type: Deixe "A Record".
 Address: [Link] (O IP do próprio servidor onde o ERP
está hospedado)
 Clique em "Add".
Passo 3: Configurando o Roteador (Interfaces e DHCP para Wi-Fi) 🌐

1. Clique no Roteador.
2. Aba "CLI" (Command Line Interface):
o Digite no para a pergunta "Would you like to enter the initial
configuration dialog?" e pressione Enter.
o Pressione Enter novamente para acessar o prompt Router>.
o enable (ou en)
o configure terminal (ou conf t)
o Configurar Interface GigabitEthernet0/0 (Conectada ao Servidor e
Switch da Rede Cabeada):
o interface GigabitEthernet0/0
o ip address [Link] [Link]
o description Link_Servidor_e_Rede_Cabeada_192.168.1.0
o no shutdown
o exit

o Configurar Interface GigabitEthernet0/1 (Conectada ao Switch):

 Esta interface apenas precisa ser ativada, pois o switch estenderá
a rede [Link]/24.
o interface GigabitEthernet0/1
o description Link_para_Switch_Rede_Cabeada
o no shutdown
o exit

o Configurar Interface GigabitEthernet0/2 (Conectada ao Access

Point - Rede Wi-Fi):
 Esta interface será o gateway para a rede Wi-Fi, que usará uma
sub-rede diferente.
o interface GigabitEthernet0/2
o ip address [Link] [Link]
o description Link_Access_Point_Rede_WiFi_192.168.2.0
o no shutdown
o exit

o Configurar DHCP no Roteador para a Rede Wi-Fi (Sub-rede

[Link]/24):
o ip dhcp pool POOL_WIFI
o network [Link] [Link]
o default-router [Link] // Gateway para os clientes
Wi-Fi
o dns-server [Link] // O DNS é o nosso servidor
interno
o exit

 Nota: O número máximo de usuários para o pool Wi-Fi (até 100)

é implicitamente gerenciado pelo tamanho da sub-rede /24 (que
suporta ~253 hosts) e pela capacidade do AP. O maximum
number of users no DHCP do servidor era específico para
aquele pool.
 o Salvar a Configuração:
o end
o copy running-config startup-config

Pressione Enter para confirmar o nome do arquivo.

Passo 4: Configurando o Access Point (Wi-Fi) 📶

1. Clique no Access Point.

2. Aba "Config":
o SETTINGS:
 Display Name: AP-TI01Senac (Opcional, apenas nome de
exibição no Packet Tracer)
o INTERFACE -> Port 1 (ou a porta que exibe Link "Up" e está
conectada ao Roteador):
 Verifique se a configuração de IP está como DHCP ou se tem um
IP estático apropriado para a rede [Link]/24 (ex:
[Link]). Para simplificar, o AP geralmente funciona
bem sem um IP de gerenciamento configurado manualmente
aqui, desde que a porta esteja ativa e conectada à sub-rede correta
do roteador.
o INTERFACE -> Wireless (ou Wireless0):
 SSID: RedeTI01Senac-WiFi (Nome da sua rede Wi-Fi que os
usuários verão)
 Channel: Deixe em "1" ou "Auto".
 Authentication: WPA2-PSK
 PSK Pass Phrase: TI01SenacWIFI! (Crie uma senha forte para
o Wi-Fi)
 Deixe as outras configurações como padrão.

Passo 5: Configurando os Clientes (Obtenção de IP via DHCP) 💻📱

1. PCs Cabeados:
o Clique em cada PC.
o Aba "Desktop" -> "IP Configuration".
o Selecione a opção "DHCP".
o Aguarde alguns segundos. O PC deverá receber um endereço IP da faixa
[Link] em diante, com Gateway Padrão [Link] e Servidor
DNS [Link].
2. Laptop Wi-Fi:
o Clique no Laptop.
o Primeiro, adicione uma placa de rede sem fio (se necessário):
 Aba "Physical".
 Desligue o laptop clicando no botão Power (geralmente à direita
do laptop).
 Na lista de "MODULES", localize e remova o módulo de rede
Ethernet (ex: PC-HOST-NM-1CE). Arraste-o para fora do slot.
  Na lista de "MODULES", localize um módulo Wireless (ex:
WPC300N ou Linksys-WMP300N) e arraste-o para o slot vazio do
laptop.
 Ligue o laptop novamente.
o Conecte-se à Rede Wi-Fi:
 Aba "Desktop" -> "PC Wireless".
 Clique na aba "Connect".
 Aguarde a rede RedeTI01Senac-WiFi aparecer na lista. Se não
aparecer, clique em "Refresh".
 Selecione a rede RedeTI01Senac-WiFi e clique em "Connect".
 Quando solicitado, insira a "PSK Pass Phrase": TI01SenacWIFI!
 Clique em "Connect".
o Verifique o IP:
 Feche a janela "PC Wireless".
 Aba "Desktop" -> "IP Configuration".
 Selecione a opção "DHCP" (se não estiver selecionada).
 Aguarde alguns segundos. O laptop deverá receber um endereço
IP da faixa [Link] em diante, com Gateway Padrão
[Link] e Servidor DNS [Link].

