Ementa detalhada do curso Network Modelo de referncia OSI - Definindo o modelo OSI - A pilha OSI - As camadas do modelo OSI

- Como os dados se movem no modelo OSI Conjunto de protocolos TCP-IP - A pilha TCP-IP - Relao entre OSI e TCP-IP - Encapsulamento de dados na pilha TCP - Redes convergentes utilizando o IP Redes Ethernet - Camadas 1 e 2 - Relao entre OSI e IEEE - Frame Ethernet e suas variaes - Encapsulamento do Datagrama IP - Um analisador de redes tpico - Capturando trfego ARP - Address Resolution Protocol - O que o ARP? - Processo de resoluo ARP - O cach de ARP - Inverse ARP - Proxy ARP Protocolos da camada IP - A camada IP - Servios IP - MTU - Datagrama IP - Fragmentao Endereamento IP - Definindo as classes de endereos Roteamento IP - Protocolos de roteamento - Algoritmos de roteamento DHCP Dinamic Host Configuration Protocol - O que o DHCP? - Como o DHCP trabalha - Consideraes de implementaes - Trfego DHCP SNMP Simple Network Management Protocol - O que o SNMP - Estrutura de gerenciamento - Objetos de gerenciamento - A MIB - Comandos SNMP

Gerenciando trfego com listas de acesso - O que so as Access list - IP Access List - NAT e PAT Virtual LANs - O que uma Virtual LAN - Membros de uma VLAN - Trunking - ISL e 802.1Q - Roteamento entre VLAN - Entendendo e configurando o protocolo VTP Protocolo STP (Spanning tree protocol) - O protocolo IEE802.1D - Necessidade do protocolo Spanning Tree - Como o STP trabalha - Root bridge e BPDU - Caractersticas opcionais STP - Etherchannel - Port Fast - STP security - O protocolo RSTP (Rapid STP) - IEE 802.1w - Convergncia STP Lan Switches - Modelo hierrquico para projetos CISCO - Restaurao e Backup - Troubleshooting Cisco.

Modelo de referncia OSI Definindo o modelo OSI ISO foi uma das primeiras organizaes a definir formalmente uma forma comum de conectar computadores. Sua arquitetura chamada OSI (Open Systems Interconnection), Camadas OSI ou Interconexo de Sistemas Abertos. Esta arquitetura um modelo que divide as redes de computadores em sete camadas, de forma a se obter camadas de abstrao. Cada protocolo implementa uma funcionalidade assinalada a uma determinada camada. A ISO costuma trabalhar em conjunto com outra organizao, a ITU (International Telecommunications Union), publicando uma srie de especificaes de protocolos baseados na arquitetura OSI. Estas sries so conhecidas como 'X ponto', por causa do nome dos protocolos - X.25, X.500, etc. A pilha OSI

As camadas do modelo OSI e como os dados se movem no modelo OSI

1 - Camada Fsica A camada fsica define as caractersticas tcnicas dos dispositivos eltricos (fsicos) do sistema. Ela contm os equipamentos de cabeamento ou outros canais de comunicao (ver modulao) que se comunicam diretamente com o controlador da interface de rede. Preocupa-se, portanto, em permitir uma comunicao bastante simples e confivel, na maioria dos casos com controle de erros bsico: Move bits (ou bytes, conforme a unidade de transmisso) atravs de um meio de transmisso. Define as caractersticas eltricas e mecnicas do meio, taxa de transferncia dos bits, tenses etc.

Controle de acesso ao meio. Controle da quantidade e velocidade de transmisso de informaes na rede.

No funo do nvel fsico tratar problemas como erros de transmisso, esses so tratados pelas outras camadas do modelo OSI. 2 - Camada de Enlace ou Ligao de Dados A camada de ligao de dados tambm conhecida como camada de enlace ou link de dados. Esta camada detecta e, opcionalmente, corrige erros que possam acontecer no nvel fsico. responsvel pela transmisso e recepo (delimitao) de quadros e pelo controle de fluxo. Ela tambm estabelece um protocolo de comunicao entre sistemas diretamente conectados. Exemplo de protocolos nesta camada: PPP, LAPB (do X.25),NetBios. Na Rede Ethernet cada placa de rede possui um endereo fsico, que deve ser nico na rede. Em redes do padro IEEE 802, e outras no IEEE 802 como a FDDI, esta camada dividida em outras duas camadas: Controle de ligao lgica (LLC), que fornece uma interface para camada superior (rede), e controle de acesso ao meio fsico (MAC), que acessa diretamente o meio fsico e controla a transmisso de dados. Topologia de Redes Ponto-a-ponto

Anel - Token Ring

Estrela

Barramento

rvore

3 - Camada de Rede A camada de Rede responsvel pelo endereamento dos pacotes, convertendo endereos lgicos (ou IP) em endereos fsicos , de forma que os pacotes consigam chegar corretamente ao destino. Essa camada tambm determina a rota que os pacotes iro seguir para atingir o destino, baseada em fatores como condies de trfego da rede e prioridades. Essa camada usada quando a rede possui mais de um segmento e, com isso, h mais de um caminho para um pacote de dados percorrer da origem ao destino.

Funes da Camada: Encaminhamento, endereamento, interconexo de redes, tratamento de erros, fragmentao de pacotes, controle de congestionamento e sequenciamento de pacotes. Movimenta pacotes a partir de sua fonte original at seu destino atravs de um ou mais enlaces. Define como dispositivos de rede descobrem uns aos outros e como os pacotes so roteados at seu destino final.

4 - Camada de Transporte A camada de transporte responsvel por usar os dados enviados pela camada de Sesso e dividi-los em pacotes que sero transmitidos para a camada de Rede. No receptor, a camada de Transporte responsvel por pegar os pacotes recebidos da camada de Rede, remontar o dado original e assim envi-lo camada de Sesso. Isso inclui controle de fluxo, ordenao dos pacotes e a correo de erros, tipicamente enviando para o transmissor uma informao de recebimento, informando que o pacote foi recebido com sucesso. A camada de Transporte separa as camadas de nvel de aplicao (camadas 5 a 7) das camadas de nvel fsico (camadas de 1 a 3). A camada 4, Transporte, faz a ligao entre esses dois grupos e determina a classe de servio necessria como orientada a conexo e com controle de erro e servio de confirmao, sem conexes e nem confiabilidade. O objetivo final da camada de transporte proporcionar servio eficiente, confivel e de baixo custo. O hardware e/ou software dentro da camada de transporte e que faz o servio denominado entidade de transporte. A entidade de transporte comunica-se com seus usurios atravs de primitivas de servio trocadas em um ou mais TSAP, que so definidas de acordo com o tipo de servio prestado: orientado ou no conexo. Estas primitivas so transportadas pelas TPDU. Na realidade, uma entidade de transporte poderia estar simultaneamente associada a vrios TSA e NSAP. No caso de multiplexao, associada a vrios TSAP e a um NSAP e no caso de splitting, associada a um TSAP e a vrios NSAP. A ISO define o protocolo de transporte para operar em dois modos: Orientado a conexo. No-Orientado a conexo.

Como exemplo de protocolo orientado conexo, temos o TCP, e de protocolo no orientado conexo, temos o UDP. obvio que o protocolo de transporte no orientado conexo menos confivel. Ele no garante - entre outras coisas mais -, a entrega das TPDU, nem to pouco a ordenao das mesmas. Entretanto, onde o servio da camada de rede e das outras camadas inferiores bastante confivel como em redes locais -, o protocolo de transporte no orientado conexo pode ser utilizado, sem o overhead inerente a uma operao orientada conexo. O servio de transporte baseado em conexes semelhante ao servio de rede baseado em conexes. O endereamento e controle de fluxo tambm so semelhantes em ambas as camadas. Para completar,

o servio de transporte sem conexes tambm muito semelhante ao servio de rede sem conexes. Constatado os fatos acima, surge a seguinte questo: "Por que termos duas camadas e no uma apenas?". A resposta sutil, mas procede: A camada de rede parte da sub-rede de comunicaes e executada pela concessionria que fornece o servio (pelo menos para as WAN). Quando a camada de rede no fornece um servio confivel, a camada de transporte assume as responsabilidades, melhorando a qualidade do servio. 5 - Camada de Sesso A camada de Sesso permite que duas aplicaes em computadores diferentes estabeleam uma sesso de comunicao. Nesta sesso, essas aplicaes definem como ser feita a transmisso de dados e coloca marcaes nos dados que esto sendo transmitidos. Se porventura a rede falhar, os computadores reiniciam a transmisso dos dados a partir da ltima marcao recebida pelo computador receptor. Disponibiliza servios como pontos de controle peridicos a partir dos quais a comunicao pode ser restabelecida em caso de pane na rede. Abre portas (sockets) para que vrias aplicaes possam escalonar o uso da rede e aproveitar melhor o tempo de uso. Por exemplo, um browser quando for fazer o download de vrias imagens pode requisit-las juntas para que a conexo no fique ociosa em uma s imagem.

6 - Camada de Apresentao A camada de Apresentao, tambm chamada camada de Traduo, converte o formato do dado recebido pela camada de Aplicao em um formato comum a ser usado na transmisso desse dado, ou seja, um formato entendido pelo protocolo usado. Um exemplo comum a converso do padro de caracteres (cdigo de pgina) quando o dispositivo transmissor usa um padro diferente do ASCII. Pode ter outros usos, como compresso de dados e criptografia. A compresso de dados pega os dados recebidos da camada sete e os comprime-os, e a camada 6 do dispositivo receptor fica responsvel por descompactar esses dados. A transmisso dos dados torna-se mais rpida, j que haver menos dados a serem transmitidos: os dados recebidos da camada 7 foram "encolhidos" e enviados camada 5. Para aumentar a segurana, pode-se usar algum esquema de criptografia neste nvel, sendo que os dados s sero decodificados na camada 6 do dispositivo receptor. Ela trabalha transformando os dados em um formato no qual a camada de aplicao possa aceitar. 7 - Camada de Aplicao A camada de aplicao faz a interface entre o protocolo de comunicao e o aplicativo que pediu ou receber a informao atravs da rede. Por exemplo, ao solicitar a recepo de e-mails atravs do aplicativo de e-mail, este entrar em contato com a camada de Aplicao do protocolo de rede efetuando tal solicitao. Tudo nesta camada direcionado aos aplicativos. Telnet e FTP so exemplos de aplicativos de rede que existem inteiramente na camada de aplicao. Como podemos observar, o modelo de protocolo trabalha com 7 camadas para padronizar a transmisso de dados em uma rede.Essas camadas nem sempre so as mesmas que iremos encontrar nos outros protocolos, mas o processo de troca de informaes o mesmo

Conjunto de protocolos TCP-IP A pilha TCP-IP O termo "pilha" utilizado porque os protocolos de uma dada camada normalmente interagem somente com os protocolos das camadas imediatamente superior e inferior. O modelo de pilha traz a vantagem de modularizar naturalmente o software de redes, permitindo a sua expanso com novos recursos, novas tecnologias ou aperfeioamentos sobre a estrutura existente, de forma gradual. Entretanto, o Modelo OSI uma modelo conceitual, e no a arquitetura de uma implementao real de protocolos de rede. Mesmo os protocolos definidos como padro oficial pelo ISO - International Standards Organization - a entidade criadora do modelo OSI, no foram projetados e construdos segundo este modelo. Por isso, vamos utilizar nesta aula uma simplificao do modelo OSI. O importante entender o conceito de pilhas de protocolos, pelo qual cada camada realiza uma das funes necessrias para a comunicao em rede, tornando possvel a comunicao em redes de computadores utilizando vrias tecnologias diferentes. O TCP/IP foi desenhado segundo uma arquitetura de pilha, onde diversas camadas de software interagem somente com as camadas acima e abaixo. H diversas semelhanas com o modelo conceitual OSI da ISO, mas o TCP/IP anterior formalizao deste modelo e portanto possui algumas diferenas. O nome TCP/IP vem dos nomes dos protocolos mais utilizados desta pilha, o IP (Internet Protocol) e o TCP (Transmission Control Protocol). Mas a pilha TCP/IP possui ainda muitos outros protocolos, dos quais veremos apenas os mais importantes, vrios deles necessrios para que o TCP e o IP desempenhem corretamente as suas funes. Visto superficialmente, o TCP/IP possui 4 camadas, desde as aplicaes de rede at o meio fsico que carrega os sinais eltricos at o seu destino: 4. Aplicao (Servio) FTP, TELNET, LPD, HTTP, SMTP/POP3, NFS, etc. 3. Transporte 2. Rede 1. Enlace TCP, UDP IP Ethernet, PPP, SLIP

Alm das camadas propriamente ditas, temos uma srie de componentes, que realizam a interface entre as camadas: Aplicao / Transporte DNS, Sockets Rede / Enlace ARP, DHCP

Vamos apresentar agora uma descrio da funo de cada camada do TCP/IP:

1. Os protocolos de enlace tem a funo de fazer com que informaes sejam transmitidas de um computador para outro em uma mesma mdia de acesso compartilhado (tambm chamada de rede local) ou em uma ligao ponto-a-ponto (ex: modem). Nada mais do que isso. A preocupao destes protocolos permitir o uso do meio fsico que conecta os computadores na rede e fazer com que os bytes enviados por um computador cheguem a um outro computador diretamente desde que haja uma conexo direta entre eles. 2. J o protocolo de rede, o Internet Protocol (IP), responsvel por fazer com que as informaes enviadas por um computador cheguem a outros computadores mesmo que eles estejam em redes fisicamente distintas, ou seja, no existe conexo direta entre eles. Como o prprio nome (Inter-net) diz, o IP realiza a conexo entre redes. E ele quem traz a capacidade da rede TCP/IP se "reconfigurar" quando uma parte da rede est fora do ar, procurando um caminho (rota) alternativo para a comunicao. 3. Os protocolos de transporte mudam o objetivo, que era conectar dois equipamentos, para' conectar dois programas. Voc pode ter em um mesmo computador vrios programas trabalhando com a rede simultaneamente, por exemplo um browser Web e um leitor de e-mail. Da mesma forma, um mesmo computador pode estar rodando ao mesmo tempo um servidor Web e um servidor POP3. Os protocolos de transporte (UDP e TCP) atribuem a cada programa um nmero de porta, que anexado a cada pacote de modo que o TCP/IP saiba para qual programa entregar cada mensagem recebida pela rede. 4. Finalmente os protocolos de aplicao so especficos para cada programa que faz uso da rede. Desta forma existe um protocolo para a conversao entre um servidor web e um browser web (HTTP), um protocolo para a conversao entre um cliente Telnet e um servidor (daemon) Telnet, e assim em diante. Cada aplicao de rede tem o seu prprio protocolo de comunicao, que utiliza os protocolos das camadas mais baixas para poder atingir o seu destino. Pela figura acima vemos que existem dois protocolos de transporte no TCP/IP. O primeiro o UDP, um protocolo que trabalha com datagramas, que so mensagens com um comprimento mximo pr-fixado e cuja entrega no garantida. Caso a rede esteja congestionada, um datagrama pode ser perdido e o UDP no informa as aplicaes desta ocorrncia. Outra possibilidade que o congestionamento em uma rota da rede possa fazer com que os pacotes cheguem ao seu destino em uma ordem diferente daquela em que foram enviados. O UDP um protocolo que trabalha sem estabelecer conexes entre os softwares que esto se comunicando. J o TCP um protocolo orientado a conexo. Ele permite que sejam enviadas mensagens de qualquer tamanho e cuida de quebrar as mensagens em pacotes que possam ser enviados pela rede. Ele tambm cuida de rearrumar os pacotes no destino e de retransmitir qualquer pacote que seja perdido pela rede, de modo que o destino receba a mensagem original, da maneira como foi enviada. Agora, vamos aos componentes que ficam na interface entre os nveis 3 e 4 e entre os nveis 1 e 2. O Sockets uma API para a escrita de programas que trocam mensagens utilizando o TCP/IP. Ele fornece funes para testar um endereo de rede, abrir uma conexo TCP, enviar datagramas UDP e esperar por mensagens da rede. O Winsockets, utilizado para aplicaes Internet em Windows nada mais do que uma pequena variao desta API para acomodar limitaes do Windows 3.1. No Windows NT e Win95 pode ser usada a API original sem problemas. O Domain Name Service (DNS), que ser visto com maiores detalhes mais adiante, fornece os nomes lgicos da Internet como um todo ou de qualquer rede TCP/IP isolada.

Temos ainda o ARP realiza o mapeamento entre os endereos TCP/IP e os endereos Ethernet, de modo que os pacotes possam atingir o seu destino em uma rede local (lembrem-se, no final das contas quem entrega o pacote na rede local o Ethernet, no o TCP ou o IP). Por fim, o DHCP permite a configurao automtica de um computador ou outro dispositivo conectado a uma rede TCP/IP, em vez de configurarmos cada computador manualmente. Mas, para entender o porque da necessidade do DHCP, temos que entender um pouco mais do funcionamento e da configurao de uma rede TCP/IP.

Comparao entre OSI e TCP/IP A figura a seguir mostra uma comparao entre o modelo de camadas OSI e o TCP/IP

No modelo TCP/IP, no se representou os nveis 5 e 6, e na realidade eles no so muito usados atualmente. A famlia de protocolos TCP/IP foi pioneira na utilizao do conceito de nveis,formando uma arquitetura estruturada, racional e simples, fcil de modificar. Posteriormente, a ISO adotou esses conceitos para criar o modelo OSI. Crtica aos modelos A falta de adeso ao modelo OSI pode ser resumida nos quatro itens abaixo. Momento Ruim: apocalipse dos dois elefantes: pesquisa + padronizao + investimento pela indstria. Quando os padres OSI foram lanados, a indstria j tinha investido no TCP/IP, e no queria investir novamente em outra pilha de protocolos; Tecnologia Ruim: camada de sesso com pouco uso, e camada de apresentao quase vazia. Em oposio, as camadas de enlace e rede extremamente cheias, a ponto de ter que dividi-las em subcamadas (SNA da IBM possua sete camadas...). Alm disso, empilhando os padres chega-se bem a meio metro de altura, sendo grandemente complexos para implementar. Em termos de controle de erros, eles reaparecem a cada camada, tornando ineficiente o sistema (o controle de erros deve aparecer sempre na camada mais alta, evitando-se repeties nas camadas inferiores).

 Implementao Ruim: Devido complexidade do modelo, as implementaes OSI vieram repletas de bugs, e o mercado comeou a associar OSI com baixa qualidade. Poltica Ruim: TCP/IP ficou associado a Unix, sendo adorado no meio acadmico de 1980. O OSI, entretanto, parecia um padro a ser enfiado goela abaixo pelos burocratas europeus. Quanto ao modelo TCP/IP, tambm existem problemas. Ele no consegue descrever outras pilhas de protocolos (s TCP/IP), e alm disso coloca os nveis de enlace e fsico na mesma camada (Inter-redes). Isso faz com que o modelo TCP/IP no seja o melhor para estruturar novas redes. Est sugerido um modelo hbrido, com 5 camadas, que retira o excesso do modelo OSI e melhora o modelo TCP/IP, como mostra a figura a seguir.

Encapsulamento de dados na pilha TCP Transmission Control Protocol (TCP) O Transmission Control Protocol (TCP) um protocolo orientado a TCP/IP conexo e confivel. A transmisso de dados atravs de uma conexo, ou stream, se d atravs de segmentos. De forma similar ao pacote UDP, cada segmento carrega informaes sobre as aplicaes origem e destino (ports).

Para garantir a confiabilidade, o TCP faz uso de uma tcnica chamada Positive Acknowledgement with Re-transmission (PAR), que simplesmente retransmite um segmento caso seu recebimento no seja confirmado pelo destinatrio. Alm disso, cada segmento contm um checksum que utilizado para determinar a integridade dos dados. Quando o destinatrio recebe um segmento com checksum vlido, ele envia um pacote de confirmao (positive acknowledgement) ao remetente. Se um segmento recebido apresenta erros, ele simplesmente descartado. O remetente aguarda a confirmao do segmento por um determinado tempo, aps o qual ele o retransmite. A caracterstica de orientao a conexo advm de uma negociao (handshake) entre as extremidades envolvidas para estabelecer um

canal lgico de comunicao. Esta negociao feita em trs etapas, como ilustra a figura 5.3. Primeiramente, o host interessado em estabelecer a conexo (A) envia um segmento com o bit Synchronize Sequence Numbers (SYN) do campo Flags setado e com o nmero de ordem do primeiro segmento a ser transmitido no campo Sequence Number. O segundo host envolvido na conexo (B) responde ento com um segmento que tem os bits SYN e Acknowledgement (ACK) do campo Flags setados e com o nmero de ordem do primeiro segmento a ser transmitido no campo Sequence Number. Neste ponto, o host A envia um segmento com o bit ACK setado para confirmar o nmero de seqncia indicado pelo host B e comea a transmitir dados. O encerramento de uma conexo se d de forma similar ao estabelecimento, sendo que em vez do bit SYN, o bit Finish (FIN) setado.