Passo 6: Testando a Conectividade Básica e Acesso ao "ERP" via DNS 🧪

1. Teste de Ping entre redes:

o De um PC Cabeado (ex: PC1 com IP [Link]):
 Abra "Desktop" -> "Command Prompt".
 ping [Link] (Ping para o Servidor) - Deve funcionar.
 ping [Link] (Ping para o Gateway da rede cabeada) -
Deve funcionar.
 ping [Link] (Ping para o Gateway da rede Wi-Fi) - Deve
funcionar (o roteador interliga as redes).
 Se o Laptop Wi-Fi recebeu um IP (ex: [Link]), tente
ping [Link] - Deve funcionar.
o De um Laptop Wi-Fi (ex: Laptop com IP [Link]):
 Abra "Desktop" -> "Command Prompt".
 ping [Link] (Ping para o Gateway da rede Wi-Fi) - Deve
funcionar.
 ping [Link] (Ping para o Gateway da rede cabeada) -
Deve funcionar.
 ping [Link] (Ping para o Servidor) - Deve funcionar.
2. Teste de Acesso ao ERP (Página Web):
o Em qualquer PC Cabeado ou no Laptop Wi-Fi:
 Abra "Desktop" -> "Web Browser".
 Na barra de endereço, digite: [Link]
(ou [Link]
 Pressione "Go".

A página "Bem-vindo ao Sistema ERP TI01Senac" que você configurou no servidor

deve aparecer.
Conclusão da Parte 1: Neste ponto, você tem uma rede funcional com duas sub-redes
(cabeada e Wi-Fi), onde os clientes recebem configurações de IP automaticamente via
DHCP. O servidor está fornecendo uma página web básica para o ERP, e o nome
[Link] está resolvendo para o IP correto do servidor graças ao serviço
DNS.

Próximos Passos (Parte 2): Na próxima parte, vamos adicionar a camada de segurança
e controle de acesso, configurando o firewall no roteador, implementando um sistema
de login/senha simulado para o ERP e controlando o acesso à "internet". Salve seu
arquivo do Packet Tracer!
Tudo junto:

Com certeza! Fico feliz que tenha gostado das duas partes. Agora que compreendi
corretamente, posso consolidar tudo em um único documento para você.

Vou utilizar a primeira versão mais completa da Parte 1 que você forneceu (aquela
intitulada "Tutorial Cisco Packet Tracer: Criando uma Rede com Servidor ERP e
Controle de Acesso 💻🔒", que já incluía a configuração do servidor AAA e noções de
firewall) e, em seguida, adicionar a Parte 2 que elaborei.

Aqui está o tutorial completo:

Tutorial Cisco Packet Tracer: Criando uma Rede com Servidor ERP e Controle de
Acesso 💻🔒

Este tutorial guiará você na criação de uma rede no Cisco Packet Tracer com um
servidor que hospedará um sistema ERP (acessível via
[Link] fornecerá acesso à internet e gerenciará endereços
IP via DHCP para 15 computadores cabeados e até 100 dispositivos Wi-Fi.
Implementaremos também um firewall e um sistema de login/senha para acesso ao ERP
e à internet.

Tutorial Cisco Packet Tracer - Parte 1: Infraestrutura e Serviços Básicos 🏗️🌐

Objetivo: Nesta primeira parte, vamos construir a topologia física da rede, configurar o
servidor com os serviços essenciais de HTTP/HTTPS (para a página inicial do ERP com
simulação de login), DNS (para resolver [Link]), DHCP (para as
redes cabeada e Wi-Fi, embora o DHCP do Wi-Fi seja gerenciado pelo roteador) e AAA
para autenticação. Também configuraremos o roteador com interfaces, DHCP para a
rede Wi-Fi, NAT e as bases para o firewall e autenticação.

Passo 1: Configurando o Ambiente Físico 🏢

1. Abra o Cisco Packet Tracer.

2. Adicione os Dispositivos:
o Servidor: No canto inferior esquerdo, clique em "End Devices" e arraste
um "Server" para a área de trabalho.
o Roteador com Firewall: Clique em "Network Devices" -> "Routers".
Escolha um roteador que suporte firewall (por exemplo, um ISR da série
2900 ou superior. Se não encontrar um com firewall integrado explícito
para este exercício, usaremos as ACLs do roteador para simular o
firewall). Para simplificar, vamos usar um roteador genérico "Router-PT"
ou um modelo como o 2911 se desejar explorar mais funcionalidades.
Usaremos o "Router-PT" para manter a consistência com a descrição
inicial.
 o Switch: Clique em "Network Devices" -> "Switches". Adicione um
"Switch" (por exemplo, 2960) para os dispositivos cabeados.
o Access Point (AP): Clique em "Network Devices" -> "Wireless
Devices". Adicione um "AP-PT" para a rede Wi-Fi.
o Computadores Cabeados: Clique em "End Devices" e adicione 15
"PC"s. (Para testar, 3 ou 4 são suficientes inicialmente).
o Dispositivos Wi-Fi: Adicione alguns "Laptop" ou "Smartphone" para
simular os clientes Wi-Fi (2 ou 3 para teste).
3. Conecte os Dispositivos:
o Use "Connections" (o ícone de raio ⚡) no canto inferior esquerdo.
o Servidor ao Roteador: Use um cabo "Copper Straight-Through" (cabo
direto) da porta FastEthernet0 do Servidor para a porta
GigabitEthernet0/0 do Roteador.
o Roteador ao Switch: Use um cabo "Copper Straight-Through" da porta
GigabitEthernet0/1 do Roteador para uma porta FastEthernet ou
GigabitEthernet do Switch (ex: GigabitEthernet0/1).
o Switch aos PCs Cabeados: Use cabos "Copper Straight-Through" das
portas FastEthernet do Switch para as portas FastEthernet de cada PC.
o Roteador ao Access Point: Use um cabo "Copper Straight-Through" da
porta GigabitEthernet0/2 do Roteador para a porta Port 0 (ou Port 1,
dependendo do modelo do AP) do Access Point.

Passo 2: Configurando o Servidor (ERP, DNS, DHCP, HTTP, AAA) 🖥️

1. Clique no Servidor para abrir sua janela de configuração.

2. Aba "Desktop" -> "IP Configuration":
o Endereço IP: [Link]
o Máscara de Sub-rede: [Link]
o Gateway Padrão: [Link] (este será o IP da interface
GigabitEthernet0/0 do Roteador)
o Servidor DNS: [Link] (o próprio servidor)
3. Aba "Services":
o HTTP/HTTPS:
 HTTP: Deixe "On".
 HTTPS: Mude para "On".
 Clique em "[Link]" na lista de arquivos e depois em "Edit".
 Apague o conteúdo existente e cole o seguinte HTML para
simular a página de login do ERP:

HTML

<html>
<head><title>Login ERP TI01Senac</title></head>
<body>
<h1>Bem-vindo ao ERP TI01Senac</h1>
<form>
Usuário: <input type="text"
name="username"><br>
Senha: <input type="password"
name="password"><br>
 <input type="button" value="Login"
onclick="alert('Login simulado! Em um sistema real,
haveria validação.')">
</form>
<p><a href="[Link]
target="_blank">Acesso à Internet (Simulado)</a></p>
</body>
</html>

 Clique em "Save" e confirme a substituição se perguntado.

o DHCP:
 Interface: Certifique-se de que FastEthernet0 está selecionada.
 Mude "Service" para "On".
 Pool para Rede Cabeada:
 Pool Name: pool_rede_cabeada (ou deixe serverPool
e ajuste)
 Default Gateway: [Link]
 DNS Server: [Link]
 Start IP Address: [Link]
 Subnet Mask: [Link]
 Maximum Number of Users: 25 (para os 15 PCs e uma
margem)
 Clique em "Add" (ou "Save" se estiver editando
serverPool).
 Pool para Rede Wi-Fi (Apenas para referência ou cenários
específicos):
 Nota Importante: Para este tutorial, o roteador gerenciará
o DHCP para a rede Wi-Fi ([Link]/24). A
configuração de um pool Wi-Fi no servidor seria para
cenários onde o AP está em modo bridge na mesma sub-
rede do servidor, ou se o servidor fosse o DHCP central
para todas as redes. Você pode deixar este pool Wi-Fi
desabilitado ("Service" Off para ele) no servidor ou não
criá-lo para evitar conflitos, já que o roteador fará esse
papel.
 Se fosse criar:
 Pool Name: wifiPool_server_ref
 Default Gateway: [Link]
 DNS Server: [Link]
 Start IP Address: [Link]
 Subnet Mask: [Link]
 Maximum Number of Users: 110 (para 100
dispositivos e margem)
 Clique em "Add". Lembre-se de desabilitar este
pool no servidor se o roteador for o DHCP para o
Wi-Fi.
o DNS:
 Mude "Service" para "On".
 Name: [Link]
 Type: Deixe "A Record".
 Address: [Link]
  Clique em "Add".
o AAA (Authentication, Authorization, Accounting):
 Mude "Service" para "On".
 Client Setup:
 Client Name: RouterFirewall (um nome para identificar
o roteador)
 Client IP: [Link] (IP do roteador na rede interna,
que se comunicará com o servidor AAA)
 Secret: senac123 (senha compartilhada entre o servidor
AAA e o roteador)
 Server Type: Deixe "RADIUS".
 Clique em "Add".
 User Setup:
 User Name: aluno
 Password: senha123
 Clique em "Add". (Adicione mais usuários se necessário
para testes)

Passo 3: Configurando o Roteador (Gateway, DHCP para Wi-Fi, NAT, AAA

Client, Bases do Firewall) 🌐🛡️

1. Clique no Roteador.
2. Aba "CLI" (Command Line Interface):
o Digite no para a pergunta "Would you like to enter the initial
configuration dialog?" e pressione Enter.
o Pressione Enter novamente para acessar o prompt Router>.