Embora o protocolo TCP seja orientado a conexo, ele implementado sobre o servio de datagrama da camada internet. Portanto, alguma estratgia deve ser adotada para garantir que os segmentos cheguem em ordem aplicao destinatria, mesmo que seus datagramas cheguem ao host destino fora de ordem. Para garantir esta ordenao existem dois campos no cabealho TCP: Sequence Number e Acknowledgement Number. Cada extremidade conhece o nmero de seqncia inicial do parceiro durante a negociao da conexo, o que permite a reordenao dos fragmentos medida em que vo chegando. Nmeros de seqncia identificam a ordem do primeiro byte do segmento dentro do stream. O campo Acknowledgement Number tem duas funes: confirmao do recebimento de segmentos e controle de fluxo. Este campo diz ao remetente quantos bytes do stream j foram e quantos ainda podem ser recebidos. O Acknowledgement Number o nmero de seqncia do prximo byte esperado pelo destinatrio, ou seja, ele pode confirmar de uma s vez o recebimento de vrios segmentos. Enquanto os segmentos vo sendo recebidos e ordenados, eles devem residir em buffers na camada de transporte. Estes buffers so limitados, logo mecanismos de controle de fluxo se fazem necessrios. O campo Window do cabealho TCP informa ao parceiro quantos bytes ainda podem ser recebidos. Ou seja, o emissrio pode enviar segmentos at a quantidade mxima especificada pelo destinatrio. Quando este limite atingido, o emissrio deve aguardar pela confirmao do recebimento (ACK). O tamanho da janela de transmisso pode ser alterado dinamicamente para controlar o fluxo de dados na conexo. A figura 5.4 exemplifica este mecanismo atravs de um stream que tem nmero de seqncia inicial (campo ISN - Initial Sequence Number) igual a 0. O destinatrio j recebeu e confirmou 2000 bytes, logo o nmero de seqncia de confirmao (campo Acknowledgement Number) 2000. Alm disso, o destinatrio anunciou, atravs do campo Window, um buffer de recepo capaz de conter 6000 bytes. O emissrio est enviando um segmento de 1000 bytes com nmero de seqncia (campo Sequence Number) igual a 4001. O emissrio no recebeu confirmao dos dados a partir da ordem 2001, mas continua enviando segmentos at o limite da janela de transmisso, ou seja, 6000 bytes. Se o emissrio completar a janela sem ter recebido uma confirmao, ele, aps um tempo predeterminado, comear a retransmitir os segmentos a partir do byte 2001.

Redes convergentes utilizando o IP A indstria de telecomunicaes procura, h alguns anos, orientar sua tecnologia de maneira a tornar os operadores competitivos em um ambiente caracterizado pela concorrncia e aumento da desregulamentao. As redes de comunicao convergentes, com interfaces abertas e capacidade para transmitir voz, dados, imagens, som e vdeo, exploram plenamente as tecnologias de ponta para oferecer servios sofisticados e aumentar as receitas dos operadores, reduzindo despesas de investimentos e custos de operao. A principal diferena entre as redes convergentes e as redes tradicionais de comutao por circuitos est na estrutura de transmisso por pacotes utilizada no protocolo Internet (IP) e adotada nessas novas redes. Os terminais encaminham pacotes de dados, em formato IP, para um ponto concentrador, de onde passam a circular pela rede at encontrar o endereo IP de destino. Basicamente, o mesmo procedimento hoje em uso na Internet. A principal mudana a ser feita na estrutura das operadoras para oferecer servios convergentes, refere-se transmisso de voz. Para que possam trafegar nas novas redes, os sinais de voz precisam ser transformados em pacotes, que se misturam aos pacotes de dados e imagens durante o transporte. Essa funo realizada por gateways de voz, que so instalados na camada de transporte da rede, onde tambm esto os roteadores e toda a infra-estrutura fsica da operadora. O uso de interfaces e protocolos abertos e padronizados uma das grandes vantagens das redes convergentes. Alm disso, a sua arquitetura dispensa algumas estruturas convencionais, como as centrais de trnsito. De modo geral, os provedores dividem a arquitetura das redes convergentes em pelo menos trs camadas bsicas: infra-estrutura de transporte e acesso, controle de chamadas e servios. Na primeira, esto as unidades de acesso de assinantes, como telefones IP e access gateways (uma espcie de armrio multiprotocolo que faz a interface entre a rede IP e os diferentes tipos de conexo do usurio, como circuito de voz, linha ADSL etc.), alm de comutadores, roteadores e media gateways, que transformam sinais de voz da rede convencional em pacotes. A camada de controle de chamadas a responsvel pelo encaminhamento, superviso e liberao das ligaes que trafegam pela rede IP (ou ATM). uma parte estratgica, onde fica o elemento responsvel pela inteligncia das redes: o softswitch, ou media gateway controller. Considerada o grande diferencial e o atrativo das redes convergentes, a camada de servios formada pelos softwares que vo permitir s operadoras oferecer novos e mltiplos servios aos usurios. As redes convergentes tm introduzido uma nova organizao no tocante, principalmente, aos planos de transporte e de controle. Para explorar esse conceito, preciso desenvolver diferentes aplicaes ou enriquecer as existentes. Elas vo trazer a coerncia necessria entre as aplicaes tradicionais, do mundo da telefonia, e as do mundo de dados, graas utilizao de um plano de transporte fundamentado sobre o IP e separao das camadas de transporte, controle e aplicao. De outra forma, a cooperao entre estes dois mundos vai sem dvida harmonizar as funcionalidades de ligao de um ao outro mundo, como as mensagens textuais, as mensagens vocais, a localizao geogrfica ou a presena. Enfim, essa harmonizao permite s aplicaes existentes ou s novas aplicaes tirar partido das funcionalidades desses dois mundos. A evoluo de uma rede existente em direo a essa nova estrutura necessitar de uma estratgia de migrao progressiva, visando uma reduo ao mnimo

das despesas de investimentos durante a fase de transio e se beneficiando das vantagens que ela apresenta. Toda iniciativa empreendida, quando dessa etapa de transio, dever simplificar a evoluo da rede em direo arquitetura convergente e comutao de pacotes. Durante vrios anos ainda, os servios de comutao tradicional vo coexistir com os elementos de rede da nova tecnologia.

Redes Ethernet Frame Ethernet e suas variaes Podemos dizer que a funo de qualquer rede simplesmente transportar informaes de um ponto a outro. Pode ser entre dois micros ligados atravs de um simples cabo cross-over, ou pode ser entre dois servidores situados em dois continentes diferentes. Do ponto de vista do sistema operacional e dos aplicativos, no faz muita diferena. No nvel mais baixo temos os cabos de rede, que so enquadrados no primeiro nvel do modelo OSI (camada fsica) e se destinam unicamente a transportar os impulsos eltricos de um micro a outro. Ao utilizar uma rede wireless ou cabos de fibra ptica, os sinais so transmitidos (respectivamente) na forma de sinais de rdio ou luz, mas a funo bsica (transportar dados de um ponto a outro) continua a mesma, independentemente da mdia utilizada. Em seguida temos os switches ou hub-switches que utilizamos para interligar os micros da rede local. Na verdade, o termo "hub-switch" foi inventado pelos fabricantes para diferenciar os switches mais baratos, que carecem de funes mais avanadas dos switches "de verdade", que possuem mais portas e incluem interfaces de administrao elaboradas. O termo "switch" est mais relacionado ao modo de funcionamento do aparelho e no ao seu custo ou funes. Um switch capaz de encaminhar os frames Ethernet para o destinatrio correto, fechando "circuitos" entre as duas portas envolvidas, enquanto um hub antigo simplesmente repete os sinais recebidos em todas as portas. Assim como as placas de rede, os switches trabalham no nvel 2 do modelo OSI (link de dados), enviando frames Ethernet e endereando os outros dispositivos da rede usando endereos MAC ao invs de endereos IP. S para efeito de comparao, os hubs "burros" trabalham no nvel 1, assim como os cabos de rede. Eles so meros dispositivos de transmisso, que no realizam processamento. Os frames Ethernet so "envelopes" para os pacotes TCP/IP. O aplicativo (um navegador, um servidor web, ou qualquer outro aplicativo transmitindo dados pela rede) envia os dados ao sistema operacional, que divide o stream em pacotes TCP/IP e os envia placa de rede. As placas de rede (que no entendem o protocolo TCP/IP) tratam os pacotes como um fluxo de dados qualquer e adicionam mais uma camada de endereamento, desta vez baseada nos endereos MAC dos dispositivos da rede, gerando o frame Ethernet que finalmente transmitido. Ao chegar do outro lado, o "envelope" removido e o pacote TCP/IP entregue. O uso dos frames adiciona alguns bytes adicionais a cada pacote transmitido, reduzindo sutilmente o desempenho da rede. Veja o diagrama de um frame Ethernet:

A transmisso de cada frame comea com o envio de 8 bytes, contendo um prembulo e uma sequncia de inicializao. Ele serve para avisar outros micros da rede de que uma transmisso est prestes a comear. Estes 8 bytes iniciais no fazem parte do frame e so descartados pelas placas de rede depois de recebidos, por isso no aparecem no relatrio mostrado por sniffers de rede, como o wireshark.

O pacote TCP/IP includo dentro do campo de dados, que pode incluir at 1500 bytes por frame. Pacotes maiores do que este valor precisam ser divididos em fragmentos com at 1500 bytes e enviados usando vrios frames. Junto com os dados transmitido o cabealho do frame (14 bytes no total), que inclui o endereo MAC de destino, endereo MAC de origem e um campo para o tipo de dados e mais 4 bytes finais, que contm cdigos de CRC, usados (pelas placas de rede) para verificar a integridade do frame recebido. Este cabealho tambm chamado de "MAC Header". Ao receber cada frame, a placa de rede usa os 4 bytes (32 bits) de CRC para verificar a integridade do frame recebido e, caso ele esteja corrompido ou incompleto, ela o descarta e solicita sua retransmisso. Dentro do pacote TCP/IP temos novos headers, que contm o endereo IP de origem, endereo IP de destino, porta de origem, porta de destino, cdigos de verificaes, nmero do pacote, campo para incluso de opes e assim por diante. No total, temos 20 bytes para os headers do protocolo TCP e mais 20 bytes para os headers do protocolo IP, totalizando 40 bytes de headers por pacote. Desta forma, temos 1460 bytes de dados em um pacote de 1500 bytes e 536 bytes de dados em um pacote de 576 bytes:

primeira vista, pode parecer estranho que sejam includos headers separados para o TCP e o IP, mas a verdade que os dois so complementares e por isso no podem ser dissociados. por isso que usamos o termo "TCP/IP", como se os dois protocolos fossem uma coisa s. Os headers do protocolo IP incluem o endereo IP de origem e de destino, enquanto os headers do TCP incluem a porta de origem e de destino, por exemplo. Em resumo, podemos dizer que o IP se encarrega da entrega dos pacotes, enquanto o TCP se encarrega da verificao de erros, numerao de portas e tudo mais. Como vimos anteriormente, o TCP/IP permite o uso de pacotes com at 64 kbytes, mas o tamanho de pacote mais usado de 1500 bytes, que equivalem ao volume de dados que podem ser transmitidos em um nico frame Ethernet. Em um pacote de 1500 bytes, temos at 1460 bytes de dados e 40 bytes referentes aos headers IP e TCP. Arquivos e outros tipos de informaes so transmitidas na forma de sequncias de vrios pacotes. Um arquivo de 15 KB, por exemplo, seria dividido em um total de 11 pacotes; os 10 primeiros contendo 1460 bytes cada um e o ltimo contendo os ltimos 760 bytes. graas aos cdigos de verificao e numerao dos pacotes que arquivos grandes podem ser transmitidos de forma ntegra mesmo atravs de conexes via modem ou links wireless, onde diversos pacotes so corrompidos ou perdidos. Basta retransmitir os pacotes extraviados ou danificados quantas vezes for necessrio. :) O tamanho dos pacotes pode variar tambm de acordo com o meio de transmisso usado. No ADSL PPPoE, por exemplo, so utilizados pacotes de 1492 bytes, pois o protocolo usado demanda o uso de 8 bytes adicionais para o header. Nas conexes discadas, onde a conexo mais lenta e a perda de pacotes mais comum, so geralmente utilizados pacotes de apenas 576 bytes. Existem ainda casos de pacotes maiores, utilizados em situaes especficas. Dentro da rede local, temos um total de 1518 bytes transmitidos para cada pacote TCP/IP de 1500 bytes, incluindo os 14 bytes do header e os 4 bytes de CRC. Se formos incluir tambm os 8 bytes iniciais, que contm o prembulo e a sequncia de inicializao, o nmero sobe para 1526 bytes. Considerando que cada pacote contm apenas 1460 bytes de dados, temos 66 bytes de overhead no total, o que corresponde a quase 5% do volume de dados transmitidos. Em uma rede local, que trabalha a 100 ou 1000 megabits, isso no faz muita diferena, mas na Internet isso seria um grande desperdcio. Por isso, os roteadores se encarregam de eliminar estas informaes desnecessrias, retransmitindo apenas os pacotes TCP/IP propriamente ditos. por isso que no possvel criar regras de firewall baseadas em endereos MAC para pacotes vindos da Internet: os

endereos MAC fazem parte das informaes includas no frame Ethernet, que so descartadas pelos roteadores. Por trabalharem diretamente com endereos IP, os roteadores so enquadrados na camada 3 do modelo OSI (camada de rede). Basicamente, so roteadores que cuidam de todo o trafego de dados na Internet. Voc pode utilizar um hub ou switch dentro da sua rede local, mas ao acessar a Internet voc sempre utiliza um roteador, seja um roteador Cisco de grande porte, seja um modem ADSL ou um micro com duas placas de rede compartilhando a conexo. Relao entre OSI e IEEE Anlise dos padres IEEE 802 O padro IEEE (leia-se I3E) 802 trata-se de um conjunto de padres desenvolvidos pelo IEEE (Instituto de Engenheiros Eletricistas e Eletrnicos) para definir mtodos de acesso e controle para redes locais (LANs) e metropolitanas (MANs). A srie 802 no foi a nica srie de padres de protocolos criadas pelo IEEE, porm a mais importante. O nome dado a srie refere-se ao ano e ms de seu inicio (fevereiro de 80). Os protocolos IEEE 802 correspondem camada fsica e camada Enlace de dados do modelo ISO/OSI, largamente adotado na interconexo de sistemas abertos, porm dividem a camada de enlace em duas subcamadas, conforme ilustrado na figura 1.

Figura 1 Relao das camadas OSI e camadas IEEE 802

Camada LLC do padro 802 A camada LLC especifica os mecanismos para endereamento e conexes das estaes conectadas ao meio, a gerao de quadros e mensagens, controla a troca de dados entre os usurios da rede e tambm controla os erros. Esta subcamada define os service access points (SAPs). O protocolo HDLC (high-level data link control) a base para operao e formato deste padro. A camada LLC estabelece trs tipos de servios: 1 sem conexo e sem reconhecimento; 2 com conexo; 3 com reconhecimento e sem conexo. O padro IEEE 802.2 especifica o funcionamento desta camada, os demais padres operam na camada de Controle de Acesso ao Meio (MAC) e na camada Fsica como veremos adiante. Camada MAC do padro 802 A camada MAC difere conforme o padro IEEE 802 utilizado e permite que os dispositivos compartilhem a capacidade de transmisso de uma rede. Tambm tem controle do acesso ao meio de transmisso e deteco de colises. Esta subcamada mantm uma tabela dos endereos fsicos dos dispositivos.

Cada dispositivo ser atribudo e dever ter um endereo MAC exclusivo se o dispositivo for participar da rede. Camada Fsica do padro 802 Composta pelos meios fsicos para a transmisso dos dados, que podem ser Fios, Fibra ou Sem Fio. A IEEE 802 apresenta vrias opes de MAC, associadas a vrios meios fsicos, como:

Relao das normas IEEE 802 A relao das normas IEEE 802, com uma breve explanao de cada uma, apresentada a seguir. - 802.1b : Gerncia de Rede. LAN/MAN Managment; - 802.1k : Gerncia de Rede. LAN/MAN Managment; - 802.1d : Media Access Control (MAC) Bridges; - 802.1e : System Load Protocol; - 802.1f : Definies e procdimentos comuns para a informao de gerncia do IEEE 802; - 802.1g : Remote Media Access Control (MAC) Bridging; - 802.1h : Prtica recomendada para Controle de Acesso ao Meio, com ponte, do Ethernet V2.0 no IEEE 802 LAN; - 802.1q : Padro para provimento de capacidade de LAN virtual em uma rede, usada em cojunto com protocolos de LAN do IEEE, como Ethernet e Token Ring; - 802.1p : Padro para fluxo com priorizao por tempo crtico e filtragem de trfego multicast, para conter o trfego na camada 2 das redes. O cabealho 802.1p inclui trs bits para priorizao, permitindo oito nveis de prioridade a ser estabelecido; - 802.2 : Atua no LLC. Padro de enlace de dados demarcando como a conectividade bsica de dados sobre cabo dever ser feita. Usado com os padres IEEE 802.3, 802.4 e 802.5; - 802.3 : CSMA/CD, especifica a sintaxe e semntica MAC e tambm a camada Fsica; - 802.4 : Especificaes do mtodo de acesso Token Bus da camada fsica; - 802.5 : Especificaes do mtodo de acesso Token Ring da camada fsica; - 802.6 : Especificaes do mtodo de acesso Dual Bus e de fila distribuda da camada fsica; - 802.7 : MANs de Banda larga; - 802.8 : Fibra ptica; - 802.9 : Integrao de Redes Locais; - 802.10 : Protocolo para provimento de segurana em uma MAN. Uma variante do 802.10 tem sido usado algumas vezes para prover servio de LAN virtual em uma rede, embora isto esteja sendo substituido pelo 802.1q; - 802.11 : Tambm chamado de Wi-Fi define os padres para funcionamento de redes sem fios por meio de radiofrequencia. Sua arquitetura foi criada para funcionar como link final entre o usurio, sem fio, e a rede, com fios, cabos, switches, roteadores etc. O acesso Wi-Fi (Wireless 802.11) est se tornando cada vez mais comum e atualmente j existem pontos de acesso Wi-Fi pblicos, que so chamados de HotSpots. Trabalha com frequencia de 2,4 GHz, taxas de transmisso de 1 ou 2 Mbps e usa FHSS ou DSSS. Wireless LAN Medium Access Control (MAC) Sublayer and Physical Layer Specifications. LANs sem fios; - 802.11a : Frequencia de 5 GHz e taxa de 54 Mbps. Este padro no foi muito bem aceito no mercado pois no compatvel com os padres 802.11b e b+; - 802.11b : Taxas de transmisso de 11 e 5,5 Mbps; - 802.11b+ : Taxas de transmisso de 22 Mbps; - 802.11g : Frequencia de 2,4 GHz e taxas de transmisso de 54 Mbps; - 802.11g+ : Frequencia de 2,4 GHz e taxas de transmisso de 108 Mbps; - 802.12 : Especifica a prioridade de demanda MAC e Fsica; - 802.15 : Especificaes Wireless para camadas MAC e Fsica. Bluetooth entre outros;

- 802.16 : Interface padro para faixas Broadband fixas de sistemas de acesso Wireless. WiMax; - 802.17 : Especificaes do mtodo de acesso do pacote do anel resilient e da camada fsica; - 802.20 : Mobile Wireless Access. Mobile-Fi. Encapsulamento do Datagrama IP Formato do Cabealho do IPv4 + 0 32 64 96 0-3 Verso 4-7 8 - 15 16 - 18 19 - 31 Tamanho do Tipo de Servio (ToS) Comprimento cabealho (agora DiffServ e ECN) (pacote) Flags Offset

Identificador Tempo de Vida (TTL) Protocolo Endereo origem

Checksum

128 Endereo destino 160 Opes 192 Dados O primeiro campo do header (ou cabealho) de um datagrama IPv4 o campo de version (ou verso) de 4 bits. O segundo campo, de 4 bits, o IHL (acrnimo para Internet Header Length, ou seja, Comprimento do Cabealho da Internet) com o nmero de words de 32 bits no cabealho IPv4. Como o cabealho IPv4 pode conter um nmero varivel de opes, este campo essencialmente especifica o offset para a poro de dados de um datagrama IPv4. Um cabealho mnimo tem 20 bytes de comprimento, logo o valor mnimo em decimal no campo IHL seria 5. No RFC791, os 8 bits seguintes so alocados para um campo tipo de Servio (ToS) agora DiffServ e ECN. A inteno original era para um host especificar uma preferncia para como os datagramas poderiam ser manuseados assim que circulariam pela rede. Por exemplo, um host pode definir o campo de valores do seu ToS dos datagramas IPv4 para preferir pequeno desfasamento de tempo (ou "delay"), enquanto que outros podem preferir alta fiabilidade. Na prtica, o campo ToS no foi largamente implementado. Contudo, trabalho experimental, de pesquisa e desenvolvimento se focou em como fazer uso destes oito bits. Estes bits tm sido redefinidos e mais recentemente atravs do grupo de trabalho do DiffServ na IETF e pelos pontos de cdigo do Explicit Congestion Notification (ECN) codepoints (ver RFC 3168). O campo de 16 bits seguinte do IPv4 define todo o tamanho do datagrama, incluindo cabealho e dados, em bytes de 8 bits. O datagrama de tamanho mnimo de 20 bytes e o mximo 65535. O tamanho mximo do datagrama que qualquer host requer para estar apto para manusear so 576 bytes, mas os hosts mais modernos manuseiam pacotes bem maiores. Por vezes, assubredes impem restries no tamanho, em cada caso os datagramas tm que ser fragmentados. A fragmentao manuseada quer no host quer no switch de pacotes no IPv4, e apenas no host no caso do IPv6. O campo seguinte de 16 bits um campo de identificao. Este campo usado principalmente para identificar fragmentos identificativos do datagrama IP original. Alguns trabalhos experimentais sugerem usar o campo IP para outros propsitos, tais como adicionar pacotes para levar a informao para datagrama, de forma a que ajude a pesquisar datagramas para trs com endereos fonte falsificados. O campo de 3 bits que segue usado para controlar ou identificar fragmentos. O campo offset do fragmento tem 13 bits, e permite que um receptor determine o stio de um fragmento em particular no datagrama IP original. Um campo de 8 bits, o TTL (time to live, ou seja, tempo para viver) ajuda a prevenir que os datagramas persistam (ex. andando aos crculos) numa rede. Historicamente, o campo TTL limita a vida de um datagrama em segundos, mas tornou-se num campo de contagem de hops. Cada switch de pacotes (ou

router) que um datagrama atravessa decrementa o campo TTL em um valor. Quando o campo TTL chega a zero, o pacote no seguido por um switch de pacotes e descartado. Um campo de Protocolo de 8 bits segue-se. Este campo define o protocolo seguinte usado numa poro de dados de um datagrrama IP. A Internat Assigned Number Authority mantm uma lista de nmeros de protocolos. Os protocolos comuns e os seus valores decimais incluem o Protocolo ICMP ( Internet control message protocol, ou seja, Protocolo de controlo de mensagens da Internet) (1), o Protocolo TCP (Transmission Control Protocol, ou seja, Protocolo de controlo de transmisso) (17). O campo seguinte um campo de verificao (checksum) para o cabealho do datagrama IPv4. Um pacote em trnsito alterado por cada router (hop) que atravesse. Um desses routers pode comprometer o pacote, e o checksum uma simples forma de detectar a consistncia do cabealho. Este valor ajustado ao longo do caminho e verificado a cada novo hop. Envolve apenas verificao do cabealho (no dos dados). Encapsulamento IP: O endereo de origem no cabealho IP ir indicar a quem dever ser enviada a resposta do protocolo encapsulado, neste caso o TCP. A seguir ao campo de verificao, seguem-se os endereo de origem e de destino, de 32 bits cada um. Note que os endereos IPV6 de origem e destino so de 128 bits cada. Campos do cabealho adicionais (chamados de options, opes) podem seguir o campo do endereo de destino, mas estes no so normalmente usados. Os campos de opo podem ser seguidos de um campo de caminho que assegura que os dados do utilizador so so alinhados numa fronteira de words de 32 bits. (No IPv6, as opes movem-se fora do cabealho standard e so especificados pelo campo Next Protocol, semelhante funo do campo "Protocolo" no IPv4.) Um analisador de redes tpico Estas ferramentas configuram as interfaces em modo PROMISCUO e especialmente em interfaces de rdio pode causar interrupo do trafego normal. O modo PROMISCUO pode ficar ativado, inclusive depois ter fechado o aplicativo, causando interrupo de trafego normal por este motivo. Por segurana sempre reinicie o servidor aps uso destas ferramentas As ferramentas descritas aqui facilitam o servio do suporte. Para poder entender os resultados destes aplicativos devemos acostumar com: IP e MAC Protocolo e portas TCP/IP IP destino e origem Capturando trfego Cisco IOS (verso 12.4) Poder haver alguma divergncia nas verses anteriores, use a ? para checar. O comando no CiscoIOS chama-se monitor session Para gerar o comando entre no modo de configurao global 1. # conf t 2. (config)# monitor session 1 source interface fastEthernet 2/42 both 3. (config)# monitor session 1 destination inter fastEthernet 2/30 O que isso acima significa ? Monitor Session 1 - Ativa a sesso de monitoramento nmero 1. Source interfas fastEthernet 2/42 both - A origem do trfego (source) a ser espelhado o modulo 2 da porta 42 fastethernet, sendo o trfego tanto de RX como TX (both)

destination interfas fastEthernet 2/30 Trafgo da porta 2/42 ser enviado (destination) para fastethernet 2/30. Note que no existe foi especificado o comando both pois ele s receber o trafego marcado no source. Ao conectar uma maquina na porta 2/30 (que receber o trfego da porta 2/41), ative um Sniffer e capture todo o trfego da porta especificada. Voc poder especificar vrias portas para espelhar ao mesmo tempo, mas lembre-se de que sua porta de destino dever ter um Throughput suficiente para agentar receber todo o trfego capturado. Utilize interfaces gigabit como destino, caso voc capture mais de uma interface FastEthernet que esteja sendo muito utilizada.

ARP - Address Resolution Protocol O que o ARP? O Address Resolution Protocol (ARP) um protocolo para mapear um endereo IP de um endereo de uma mquina fsica (MAC) que reconhecida na rede local. Por exemplo, um IP verso 4 (IPv4), o tipo de IP mais comumente usado hoje em dia, um endereo IP tem 32 bits de tamanho. Em uma rede local Ethernet, entretanto, os endereos de dispositivos conectados possuem 48 bits de tamanho. Para aumentar a eficincia da rede e no engargalar a conexo realizando o broadcast do ARP, cada computador mantm uma tabela de endereos IP e endereos Ethernet na memria. Isto chamado de cache ARP. Antes de enviar um broadcast para toda a rede, o computador transmissor verificar se a informao existe em seu cache ARP. Se existir, ele completar os dados Ethernet sem enviar um broadcast ARP e evitando de engargalar a conexo. Cada entrada dura normalmente 20 minutos (mas depende do sistema operacional). A RFC 1122 especifica que possvel configurar o valor do tempo de expirao do cache ARP no host. Para examinar o cache em um computador com Windows, UNIX ou Linux, digite "arp -a" no console ou prompt de comando. O ARP prov as regras do protocolo realizando esta correlao e possibilitando a converso de endereos em ambas as direes. Para resolver o problema do mapeamento de endereos lgicos em endereos fsicos quando do uso de IP sobre redes ethernet, mas no restrito a apenas estes dois protocolos, o ARP foi proposto (e aceito) na internet atravs da RFC826. Sua operao segue o seguinte princpio: Quando a mquina A quer falar com a mquina B e no sabe seu endereo fsico, envia um pacote ARP em modo broadcast pedindo informaes. Todas as mquinas em operao na rede recebem o pedido. A mquina B reconhece que o endereo pedido o seu e responde, informando qual o seu endereo fsico. Na operao de resposta, o pacote copiado, preenchido com a informao desejada e devolvido. Como o endereo fsico do requisitante est presente na informao, no h problemas no envio. ARP Cache Se para cada vez que fosse necessrio enviar um datagrama IP fosse necessrio usar uma sequncia de ARP, a rede ficaria absurdamente carregada. Em vez disso, mantm-se em memria uma lista dos ltimos endereos descobertos. Depois de algum tempo o endereo no ARP Cache removido, independentemente de estar sendo usado ou no. o que se chama de Aging. Otimizando o processamento do ARP Algumas operaes simples podem melhorar significativamente o aproveitamento da rede com relao a pacotes ARP:

Como o pedido de ARP inclui os endereos lgico e fsico do requisitante, a mquina que responde pode imediatamente guardar esta informao em seu ARP Cache, pois provavelmente precisar dela em breve. Como o pedido enviado em broadcast, todas as que recebem o pacote podem aproveitar o tempo que dispenderam para analisar a informao guardando-a no seu Cache. Assim, se em algum momento for necessrio falar com aquele host, a informao j estar presente. Isso bastante vivel pois as tabelas de ARP no so muito grandes, em geral. Assim que uma mquina inicializada na rede, esta pode gerar um ARP broadcast anunciando seu endereo para as outras, adiantando o processo de deteco, e consequentemente, a comunicao. Isso s vantajoso se a comunicao for iniciada pelo host remoto, pois em caso contrrio, de qualquer forma, ser necessrio um ARP para pedir o endereo remoto.

Inverse ARP Reverse Address Resolution Protocol (RARP) ou Protocolo de Resoluo Reversa de Endereos associa um endereo MAC conhecido a um endereo IP. Permite que os dispositivos de rede encapsulem os dados antes de envi-los rede. Um dispositivo de rede, como uma estao de trabalho sem disco, por exemplo, pode conhecer seu endereo MAC, mas no seu endereo IP. O RARP permite que o dispositivo faa uma solicitao para saber seu endereo IP. Os dispositivos que usam o RARP exigem que haja um servidor RARP presente na rede para responder s solicitaes RARP. Proxy ARP O Proxy-arp um mtodo onde um determinado host, que pode ser um router ou firewall por exemplo, responde um arp request em nome de outro host. Este protocolo (RFC-1027) foi desenvolvido no final dos anos 80 pelo Departamento de Cincias da Computao da Universidade do Texas em Austin por necessidade deste em segmentar sua rede de computadores. Porm, naquela poca, nem todos os devices de rede podiam ter seus endereos de redes subnetados, ou seja, um endereo classe A no poderia ser dividido em duas, trs, doze, etc ... redes diferentes pois o dispositivo somente reconhecia a classe de seu IP. Com o mtodo de Proxy-ARP, foi possvel que com um endereo de classe A configurado em diversos hosts com mscara padro para esta classe fossem segmentados por routers ou firewalls que tivessem o mtodo de Proxy-ARP implementado. Como exemplo de seu funcionamento, temos a topologia abaixo, onde o device Router possui o proxy-arp habilitado com o comando ip proxy arp na interface Ethernet0. Este comando habilitado por default em devices Cisco, e recomendado que esteja sempre desabilitado caso seu uso no seja necessrio. Protocolos da camada IP A camada IP MTU Em redes de computadores, MTU o acrnimo para a expresso inglesa Maximum Transmission Unit, que em portugus significa Unidade Mxima de Transmisso, e refere-se ao tamanho do maior datagrama que uma camada de um protocolo de comunicao pode transmitir. O protocolo IP permite a fragmentao de pacotes, possibilitando que um datagrama seja dividido em pedaos, cada um pequeno o suficiente para poder ser transmitido por uma conexo com o MTU menor que o datagrama original. Esta fragmentao acontece na camada IP (camada 3 do modelo OSI) e usa o parmetro MTU da interface de rede que ir enviar o pacote pela conexo. O processo de fragmentao marca os fragmentos do pacote original para que a camada IP do destinatrio possa montar os pacotes recebidos, reconstituindo o datagrama original. O protocolo da Internet define o "caminho MTU" de uma transmisso Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereo de origem at ao endereo de destino. Visto de outro modo, o "caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior fragmentao. O RFC 1191 descreve o "Path MTU discovery", uma tcnica para determinar o caminho MTU entre dois hospedeiros IP de forma a evitar fragmentao de IP. Esta tcnica utiliza o feedback para o endereo

fonte dos resultados de enviar datagramas de tamanhos progressivamente maiores, com o bit DF (Don't Fragment) on - qualquer dispositivo que ao longo do caminho necessite de fragmentar o pacote ir larglo e enviar uma resposta ICMP "datagrama demasiado grande" para o endereo de origem. Atravs deste teste, o hospedeiro de origem "aprende" qual o valor mximo de MTU que atravessa a rede sem que seja fragmentado. Problemas potenciais e resoluo Infelizmente, um nmero crescente de redes bloqueia todo o trfego ICMP (por exemplo, para evitar ataques denial of service - isto impede o funcionamento da tcnica acima explicada. Freqentemente descobrimos esta fragmentao nos casos em que a ligao funciona com volumes baixos de trfego mas bloqueia sempre que o host envia uma grande quantidade de dados ao mesmo tempo (por exemplo, com irc um cliente pode chegar at ao nospoof ping mas depois no obtm qualquer resposta dado que a ligao bloqueada pela enorme quantidade de mensagens de boas vindas. Paralelamente, numa rede IP, o "caminho" desde o endereo de origem at ao endereo de destino pode ser alterado dinamicamente, em resposta a variados eventos (balanceamento de carga, congestionamento, downtimes, etc.) - isto pode resultar em que o caminho MTU se modifique (por vezes repetidamente) durante uma transmisso, o que pode introduzir ainda mais perda de pacotes antes que o host descubra o novo valor seguro de MTU. A maioria das modernas ethernet LANs usam um MTU de 1500 bytes. Contudo, sistemas como PPPoE iro reduzir isto, causando a entrada em aco da descoberta do caminho MTU, o que pode ter como consequncia fazer com que alguns sites protegidos por firewall mal configuradas se tornem inacessiveis. Podemos contudo reparar isto, dependendo do ponto da rede que controlamos: por exemplo, podemos alterar o MSS (maximum segment size) no pacote inicial que configura o TCP na firewall. Fragmentao Teoricamente o tamanho do pacote IP pode variar at o limite mximo de 64 KB dependendo da carga til e das opes includas. Todavia, no caminho at seu destino um pacote pode atravessar diferentes tipos de redes. As redes so heterogneas admitindo diferentes tamanhos de quadros (frames). Ento, na prtica, o tamanho mximo do pacote IP tambm definido em funo do hardware de rede por onde o pacote ir transitar. O tamanho mximo que um quadro pode ter chamado de MTU - Maximum Transmission Unit - Unidade Mxima de Transmisso. Cada padro de rede ir possuir um valor de MTU diferente. Quando um pacote, de certo tamanho, necessita atravessar uma rede que lida somente com pacotes de menor tamanho necessrio dividir a carga do pacote em vrios quadros, adequados ao tamanho da MTU dessa rede. O processo de adequar a carga do pacote IP ao tamanho da MTU chamado de fragmentao de pacotes. Em alguns textos a fragmentao de pacotes definida como segmentao. O conceito o mesmo, mas se tratando do protocolo IP, prefira o termo fragmentao. A princpio, um pacote encaminhado e entregue com o mesmo tamanho que foi gerado na origem (fragmentao local). Mas, como a rota at o destino uma escolha do roteador, um pacote pode seguir por uma rede que necessite de mais fragmentao (fragmentao na Inter-rede). A fragmentao que ocorre na inter-rede invisvel para o mdulo IP do host que enviou o pacote. Caso um pacote seja fragmentado, transmitido e remontado entre dois roteadores o mdulo IP no ser informado disto. Assim, havendo necessidade de fragmentao na inter-rede os roteadores podero faz-la, j que atuam na camada de rede do modelo TCP/IP. Neste caso, os roteadores ficam obrigados a remontar os pacotes antes de entreg-los ao destino. A fragmentao da inter-rede chamada de fragmentao transparente. A fragmentao de pacotes que acontece no mdulo IP chamada de no-transparente. Isso significa que o IP pode enviar tanto fragmentos de pacotes quanto pacotes sem fragmentao. Na prtica, isso significa tambm que cada roteador receber e transmitir tanto pacotes completos, adequados ao tamanho da MTU, quanto fragmentos de pacotes ajustados a MTU. Tecnicamente um fragmento apenas um pacote idntico aos demais. Na fragmentao no-transparente o protocolo IP "consciente" de que ocorreu fragmentao no encaminhamento, sendo tambm responsvel pela remontagem dos

fragmentos no destino. Para tanto, o protocolo IP fornece alguns campos que garantem que os pacotes fragmentados sejam montados corretamente. Os campos que esto diretamente envolvidos na operao de fragmentao e remontagem de pacotes so: Identification, Fragment Offset e os sinalizadores binrios Don't Fragment e More Fragment. Havendo necessidade de fragmentao um mecanismo de fragmentao ser usado para criar os fragmentos. Por exemplo, suponha um pacote que ser fragmentado em dois fragmentos. Esse processo ocorre do seguinte modo: basicamente so criados dois novos datagramas, o contedo do cabealho do datagrama original copiado para os cabealhos dos novos datagramas. Os campos identificao, endereo de origem e destino e o nmero do protocolo de transporte (para o qual a carga til ser entregue) permanecem inalterados independente do nmero de fragmentos. A carga til do datagrama original dividida em blocos de oito octetos (64 bits). Cada fragmento poder carregar mltiplos blocos de 64 bits, limitados ao tamanho da MTU. Teoricamente um nico pacote com 64 KB poderia ser dividido em at 8.192 fragmentos com 64 bits cada. Entretanto, como os valores de MTU so superiores ao tamanho mnimo do fragmento dificilmente esse nmero de fragmentos alcanado. O ltimo fragmento no necessita ter uma carga til mltipla de 8 bytes. Por exemplo, suponha um pacote com 113 bytes que ser encaminhado em dois fragmentos. O primeiro fragmento ter 56 bytes enquanto o ltimo ter 57. Este processo ocorrer da seguinte maneira: a primeira poro dos dados (56 bytes) inserida no primeiro fragmento, o campo Total Lenght ajustado para o novo tamanho do datagrama, enquanto o sinalizador MF - More Fragment - configurado em 1 ento o fragmento enviado. A poro restante dos dados (57 bytes) inserida no segundo fragmento, o campo Total Lenght ajustado. O sinalizador MF permanece inalterado (zero), indicando que este o ltimo fragmento do pacote. O campo Fragment Offset do primeiro pacote configurado como zero. No segundo fragmento o valor de Fragment Offset ser o valor do Fragment Offset do pacote anterior (0) somado ao valor do NFB Number of Fragment Block - Nmero de Blocos dos Fragmentos (7). Neste exemplo, o valor do NFB 7, pois a cada fragmento foram enviados sete bytes de carga til (exceto no ltimo que sero enviados oito bytes). O NFB um ndice utilizado para remontar o pacote. A importncia da fragmentao, que ela torna as redes mais homogneas. Entretanto, fragmentao gera um maior volume de trfego (overhead) na rede, pois multiplica cabealhos e gera um nmero maior de pacotes para serem tratados por um roteador. O gerenciamento da fragmentao pode ser necessrio nos casos em que seja observada uma sobrecarga de carga em relao largura de banda da rede. Alm disto, fragmentao mal gerenciada pode ser um ponto de vulnerabilidade na segurana da rede. Diversos ataques a segurana das redes utilizam a fragmentao para serem realizados. So exemplos de ataques de fragmentao: o ataque de pequenos fragmentos e o ataque de sobreposio de fragmentos. A filtragem de fragmentos por um filtro de pacotes, como Iptables, pode ser importante para a segurana do sistema, veja a RFC 1858 para mais informaes sobre ataques que usam fragmentao.

Endereamento IP Definindo as classes de endereos Um endereo IP um endereo 32 bits, geralmente notado sob a forma de 4 nmeros inteiros separados por pontos. Distinguem-se, com efeito, duas partes no endereo IP : uma parte dos nmeros esquerda designa a rede e chama-se ID de rede (em ingls netID), Os nmeros direita designam os computadores desta rede e chamam-se ID de hspede (em ingls host-ID).

Repare no exemplo abaixo:

Tomemos a rede de esquerda: 194.28.12.0. Contm os computadores seguintes : 194.28.12.1 a 194.28.12.4

Repare na rede direita: 178.12.0.0. Compreende os computadores seguintes : 178.12.77.1 a 178.12.77.6

No caso acima, as redes so notadas 194.28.12 e 178.12.77, seguidamente numera-se cada um dos computadores que a constituem. Imagine uma rede notada 58.0.0.0. Os computadores desta rede podero ter os endereos IP que vo de 58.0.0.1 a 58.255.255.254. Trata-se de atribuir os nmeros de modo a que haja uma organizao na hierarquia dos computadores e dos servidores. Assim, quanto mais pequeno for o nmero de bits reservado rede, mais esta pode conter computadores. Com efeito, uma rede notada 102.0.0.0 pode conter computadores cujo endereo IP pode variar entre 102.0.0.1 e 102.255.255.254 (256*256*256-2=16777214 possibilidades), enquanto uma rede notada 194.26 poder conter apenas computadores cujo endereo IP esteja compreendido entre 194.26.0.1 e 194.26.255.254 (256*256-2=65534 possibilidades), a noo de classe de endereo IP. Endereos especficos Quando se anula a parte host-id, isto , quando se substituem os bits reservados s mquinas da rede por zeros (por exemplo 194.28.12.0), obtm-se o que chamamos de endereo rede. Este endereo no pode ser atribudo a nenhum dos computadores da rede. Quando a parte netid anulada, quer dizer, quando os bits reservados rede so substitudos por zeros, obtm-se o endereo mquina. Este endereo representa a mquina especificada pelo host-ID que se encontra na rede corrente. Quando todas as bits da parte host-id so de 1, o endereo obtido chama-se endereo de divulgao (em ingls broadcast). Trata-se de um endereo especfico, permitindo enviar uma mensagem a todas as mquinas situadas na rede especificada pelo netID. Pelo contrrio, quando todos os bits da parte netid so 1, o endereo obtido constitui o endereo de divulgao limitada (multicast).