Fragmento do código

enable
configure terminal

! Configurar Nome do Roteador (Opcional, mas boa prática)

hostname R1-Firewall

! Configurar Interface GigabitEthernet0/0 (Conectada ao Servidor

e Rede Interna Cabeada)
interface GigabitEthernet0/0
ip address [Link] [Link]
description Link_Servidor_e_Rede_Cabeada_LAN1
ip nat inside ! Define esta interface como parte da rede
interna para NAT
no shutdown
exit

! Configurar Interface GigabitEthernet0/1 (Conectada ao Switch

da Rede Cabeada)
! Esta interface não precisa de IP se o switch estiver apenas
estendendo a rede [Link]/24.
! Ela apenas precisa estar ativa. Contudo, se o servidor está na
Gi0/0 e os PCs na Gi0/1
! e ambos estão na MESMA sub-rede [Link]/24, eles devem
estar conectados ao mesmo switch,
! e o roteador teria apenas UMA interface (Gi0/0) para essa sub-
rede.
! Assumindo que a Gi0/0 é para a rede [Link]/24 (servidor E
PCs cabeados via switch conectado à Gi0/0 ou Gi0/1)
! Se o switch está conectado à Gi0/1 e esta porta também servirá
a rede [Link]/24:
interface GigabitEthernet0/1
description Link_para_Switch_Rede_Cabeada_LAN1
no shutdown ! Não precisa de IP se for parte da mesma L2 da
Gi0/0 através de um switch externo.
! Mas se Gi0/0 e Gi0/1 são para a MESMA sub-rede
[Link]/24,
! você normalmente usaria um switch conectado a
UMA dessas portas do roteador,
! ou as colocaria em um bridge group (mais
complexo).
! Para simplificar: Conecte o Switch à Gi0/0 junto
com o servidor, ou
! se o switch está na Gi0/1, e Gi0/0 é só para o
servidor, ambas interfaces precisam ser
! configuradas para a rede [Link]/24, o que
não é o ideal sem bridge-group.
! Vamos assumir que o switch da rede cabeada está
conectado à Gi0/0, e a Gi0/1 não será usada por enquanto,
! ou que a Gi0/1 será configurada como outra porta
LAN na mesma sub-rede (requer switch integrado ou SVI).
! CENÁRIO CORRIGIDO para a topologia descrita:
Servidor em Gi0/0, Switch em Gi0/1.
! Se Gi0/0 e Gi0/1 são para a mesma sub-rede
[Link]/24, isso não é usual sem switching L2 no roteador.
! Vamos manter o switch conectado a Gi0/1 e tratá-
lo como uma extensão da LAN.
! A interface Gi0/1 NÃO PODE ter o mesmo IP/sub-
rede que a Gi0/0.
! CORREÇÃO DE LÓGICA DA PARTE 1 ORIGINAL: O switch
deve estar conectado à Gi0/0 se for
! para a mesma rede do servidor E PCs. Se o switch
está na Gi0/1, então Gi0/1
! deve ser o gateway para os PCs nessa porta, e
eles estariam na mesma sub-rede de Gi0/0
! se ambas as portas do roteador forem
configuradas como portas switch (não roteadas) na mesma VLAN,
! ou se Gi0/1 for configurada como uma interface
roteada para a mesma sub-rede, o que não é padrão.
! VAMOS ASSUMIR: Servidor e Switch (com PCs) estão
ambos efetivamente na rede da Gi0/0.
! Ou seja, o Switch está conectado à porta Gi0/0
do roteador, junto com o servidor, ou
! o switch está na Gi0/1 e a Gi0/1 faz parte da
mesma rede lógica da Gi0/0.
! Para o tutorial, o mais simples é: Gi0/0 é o
gateway para [Link]/24. O Switch e o Servidor se conectam
! a um switch externo, e esse switch externo se
conecta à Gi0/0 do roteador.
! Se a topologia é Roteador(Gi0/1) -> Switch ->
PCs, então Gi0/1 é o gateway.
! Se Roteador(Gi0/0) -> Servidor E Roteador(Gi0/1)
-> Switch -> PCs, e todos são 192.168.1.x,
! então ambas Gi0/0 e Gi0/1 precisam de IP
[Link], o que não é possível.
! SIMPLIFICAÇÃO ADOTADA: Gi0/0 ([Link]) é
para toda a rede cabeada [Link]/24 (servidor e PCs via
switch).
 ! A conexão física Roteador(Gi0/1) -> Switch será
ignorada ou a Gi0/1 não será configurada com IP.
! Se a Gi0/1 é usada para o switch dos PCs:
interface GigabitEthernet0/1
description Conexao_Switch_Rede_Cabeada_LAN1_Continuacao
no ip address ! Assumindo que está fazendo switching para a
rede da Gi0/0,
! o que requer configuração de bridge-group ou
um módulo de switch no roteador.
! Para um Router-PT genérico, é mais simples
considerar a Gi0/0 como a única interface para a LAN
[Link]/24.
! Ou, se o switch está na Gi0/1, então esta é
a interface com IP:
! ip address [Link] [Link] (Se Gi0/0 não for
usada para esta LAN)
! ip nat inside
no shutdown
exit
! PARA MANTER A CONSISTÊNCIA COM A INTENÇÃO ORIGINAL DA PARTE 1
(Gi0/0 Servidor, Gi0/1 Switch):
! Isto implica que Gi0/0 e Gi0/1 estão na mesma sub-rede, o que
é incomum sem um bridge group.
! Uma abordagem mais padrão seria usar SVIs se fosse um roteador
com capacidade de switch L3, ou
! simplesmente conectar o switch da rede cabeada à mesma
interface do servidor (Gi0/0) ou a um switch que já está
conectado a Gi0/0.
! Vamos seguir com Gi0/0 como gateway para [Link]/24 e
Gi0/1 como apenas uma porta ativa sem IP por enquanto.