Por ltimo, o endereo 127.0.0.1 chama-se endereo de defeito (em ingls loopback), porque designa a mquina local (em ingls localhost). As classes de redes Os endereos IP esto repartidos por classes, de acordo com o nmero de bytes que representam a rede. Classe A Num endereo IP de classe A, o primeiro byte representa a rede. 7 O bit de peso forte (o primeiro bit, o da esquerda) est a zero, o que significa que h 2 (00000000 01111111) possibilidades de redes, quer dizer 128 possibilidades. Contudo, a rede 0 (bits que valem 00000000) no existe e o nmero 127 reservado para designar a sua mquina. As redes disponveis em classe A so por conseguinte as redes que vo de 1.0.0.0 a 126.0.0.0 (os ltimos bytes so zeros que indicam que se trata de redes e no de computadores!) Os trs bytes direita representam os computadores das redes, a rede pode por conseguinte conter um nmero de computador igual a: 24 2 -2 = 16777214 computadores. Um endereo IP de classe A, binrio, parece-se com isto : 0 xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx Rede Computadores Classe B Num endereo IP de classe B, os dois primeiros bytes representam a rede. 14 Os dois primeiros bits so 1 e 0, o que significa que h 2 (10 000000 00000000 do 111111 11111111) possibilidades de redes, quer dizer de 16384 redes possveis. As redes disponveis em classe B so por conseguinte as redes que vo de 128.0.0.0 a 191.255.0.0 Os dois bytes de direita representam os computadores da rede. A rede pode por conseguinte conter um nmero de computadores igual a: 16 1 2 -2 = 65534 computadores. Um endereo IP de classe B, binrio, assemelha-se a isto: 10 xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx Rede Computadores Classe C Num endereo IP de classe C, os trs primeiros bytes representam a rede. Os trs primeiros bits so 1,1 21 e 0, que significa que h 2 possibilidades de redes, quer dizer 2097152. As redes disponveis em classe C so por conseguinte as redes que vo de 192.0.0.0 a 223.255.255.0 O byte de direita representa os computadores da rede, a rede pode por conseguinte conter: 8 1 2 -2 = 254 Computadores Um endereo IP de classe C, binrio, assemelha-se a isto : 110 xxxxx xxxxxxxx xxxxxxxx xxxxxxxx Rede Computadores Atribuio dos endereos IP O objectivo da diviso dos endereos IP em trs classes A, B e C, facilitar a investigao de um computador na rede. Com efeito, com esta notao possvel procurar inicialmente a rede que se deseja atingir e seguidamente procurar um computador . Assim, a atribuio dos endereos IP faz-se de acordo com a dimenso da rede. Classe A B C Nmero de redes possveis 126 16384 2097152 Nmeros mximo de computadores em cada uma 16777214 65534 254

Os endereos de classe A so reservados especialmente para as grandes redes, enquanto se atribuiro os endereos de classe C a pequenas redes de empresa, por exemplo. Endereos IP reservados Acontece frequentemente numa empresa ou uma organizao que um s computador esteja ligdo Internet, por seu intermdio que os outros computadores da rede acedem Internet (fala-se geralmente de proxy ou ponte estreita). Neste caso, o nico computador ligado Internet tem necessidade de reservar um endereo IP junto do ICANN. Contudo, os outros computadores tm na mesma necessidade de um endereo IP para poderem comunicar entre eles internamente. Assim, o ICANN reservou um punhado de endereos em cada classe para permitir afectar um endereo IP aos computadores de uma rede local ligada Internet sem correr o risco de criar uma confuso de endereos IP na rede das redes. Trata-se dos endereos seguintes : Endereos IP privados de classe A: 10.0.0.1 a 10.255.255.254, permitindo a criao de vastas redes privadas que compreendem milhares de computadores. Endereos IP privados de classe B: 172.16.0.1 172.31.255.254, permitindo criar redes privadas de mdia dimenso. Endereos IP privados de classe C: 192.168.0.1 192.168.0.254, para instalao de pequenas redes privadas. Mscaras de subrede Para compreender o que uma mscara, talvez seja interessante consultar a seco mecnico que fala das mscaras em binrio Resumindo, fabrica-se uma mscara contendo 1 nos luagres dos bits que desejamos conservar, e 0 para os que queremos anular.Uma vez criada esta mscara, basta fazer um ET lgico entre o valor que se deseja mascarar e a mscara, para deixar intacta a parte que deseja e anular o resto. Assim, uma mscara rede (em ingls netmask) apresenta-se sob a forma de 4 bytes separados por pontos (como um endereo IP), compreende (na sua notao binria) dos zeros a nvel das bits do endereo IP que quer-se anular (e do 1 a nvel dos que deseja-se conservar). Interesse de uma mscara de subrede O primeiro interesse de uma mscara de subrede permitir identificar simplesmente a rede associada a um endereo IP. Com efeito, a rede determinada por diversos bytes do endereo IP (1 byte para os endereos de classe A, 2 para os endereos de classe B, e de 3 bytes para a classe C). Ora, uma rede notada tomando o nmero de bytes que a carateriza, seguidamente completando com zeros. A rede associada ao endereo 34.56.123.12 por exemplo 34.0.0.0, porque se trata de um endereo IP de classe A. Para conhecer o endereo da rede associada ao endereo IP 34.56.123.12, basta ento aplicar uma mscara cujo primeiro byte comporta apenas 1 (quer dizer, 255 em notao decimal), seguidamente 0 sobre os bytes seguintes. A mscara : 11111111.00000000.00000000.00000000 A mscara associada ao endereo IP 34.208.123.12 por conseguinte 255.0.0.0. O valor binrio de 34.208.123.12 : 00100010.11010000.01111011.00001100 Um ET lgico entre o endereo IP e a mscara d assim o resultado seguinte : 00100010.11010000.01111011.00001100 E 11111111.00000000.00000000.00000000 = 00100010.00000000.00000000.00000000 Isto , 34.0.0.0. Trata-se da rede associada ao endereo 34.208.123.12 Generalizando, possvel obter as mscaras que correspondem a cada classe de endereo: Para um endereo de Classe A, s o primeiro byte deve ser conservado. A mscara possui a forma seguinte 11111111.00000000.00000000.00000000, quer dizer 255.0.0.0 em notao decimal;

Para um endereo de Classe B, os dois primeiros bytes devem ser conservados, o que d a mscara seguinte 11111111.11111111.00000000.00000000, correspondente a 255.255.0.0 em notao decimal; Para um endereo de Classe C, com o mesmo raciocnio, a mscara possuir a forma seguinte 11111111.11111111.11111111.00000000, quer dizer 255.255.255.0 em notao decimal

Criao de subredes Retomemos o exemplo da rede 34.0.0.0, e suponhamos que desejamos que os dois primeiros bits do segundo byte permitam designar a rede. A mscara a aplicar ser ento: 11111111.11000000.00000000.00000000 quer dizer 255.192.0.0 Se se aplicar esta mscara, ao endereo 34.208.123.12 obtm-se : 34.192.0.0 Realmente h 4 casos possveis para o resultado mscara de um endereo IP de um computador da rede 34.0.0.0 Ou os dois primeiros bits do segundo byte so 00, neste caso o resultado 34.0.0.0 Ou os dois primeiros bits do segundo byte so 01, neste caso o resultado 34.64.0.0 Ou os dois primeiros bits do segundo byte so 10, neste caso o resultado 34.128.0.0 Ou os dois primeiros bits do segundo byte so 11, neste caso o resultado 34.192.0.0

Esta mscara divide por conseguinte uma rede de classe A (que pode admitir 16.777.214 computadores) 22 em 4 subredes - da o nome de mscara de subrede - que pode admitir 2 computadores, quer dizer 4.194.304 computadores. Pode ser interessante observar que nos dois casos, o nmero total de computadores o mesmo, quer dizer 16.777.214 computadores (4 x 4194304 - 2 = 16777214). O nmero de subredes depende do nmero de bits atribudos a mais rede (aqui 2). O nmero de subredes por conseguinte: nmeros de bits 1 2 3 4 5 6 7 8 (impossvel para uma classe C) nmeros subredes 2 4 8 16 32 64 128 256

Roteamento IP Protocolos de roteamento O Roteamento e Seus Componentes O roteamento e' a principal forma utilizada na Internet para a entrega de pacotes de dados entre hosts (equipamentos de rede de uma forma geral, incluindo computadores, roteadores etc.). O modelo de roteamento utilizado e' o do salto-por-salto (hop-by-hop), onde cada roteador que recebe um pacote de dados, abre-o, verifica o endereco de destino no cabecalho IP, calcula o proximo salto que vai deixar o pacote um passo mais proximo de seu destino e entrega o pacote neste proximo salto. Este processo se repete e assim segue ate' a entrega do pacote ao seu destinatario. No entanto, para que este funcione, sao necessarios dois elementos: tabelas de roteamento e protocolos de roteamento. Tabelas de roteamento sao registros de enderecos de destino associados ao numero de saltos ate' ele, podendo conter varias outras informaes. Protocolos de roteamento determinam o conteudo das tabelas de roteamento, ou seja, sao eles que ditam a forma como a tabela e' montada e de quais informacoes ela e' composta. Existem dois tipos de algoritmo atualmente em uso pelos protocolos de roteamento: o algoritmo baseado em Vetor de Distancia (Distance-Vector Routing Protocols) e o algoritmo baseado no Estado de Enlace (Link State Routing Protocols). Roteamento Interno Os roteadores utilizados para trocar informacoes dentro de Sistemas Autonomos sao chamados roteadores internos (interior routers) e podem utilizar uma variedade de protocolos de roteamento interno (Interior Gateway Protocols - IGPs). Dentre eles estao: RIP, IGRP, EIGRP, OSPF e Integrated IS-IS. Roteamento Externo Roteadores que trocam dados entre Sistemas Autonomos sao chamados de roteadores externos (exterior routers), e estes utilizam o Exterior Gateway Protocol (EGP) ou o BGP (Border Gateway Protocol). Para este tipo de roteamento sao considerados basicamente colecoes de prefixos CIDR (Classless Inter Domain Routing) identificados pelo numero de um Sistema Autonomo. Protocolos de Roteamento Interno (Interior Routing Protocols) RIP (Routing Information Protocol) O RIP foi desenvolvido pela Xerox Corporation no inicio dos anos 80 para ser utilizado nas redes Xerox Network Systems (XNS), e, hoje em dia, e' o protocolo intradominio mais comum, sendo suportado por praticamente todos os fabricantes de roteadores e disponivel na grande maioria das versoes mais atuais do sistema operacional UNIX. Um de seus beneficios e' a facilidade de configuracao. Alem disso, seu algoritmo nao necessita grande poder de computacao e capacidade de memoria em roteadores ou computadores. O protocolo RIP funciona bem em pequenos ambientes, porem apresenta serias limitacoes quando utilizado em redes grandes. Ele limita o numero de saltos (hops) entre hosts a 15 (16 e' considerado infinito). Outra deficiencia do RIP e' a lenta convergencia, ou seja, leva relativamente muito tempo para que alteracoes na rede fiquem sendo conhecidas por todos os roteadores. Esta lentidao pode causar loops de roteamento, por causa da falta de sincronia nas informacoes dos roteadores. O protocolo RIP e' tambem um grande consumidor de largura de banda, pois, a cada 30 segundos, ele faz um broadcast de sua tabela de roteamento, com informacoes sobre as redes e sub-redes que alcanca. Por fim, o RIP determina o melhor caminho entre dois pontos, levando em conta somente o numero de saltos (hops) entre eles. Esta tecnica ignora outros fatores que fazem diferenca nas linhas entre os dois pontos, como: velocidade, utilizacao das mesmas (trafego) e toda as outras metricas que podem fazer diferenca na hora de se determinar o melhor caminho entre dois pontos.[RFC 1058]

IGRP (Interior Gateway Protocol) O IGRP tambem foi criado no inicio dos anos 80 pela Cisco Systems Inc., detentora de sua patente. O IGRP resolveu grande parte dos problemas associados ao uso do RIP para roteamento interno. O algoritmo utilizado pelo IGRP determina o melhor caminho entre dois pontos dentro de uma rede examinando a largura de banda e o atraso das redes entre roteadores. O IGRP converge mais rapidamente que o RIP, evitando loops de roteamento, e nao tem a limitacao de saltos entre roteadores. Com estas caracteristicas, o IGRP viabilizou a implementacao de redes grandes, complexas e com diversas topologias. EIGRP (Enhanced IGRP) A Cisco aprimorou ainda mais o protocolo IGRP para suportar redes grandes, complexas e criticas, e criou o Enhanced IGRP. O EIGRP combina protocolos de roteamento baseados em Vetor de Distancia (Distance-Vector Routing Protocols) com os mais recentes protocolos baseados no algoritmo de Estado de Enlace (Link-State). Ele tambem proporciona economia de trafego por limitar a troca de informacoes de roteamento `aquelas que foram alteradas. Uma desvantagem do EIGRP, assim como do IGRP, e' que ambos sao de propriedade da Cisco Systems, nao sendo amplamente disponiveis fora dos equipamentos deste fabricante. OSPF (Open Shortest Path First) OSPF um protocolo de roteamento feito para redes com protocolo IP; foi desenvolvido pelo grupo de trabalho de IGPs (Interior Gateway Protocol) da IETF (Internet Engineering Task Force). Este grupo de trabalho foi criado em 1988, para projetar um IGP baseado no algoritmo Shortest Path First (SPF, menor rota primeiro), voltado para uso na Internet. Similar ao Interior Gateway Routing Protocol (IGRP), protocolo proprietrio da Cisco, o OSPF foi criado, pois, na metade dos anos 80, o Routing Information Protocol (RIP) mostrou-se cada vez menos capaz de atender redes largas e heterogneas. Este trabalho aborda o ambiente de roteamento OSPF, tratando do algoritmo de roteamento, e dos componentes gerais do protocolo. O OSPF resultou de diversas pesquisas: a de Bolt, Berenek e Newman (BBN), que desenvolveram o algoritmo SPF em 1978, para a ARPANET (o marco inicial das redes de comutao de pacotes, criada no incio dos aos 70 por BBN); a de Radia Perlman, a respeito da tolerncia a erros de transmisso no roteamento de informao (de 1988); e a de BBN sobre roteamento local (1986), uma verso inicial do protocolo de roteamento OSI entre camadas intermedirias. H duas caractersticas principais no OSPF. A primeira, um protocolo aberto, o que significa que suas especificaes so de domnio pblico; suas especificaes podem ser encontradas na RFC ( Request For Comments) nmero 1247. A segunda, um protocolo baseado no algoritmo SPF, tambm chamado de algoritmo de Dijkstra, nome de seu criador. OSPF um protocolo de roteamento do tipo link-state, que envia avisos sobre o estado da conexo (linkstate advertisements, LSA) a todos os outros roteadores em uma mesma rea hierrquica. Informaes sobre interfaces ligadas, mtrica usada e outras variveis so includas nas LSAs. Ao mesmo tempo em que o roteador OSPF acumula informaes sobre o estado do link, ele usa o algoritmo SPF para calcular a menor rota para cada n. Por ser um protocolo do tipo link-state, o OSPF difere-se do RIP e do IGRP, que so protocolos de roteamento baseados em vetores de distncia. Os roteadores que trabalham com algoritmos de vetor de distncia, a cada atualizao, enviam toda ou parte de suas tabelas de roteamento para seus vizinhos. b) Hierarquia de roteamento Ao contrrio do RIP, o OSPF pode operar com hierarquias. A maior entidade dentro da hierarquia o sistema autnomo (Autonomous System, AS), que uma coleo de redes sob mesma administrao e que tm uma estratgia de roteamento comum. OSPF um protocolo de roteamento intra-AS (interior gateway), embora seja capaz de receber e enviar rotas para outros ASs. Um AS pode ser divido em diversas reas, que so grupos de redes adjacentes e host ligados. Roteadores com mltiplas interfaces podem participar em mltiplas reas. Estes roteadores, chamados Roteadores de Borda de rea (Area Border Routers), mantm uma base de dados topolgica (referente geometria) separada para cada rea. A base de dados topolgica basicamente uma forma geral de relao entre redes e roteadores. Esta base de dados contm uma coleo de LSAs recebidos de todos os roteadores de uma mesma rea.

Como os roteadores dentro de uma mesma rea dividem as mesmas informaes, eles tm bases de dados topolgicas idnticas. O termo domnio algumas vezes usado para descrever uma parte da rede na qual todos os roteadores tm bases de dados topolgicas idnticas. Este termo freqentemente usado no lugar de AS, preservando o mesmo significado. A topologia de uma rea invisvel para entidades fora dela. Por manter separadas as topologias de rea, o OSPF passa menos trfego de roteamento do que se passaria se as ASs no fossem divididas. O particionamento de rea cria dois tipos de roteamento OSPF, dependo se a origem e o destino esto na mesma rea ou em reas diferentes. Roteamento intra-rea usado quando a origem e o destino esto na mesma rea, e o roteamento inter-rea usado quando esto em reas diferentes. Um backbone (redes principais que conectam redes menores) OSPF responsvel por distribuir informaes de roteamento entre reas. Consiste de todos os roteadores de borda de rea (Area Border Routers, ABR), redes que no esto totalmente contidas em uma rea, e seus respectivos roteadores. A Figura 1 mostra um exemplo de uma inter-rede com vrias reas.

Figura 1: Um AS OSPF consiste de mltiplas reas ligadas por roteadores Figura original da Cisco Na Figura 1, os roteadores 4, 5, 6, 10, 11 e 12 formam o backbone. Se o host (computador principal de uma redes, que comanda ou controla a ao de outros computadores) H1 na rea 3 deseja enviar um pacote ao host H2 na rea 2, o pacote enviado ao roteador H13, que o encaminha para o roteador 12, que envia ao roteador 11. O roteador 11 ento encaminha o pacote pelo backbone para o roteador de borda de rea 10, que envia o pacote atravs de dois roteadores intra-rea (roteadores 7 e 9) para ser encaminhado ao host H2. O backbone em si uma rea OSPF, j que todos os roteadores do backbone usam os mesmos procedimentos e algoritmos para manter a informao de roteamento de dentro do backbone, que qualquer roteador de rea manteria. A topologia do backbone transparente para todos os roteadores inter-rea, assim como a topologia de cada rea so para o backbone. reas podem ser definidas de uma forma que o backbone no contnuo. Neste caso, a conectividade (medida da capacidade dos computadores na rede trabalharem simultaneamente) do backbone deve ser restaurada por links virtuais. Links virtuais so configurados entre quaisquer roteadores do backbone que dividam um link para uma rea que no seja do backbone, e funcione como se fossem links diretos.

Roteadores da borda do AS que rodem OSPF sabem sobre rotas exteriores atravs de protocolos externos (Exterior Gateway Protocols, EGPs), como o Exterior Gateway Protocol (EGP) ou o Border Gateway Protocol (BGP), ou atravs de informaes de configurao. d) Formato do pacote Todos os pacotes OSPF comeam com um cabealho de 24 octetos, como mostrado na Tabela 1. Tabela 1: Os pacotes OSPF, constitudo por nove campos Tamanh o do campo (em octetos) Nome do campo

Varive l

Vers o

Tip o

Tamanh o do pacote

ID do roteado r

ID da re a

Checksu m

Tipo de autentica o

Autentica o

Dados

A descrio para cada campo da Tabela 1 : Verso: identifica a verso de OSPF utilizada Tipo: Identifica o pacote OSPF como um dos seguintes: Hello: estabelece e mantm a relao entre vizinhos Descrio de base de dados: descreve o contedo da base da dados. Estas mensagens so trocadas quando uma adjacncia incializada Pedido de link-state: pede partes da base de dados topolgicos de roteadores vizinhos. Estas mensagens so trocadas aps um roteador descobrir (examinado pacotes de descrio de base de dados) que partes de sua base de dados topolgicos est com prazo de validade encerrado Atualizao de link-state: responde a um pacote de pedido de link-state. Estas mensagens tambm so utilizadas para a difuso regular de LSAs. Diversos LSAs podem ser includos em um nico pacote de atualizao de link-state Reconhecimento de link-state: reconhece os pacotes de atualizao de link-state Tamanho do pacote: especifica o tamanho do pacote, incluindo o cabealho OSPF, em octetos ID do roteador: identifica a origem do pacote ID da rea: identifica a que rea o pacote pertence. Todos os pacotes OSPF esto associados a apenas uma rea Checksum: Confere o contedo do pacote para ver se ocorreu algum dano durante o trnsito Tipo de autenticao: Contm o tipo de autenticao. Todas trocas no protocolo OSPF so autenticadas. O tipo de autenticao configurvel por rea Autenticao: contm informaes de autenticao Dados: Contm informaes encapsuladas de camadas superiores e) Caractersticas adicionais do OSPF As caractersticas adicionais incluem roteamento em multi-rotas e roteamento baseado no tipo de servio (type-of-service, TOS) pedido pela camada superior. Roteamento baseado em TOS suportam protocolos da camada superior que especificam tipos de servios particulares. Um aplicativo, por exemplo, pode especificar que certos dados so urgentes. Se o OSPF possuir links de alta prioridade a sua disposio, estes podem ser usados para transportar o datagrama que requer urgncia. O OSPF suporta mais de um tipo de mtrica. Se apenas uma mtrica usada, ela considerada absoluta e TOS no suportado. Se mais de uma mtrica usada, TOS pode ser suportado pelo uso de uma mtrica separada (e, ento, uma tabela de roteamento separada) para cada uma das oito combinaes criadas pelos trs bits de IP TOS (o atraso, taxa e confiana). Por exemplo, se os bits de IP TOS especificarem baixo atraso, baixa taxa e alta confiana, o OSPF calcula rotas a todos os destinos baseado nessas designaes de TOS. Mscaras de sub-rede IP so includas com cada destino anunciado, permitindo mscaras de tamanhos diferentes. Com mscaras de sub-rede de tamanho varivel, uma rede IP pode ser dividida em diversas sub-redes de tamanhos variados. Isso permite ao administrador da rede maior flexibilidade para a configurao.

Integrated IS-IS (Intermediate System to Intermediate System Routing Exchange Protocol) O IS-IS [OSI 10589], assim como o OSPF, e' um protocolo intra- dominio, hierarquico e que utiliza o algoritmo de Estado de Enlace. Pode trabalhar sobre varias sub-redes, inclusive fazendo broadcasting para LANs, WANs e links ponto-a-ponto. O Integrated IS-IS e' uma implementacao do IS-IS que, alem dos protocolos OSI, atualmente tambem suporta o IP. Como outros protocolos integrados de roteamento, o IS-IS convoca todos os roteadores a utilizar um unico algoritmo de roteamento. Para rodar o Integrated IS-IS, os roteadores tambem precisam suportar protocolos como ARP, ICMP e End System-to-Intermediate System (ES-IS). Protocolo de Roteamento Externo (Exterior Routing Protocol) BGP (Border Gateway Protocol) O BGP [RFCs 1771,1772,1773,1774,1657] assim como o EGP, e' um protocolo de roteamento interdominios, criado para uso nos roteadores principais da Internet. O BGP foi projetado para evitar loops de roteamento em topologias arbitrarias, o mais serio problema de seu antecessor, o EGP (Exterior Gateway Protocol). Outro problema que o EGP nao resolve - e e' abordado pelo BGP - e' o do Roteamento Baseado em Politica (policy-based routing), um roteamento com base em um conjunto de regras nao-tecnicas, definidas pelos Sistemas Autonomos. A ultima versao do BGP, o BGP4, foi projetado para suportar os problemas causados pelo grande crescimento da Internet. Maiores detalhes sobre este importante protocolo de roteamento serao vistos nas proximas edicoes deste boletim.

Algoritmos de roteamento O algoritmo SPF O algoritmo de roteamento shortest path first (SPF, menor rota primeiro) a base para as operaes do OSPF. Quando um roteador SPF ligado, ele carrega as estruturas de dados do protocolo de roteamento e espera por indicaes de protocolos de camadas mais baixas de que suas interfaces esto funcionando. Aps o roteador garantir que suas interfaces esto funcionando, ele usa o protocolo OSPF Hello para reconhecer seus vizinhos, que so roteadores com interfaces para uma mesma rede. O roteador envia pacotes Hello para seus vizinhos e recebe o pacote Hello destes. Alm de ajudar a reconhecer os vizinhos, o pacote Hello tambm permite ao roteador saber se todos os outros roteadores ainda esto em funcionamento (keepalive). Em redes multi-acesso (redes que suportam mais de dois roteadores), o protocolo Hello elege um roteador designado (designated router), e um roteador designado substituto (backup). Alm de outras tarefas, o roteador designado responsvel por gerar LSAs para toda a rede multi-acesso. Estes roteadores permitem uma reduo no trfego de rede e no tamanho da base de dados topolgicos. Quando uma base de dados link-state de dois roteadores vizinhos so sincronizadas, os roteadores so ditos adjacentes. Em redes multi-acesso, o roteador designado determina que roteador devem se tornar adjacentes. Bases de dados topolgicos devem ser sincronizadas entre pares de roteadores adjacentes. Os adjacentes controlam a distribuio dos pacotes do protocolo de roteamento, que so enviados e recebidos somente nos adjacentes. Cada roteador envia periodicamente um LSA para fornecer informao as adjacncias de um roteador ou para informar aos outros quando o estado de um roteador se altera. Comparando as adjacncias estabelecidas com os link states, roteadores com falhas podem ser detectados rapidamente, e a topologia da rede pode ser alterada apropriadamente. Com a base topolgica gerada por meio dos LSAs, cada roteador calcula uma rvore de menores rotas (shortest-path tree), com ele prprio como raiz (root). A rvore de menores rotas, por sua vez, torna-se a tabela de roteamento.

DHCP Dinamic Host Configuration Protocol O que o DHCP? Em uma rede com dezenas ou mesmo centenas de computadores, manter o controle dos endereos IP j utilizados pelas mquinas pode ser um pesadelo. muito fcil errar o endereo IP de uma mquina, ou errar a mscara de rede ou endereo do default gateway, e geralmente muito difcil identificar qual a mquina onde existe um erro de configurao do TCP/IP. Para resolver esses problemas voc poder instalar um servidor DHCP na sua rede local (ou melhor, um servidor DHCP para cada subnet, logo veremos porque) e deixar que ele fornea estes parmetros para as estaes da rede. Se voc tem uma pilha TCP/IP instalada que suporta o protocolo DHCP, voc pode configurar cada estao para usar o DHCP e ignorar todos esses parmetros. Na inicializao da pilha TCP/IP, a estao ir enviar um pacote de broadcast para a rede (um broadcast um pacote que recebido por toda a rede) e o servidor DHCP, ao receber este pacote, enviar os parmetros de configurao para a estao. Aqui temos comunicao apenas no nvel de enlace (pois o TCP/IP ainda no foi completamente inicializado), e portanto no temos a funo de roteamento habilitada. Por isso o servidor DHCP deve estar na mesma LAN fsica onde est a estao que ser inicializada. Normalmente os servidores tem sua configurao realizada manualmente, pois o endereo IP deve concordar com o endereo IP cadastrado no servidor DNS. O servidor DHCP configurado com uma faixa de endereos IP que ele pode fornecer aos clientes. Inicialmente, todos os endereos esto disponveis. Quando uma estao inicializada, ela envia o broadcast pedindo pela sua configurao, e o servidor DHCP reserva um endereo para ela (que deixa de estar disponvel) e registra o endereo Ethernet para o qual o endereo foi reservado. Ento ele envia uma resposta contendo este endereo e os demais parmetros listados acima. O endereo apenas "emprestado" pelo servidor DHCP, que registra tambm o momento do emprstimo e a validade deste emprstimo. No prximo boot, a estao verifica se o emprstimo ainda vlido e se no pede um novo endereo (que pode at ser o mesmo, por coincidncia). Se o emprstimo estiver em metade da sua validade, o cliente pede uma renovao do emprstimo, o que aumenta a sua validade. E a cada inicializao, o cliente verifica se o endereo emprestado ainda dela, pois ela pode ter sido deslocada para uma outra LAN, onde a configurao do TCP/IP diferente, ou por qualquer motivo o Administrador da Rede pode ter forado a liberao do endereo que havia sido emprestado. O servidor verifica periodicamente se o emprstimo no expirou, e caso afirmativo coloca o endereo novamente em disponibilidade. Desta forma, a no ser que voc tenha um nmero de estaes muito prximo ao nmero de endereos IP reservados para o servidor DHCP, voc pode acrescentar, retirar ou mover estaes pela sua rede sem se preocupar em configurar manualmente as pilhas TCP/IP a cada mudana. Geralmente o DHCP utilizado somente para configurar estaes cliente da rede, enquanto que os servidores so configurados manualmente. Isso porque o endereo IP do servidor deve ser conhecido previamente (para configurao do default gateway, para configurao do arquivo de hosts, para configurao de DNS, configurao de firewall, etc). Se fosse utilizado o DHCP, o endereo do servidor poderia ser diferente em cada boot, obrigando a uma srie de mudanas de configurao em diversos ns da rede. Voc tambm pode configurar o servidor DHCP para entregar aos clientes outras informaes de configurao, como o endereo do servidor DNS da rede. O Linux pode operar tanto como cliente quanto como servidor DHCP, entretanto no veremos estas configuraes no nosso curso. Como o DHCP trabalha O DHCP utiliza um modelo cliente/servidor. O administrador da rede instala e configura um ou mais servidores DHCP. As informaes de configurao escopos de endereos IP, reservas e outras opes de configurao so mantidas no banco de dados dos servidores DHCP. O banco de dados do servidor inclui os seguintes itens: Parmetros de configurao vlidos para todos os cliente na rede (nmero IP do Default Gateway, nmero IP de um ou mais servidores DNS e assim por diante). Estas configuraes podem ser diferentes para cada escopo.

Endereos IP vlidos mantidos em um pool para serem atribudos aos clientes alm de reservas de endereos IP. Durao das concesses oferecidas pelo servidor. A concesso define o perodo de tempo durante o qual o endereo IP atribudo pode ser utilizado pelo cliente. Conforme mostrarei mais adiante, o cliente tenta renovar esta concesso em perodos definidos, antes que a concesso expire. Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os endereos IP e os parmetros de configurao relacionados, dinamicamente, sempre que forem inicializados. Os servidores DHCP fornecem essa configurao na forma de uma oferta de concesso de endereo para os clientes solicitantes. Consideraes de implementaes recomendvel que haja mais que um servidor DHCP disponvel em uma dada rede; para abastecer os clientes DHCP com endereos e informaes de configurao. Se houver somente um servidor, e este vir a falhar; quando um endereo IP de um cliente tiver no trmino do seu tempo de emprstimo, o endereo no se tornar disponvel. Concomitantemente, os clientes no estaro aptos para inicializar o TCP/IP e utiliza-lo para ser comunicar na rede. No h nenhum mecanismo que admite quedois ou mais servidores coordenem o emprstimo de endereos IP para faixas de endereos sobrepostas( endereos iguais ). Portanto cada servidor DHCP deve possuir uma faixa nica de endereos, que no deve se sobrepor a faixa de qualquer outro servidor. Ou seja, se um servidor A possui a seguinte faixa para emprstimo: 223.223.223.1 a223.223.223.100. E o servidor B possuir a faixa: 223.223.223.75 a 223.223.223.175. Ambos servidores podero vir a emprestar os endereos na faixa 223.223.223.75 a 223.223.223.100. Como no h comunicao entre os dois servidores, caso um venha a emprestar um certo endereo; no h como o outro vir a saber que o endereo est sendo emprestado. Assim pode ser que dois clientes venham a receber o mesmo endereo. Logo, imprescindvel que os servidores tenham faixas de endereos diferentes. Permite que o broadcast que chega a uma interface seja enviada para outra interface em forma de unicast. Exemplo:

Configurao: BrainworkRT#conf t BrainworkRT(config)#int f0/1 BrainworkRT(config-if)ip helper-address 192.168.0.10 BrainworkRT(config-if)end BrainworkRT#wr No cenrio acima o client e o server encontram-se em redes diferentes. Para que o DHCP possa funcionar necessrio adicionar na interface F0/1 do roteador o comando ip helper-address e o IP do servidor. Assim o roteador recebe o broadcast do client e transforma-o em um pacote unicast, destinado ao servidor.

O Helper Address funciona para DHCP, DNS e em alguns caso at para TFTP, e pode ser configurado em interfaces fsicas ou interfaces virtuais.

Trfego DHCP O mecanismo bsico da comunicao BOOTP (com trama UDP). Quando uma mquina arranca, no tem nenhuma informao sobre a sua configurao de rede e, sobretudo, o utilizador no deve fazer nada de especial para encontrar um endereo IP. Para fazer isto, a tcnica utilizada o broadcast: para encontrar e dialogar com um servidor DHCP, a mquina vai simplesmente emitir um pacote especial de broadcast (broadcast sobre 255.255.255.255 com outras informaes como o tipo de pedido, as portas de conexo) na rede local. Quando o servidor DHCP receber o pacote de broadcast, devolver outro pacote de broadcast (no se esquea que o cliente no tem necessariamente o seu endereo IP e que, por isso, no est directamente contactvel) que contm todas as informaes requeridas para o cliente. Poder-se-ia pensar que um s um pacote pode ser suficiente para o bom funcionamento do protocolo. Com efeito, existem vrios tipos de pacotes DHCP susceptveis de serem emitido quer pelo cliente para os servidores, quer pelo servidor para um cliente: DHCPDISCOVER (para localizar os servidores DHCP disponveis) DHCPOFFER (resposta do servidor um pacote DHCPDISCOVER, que contm os primeiros parmetros) DHCPREQUEST (pedido diverso do cliente para por exemplo prolongar o seu arrendamento) DHCPACK (resposta do servidor que contm parmetros e o endereo IP do cliente) DHCPNAK (resposta do servidor para informar o cliente que o seu arrendamento acabou ou se o cliente apresenta uma m configurao de rede) DHCPDECLINE (o cliente anuncia ao servidor que o endereo j utilizado) DHCPRELEASE (o cliente libera o seu endereo IP) DHCPINFORM (o cliente pede os parmetros locais, tem j o seu endereo IP)

O primeiro pacote emitido pelo cliente um pacote de tipo DHCPDISCOVER. O servidor responde por um pacote DHCPOFFER, em especial para apresentar um endereo IP ao cliente. O cliente estabelece a sua configurao, seguidamente faz um DHCPREQUEST para validar o seu endereo IP (pedido em broadcast porque DHCPOFFER no contm o seu endereo IP). O servidor responde simplesmente por um DHCPACK com o endereo IP para confirmao da atribuio. Normalmente, isto suficiente para que um cliente obtenha uma configurao de rede eficaz, mas pode ser mais ou menos longo conforme o cliente aceite ou no o endereo IP SNMP Simple Network Management Protocol O que o SNMP O SNMP (Simple Network Management Protocol) o protocolo mais importante de gerenciamento de TCP/IP. Seu funcionamento baseado em polling, ou seja, em perodos de tempos para realizao de coleta de informao. Ele utiliza o protocolo UDP para suas comunicaes de atribuies, por padro as portas utilizadas so 161/162. Ele possui trs verses 1, 2 e 3. A verso 3 difere das demais, por possuir recursos de segurana capazes de criptografar a string da comunidade SNMP. Apesar disso, a verso mais utilizada do SNMP ainda a verso 2c. Os modos de atuao desse protocolo podem ser RO (Read-only) ou RW (Read-Write).

Objetos de gerenciamento Um objeto gerenciado a viso abstrata de um recurso real do sistema. Assim, todos os recursos da rede que devem ser gerenciados so modelados, e as estruturas de dados resultantes so os objetos gerenciados. Os objetos gerenciados podem ter permisses para serem lidos ou alterados, sendo que cada leitura representar o estado real do recurso e, cada alterao tambm ser refletida no prprio recurso. Comunidade SNMP como se fosse uma senha, o valor padro para RO public e o valor padro para RW private. Assim, altamente recomendvel a alterao desses valores. Gerente SNMP quem realizada as consultas e manipulaes SNMP. Existem trs tipos de aes que os gerentes executam, so elas: GET, GET Bulk (GETs mltiplos) e SET (alterao de valor). Os gerentes mandam mensagens de solicitaes (requests) e recebem mensagens de repostas (responses). OID trata-se dos objetos gerenciveis, exemplo: o estado de uma porta RJ45 de um switch. Eles so representados por nmeros, exemplo a OID 1.3.6.1.4.x.y.z.k representa o estado de uma porta de um switch cisco. Agente SNMP o guardio da MIB ele espera a solicitao de seus gerentes e ordena respostas (responses) de SNMP para eles. Alm disso, os agentes podem enviar TRAPS, que so mensagens de alertas unidirecionais para os gerentes. Os TRAPS so disparados automaticamente quando um evento de mudana de estado for acionado. ASN.1 (Abstract Syntax Notation One) a linguagem usada para representar tipos e estruturas de gerenciamentos, permitindo a visualizao e alterao dos OIDs. MIB Dessa forma, a MIB (Management Information Base) o conjunto dos objetos gerenciados, que procura abranger todas as informaes necessrias para a gerncia da rede, possibilitando assim, a automatizao de grande parte das tarefas de gerncia. Os padres de gerenciamento OSI e Internet definiram MIBs que representam os objetos necessrios para a gerncia de seus recursos. Neste hiperdocumento sero apresentadas consideraes sobre a MIB da OSI e a MIB Internet, bem como as diferenas entre as MIBs desses dois padres. MIB (Management Information Base) a base onde h um conjunto de OIDs. comum fazermos aluso das MIBs como se fossem rvores. Existem atualmente a MIB-I e a MIB-II.

Estrutura de gerenciamento Estrutura A rvore hierrquica abaixo foi definida pela ISO representa a estrutura lgica da MIB, mostra o identificador e o nome de cada objeto.

O n raiz da rvore no possui rtulo mas possui pelo menos trs subnveis, sendo eles: o n 0 que administrado pela Consultative Committe for International Telegraph and Telephone CCITT; o n 1 que administrado pela International Organization for Standartization - ISO; o n 2 que administrado em conjunto pela CCITT e pela ISO. Sob o n ISO fica o n que pode ser utilizado por outras instituies: o org (3), abaixo dele fica o dod (6) que pertence ao departamento de defesa dos EUA. O departamento de defesa dos EUA alocou um sub-n para a comunidade internet, que administrado pela International Activities Board - IAB e abaixo deste n temos, entre outros, os ns: management, experimental, private. Sob o n management ficam as informaes de gerenciamento, sob este n que est o n da MIB II. Sob o n experimental esto as MIBs experimentais. Sob o n private fica o n enterprises e sob este n ficam os ns das indstrias de equipamentos. Como exemplo de um objeto citaremos o ipInReceives do grupo IP: ipInReceives Object Type Object Identifier: 1.3.6.1.2.1.4.3 Access: read-only Syntax: Counter32 Description: O nmero total de datagramas que chegam nas interfaces, incluindo aqueles com erro.

Comandos SNMP Habilitar sries de comunidade SNMP Este procedimento o mesmo para routeres e Cisco IOS Software-Based XL Catalyst switch. 1. Faa um Telnet para o roteador. 2. prompt#telnet 172.16.99.20 3. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 4. Router>enable 5. Password: Router# 6. Mostra a configurao em execuo e busca informaes de SNMP: 7. Router#show running-config 8. Building configuration... 9. .... .... Nota: Se nenhuma informao de SNMP est atual, continuar com estas etapas. Caso haja algum comando de SNMP listado, voc pode modific-lo ou desabilit-lo. 10. V para o modo de configurao: 11. Router#configure terminal 12. Enter configuration commands, one per line. End 13. with CNTL/Z. Router(config)# 14. Usar este comando a fim permitir o string de comunidade (RO) de leitura apenas: Router(config)#snmp-server community public RO no qual "public" a string de comunidade de somente leitura. 15. Usar este comando a fim permitir o string de comunidade da leitura/gravao (RW): Router(config)#snmp-server community private RW onde "private" a srie de comunidade de leitura/gravao. 16. Saia do modo de configurao e volte ao prompt principal: 17. Router(config)#exit Router# 18. Grave a configurao modificada na RAM no-voltil (NVRAM) para salvar as definies: 19. Router#write memory 20. Building configuration... 21. [OK] Router# Verificar sries de comunidade SNMP aqui como verificar sries de comunidade snmp. 1. Verifique se existe uma conectividade TCP/IP entre o servidor NMS (Network Management Server) e o roteador: 2. C:\>ping 172.16.99.20 3. 4. Pinging 172.16.99.20 with 32 bytes of data: 5. Reply from 172.16.99.20: bytes=32 time<10ms TTL=247 6. Reply from 172.16.99.20: bytes=32 time=10ms TTL=247 7. Reply from 172.16.99.20: bytes=32 time<10ms TTL=247 8. Reply from 172.16.99.20: bytes=32 time<10ms TTL=247 9. Ping statistics for 172.16.99.20: 10. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 11. Approximate round trip times in milli-seconds: 12. Minimum = 0ms, Maximum = 10ms, Average = 2ms 13. Faa um Telnet para o roteador. 14. prompt# telnet 172.16.99.20 15. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 16. Router>enable 17. Password: Router#

18. 19. 20. 21. 22. 23. 24.

Mostra a configurao em execuo e busca informaes de SNMP: Router#show running-config .... .... snmp-server community public RO snmp-server community private RW ....

.... Nestas sadas de exemplo, o "pblico" a srie de comunidade de somente leitura e "privada" a srie de comunidade de leitura/gravao. Nota: Se voc no v nenhuma indicaes do "servidor snmp", o SNMP no est permitido no roteador. Alternativamente, executar o comando SNMP da mostra no modo enable. Se voc v esta mensagem, igualmente indica que o SNMP no est permitido no roteador: Router#show snmp %SNMP agent not enabled Router# 25. Saia do modo de habilitao e volte ao prompt principal: 26. Router#disable 27. Router> Modificar sries de comunidade SNMP Terminar estas etapas a fim alterar sries de comunidade snmp. 1. Faa um Telnet para o roteador. 2. prompt# telnet 172.16.99.20 3. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 4. Router>enable 5. Password: Router# 6. Mostra a configurao em execuo e busca informaes de SNMP: 7. Router#show running-config 8. 9. Building configuration... 10. ... 11. ... 12. snmp-server community public RO 13. snmp-server community private RW 14. .... 15. .... 16. V para o modo de configurao: 17. Router#configure terminal 18. Enter configuration commands, one per line. End with CNTL/Z. Router(config)# o A fim alterar o string de comunidade (RO) de leitura apenas atual: a. Suprimir do string de comunidade (RO) de leitura apenas atual com este comando: Pblico de comunidade RO do servidor snmp de Router(config)#no (onde o "pblico" a srie de comunidade de somente leitura) b. Incorporar o string de comunidade (RO) de leitura apenas novo com este comando: a comunidade RO do Router(config)#snmp-server (onde o "" a srie de comunidade de somente leitura) o A fim alterar o string de comunidade atual da leitura/gravao (RW): a. Suprimir do string de comunidade atual da leitura/gravao (RW) com este comando: A comunidade RW privado do servidor snmp de Router(config)#no (onde "privada" a srie de comunidade de leitura/gravao)

b. Incorporar o string de comunidade novo da leitura/gravao (RW) com este comando: a comunidade YYYY RW do Router(config)#snmp-server (onde o "YYYY" a srie de comunidade de leitura/gravao) 19. Saia do modo de configurao e volte ao prompt principal: 20. Router(config)#exit Router# 21. Grave a configurao modificada na RAM no-voltil (NVRAM) para salvar as definies: 22. Router#write memory 23. Building configuration... 24. [OK] Router# Desabilitar/remover sries de comunidade SNMP Terminar estas etapas a fim desabilitar ou remover string de comunidade SMMP. 1. Faa um Telnet para o roteador. 2. prompt# telnet 172.16.99.20 3. Incorporar a senha da possibilidade no alerta a fim incorporar o modo enable: 4. Router>enable 5. Password: Router# 6. Mostra a configurao em execuo e busca informaes de SNMP: 7. Router#show running-config 8. 9. Building configuration... 10. ... 11. ... 12. snmp-server community public RO 13. snmp-server community private RW 14. .... 15. .... 16. V para o modo de configurao: 17. Router#configure terminal 18. Enter configuration commands, one per line. End with CNTL/Z. Router(config)# 19. A fim desabilitar/remover o string de comunidade (RO) de leitura apenas atual, usam este comando: 20. Router(config)#no snmp-server community public RO no qual "pblico" a srie de comunidade de somente leitura 21. A fim desabilitar/remover o string de comunidade atual da leitura/gravao (RW), usam este comando: 22. Router(config)#no snmp-server community private RW em que "privada" a srie de comunidade de somente leitura 23. Saia do modo de configurao e volte ao prompt principal: 24. Router(config)#exit Router# 25. Grave a configurao modificada na RAM no-voltil (NVRAM) para salvar as definies: 26. Router#write memory 27. Building configuration... 28. [OK] Router#

Gerenciando trfego com listas de acesso O que so as Access list As ACLS no so utilizadas somente com o propsito de filtrar trfego IP, elas podem ser utilizadas tambm para definir trfego que esta sujeito ao Network Address Translation (NAT) e o trfego que ser criptografado em uma configurao de VPN, entre outras utilidades. O processamento das ACLs ocorre da seguinte forma: o trfego que entra no roteador comparado com as entradas nas ACLs na ordem em que elas foram escritas. Por isso muito importante tomar cuidado na hora de redigir as ACLs para que um trfego que voc precisa permitir no fique bloqueado atrs de uma entrada na ACL que negue um trfego especfico. Novas linhas da ACL pode ser adicionada ao final da lista e o roteador ou switch de camada 3 ir analisar as linhas da lista at encontrar uma que combine com o trfego especfico. Se nenhuma combinao encontrada na lista, o trfego negado. Existe um entrada negando tudo (deny implcito) ao final da lista de controle de acesso. Por essa razo a lista de controle de acesso precisa ter pelo menos uma linha permitindo o trfego desejado, caso contrrio todo o trfego ser negado. Para exemplificar, analisamos os dois exemplos a seguir, eles tm o mesmo resultado: Exemplo 1: access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Exemplo 2: access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any Alm de definir a origem e o destino do trfego, podemos definir portas de origem e destino, tipos de mensagens ICMP e outros parmentros que ajudam ainda mais a restringir as entradas das listas de acesso que sero aplicadas nas interfaces dos roteadores. Exemplo 3: access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 - permite todos os tipos de mensagens icmp access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 eco-request - permite apenas um tipo de mensagem icmp As listas de controle de acesso s tero efeito depois de aplicadas a uma interface. Uma boa prtica aplicar a ACL na interface mais prxima da origem do trfego. Como mostra o exemplo, quando voc quer bloquear um trfego de uma origem para um destino, voc pode aplicar a ACL na E0 no Router A como inbound, ao invs de aplicar como outbound na interface E1 do Router C. Os termos in, out, source e destination so utilizados como referncia pelos roteadores e possuem os seguintes significados: in: trfego entrante na interface. out: trfego sainte na interface. source: origem do trfego. destination: destino do trfego. IP Access-list ACL padro: esse tipo de ACL existe desde a verso 8.3 do Cisco IOS Software e controla o trfego comparando o endereo de origem dos pacotes IP com o endereo configurado na ACL. A sintaxe da ACL padro a seguinte: access-list access-list-number {permit|deny} {host|source source-wildcard|any} Os nmeros desse tipo de ACL podem ser de 1 a 99, a partir da verso 12.0.1 do IOS foram adicionados os nmeros 1300 a 1999 e a partir da verso 11.2 do IOS podemos identificar uma ACL padro pelo nome. A palavra any substitui qualquer endereo IP e a palavra host indica que a regra se aplica apenas aquele determinado endereo IP. Exemplo 4: access-list 10 permit host 10.10.10.1 - apenas o host 10.10.10.1 ser liberado access-list 10 deny any - todo o trfego restante ser negado. Depois de elaborada a lista de acesso, ela precisa ser aplicada a uma interface. interface <interface> ip access-group number {in|out} Caso a palavra in ou out no for especificado, out fica aplicado como padro. ACL estendida: A lista de acesso estendida possui maior recursos de verificao. Com esse tipo de ACL podemos analisar o IP de origem, o IP de destino, a porta de origem, a porta de destino, os protocolos e alguns outros parmetros.