! Configurar Interface GigabitEthernet0/2 (Conectada ao Access

Point - Rede Wi-Fi)
interface GigabitEthernet0/2
ip address [Link] [Link]
description Link_Access_Point_Rede_WiFi_LAN2
ip nat inside ! Define esta interface como parte da rede
interna para NAT
no shutdown
exit

! Configurar DHCP para a Rede Wi-Fi (Sub-rede [Link]/24)

ip dhcp pool POOL_WIFI
network [Link] [Link]
default-router [Link]
dns-server [Link] ! O DNS é o nosso servidor interno
exit

! Configurar NAT para permitir acesso à "Internet" (simulada)

! Primeiro, precisamos de uma interface "externa" (ip nat
outside).
! Vamos usar Loopback0 para simular a conexão com a internet,
como faremos na Parte 2.
! (Na Parte 1 original, isso estava menos definido, então
adicionamos clareza aqui).
interface Loopback0
ip address [Link] [Link] ! Um IP público
simulado
description Conexao_Simulada_Internet_WAN
ip nat outside ! Define como interface externa para NAT
no shutdown
 exit

! Rota padrão para a "internet"

ip route [Link] [Link] Loopback0 ! Ou o IP do próximo salto se
Loopback0 fosse P2P

! Lista de acesso que define qual tráfego interno pode ser

NATeado
access-list 1 permit [Link] [Link]
access-list 1 permit [Link] [Link]

! Comando NAT
ip nat inside source list 1 interface Loopback0 overload

! Configurar Cliente AAA e Autenticação para Login (ex: para

acesso ao roteador)
aaa new-model
aaa authentication login default group radius local ! Tenta
RADIUS, se falhar, usa usuários locais do roteador
! (Opcional) Criar um usuário local no roteador como fallback
! username admin secret adminpass

radius server MeuServidorAAA

address ipv4 [Link] auth-port 1812 acct-port 1813
key senac123
exit

! Configurar Firewall Básico (Access Control Lists - ACLs) -

Introdução
! (Será detalhado e aplicado na Parte 2)
! Exemplo de ACL para permitir tráfego específico para o
servidor (a ser refinado na Parte 2)
ip access-list extended FIREWALL_PRELIMINAR
remark Permite HTTPS e DNS para o Servidor ERP
permit tcp any host [Link] eq 443
permit udp any host [Link] eq domain
permit tcp any host [Link] eq domain ! DNS sobre TCP
! (Mais regras e aplicação na Parte 2)
exit

! Salvar a Configuração (Opcional neste ponto, mas bom para

checkpoints)
! end
! copy running-config startup-config

Nota sobre a Interface Gi0/1 e a Rede Cabeada: A forma mais simples de

garantir que os PCs cabeados (via Switch) e o Servidor estejam na mesma sub-
rede [Link]/24 e usem Gi0/0 (IP [Link]) como gateway é
conectar tanto o Servidor quanto o Switch principal diretamente à porta Gi0/0
do roteador (você precisaria de um switch intermediário se Gi0/0 fosse a única
porta, ou o roteador Router-PT pode ter múltiplas portas que podem ser
configuradas para a mesma LAN se ele tiver capacidade de switching, o que o
Router-PT genérico não tem explicitamente. Uma alternativa é usar o Switch-PT
conectado a Gi0/0 e o Servidor também conectado a este Switch-PT). Para este
tutorial, vamos assumir que Gi0/0 serve como o gateway para a rede
[Link]/24 onde estão o servidor e os PCs cabeados (através de um switch
conectado a Gi0/0).
Passo 4: Configurando o Access Point (Wi-Fi) 📶