Os nmeros desse tipo de ACL podem ser de 101 a 199, a partir da verso 12.0.1 do IOS foram adicionados os nmeros 2000 a 2699 e a partir da verso 11.2 do IOS podemos identificar uma ACL estendida pelo nome. Exemplo 5: Router(config)# access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo - nega o trfego de ping Router(config)# access-list 101 permit ip any 10.1.1.0 0.0.0.255 - permite todo o trfego ip Router(config)# interface Ethernet0/1 Router(config-if)# ip address 172.16.1.2 255.255.255.0 Router(config-if)# ip access-group 101 in ACLs Nomeadas: esse tipo de ACL foi criada a partir da verso 11.2 do IOS e permite que ACLs padro e estendida sejam nomeadas. ip access-list {extended|standard} name Exemplo 6: Router(config)# ip access-list extended Saida Router(config-ext-nacl)# permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Router(config)# interface Ethernet0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip access-group Saida in ACLs Reflexivas: esse tipo de ACL foi criada a partir da verso 11.3 do IOS e so utilizadas por exemplo, para quando voc libere um trfego de saida da tua rede local, a resposta desse trfego retorne. Essa tipo de ACL permite somente temporariamente o trfego, as entradas so criadas automaticamente quando uma nova sesso IP incializada e removida quando a sesso termina. Exemplo 7: Router(config)# ip access-list extended name Router(config-ext-nacl)# permit protocol any any reflect name [timeout seconds] Router(config-if)# ip access-group name out ou Router(config-if)# ip access-group name in Comentrios em listas de acesso: os comentrios foram adicionados a partir do IOS 12.0.2.T para tornar mais fcil o entendimento da ACL. Pode ser utilizado em lista de acesso padro e estendida. Exemplo 8: Router(config)# access-list 101 remark permit_telnet Router(config)# access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Ao editar uma ACL tenha sempre muita ateno. Se voc pretende apagar uma linha de ACL numerada, como mostrado, a ACL inteira ser apagada. Exemplo 9: router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#access-list 101 deny icmp any any router(config)#access-list 101 permit ip any any router(config)#^Z router#show access-list Extended IP access list 101 deny icmp any any permit ip any any router# *Apr 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#no access-list 101 deny icmp any any router(config)#^Z router#show access-list router# *Apr 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console

Dica importante: Sempre copie a ACL para um editor de texto, antes de fazer qualquer alterao e de preferncia faa uma cpia de todas as configuraes do equipamento que voc est editando as regras, para que voc tenha em mos a ltima configurao vlida, caso algum problema ocorra. Troubleshooting: Para remover uma ACL de uma interface: v para o modo de configurao da interface e digite um no na frente do comando ip access-group. interface <interface> no ip access-group # in|out O comando show ip access-list (nome ou nmero) mostra a contagem de pacotes que esto combinando com a ACL. router#sh ip access-lists Saida Extended IP access list Saida 10 permit tcp any any established (1848 matches) 20 permit tcp any any eq www (440501 matches) 30 permit tcp any any eq 443 (40147 matches) 40 permit tcp any any eq ftp (222 matches) A palavra log pode adicionada ao final de uma entrada na ACL para mostrar os pacotes que esto combinando com determinada entrada. Router(config)# ip access-list extended Saida Router(config-ext-nacl)# deny ip any any log Para verificar todos os pacotes que esto sendo negados utilize o comando: router# terminal monitor NAT e PAT NAT NAT um protocolo que, como o prprio nome diz (network address translation), faz a traduo dos endereos Ip e portas TCP da rede local para a Internet. Ou seja, o pacote enviado ou a ser recebido de sua estao de trabalho na sua rede local, vai at o servidor onde trocado pelo ip do mesmo substitui o ip da rede local validando assim o envio do pacote na internet, no retorno do pacote a mesma coisa, o pacote chega e o ip do servidor trocado pelo Ip da estao que fez a requisio do pacote. PAT Port Address Translation (PAT) uma caracterstica de um dispositivo de rede que traduz TCP ou UDP comunicaes efectuadas entre os anfitries em uma rede privada e anfitries em uma rede pblica. Ela permite que um nico endereo IP pblico a ser usado por muitos anfitries em uma rede privada, que normalmente uma rede de rea local ou LAN. Um dispositivo transparente PAT modifica pacotes IP como elas passam por ela. As modificaes fazem todos os pacotes que ele envia para a rede pblica a partir de mltiplos hosts na rede privada parece que originam de um nico anfitrio, (o dispositivo PAT) na rede pblica. Port Address Translation (PAT) uma caracterstica de um dispositivo de rede que traduz TCP ou UDP comunicaes efectuadas entre os anfitries em uma rede privada e anfitries em uma rede pblica. Ela permite que um nico endereo IP pblico a ser usado por muitos anfitries em uma rede privada, que normalmente uma rede de rea local ou LAN. Um dispositivo PAT modifica pacotes IP como elas passam por ela. As modificaes fazem todos os pacotes que ele envia para a rede pblica a partir de mltiplos hosts na rede privada parece que originam de um nico anfitrio, (o dispositivo PAT) na rede pblica. Alguns dispositivos que oferecem NAT, como os roteadores de banda larga, na verdade oferecem PAT. Por este motivo, existe uma grande confuso entre os termos. O uso comum do NAT para incluir dispositivos PAT sugere que deve ser considerado um tipo de NAT em vez de uma tecnologia distinta. Relao entre NAT e PAT PAT um subconjunto do NAT, e est estreitamente ligado ao conceito de Network Address Translation. h geralmente apenas um endereo IP expostos publicamente e privadas mltiplas anfitries conectando atravs do endereo expostos. No PAT, tanto do remetente e o nmero de porta IP privados so modificados; o PAT dispositivo escolhe

os nmeros das portas que sero vistas pelos anfitries na rede pblica de. Desta forma, PAT funciona a camada 3 (rede) e 4 (transportes) do modelo OSI, que opera com base NAT s camada 3. Cada pacote TCP contm simultaneamente uma fonte de endereo IP e nmero de porta fonte, bem como um endereo IP destino e destino nmero de porta. Para os servios acessveis ao pblico, tais como servidores Web e servidores de correio do nmero da porta importante. Por exemplo, conecta-se porta 80 do servidor da web software e a porta 25 para um servidor de correio SMTP do domnio. O endereo IP de um servidor pblico tambm importante, semelhante em exclusividade mundial para um endereo postal ou nmero de telefone. Tanto o endereo IP ea porta deve ser corretamente conhecido por todos os hosts que desejam comunicar com xito, dependente do tipo particular de comunicao (por exemplo, web, email, FTP). PAT resolve conflitos que poderiam surgir atravs de dois diferentes host, utilizando o mesmo nmero de porta fonte nica de estabelecer conexes ao mesmo tempo. Com o PAT, todas as comunicaes enviadas para hosts externos realmente conter o endereo IP eo porto informaes do PAT dispositivo host interno em vez de IPs ou nmeros de porta. Visibilidade de Operao O PAT operao normalmente transparente para ambos os hosts internos e externos. Normalmente o anfitrio interno do conhecimento do verdadeiro endereo IP e porta TCP ou UDP externa do hospedeiro. Normalmente o PAT dispositivo pode funcionar como o gateway padro para o host interno. No entanto, o anfitrio s externa cientes do endereo IP pblico para o PAT e ao dispositivo especial porta que est sendo usado para se comunicar em nome de um determinado host interno. Usos do PAT Software de firewalls e dispositivos de acesso rede de banda larga (ADSL roteadores por exemplo) so exemplos de tecnologias de rede que pode conter PAT implementaes. Ao configurar estes dispositivos, a rede externa a Internet ea rede interna uma LAN. Exemplos de PAT Um host em endereo IP 192.168.0.2 na rede privada pode pedir para uma ligao a um anfitrio remoto na rede pblica. O pacote inicial dado o endereo 192.168.0.2:15345. O PAT dispositivo (o que tem que assumir um IP pblico do 1.2.3.4) podem traduzir essa fonte arbitrariamente endereo: porta par para 1.2.3.4:16529, fazendo uma entrada na sua tabela interna que a porta 16529 sendo usado para uma conexo por 192.168. 0,2 na rede privada. Quando um pacote recebido a partir da rede pblica pelo PAT dispositivo para o endereo 1.2.3.4:16529 pacote enviado para 192.168.0.2:15345.

Virtual LAN O que uma Virtual LAN Uma rede local virtual, normalmente denominada de VLAN, uma rede logicamente independente. Vrias VLAN's podem co-existir em um mesmo comutador (switch). O protocolo predominante o IEEE 802.1Q. Antes da introduo do 802.1q, o protocolo ISL da Cisco, uma variante do IEEE 802.10, foi um dos vrios protocolos proprietrios. O ISL desaprovado em favor do 802.1q. As primeiras VLAN's geralmente eram configuradas para reduzir o tamanho do domnio de coliso em um segmento Ethernet muito extenso para melhorar o desempenho. Quando os switch's descartaram este problema (porque eles no tm um domnio de coliso), as atenes se voltaram para a reduo do domnio de broadcast na camada MAC. Dependendo do tipo de configurao, os usurios ganham mobilidade fsica dentro da rede. Um outro propsito de uma rede virtual restringir acesso a recursos de rede sem considerar a topologia da rede, porm este mtodo questionvel. Redes virtuais operam na camada 2 do modelo OSI. No entanto, uma VLAN geralmente configurada para mapear diretamente uma rede ou sub-rede IP, o que d a impresso que a camada 3 est envolvida. Enlaces switch-a-switch e switch-a-roteador so chamados de troncos. Um roteador ou switch de camada 3 serve como o backbone entre o trfego que passa atravs de VLAN's diferentes. Redes virtuais podem ser configuradas de vrias formas; Nvel do protocolo, IP, IPX, LAT, etc. Baseada no endereo MAC. Baseada na sub-rede IP.

Baseada na porta, e portanto, baseada no mundo real, como em departamento de marketing versus finanas. VLAN's podem ser estticas, dinmicas ou dependente da porta. Existem dois mtodos de estabelecer uma VLAN: por marcao de quadro (frame-tagging) e por filtragem de quadro (frame-filtering). A marcao de quadro modifica a informao que est contida dentro do quadro da camada 2, de tal modo que os switch's podem encaminhar o trfego da VLAN para as suas VLAN's de destino e voltar o quadro ao seu formato normal. A filtragem de quadro faz o switch procurar por um certo critrio no quadro da camada 2 e usar este sistema de comparao para encaminhar o trfego para sua VLAN e destino corretos. Um dispositivo de camada 2 pode implementar VLAN's de trs maneiras diferentes; VLAN's abertas (Open VLANs) tm um banco de dados de endereo MAC nico para todas as VLAN's. VLAN's fechadas (Closed VLANs) tm um banco de dados de endereo MAC separado para cada VLAN. VLAN's de modo mixado (Mixed Mode VLANs) podem ser configuradas como aberta ou fechada por VLAN. VLAN's fechadas geralmente so consideradas mais seguras que VLAN's abertas. Trunking O VLAN trunking protocol (VTP) um protocolo que os switches usam para se comunicar uns com os outros e trocar informaes sobre as configuraes da VLAN.

Na imagem acima, cada switch tem 2 VLANs. No primeiro switch, a VLAN A e a VLAN B so enviadas atravs de uma nica porta (trunked) para o roteador e atravs de outra porta para o segundo switch. A VLAN C e a VLAN D utilizam trunking do segundo para o primeiro switch e do primeiro switch para o roteador. Este processo de trunking pode carregar trfego de todas as quatro VLANs. O link de trunking do primeiro switch para o roteador tambm pode carregar dados das quatro VLANs. Na verdade, esta conexo do roteador permite que este mesmo roteador aparea em todas as quatro VLANs, como se existissem quatro portas fsicas diferentes conectadas ao switch. As VLANs podem se comunicar entre si por meio da conexo trunking entre os dois switches utilizando o roteador. Por exemplo, dados do computador na VLAN A que precisam chegar a um computador na VLAN B (ou VLAN C ou VLAN D) devem trafegar do switch para o roteador e novamente para o switch. Devidoao aprendizado automtico e ao trunking, os PCs e o roteador acham que eles esto no mesmo segmento fsico. ISL e 802.1q Trunk ISL: Todo trfego que passa por uma porta trunk ISL (Inter-Switch Link) deve ser encapsulado em um frame ISL. Se um frame no encapsulado chega a uma porta trunk ISL ele descartado. O ISL um padro criado pela Cisco, mas no so todos os switches Cisco que suportam ISL. Trunk 802.1Q: As portas trunk 802.1Q (padro do IEEE) aceitam trfego com e sem tag. Caso um frame seja tagueado ele ser encaminhado para a VLAN referida. Se um pacote chegar sem tag porta trunk ele ser encaminhado para a VLAN default (por padro a VLAN 1, mas pode ser definida pelo usurio).

Roteamento Inter-Vlan Como vocs provavelmente j devam saber, uma VLANs um domnio de Broadcast, portanto podem se comunicar entre si sem problemas. As VLANs tem como objetivo principal, realizar a segmentao de uma rede atravs da criao de multiplos domnios de Broadcast. Porm existem situaes em que precisamos fazer com que as VLANs se comuniquem entre si, e exatamente isso que vamos esclarecer neste post. Dois swicthes conectados entre si, atravs de um Trunk Link, no so capazes de realizar o roteamento de pacotes de uma VLAN para outra Para que haja a comunicao entre dispositivos localizados em diferentes VLANs precisamos obrigatoriamente do auxilio de um dispositivo de camada 3, como por exemplo um Roteador ou mesmo um switch Layer 3 como Catalyst 3550 ou superior, que incorpora as funcionalidades de um Switch L2 + Router L3. Neste post apreasentarei 3 solues possveis de implementao, quando se trata do roteamento entre VLANs, e neste post mostrarei os 4 mtodos de implementao possveis. Soluo 1.

Na soluo 1, do cenrio acima, nosso roteador tem uma interface em cada VLAN, portanto se tivessemos mais VLANs teriamos que ter mais interfaces neste mesmo roteador para que pudesse ser feito o roteamento de pacotes entre todas as VLANs. Cada estao de trabalho, deve utilizar a interface do roteador conectada diretamente a sua rede como Default Gateway. Este default gateway por ter uma interface de rede conectada diretamente a cada uma das VLANs dever fazer o roteamento de pacotes entre elas. Por fim, este cenrio se tornaria invivel, pois conforme nossa rede fosse se tornando maior, mais VLANs seriam criadas, a rede ficaria um tanto complexa, alm de esta soluo se mostrar ineficiente para o crescimento futuro da rede e com um custo muito tambm.

Soluo 2.

Nesta segunda soluo veja que precisamos utilizar um roteador que suporta em suas interfaces os protocolos de encapsulamento 802.1q ou ISL. Note que no desenho acima, o roteador possui uma interface de rede fisica e que esta mesma interface, est sendo dividida em sub-interfaces, sendo que cada uma dessas sub-interfaces atender a uma VLAN especfica. Interface Fastethernet 0/0 Sub-interface Fastethernet 0/0.1 > Suportar a VLAN 1 Sub-interface Fastethernet 0/0.2 > Suportar a VLAN 2 Sub-interface Fastethernet 0/0.3 > Suportar a VLAN 3 Nota: Este mtodo tambm conhecido como Router -on-a-stick Soluo 3. Um outro mtodo que pode ser utilizado para realizarmos o roteamento entre VLANs atravs da utilizao de um Switch Layer 3, da serie 3500. Esta sem dvida a melhor soluo de roteamento entre VLANs, se comparado aos dois mtodos mostrados anteriormente. A implementao deste tipo de soluo, muito mais confivel e de custo aceitvel. No prximo post mostrarei alguns slides, que explicam alguns detalhes de como realizar a configurao do roteamento entre VLANs Entendendo e configurando protocolo VTP O VTP, um protocolo proprietrio Cisco e foi criado pensando nos engenheiros e administradores de rede, a fim de reduzir a sobrecarga da administrao e da possibilidade de erros durante a atualizao de informaes em multiplos switches. Quando uma nova VLAN criada e configurada em um Switch sem o protocolo VTP ativado, o administrador dever fazer a replicao manualmente para todos os outros switches da rede para que eles saibam da existncia das novas VLANs criadas. A configurao de uma VLAN inclui o nmero, nome e mais alguns parmetros. Estas informaes so ento armazenadas na NVRAM do switch e quaisquer alteraes feitas tem que ser replicadas manualmente em todos os switches. Tudo bem se o fato de voc ter que atualizar manualmente estes parmetros dentro da sua rede no o assustam, pelo fato de sua rede ser pequena, mas agora vamos imaginar o fato de voc ter que fazer essas atualizaes em 20 ou 30 switches algumas poucas vezes por semana, para que sua rede pudesse responder s necessidades da sua empresa. Quer pensar um minuto ou j entendeu o motivo da criao do VTP?

Em resumo isto significa que o administrador deve configurar cada switch separadamente, uma tarefa que exige um tempo considervel, dependendo do tamanho da rede, sem contar o fato de erros serem possveis. Com o protocolo VTP configurado e operando, Seus problemas acabaram. isso mesmo, no h mais necessidade de se preocupar, pois voc passar a ter certeza que ao fazer a atualizao de um nico switch denominado VTP Server todos os outros switches, estes denominados VTP Clients sero atualizados com as informaes mais recentes sobre as VLANs. Em resumo, para ter certeza que todos os switches foram realmente atualizados, basta fazer as mudanas de qualquer parmetro no VTP Server e automagicamente todos os outros switches VTP Clients sero atualizados. Modos de Operao Os switches podem operar em 3 modos VTP diferentes e isto o que vamos ver adiante. VTP Server mode VTP Client mode VTP Transparent mode Cada modalidade foi criada para atender a necessidades especficas de uma rede, mas o que vamos ver por hora e o que temos de compreender a finalidade de cada modalidade e o diagrama de rede abaixo vai nos ajudar com isso.

No desenho acima temos 9 switches, sendo 1 o Backbone de nossa rede. Este switch core um Catalyst 3550, que est operando em mode VTP Server, portanto qualquer mudana feita neste switch ser automaticamente replicada para os outros 8 switches. VTP Server: Por default todo o swtich Cisco vem configurado como VTP Server. Todas as informaes, tais como nmero de VLANs e nomes so armazenadas localmente, em uma NVRAM separada onde o startup-config est armazenado. Isto acontece somente quando o switch est no modo VTP Server. Qualquer informao realizada no servidor VTP ser replicada automaticamente para todos os outros switches pertecentes ao mesmo domnio VTP. Para redes pequenas, com um nmero limitado de switches e VLANs, o armazenamento destas informaes geralmente no um problema, mas quando a rede se expande e o nmero de VLANs aumenta, isto se torna um problema e a deciso a ser tomada nesses casos escolher entre os switches da rede o que tenha uma configurao de hardware mais apropriada para ser configurado como VTP Server, enquanto todos os outros switches atuaro como VTP Client. Nota: A conexo entre os Swtiches VTP Client e o VTP Server so feitas atravs de Trunk Links.

VTP Client: No modo VTP Client, todas as informaes sero armazenadas em sua memria RAM, estas informaes so recebidas do VTP Server, no entanto, essa informao tambm salva na NVRAM, por isso, se o switch estiver desligado, no vai perder as informaes sobre as VLANs. Em um switch configurado como VTP Client, no possvel criar, modificar ou apagar qualquer informao sobre as VLANs Na maioria das vezes os switches configurados como VTP Clients esto diretamente conectados ao switch core como mostrado na figura anterior, mas se por alguma razo houverem switches cascateados entre si devero haver Trunks entre os outros switches. VTP Transparent: O modo VTP Transparente um meio termo entre o VTP Server e um cliente, mas no participa no Domnio VTP. Em modo transparente, voc capaz de criar, modificar e apagar VLANs locais, sem afetar qualquer outro switch independentemente do modo em que eles estejam. O switch em modo transparente tambm encaminha atualizaes VTP atravs de de seus links.

Funcionamento do VTP Entender o funcionamento do protocolo VTP, no s para o exame CCNA, mas para seu dia a dia crucial ento, tenha bem claro esses conceitos. O protocolo VTP envia anncios atravs do domnio VTP a cada 5 minutos ou sempre que houver uma alterao nas configuraes da VLAN. Um nmero de reviso da configurao incluido no anncio VTP, como nomes e nmeros das VLANs e informaes sobre cada porta dos switches atribuidas as VLANs. Assim que uma nova configurao feita em um VTP Server, todos os outros switches configurados como VTP Clients que estiverem no mesmo domnio do VTP server ficam sabendo desta nova configurao no mesmo momento. O nmero de reviso da configurao o componente mais importante durante os anncios VTP. A cada vez que um parmetro modificado, um nmero de reviso gerado. O servidor VTP ento anncia via protocolo VTP esse novo nmero para todos os switches do domnio.

Protocolo STP (Spanning tree protocol) O protocolo IEE802.1D e necessidade de utilizao O Spanning Tree um protocolo para sistemas baseados em bridges/switches, que permite a implementao de caminhos paralelos para o trfego de rede, e utiliza um processo de deteco de loops para: Encontrar e desabilitar os caminhos menos eficientes (os com menores largura de banda); Habilitar um dos caminhos menos eficientes, se o mais eficiente falhar. O algoritmo de Spanning Tree determina qual o caminho mais eficiente entre cada segmento separado por bridges ou switches. Caso ocorra um problema nesse caminho, o algoritmo ir recalcular, entre os existentes, o novo caminho mais eficiente, habilitando-o automaticamente. As especificaes do protocolo Spanning Tree so padronizadas pelo IEEE, dentro do conjunto das normas IEEE 802.1D. Como o STP trabalha:

spanning_tree1.swf

Root Bridge e BPDU Eleio da Bridge Raiz:

Para um melhor entendimento da eleio de uma bridge raiz em uma rede com topologia redundante necessrio que se tenha conhecimento de alguns parmetros importantes, so eles: - BPDUs (Bridge Protocol Data Units unidades de dados de protocolos de bridge) so mensagens que os dispositivos enviam uns aos outros. As mensagens da BPDU so enviadas entre a bridge raiz e as melhores portas nos outros dispositivos, que so chamados de root ports (portas raiz). As BPDUs transferem mensagens de status sobre a rede. - Bridge Identifiers (BID) Cada Bride tem um indentificador de 64 bits nico que usado quando feito um multicast para identifica-la durante a propagao. - Bridge Priority Cada bridge tem uma prioridade padro definida para efeito de eleio da root bridge, o menor valor de prioridade ter preferncia na eleio. O valor padro 32768, portanto necessrio um critrio de desempate para a eleio da bridge raiz, esse critrio o endereo MAC da bridge, sendo o de menor valor eleito como root bridge. A prioridade da bridge pode ser alterada administrativamente para forar a eleio de uma bridge como raiz. - Path Cost (custo de caminhos) Cada porta de uma bridge tem um custo definido de acordo com a largura de banda atribuida para a mesma. O IEEE define custos padres para cada tipo de velocidade de porta, esses custos foram recentemente alterados devido a inconsistncias de caminhos de velocidades gigabit, os dois padres so descritos abaixo: Padro Antigo: - 10 Gbps = custo 1 Padro Novo: 10 Gbps = custo 2

- 1 Gbps = custo 1 - 100 Mbps = custo 10 - 10 Mbps = custo 100

1 Gbps = custo 4 100 Mbps = custo 19 - 10 Mbps = custo 100

Outro fator a ser observado a eleio de um melhor caminho em redes com caminhos redundantes de mesmo custo, caso isso ocorra o primeiro critrio de desempate ser o valor de prioridade da porta. Esse valor de 128 por padro, podendo ser definido um novo valor administrativamente. Caso se tenha a necessidade de definir um valor de prioridade para forar a eleio de um dado caminho como melhor preciso definir um valor de prioridade menor para a porta. O segundo critrio de desempate para eleio do melhor caminho e o N fsico da porta, sendo o de menor valor prioritrio na eleio. - Port Priority (prioridade da porta) Valor de prioridade para eleio de melhor caminho, sendo o padro 128, podendo ser administrativamente para menor ou para maior, em incrementos de 4. Com base nestas informaes, a eleio da root bridge se dar dentro da execuo do STP, que por sua vez encaminhar BPDUs para efetuar a troca de informaes (acima citadas). Se no houver nenhuma modificao administrativa a eleio da root bridge se dar pelo menor endereo MAC da bridge da rede. Depois de feita a eleio, caso a root bridge pare de enviar BPDUs uma nova eleio ser efetuada pelas outras bridges constantes na rede. Bridges e switches Ethernet podem implementar o Spanning-Tree Protocol IEEE 802.1d e usar o algoritmo spanning-tree para construir uma rede de caminho mais curto sem loops. O caminho mais curto se baseia em custos de link cumulativos. Os custos dos links se baseiam na velocidade desses links. O Spanning-Tree Protocol estabelece um n raiz chamado de bridge raiz, que a origem da rvore STP. Esse protocolo constri uma topologia que tem pelo menos um caminho para cada n da rede. Os links redundantes que no fazem parte da rvore STP so bloqueados, evitando os Loops de Comutao. Os switches enviam mensagens chamadas BPDUs (unidades de dados de protocolo de bridge) para permitir a formao de uma topologia lgica sem loops. As BPDUs continuam a ser recebidas nas portas bloqueadas, para garantir que, se um caminho ou dispositivo ativo falhar, uma nova spanning-tree poder ser calculada.

As BPDUs tem as seguintes funes: Selecionar um nico switch que atuar como raiz da spanning-tree. Calcular o caminho mais curto de si mesmo at o switch raiz. Designar um dos switches como sendo o mais prximo da raiz, para cada segmento da LAN. Este switch chamado de switch designado. O switch designado trata de toda comunicao da LAN para a bridge raiz. Escolher uma de suas portas como porta raiz, para cada switch no raiz. Essa a interface que fornece o melhor caminho at o switch raiz. Selecionar as portas que fazem parte da spanning-tree. Essas portas so chamadas de portas designadas. As portas no designadas so bloqueadas.

 altamente necessrio se conhecer os campos do pacote da BPDU para se ter a exata idia da troca de informes, abaixo esto detalhados os campos de uma BPDU na ordem exata de transmisso: - Protocolo ID (identificador do protocolo) Contem valor 0 - Version (verso) Contm valor 0 - Message Type (Tipo de Mensagem) Contm o valor 0 - Flags Este campo pode conter um entre dois eventos; alterao na topologia ou aceitao na modificao da topologia - Root ID (Identificador raiz) BID da bridge raiz dentro do STP do Segmento. - Root Path Cost (Custo do caminho at a Raiz) Custo acumulado da porta root at a bridge raiz. - Bridge ID (Identificador da Bridge) ID da Bridge que est enviando o BPDU, este usado para criar a rvore STP. - Port ID (Identificador da Porta) ID da porta que est enviando o BPDU. Este usado para identificar e eliminar loops na rede STP por outras bridges. - Message Age (Idade da Mensagem) Define por quanto tempo uma bridge ir publicar as BPDUs dentro do estado em que a rede se encontra. Isso evita que pacotes BPDUs sejam constantemente enviados para uma bridge que no est ativa ou esteja desligada. - Maximum Age (Idade Mxima) Define o tempo em que a rede manter a informao de um destino na tabela STP. Expirado este tempo a rede inteira ir invocar o STP para efetuar a alterao na topologia atravs das BPDUs. Esse parmetro importante pois define uma execuo do STP na rede de forma uniforme e em paralelo entre as bridges. - Hello Time (tempo de al) Intervalo de envio de uma BPDU para outra. -Forwarding Delay (Latncia de encaminhamento) Tempo restante em que a porta ir permanecer em um determinado estado. O Protocolo Spanning-Tree utiliza dois conceitos importantes ao criar uma topologia lgica livre de laos. Esses conceitos so a identificao da bridge (BID) e o custo do caminho. Para cada rede comutada, existem os seguintes elementos: Uma bridge raiz por rede Uma porta raiz por bridge no raiz Uma designated port (porta designada) por segmento Non-designated ports (Portas no designadas) so inutilizadas

Quando a rede est estabilizada, ela convergiu e h uma spanning-tree por rede. As portas raiz e as portas designadas so usadas para encaminhar trfego de dados. As portas no designadas descartam o trfego de dados, essas portas so chamadas de portas de bloqueio ou de descarte.

Estados das Portas: O estado de uma porta define em que fase o STP est na construo de uma rede sem loops. Este recurso possibilita que cada switch monte sua prpria tabela STP em paralelo a outras switches de rede. No padro IEEE 802.1d os estados de portas e seus respectivos tempos so: Porta Desativada Este estado refere-se quando a porta est desabilitada ou com defeito fsico. Este estado o padro quando a switch est desligada (Sem alimentao de energia) Porta ativa:

- Blocking (20 segundos) Neste estado a somente vai ouvir os BPDUs de outras switches, no processando os dados destas e nem encaminhando dados do trafego normal da rede. Como padro este estado definido para um switch quando este ligado ou definido para uma porta quando um novo dispositivo plugado. Se a porta for desativada ou tiver problemas fsicos esta volta para o estado de Desativada. - Listening (15 segundos) Neste estado a porta ir processar os BPDUs para a construo da topologia ativa da rede isenta de loops (permanecendo sem encaminhar dados de usurios) e para estabelecer um melhor caminho para chegar na root bridge (root path) ou no prximo switch (designate path), neste momento o link fica ativo. Se a porta no tiver o melhor custo ou a prioridade for inferior a outras portas para o mesmo destino (Root path ou Designate path) est voltar para o estado de bloqueio permanecendo neste at que haja a necessidade de ativ-la (Perda do caminho principal). Se a porta for desativada ou tiver problemas fsicos esta volta para o estado de Desativada. - Learning (15 Segundos) Neste estado a porta continuar a processar os BPDUs e ir construir a tabela de endereos MAC (CAM), permanecendo sem encaminhar dados de usurios. Se a porta no designada como uma Root path ou Designate path est voltar para o estado de bloqueio permanecendo neste at que haja a necessidade de ativ-la (Perda do caminho principal). Se a porta for desativada ou tiver problemas fsicos esta volta para o estado de Desativada. - Forwarding Neste estado a porta comea a encaminhar o trafego normal da rede, dizemos ento que a rede convergiu. Fazer lab de 7.2.4 e 7.2.5 Para melhorar a performance da rede a CISCO desenvolveu algumas tecnologias em switches para aumentar a velocidade na convergncia do STP, so elas: - Fast Port (porta rpida): As portas fast foram desenvolvidas para a conexo de sistemas finais, como hosts em rede, convergindo em menos de 5 segundos, pois a passagem pelo estado de bloqueio na necessria, e a passagem pelos estados de escuta e aprendizado no dura mais que 5 segundos. - Uplink Fast (ligao rpida): Tecnologia aplicada em switches de distribuio onde a convergncia por alterao da rede feita em menos de 3 segundos, esta mgica possvel pois a switche de distribuio necessita mesmo de verificar os root path e designate path redundantes livres de loops. - Backbone Fast (backbone rpido): Usado para diminuir o tempo de parada dos switches concentradores, tempo estimado para a convergncia de 15 a 30 segundos.

Opcional Caractersticas de Convergncia STP EtherChannel: fornece uma maneira de evitar STP convergncia de ser necessria quando apenas uma nica porta / cabo falha ocorre. Combina 2-8 Ethernet troncos paralelos entre mesmo par de switch, que trata STP como um nico link. Tambm proporciona maior largura de banda. Ambos os links para as mesmas no devem mudar para mudar para uma necessidade STP convergncia. PortFast: Permite mudar para um local um porto no estado encaminhando imediatamente quando a porta se torna fisicamente ativos (feito com segurana apenas quando dispositivo no uma ponte / switch). Cisco BPDU Guarda Feature: Se ativado, diz o interruptor para desativar PortFast portos se BPDU recebido sobre os portos. STP Security

Rapid STP (802.1w)

O IEEE homologou um novo padro para melhor otimizao da convergncia do STP. Este mtodo preserva o clculo de prioridades existentes no 802.1d, onde as portas raiz (root path) e as portas designadas (designate path) continuam, porm um novo papel para a porta que est no estado de blocking definido. Este estado agora ser dividido em dois outros estados, so estes: - Alternativa: Recebe BPDUs de portas de outra bridges -Backup: Recebe BPDUs das outras portas da sua prpria bridge. O RSTP utiliza as seguintes definies para as funes das portas: Raiz: uma porta de encaminhamento eleita para a topologia de spanning-tree (usa os cincos estados). Designada: uma porta de encaminhamento eleita para cada segmento de LAN comutada (usa os cinco estados). Alternativa: um caminho alternativo bridge raiz, fornecido pela porta raiz atual (usa trs estados) Backup: um backup do caminho fornecido por uma porta designada para as folhas do spanning tree. As portas de backup s podem existir onde duas portas esto conectadas em um loopback por um enlace ponto-a-ponto ou uma bridge com pelo menos duas conexes a um segmento de rede local compartilhada (usa trs estados) Desativada: uma porta que no possui nenhuma funo na operao do spanning tree (usa os cinco estados)

Uma porta raiz ou a funo de porta designada inclui a porta na topologia ativa. Uma porta alternativa ou a funo de porta de backup exclui a porta da topologia ativa. O RSTP define as funes de portas adicionais alternate (alternativa) e backup e define os seguintes estados das portas: - discarding (descarte) no recebe nem envia BPDUs - learning (aprendizado) Processa os BPDUs - forwarding (encaminhamento) Encaminha dados de usurios. Conceito de permitir que os switches de uma rede convergente gerem BPDUs em vez de retransmitir as BPDUs da bridge raiz. Com isso as bridges da rede se tornam autosuficiente, podendo por exemplo entrar no modo de forwarding em um link que est conectado a um dispositivo final (host). Este conceito possvel pelo adendo de um rtulo nas portas da switch, o de Edge Port (Porta de acesso) ou de Link (porta trunk). Em uma topologia estvel, o RSTP garante que cada porta raiz e porta designada passe para encaminhamento, enquanto todas as portas alternativas e portas de backup esto sempre no estado de descarte. Com essas alteraes, a convergncia da rede no deve levar mais do que 15 segundos.

Comandos para a configurao de uma rede redundante e para configurar o STP dentro da definio de uma root bridge administrativamente configurada Nas portas de link dos switches:

Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunk Switch(config-if)# no shutdown Ou Switch(config-if)# switchport mode access Switch(config-if)# no shutdown Ativando a vlan 1

Switch(config)# interface vlan 1 Switch(config-if)# no shutdown Visualizando e alterando o modo do STP.

Switch# show interface vlan 1 (Vizualiza o endereo MAC do Switch e as informaes pertinentes a Vlan 1 global do switch) Switch# show spanning-tree brief (Exibe a tabela STP com as informaes da root bridge, da bridge em questo) 12.0 do IOS. Switch# show spanning-tree (Exibe a tabela STP com as informaes da root bridge, da bridge em questo) 12.1 do IOS. Switch(config)# spanning-tree priority 4096 (altera a prioridade do switch) Ver. 12.0 Switch(config)# spanning-tree vlan 1 priority 4096 (altera a prioridade do switch) LAN Switches Modelo hierrquico projetos CISCO Antigamente, usava-se muito uma rede com estrutura chamada Collapsed Backbone o Toda a fiao vai das pontas para um lugar central (conexo estrela) o O nmero de fios no era problemtico quando as pontas usavam "shared bandwidth" com cabo coaxial em vez de hubs ou switches o Oferece facilidade de manuteno o Ainda bastante usado Hoje, com rede maiores, usa-se cada vez mais uma estrutura hierrquica Um modelo hierrquico ajuda a desenvolver uma rede em pedaos, cada pedao focado num objetivo diferente Um exemplo de uma rede hierrquica aparece abaixo As 3 camadas mostradas: o Camada core: roteadores e switches de alto desempenho e disponibilidade o Camada de distribuio: roteadores e switches que implementam polticas o Camada de acesso: conecta usurios com hubs e switches

Por que usar um modelo hierrquico? Uma rede no estruturada (espaguete) cria muitas adjacncias entre equipamentos o Ruim para propagao de rotas Uma rede achatada (camada 2) no escalvel devido ao broadcast Minimiza custos, j que os equipamentos de cada camada sero especializados para uma determinada funo o Exemplo: Usa switches rpidos no core block, sem features adicionais Mais simples de entender, testar e consertar Facilita mudanas, j que as interconexes so mais simples A replicao de elementos de torna mais simples

Permite usar protocolos de roteamento com "sumarizao de rotas" Comparao de estrutura hierrquica com a plana para a WAN o Pode-se usar um loop de roteadores OK para redes pequenas Para redes grandes, o trfego cruza muitos hops (atraso mais alto) Qualquer quebra fatal

Roteadores redundantes numa hierarquia do: Mais escalabilidade Mais disponibilidade Atraso mais baixo

Comparao de estrutura hierrquica com plana para a LAN o O problema bsico que um domnio de broadcast grande reduz significativamente o desempenho o Com uma rede hierrquica, os equipamentos apropriados so usados em cada lugar

Roteadores (ou VLANs e switches de camada 3) so usados para delimitar domnios de broadcast Switches de alto desempenho so usados para maximizar banda passante Hubs so usados onde o acesso barato necessrio Topologias de full-mesh e mesh hierrquica o A full-mesh oferece excelente atraso e disponibilidade mas muito cara o Uma alternativa mais barata uma mesh parcial o Um tipo de mesh parcial a mesh hierrquica, que tem escalabilidade mas limita as adjacncias de roteadores o Para pequenas e mdias empresas, usa-se muito a topologia hub-and-poke

Topologia Full Mesh

Topologia Mesh Parcial

Topologia Hub-and-Spoke O modelo hierrquico clssico em 3 camadas Permite a agregao (juno) de trfego em trs nveis diferentes um modelo mais escalvel para grandes redes corporativas Cada camada tem um papel especfico o Camada core: prov transporte rpido entre sites o Camada de distribuio: conecta as folhas ao core e implementa polticas Segurana Roteamento Agregao de trfego o Camada de acesso Numa WAN, so os roteadores na borda do campus network Numa LAN, prov acesso aos usurios finais A camada core o Backbone de alta velocidade o A camada deve ser projetada para minimizar o atraso o Dispositivos de alta vazo devem ser escolhidos, sacrificando outros features (filtros de pacotes, etc.) o Deve possuir componentes redundantes devida sua criticalidade para a interconexo o O dimetro deve ser pequeno (para ter baixo atraso) LANs se conectam ao core sem aumentar o dimetro o A conexo Internet feita na camada core A camada de distribuio o Tem muito papeis Controla o acesso aos recursos (segurana) Controla o trfego que cruza o core (desempenho) Delimita domnios de broadcast Isso pode ser feito na camada de acesso tambm Com VLANs, a camada de distribuio roteia entre VLANs Interfaceia entre protocolos de roteamento que consomem muita banda passante na camada de acesso e protocolos de roteamento otimizados na camada core Exemplo: sumariza rotas da camada de acesso e as distribui para o core Exemplo: Para o core, a camada de distribuio a rota default para a camada de acesso Pode fazer traduo de endereos, se a camada de acesso usar endereamento privativo

Embora o core tambm possa usar endereamento privativo A camada de acesso o Prov acesso rede para usurios nos segmentos locais Frequentemente usa apenas hubs e switches

Restaurao e backup Opes do Cisco IOS para os Arquivos de Configurao O Cisco IOS oferece algumas informaes para o gerenciamento dos Arquivos de Configurao. H um Arquivo de Configurao em execuo na memria RAM e outro armazenado na NVRAM. Os arquivos que existem na RAM e NVRAM podem ser exibidos no console e salvos no host TFTP. Os arquivos que esto no host TFTP podem ser copiados de volta para ambas as memrias, RAM e NVRAM. Os arquivos na RAM e NVRAM podem ser movidos para os locais de storage (host TFTP). Sua nica opo de alterao de configurao do Arquivo de Configurao no Modo de Configurao. No h como editar o arquivo armazenado na NVRAM.

RAM / NVRAM A NVRAM pode ser apagada. Contudo a RAM no. Somente no momento do boot, o Arquivo de Configurao no estar na RAM. O Modo de Configurao Para entrar no Modo de Configurao, digite o comando no Modo Privilegiado 'configure terminal' e assim voc poder editar o Arquivo de Configurao. Enquanto voc estiver neste modo, qualquer alterao ser imediata. Como j dito, no h como editar o Arquivo de Configurao que est na NVRAM, porm voc pode apag-lo ou troc-lo inteiramente. O comando 'show' O comando 'show' pode ser degustado de vrias formas, puro ou com caf. Veja as opes: O comando 'show' retorna um relatrio completo do roteador. O comando 'show running-config' mostra a configurao atual do Arquivo de Configurao na memria RAM. (Todas as alteraes que voc fizer, iro aparecer aqui e no na NVRAM).