1. Clique no Access Point.

2. Aba "Config":
o SETTINGS:
 Display Name: AP-TI01Senac (Opcional)
o INTERFACE -> Port 1 (ou a porta Ethernet conectada ao Roteador
Gi0/2):
 Verifique se a configuração de IP está como DHCP (o AP obterá
IP da rede [Link]/24 do roteador) ou defina um IP
estático (ex: [Link], Máscara [Link], Gateway
[Link]). Para simplificar, deixar em DHCP é comum para
APs.
o INTERFACE -> Wireless (ou Wireless0 ou Port 0 dependendo do
modelo, se for a interface wireless):
 SSID: RedeTI01Senac-WiFi
 Channel: Deixe em "1" ou "Auto".
 Authentication: WPA2-PSK
 PSK Pass Phrase: senhaforteWIFI (Use uma senha forte)
 Deixe as outras configurações como padrão.

Passo 5: Configurando os Clientes (PCs Cabeados e Dispositivos Wi-Fi) 💻📱

1. PCs Cabeados:
o Clique em cada PC.
o Aba "Desktop" -> "IP Configuration".
o Selecione "DHCP".
o Aguarde. O PC deverá receber um IP da faixa [Link] em diante,
com Gateway Padrão [Link] e Servidor DNS [Link].
2. Dispositivos Wi-Fi (Laptops, etc.):
o Clique no Laptop.
o Adicionar Placa Wireless (se necessário):
 Aba "Physical".
 Desligue o laptop (botão Power).
 Remova o módulo de rede Ethernet (ex: PC-HOST-NM-1CE)
arrastando-o para fora.
 Adicione um módulo Wireless (ex: WPC300N ou Linksys-
WMP300N) arrastando-o para o slot.
 Ligue o laptop.
o Conectar à Rede Wi-Fi:
 Aba "Desktop" -> "PC Wireless".
 Clique na aba "Connect".
 Aguarde a rede RedeTI01Senac-WiFi aparecer. Clique em
"Refresh" se necessário.
 Selecione RedeTI01Senac-WiFi e clique em "Connect".
 Insira a "PSK Pass Phrase": senhaforteWIFI. Clique em
"Connect".
o Verificar IP:
 Feche a janela "PC Wireless".
  Aba "Desktop" -> "IP Configuration".
 Selecione "DHCP".
 Aguarde. O dispositivo deverá receber um IP da faixa
[Link] em diante (do POOL_WIFI do roteador), com
Gateway Padrão [Link] e Servidor DNS [Link].

Passo 6: Testando a Rede e Funcionalidades Básicas (Pré-Firewall Completo) 🧪

1. Teste de Ping:
o De um PC Cabeado:
 Abra "Desktop" -> "Command Prompt".
 ping [Link] (Servidor) - Deve funcionar.
 ping [Link] (Gateway da rede cabeada) - Deve funcionar.
 ping [Link] (Gateway da rede Wi-Fi) - Deve funcionar.
 ping [IP de um Laptop Wi-Fi] (ex: [Link]) - Deve
funcionar.
o De um Laptop Wi-Fi:
 ping [Link] (Servidor) - Deve funcionar.
 ping [Link] (Gateway da rede Wi-Fi) - Deve funcionar.
2. Teste de Acesso ao ERP (Página Web):
o Em qualquer PC Cabeado ou Laptop Wi-Fi:
 Abra "Desktop" -> "Web Browser".
 Na barra de endereço, digite: [Link]
 Pressione "Go". A página "Login ERP TI01Senac" deve aparecer.
O login é simulado.
3. Teste de Acesso à "Internet" (Link na página do ERP):
o Na página do ERP, clique no link "Acesso à Internet (Simulado)". Com o
DNS e NAT configurados, deve tentar abrir o Google.

Conclusão da Parte 1: Neste ponto, você tem uma rede com duas sub-redes (cabeada
[Link]/24 e Wi-Fi [Link]/24), onde os clientes recebem configurações
de IP automaticamente. O servidor está fornecendo uma página web básica para o ERP
(com simulação de login), serviço DNS e AAA. O roteador está configurado com
interfaces, DHCP para Wi-Fi e NAT básico. A base para o firewall foi iniciada.

Próximos Passos (Parte 2): Na próxima parte, vamos adicionar a camada de segurança
e controle de acesso, configurando o firewall no roteador de forma detalhada,
implementando o sistema de login/senha simulado para o ERP e controlando o acesso à
"internet". Salve seu arquivo do Packet Tracer!

Tutorial Cisco Packet Tracer - Parte 2: Segurança Avançada e Controle de Acesso

🛡️🔐

Objetivo: Nesta segunda parte, vamos focar em adicionar camadas de segurança e

controle à rede configurada na Parte 1. Isso inclui o refinamento do firewall no roteador
com Access Control Lists (ACLs), a exploração do sistema de login/senha simulado
para o ERP (utilizando a página HTML e o servidor AAA configurados) e a
implementação do controle de acesso à "internet" simulada.

Pré-requisitos:

 Ter completado a "Parte 1" do tutorial (a versão que inclui a configuração inicial
do servidor AAA com o usuário aluno/senha123, o RouterFirewall como
cliente AAA, e a página HTML do ERP com campos de login e o link para o
Google).
 O arquivo do Packet Tracer salvo ao final da Parte 1.

Passo 1: Refinando e Implementando o Firewall no Roteador com ACLs 🧱

Na Parte 1, iniciamos a configuração de ACLs e AAA. Agora, vamos refinar e aplicar

as ACLs para controlar o tráfego de forma mais granular. O objetivo é proteger o
servidor ERP e controlar o que os usuários das redes internas podem acessar.

1. Revisão e Ajuste da ACL de Proteção do Servidor

Vamos criar/refinar uma ACL para proteger o servidor. Esta ACL deve ser
aplicada à interface do roteador que serve de gateway para a rede do servidor
(GigabitEthernet0/0), na direção de entrada (in), para filtrar o tráfego
destinado ao servidor.

Clique no Roteador (R1-Firewall), vá para a aba "CLI":

Fragmento do código

configure terminal

! ACL para proteger o Servidor ERP

! Esta ACL permite apenas tráfego essencial para o servidor ERP
e DNS a partir das redes internas.
ip access-list extended ACL_PROTEGE_SERVIDOR
remark Permite que clientes internos (LAN1 e LAN2) acessem o
ERP via HTTP e HTTPS
permit tcp [Link] [Link] host [Link] eq 80
permit tcp [Link] [Link] host [Link] eq 443
permit tcp [Link] [Link] host [Link] eq 80
permit tcp [Link] [Link] host [Link] eq 443
remark Permite que clientes internos (LAN1 e LAN2) usem o
servidor para DNS
permit udp [Link] [Link] host [Link] eq domain
permit udp [Link] [Link] host [Link] eq domain
permit tcp [Link] [Link] host [Link] eq
domain ! DNS sobre TCP
permit tcp [Link] [Link] host [Link] eq
domain ! DNS sobre TCP
remark Permite ICMP para o servidor (ex: para ping) vindo das
redes internas
permit icmp [Link] [Link] host [Link]
permit icmp [Link] [Link] host [Link]
 remark Nega qualquer outro tráfego IP direcionado
especificamente ao servidor
deny ip any host [Link] log
remark Permite outro tráfego (ex: tráfego dos PCs da LAN1 para
a LAN2 ou para a Internet, que será filtrado por outra ACL)
permit ip any any

! Aplicar na interface GigabitEthernet0/0 (gateway da rede do

servidor e LAN cabeada)
interface GigabitEthernet0/0
ip access-group ACL_PROTEGE_SERVIDOR in
exit

Nota: A permit ip any any no final permite que o tráfego não destinado ao
servidor (ex: tráfego da LAN1 para a Internet ou para a LAN2) passe por esta
interface para ser processado por outras ACLs ou pelo NAT.

2. ACL para Controlar o Acesso dos Usuários à "Internet"

Queremos que os usuários das redes [Link]/24 (cabeada) e

[Link]/24 (Wi-Fi) acessem a "internet" apenas para serviços básicos
(HTTP, HTTPS, DNS, ICMP). Esta ACL será aplicada na interface de saída
para a internet (Loopback0 ou sua interface WAN física) na direção out.

No Roteador (R1-Firewall), CLI:

Fragmento do código

! ACL que define o que os usuários internos podem acessar na

"internet"
ip access-list extended ACL_CONTROLA_SAIDA_INTERNET
remark Permite DNS para qualquer destino (essencial para
navegação)
permit udp any any eq domain
permit tcp any any eq domain
remark Permite HTTP e HTTPS para qualquer destino
permit tcp any any eq www
permit tcp any any eq 443
remark Permite ICMP para testes (ping) - tipos comuns de saída
permit icmp any any echo
permit icmp any any time-exceeded
permit icmp any any unreachable
remark (Opcional) Permite tráfego de retorno estabelecido se
necessário (geralmente não para ACL de saída em interface NAT
outside)
! deny ip any any log (Nega e loga qualquer outro tráfego de
SAÍDA para a internet)
! Para este exercício, vamos deixar um "permit ip any any"
implícito ou explícito no final
! se quisermos ser menos restritivos inicialmente, ou usar
"deny ip any any log" para segurança máxima.
! Por padrão, se não houver "permit ip any any", tudo o mais é
negado.
! Para garantir que apenas o tráfego permitido saia:
deny ip any any log
 ! Aplicar esta ACL na interface de SAÍDA para a internet
(Loopback0 neste caso)
interface Loopback0
ip access-group ACL_CONTROLA_SAIDA_INTERNET out
exit

Passo 2: Implementando e Testando o Sistema de Login/Senha Simulado para o

ERP e Acesso à Rede 🔑

Relembrando as configurações da Parte 1:

 Servidor: Página [Link] com formulário de login. Serviço AAA

(RADIUS) com cliente RouterFirewall e usuário aluno/senha123.
 Roteador: Configuração aaa new-model, aaa authentication login
default group radius local, e radius server MeuServidorAAA.

1. Simulação de Login no ERP (Página Web):

o Acesse [Link] de um cliente. A página de
login aparece.
o Inserir qualquer dado e clicar em "Login" exibe o alerta: Login
simulado!....
o Entendendo a Simulação: Este é um login no nível da aplicação web, não
integrado diretamente com RADIUS para acesso à página no Packet
Tracer.
2. Demonstração Prática do RADIUS/AAA (Acesso ao Roteador): A
configuração AAA protege o acesso administrativo ao roteador.

No Roteador (R1-Firewall), CLI:

Fragmento do código

configure terminal

! Aplicar autenticação AAA às linhas VTY (Telnet/SSH)

line vty 0 4
login authentication default ! Usa a lista 'default' definida
no 'aaa authentication login'
transport input telnet ssh ! Habilita Telnet e SSH (configure
SSH para mais segurança)
exit

! Aplicar também à linha de console

line con 0
login authentication default
exit

Teste de Acesso ao Roteador:

o De um PC (ex: [Link]), abra "Desktop" -> "Command Prompt".

o Digite: telnet [Link] (ou o IP da interface do roteador na sua
rede).
o Deverá pedir "Username:" e "Password:". Use aluno e senha123.
 o Você deverá logar no roteador.
o No Servidor ("Services" -> "AAA"), verifique os logs RADIUS.

Passo 3: Controlando e Testando o Acesso à "Internet" (Simulada) 🌐🚦

A "internet" é o link para [Link] na página do ERP. O acesso depende de DNS,

NAT e das ACLs.

1. Verificar Configuração NAT e Rota Padrão (da Parte 1 e Passo 1 da Parte

2):
o ip nat inside nas interfaces Gi0/0 e Gi0/2.
o ip nat outside na interface Loopback0 (ou sua WAN).
o ip nat inside source list 1 interface Loopback0 overload.
o access-list 1 permitindo as redes internas.
o ip route [Link] [Link] Loopback0 (ou para o próximo salto da
WAN).
2. Testar Acesso à Internet:
o De um PC ou Laptop, acesse [Link]
o Clique no link "Acesso à Internet (Simulado)".
o Deve tentar abrir o Google. A ACL_CONTROLA_SAIDA_INTERNET aplicada
na Loopback0 out deve permitir tráfego HTTP/HTTPS e DNS.
3. Testar Bloqueios da ACL de Internet:
o A ACL_CONTROLA_SAIDA_INTERNET tem um deny ip any any log no
final. Se você tentar um serviço não permitido explicitamente (ex: FTP
para um servidor externo, se você adicionar um), ele deve ser bloqueado.

Passo 4: Testes Finais de Segurança e Funcionalidade 🚦🧪

1. Teste de Ping entre Redes e para o Servidor/Gateway:

o Confirme os pings como na Parte 1. As ACLs devem permitir os pings
internos especificados.
o ping [Link] (simulando ping para internet) de um PC. Deve funcionar
se permit icmp any any echo estiver na
ACL_CONTROLA_SAIDA_INTERNET (antes do deny all) e o NAT estiver
funcionando. A resposta (echo-reply) também precisa ser permitida de
volta.
2. Verificação do Servidor AAA:
o Após tentativas de login no roteador (via Telnet), verifique os logs no
servidor AAA.
3. Verificação de Logs de ACL:
o No roteador, use show logging para ver hits em regras com log.
o Use show ip access-lists ACL_PROTEGE_SERVIDOR e show ip
access-lists ACL_CONTROLA_SAIDA_INTERNET para ver contadores de
acerto.
Conclusão Geral (Partes 1 e 2):

Ao final destas duas partes, você construiu uma rede funcional no Cisco Packet Tracer
com duas sub-redes, serviços essenciais de servidor (HTTP/S, DNS, DHCP, AAA), e
implementou uma camada de segurança com NAT e Access Control Lists (ACLs) para
proteger o servidor e controlar o acesso à "internet" simulada. Você também configurou
e testou a autenticação AAA para acesso administrativo ao roteador.

Este ambiente fornece uma base sólida para explorar conceitos mais avançados de rede
e segurança.

Possíveis Próximos Passos (Além deste Tutorial):

 Implementar VLANs no switch para segmentar melhor as redes.

 Configurar SSH para acesso seguro ao roteador (em vez de Telnet) e desabilitar
Telnet.
 Explorar configurações mais avançadas de firewall (Zone-Based Firewall, se o
modelo de roteador no PT suportar).
 Configurar um servidor Syslog para centralizar os logs do roteador.

Espero que este documento consolidado seja útil! Salve seu progresso no Packet Tracer.