O comando 'show startup-config' mostra a configurao do Arquivo de Configurao armazenado na NVRAM. Toda vez que roteador inicializado, este arquivo carregado na RAM. Cpia dos Arquivos de Configurao O comando 'copy' faz uma cpia dos Arquivos de Configurao para (e de) host TFTP Server e entre as duas memrias que lidam com isto (RAM e NVRAM). Ele possui dois argumentos: 01. O nome do arquivo fonte de onde este se origina; 02. Nome do arquivo destino para onde o arquivo vai. Cpia dos Arquivos de Configurao para (e do (a)) o host TFTP e Memria RAM A seguir os dois comandos para se trabalhar com isto. "copy running-config tftp" Comando do modo privilegiado que copia o Arquivo de Configurao atual para o servidor TFTP. "copy tftp running-config" Comando do modo privilegiado que pega o Arquivo de Configurao de volta do servidor TFTP e o leva at a RAM. Cpia dos Arquivos de Configurao para (e do (a)) o host TFTP e Memria NVRAM Os dois comandos para trabalhar com isto so: "copy startup-config tftp" Comando do modo privilegiado que copia o arquivo de configurao backup (que est na NVRAM) para o servidor TFTP. "copy tftp startup-config" Comando do modo privilegiado que pega de volta o Arquivo de Configurao do host TFTP de volta para a NVRAM. Copiar entre as Memrias RAM e NVRAM J para copiar entre as memrias do roteador (RAM e NVRAM) os dois comandos a seguir so utilizados: "copy running-config startup-config" Comando do modo privilegiado que copia o Arquivo de Configurao da RAM para a NVRAM. Isto cria uma cpia de backup do Arquivo de Configurao na NVRAM. Utilize sempre este comando quando verificar que as alteraes so permanentes e sempre sero reutilizadas em caso de reinicializao do roteador. "copy startup-config running-config" Comando do modo privilegiado que copia o Arquivo de Configurao da NVRAM para a RAM.

Trocar o Arquivo de Configurao na Memria RAM Quando um arquivo movido para a RAM de qualquer local de storage (host TFTP ou NVRAM), na realidade o roteador no apaga o Arquivo ativo na RAM e escreve outro. Ele acrescenta os novos comandos no arquivo ativo. O roteador no faz isto por que ele utiliza o Arquivo de Configurao constantemente. Se o Arquivo de Configurao desaparecer (nem que seja por segundos ou menos que isto) durante o processo de cpia, o roteador para de funcionar. Isto significa que os roteadores e switches da Cisco oferecem suporte a alteraes "on-the-fly" sem que um novo arquivo precise ser feito ou mesmo reiniciado. Se o Arquivo de Configurao contiver configuraes que o arquivo oriundo de qualquer fonte no tiver (ou vice-versa) estas configuraes ainda estaro na ativa depois do processo de cpia. Mas estes no sero utilizados. Modificar o Arquivo de Configurao Ativo O Arquivo de Configurao ativo pode ser configurado para uma particular funo e, ainda assim, o arquivo "novo" que est sendo enviado para a RAM, poder conter configuraes que entraro em contraste com a configurao ativa. Nestes casos, o Arquivo de Configurao ativo modificado para refletir a nova configurao requerida pelo administrador, que fez seu novo Arquivo de Configurao ou est copiando da RAM, NVRAM ou host TFTP. Trocar o Arquivo de Configurao no host TFTP Assim como os comandos de cpia de arquivos do Unix ou DOS, quando um arquivo for movido para o servidor TFTP o arquivo vindo do roteador ser colocado no servidor TFTP com o mesmo nome que foi inserido. Cpia do Arquivo de Configurao para a NVRAM Quando um arquivo movido para a NVRAM, o arquivo que estiver l (se houver algum) ser apagado, e o novo arquivo ocupar todo o volume da NVRAM. Este processo de sobrescrita necessrio na NVRAM durante o processo de cpia para assegurar que o arquivo est como . Se o processo fosse semelhante a RAM, erros poderiam acontecer se muitos arquivos de configuraes fossem salvos. Apagar o Arquivo de Configurao Backup Para apagar o arquivo de configurao, utilize o comando 'erase startup-config'. No necessrio executar este comando partindo do princpio de que se copiando um Arquivo de Configurao para NVRAM do host TFTP ou RAM, o que est armazenado na NVRAM ir se apagar. Nunca utilize este comando sem que um arquivo novo seja colocado na NVRAM, pois assim ao reiniciar o roteador, o mesmo no ir encontrar o Arquivo de Configurao e voc ir entrar no modo Setup.

Visualizando o Arquivo de Configurao Ativo Os efeitos do comando 'show running-config' so mostrados aqui. O Arquivo de Configurao uma coleo de vrias configuraes. Estas configuraes so coletadas a partir das diversas reas operacionais para a memria RAM antes de elas serem exibidas como um arquivo texto. A frase exibida "building configuration" antes do Arquivo de Configurao ser exibido nada mais do que o Cisco IOS coletando informaes do sistema.

Visualizando o Arquivo de Configurao Backup Para visualizar o Arquivo de Configurao na NVRAM, basta digitar o comando 'show startup-config' no Modo Privilegiado. So exibidos tambm informaes como o tamanho do arquivo na NVRAM e toda a capacidade de armazenamento da NVRAM. O Arquivo de Configurao backup armazenado como um arquivo nico e pode ser facilmente visualizado.

Realizando e Restaurando o Backup do Arquivo de Configurao Utilize os comandos a seguir para realizar e restaurar backup do Arquivo de Configurao. 'copy running-config startup-config' Comando do Modo Privilegiado que cria um Arquivo de Configurao Backup na NVRAM. A frase 'building' e em seguida a palavra 'OK' mostram o sucesso deste processo. "copy startup-config running-config" Este comando do Modo Privilegiado copia o Arquivo da NVRAM para a memria RAM. Nota: Se o nome do roteador for diferente, o prompt vai mudar o nome do arquivo para este, ou seja, diferente do que est aqui no exemplo.

O Comando 'copy running-config tftp' Utilize o comando 'copy running-config tftp' para copiar o Arquivo de Configurao para o host TFTP. Voc tem que responder s perguntas que ele fizer. A primeira vai lhe questionar sobre o endereo IP do servidor TFTP. Voc tem que fornecer o endereo ou o nome do host (neste ltimo a resoluo de nomes deve estar configurada).

Digitando um Nome para o Arquivo A prxima pergunta que ser feita a respeito do nome do arquivo que ser criado no host TFTP. O padro : '<nome do roteador> config.' Para colocar o arquivo em outro diretrio padro definido pelo servidor TFTP, incluindo o caminho completo, deve-se configurar o host TFTP para aceitar somente transferncias para o local padro. Apesar de existirem outras opes de configurao no host TFTP, o roteador no consegue trabalhar com elas.

Confirmando a Operao Finalmente voc ser perguntado se deseja concluir a operao e caso esteja convicto disto, tecle ENTER ou digite 'yes' para continuar, caso contrrio, digite 'no'. Uma fez respondidas as perguntas e confirmada a operao, a cpia ocorrer. Cada &&&&&&&& representa aproximadamente um pacote TFTP de 500 bytes. Por fim o roteador exibe uma frase confirmando que a cpia foi feita.

O Comando 'copy startup-config tftp' Para copiar o Arquivo de Configurao da NVRAM para o host TFTP utilize o comando 'copy startupconfig tftp' que vai iniciar uma seqncia de prompt igual rotina do comando 'copy running-config tftp'. A nica diferena o resultado da operao. Neste exemplo, o Arquivo de Configurao proveniente da NVRAM copiado para o host TFTP indicado. Note tambm que o Arquivo de Configurao no construdo antes da cpia. O arquivo de configurao que na NVRAM est armazenado em formato texto, estando instantaneamente pronto para o processo de cpia.

Copiando o Arquivo de Configurao do host TFTP para a Memria RAM Para realizar a cpia do host TFTP para a memria RAM utilize o comando 'copy tftp running-config' do Modo Privilegiado que pega o arquivo do host TFTP para a memria RAM. As perguntas que sero feitas so muitas vezes parecidas com as do comando 'copy running-config tftp', excetuando-se pela primeira pergunta a voc se deseja copiar um 'host configuration file' ou um 'network configuration file'. Um 'host configuration file' um arquivo que nico de um roteador. Um 'network configuration file' um arquivo que pode ser reutilizado em vrios outros roteadores.

Selecionando o Arquivo Em nosso caso o que importa a primeira opo (host configuration file). Simplesmente pressione ENTER para aceitar a opo padro 'host configuration file'. O roteador lhe questionar sobre o endereo IP do host TFTP e em seguida pelo nome do arquivo. O padro de nome do arquivo o nome do arquivo "trao" 'confg' se voc especificou 'host configuration file'. Caso precise de um arquivo 'network configuration file' o padro de nome 'network-confg'.

O Comando 'copy tftp startup-config' Para copiar o Arquivo de Configurao do host TFTP para a NVRAM utilize o comando 'copy tftp startupconfig' do Modo Privilegiado que vai iniciar o dilogo para copiar o Arquivo de Configurao do host TFTP para a NVRAM. As perguntas que sero perguntas a voc so muito parecidas com aquelas do comando 'copy tftp running-config'. No h prompt para arquivo 'host' ou arquivo 'network'.

O comando 'erase startup-config' Para apagar o Arquivo de Configurao da NVRAM utilize o comando 'erase startup-config' do Modo Privilegiado. Mas provavelmente voc nunca utilizar este comando, uma vez que a NVRAM apagada toda vez que um novo Arquivo de Configurao armazenado nela.

Troubleshooting redes cisco: Design de Rede - roteando com OSPF - troubleshooting Um engenheiro de rede estava tendo dificuldades em rotear o trfego pelos links de maior banda do site que ele mesmo havia "desenhado" .

A parte da rede que importa neste problema era mais ou menos como a rede abaixo:

O problema era que os usurios conectados ao roteador R1 estavam roteando pelos links de menor banda (512k) para chegar a redes conectadas ao roteador R5. O que ele desejava era rotear da seguinte forma:

Seguindo os links de maior banda 1Mbps Fica claro pelo desenho da rede que isso no ia ser possvel! Vamos analisar a tabela de roteamento do roteador R1: r1#sir | b Gate Gateway of last resort is not set 172.16.0.0/24 is subnetted, 5 subnets O 172.16.45.0 [110/391] via 172.16.12.2, 00:01:57, Ethernet0/0 O 172.16.34.0 [110/200] via 172.16.13.3, 00:01:57, Ethernet0/1 O 172.16.24.0 [110/390] via 172.16.12.2, 00:01:57, Ethernet0/0 C 172.16.12.0 is directly connected, Ethernet0/0 C 172.16.13.0 is directly connected, Ethernet0/1 Agora se analisarmos os custos dos links nos roteadores R2 e R3 vamos ver q os custos so menores no caminho R1 -> R3 -> R4. r2#sh ip ospf interface br Interface PID Area IP Address/Mask Cost State Nbrs F/C Et0/1 1 0 172.16.24.2/24 195 BDR 1/1 Et0/0 1 0 172.16.12.2/24 195 DR 1/1 r3#sh ip ospf interface br Interface PID Area IP Address/Mask Cost State Nbrs F/C

Et0/0 1 1 172.16.13.3/24 100 DR 1/1 Et0/1 1 1 172.16.34.3/24 100 BDR 1/1 Ento, porque R1 estava escolhendo o pior caminho para chegar at a rota 172.16.45.0/24? E, mais uma vez, quem realmente conhece o protocolo OSPF sabe a resposta. Vamos matar um dos links no R2 somente para verificar que a rota pelo caminho de maior banda existe: r1(config)#int e0/0 r1(config-if)#shut r1(config-if)# *Mar 1 00:17:28.387: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.24.2 on Ethernet0/0 from FULL to DOWN, Neighbor Down: Interface down or detached r1(config-if)#end r1# *Mar 1 00:17:30.371: %LINK-5-CHANGED: Interface Ethernet0/0, changed state to administratively down *Mar 1 00:17:30.587: %SYS-5-CONFIG_I: Configured from console by console *Mar 1 00:17:31.371: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down r1#sh ip route | b Gatew Gateway of last resort is not set 172.16.0.0/24 is subnetted, 5 subnets O IA 172.16.45.0 [110/201] via 172.16.13.3, 00:00:08, Ethernet0/1 O 172.16.34.0 [110/200] via 172.16.13.3, 00:00:08, Ethernet0/1 O IA 172.16.24.0 [110/395] via 172.16.13.3, 00:00:08, Ethernet0/1 O IA 172.16.12.0 [110/590] via 172.16.13.3, 00:00:08, Ethernet0/1 C 172.16.13.0 is directly connected, Ethernet0/1 Podemos ver que o custo para essa rede pelo caminho do roteador R3 de apenas 201 , enquanto pelo R2 o custo (maior) de 391. Ento, por que R1 no est roteando da maneira desejada? Vamos ver como a situao muda ao redistribuirmos a rota dentro do OSPF e no mais divulgarmos a mesma diretamente com o comando "network"

r4(config)#router ospf 1 r4(config-router)#no network 172.16.45.4 0.0.0.0 area 0 r4(config-router)#redistribute connected subnets metric-type 1 r4(config-router)#end r1#sh ip route (...) 172.16.0.0/24 is subnetted, 5 subnets O E1 172.16.45.0 [110/220] via 172.16.13.3, 00:00:00, Ethernet0/1 O 172.16.34.0 [110/200] via 172.16.13.3, 00:00:00, Ethernet0/1 O 172.16.24.0 [110/390] via 172.16.12.2, 00:00:00, Ethernet0/0 C 172.16.12.0 is directly connected, Ethernet0/0 C 172.16.13.0 is directly connected, Ethernet0/1 r1#traceroute 172.16.45.4 Type escape sequence to abort. Tracing the route to 172.16.45.4 1 172.16.13.3 96 msec 140 msec 96 msec 2 172.16.34.4 116 msec * 140 msec Vemos que agora o trfego segue pelo caminho de maior banda! Acho que agora ficou mais fcil de entender o que est acontecendo! ---------Parte 3 : Soluo De acordo com a RFC 2328 seo 11, a ordem de preferncia para as rotas OSPF : rotas intra-area, O rotas interarea, O IA rotas externas tipo 1, O E1 rotas externas tipo 2, O E2

Essa ordem no pode ser mudada dentro do mesmo processo OSPF e por isso uma rota do tipo O IA (area 1, no nosso exemplo) nunca vai ter preferncia (mesmo com um menor custo) sobre uma rota do tipo intra-area (dentro da area 0 no nosso exemplo). Uma forma alternativa seria criar mais um processo de OSPF no mesmo router e trabalhar com distncia administrativa. Mas idealmente, o melhor evitar desenhar a rede de forma que este tipo de problema acontea.

Troubleshooting avanado em Roteamento com OSPF em roteadores Cisco Um dia, enquanto trabalhava para um empresa que eu havia acabado de assumir a rede, me pediram para acrescentar um novo endereamento para o uso em uma rede wireless que estava sem IPs disponveis para os clientes. Essa rede havia sido suportada por um time local durante muitos anos, e digamos, existiam algumas (muitas) configuraes "estranhas" na rede. A rede onde a nova subnet para wireless seria acrescentada era mais ou menos como a rede abaixo:

Os WAPs (wireless access points ou pontos de acesso sem-fio) estavam conectados a um switch L3. As redes existentes eram alcanveis via rotas estticas (mesmo existindo OSPF na rede). configuradas nos roteadores SD, CD e CE. Minha idia inicial foi, porque no redistribuir as rotas estticas no roteador SD dentro do OSPF, e evitar aquele tanto de rotas estticas. E foi o que eu fiz. sd#sh ip route | b Gat Gateway of last resort is not set 10.0.0.0/24 is subnetted, 2 subnets C 10.0.10.0 is directly connected, Ethernet0/1 S 10.22.22.0 [1/0] via 10.0.10.2

150.15.0.0/24 is subnetted, 1 subnets C 150.15.15.0 is directly connected, Ethernet0/0 150.20.0.0/24 is subnetted, 1 subnets O 150.20.20.0 [110/20] via 150.15.15.2, 00:02:05, Ethernet0/0 sd#sh ip route 10.22.22.0 Routing entry for 10.22.22.0/24 Known via "static", distance 1, metric 0 Redistributing via ospf 1 Advertised by ospf 1 metric-type 1 subnets Routing Descriptor Blocks: * 10.0.10.2 Route metric is 0, traffic share count is 1 No roteador CD: cd#sh ip route | i 10.22.22.0 O E1 10.22.22.0 [110/40] via 150.15.15.1, 00:09:49, Ethernet0/1 cd#sh ip route 10.22.22.0 Routing entry for 10.22.22.0/24 Known via "ospf 1", distance 110, metric 40, type extern 1 Last update from 150.15.15.1 on Ethernet0/1, 00:09:57 ago Routing Descriptor Blocks: * 150.15.15.1, from 3.3.3.3, 00:09:57 ago, via Ethernet0/1 Route metric is 40, traffic share count is 1 No roteador CE: ce#sh ip route | i 10.22.22.0 ce#sh ip route 10.22.22.0 % Subnet not in table E por algum motivo a rota 10.22.22.0/24 no estava na tabela de roteamento do roteador CE. Resolvi verificar a dababase do OSPF para confirmar se a rede estaria sendo divulgada normalmente dentro do OSPF. Como era uma rota externa (redistribute static), usei o comando: show ip ospf database external, e pude verificar que a rede estava presente. ce#sh ip ospf database external OSPF Router with ID (1.1.1.1) (Process ID 1) Type-5 AS External Link States LS age: 1256 Options: (No TOS-capability, DC) LS Type: AS External Link Link State ID: 10.22.22.0 (External Network Number ) Advertising Router: 3.3.3.3 LS Seq Number: 80000003 Checksum: 0x9432 Length: 36 Network Mask: /24 Metric Type: 1 (Comparable directly to link state metric) TOS: 0 Metric: 20

Forward Address: 10.0.10.2 External Route Tag: 0 Ento, porque a rota no estava sendo instalada na tabela de roteamento? Verificando a tabela completa de roteamento do roteador CE temos: ce#sh ip route | b Gate Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnets S 10.0.10.0 [1/0] via 150.20.20.2 150.15.0.0/24 is subnetted, 1 subnets O 150.15.15.0 [110/20] via 150.20.20.2, 00:58:36, Ethernet0/0 150.20.0.0/24 is subnetted, 1 subnets C 150.20.20.0 is directly connected, Ethernet0/0 E a podemos ver a causa do problema! Em resumo , o problema aqui so rotas externas ao OSPF - redistribudas - no sendo colocadas na tabela de roteamento. Quem tem mais experincia com OSPF sabe que se trata de um problem com o FA - forwarding address - "endereo de encaminhamento!?" (bom , no sei traduzir isto). Esse valor acrescentado aos LSAs externos (LSA tipo 5) para indicar para onde o trfego deve ser enviado. Isso torna em alguns casos o roteamento mais eficiente dentro do OSPF. O FA pode ser ou 0.0.0.0 ou qualquer outro IP. Caso, seja 0.0.0.0 o pacotes so enviados ao router que originou o LSA ou seja o ASBR (Autonomous System Boundary Router). Existem condices certas para que um FA seja o next-hop (ou proxima salto) da rota redistribuida, ao invs de 0.0.0.0: OSPF habilitado no ASBR na interface onde o next hop est configurado. Essa interface no est como passiva no OSPF Essa interface no ser do tipo ponto-a-ponto ou ponto-multiponto (no OSPF)

Uma das regras que temos no OSPF (rfc2328) que este endereo deve ser roteado via OSPF interno (inter (O IA) ou intra-area (tipo O) para que a rede divulgada no LSA tipo 5 possa ser usada, isto , para que ela aparea na tabela de roteamento. E esse uma das regras pouco conhecidas do OSPF, por incrvel que parea. Da RFC 2328: "If the forwarding address is non-zero, look up the forwarding address in the routing table.[24] The matching routing table entry must specify an intra-area or inter-area path; if no such path exists, do nothing with the LSA and consider the next in the list." No nosso exemplo vemos que o FA para a rede 10.22.22.0/24 10.0.10.2. E se revermos a tabela do router CE, vemos que a rota para 10.0.10.0/24 uma rota esttica:

ce#sh ip route | b Gate Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnets S 10.0.10.0 [1/0] via 150.20.20.2 Essa rota, fazia parte do monte de rotas estticas configurados em meio a BGP, OSPF, RIP nessa rede. O que, por fim, causou o problema. Uma vez retirada essa rota esttica da tabela e substituindo a mesma por uma rota tipo O (intra-area OSPF), a rota 10.22.22.0/24 apareceu na tabela como uma rota O E1, como esperado. ce(config)#no ip route 10.0.10.0 255.255.255.0 150.20.20.2 ce(config)#end ce#sh ip route | b Gateway Gateway of last resort is not set 10.0.0.0/24 is subnetted, 2 subnets O 10.0.10.0 [110/30] via 150.20.20.2, 00:00:00, Ethernet0/0 O E1 10.22.22.0 [110/50] via 150.20.20.2, 00:00:00, Ethernet0/0 150.15.0.0/24 is subnetted, 1 subnets O 150.15.15.0 [110/20] via 150.20.20.2, 00:00:00, Ethernet0/0 150.20.0.0/24 is subnetted, 1 subnets C 150.20.20.0 is directly connected, Ethernet0/0 Bom, como eu j conhecia o problema foi apenas uma questo de olhar a tabela do OSPF depois a de roteamento e resolver o problema. Agora vai uma dica para quem no em tanta experincia com OSPF e troubleshooting de roteamento. A CISCO disponibiliza nas suas pginas vrios fluxogramas que ajudam neste tipo de soluo de problemas. Neste caso, uma pesquisa bsica no google: troubleshooting ospf cisco Como o problema de roteamento vamos ao link interno: E como o problema com uma rota externa, seguimos para o link: Ento, apenas uma questo de seguir o fluxo: - O LSA externo existe na tabela do OSPF? SIM (show ip ospf database external) - O FA 0.0.0.0 -> NO - O FA conhecido via OSPF inter ou intra-area -> NO E chegamos a resposta: FA deve ser alcanado via uma rota inter ou intra-area.

Usando ip helper-address em interfaces com HSRP de forma eficiente!

Posted 27-02-2009 at 13:20 by vladrac

Como prometido em um post anterior: http://under-linux.org/b527-transmitindo-pacotes-broadcast-de-uma-rede-para-outra-ip-helper-address Vou mostrar um outro recurso do IOS Cisco: UDP Forwarding Support for Virtual Router Group http://www.cisco.com/en/US/docs/ios/.../ftudpvrg.html Esse recurso permite que os roteadores configurados com ip helper-address (utilizado para transmissao de pacotes broadcast para outros destinos) que fazem parte de um grupo de HSRP (Hot Stantby Routing Protocol) possam trocar informaes e evitar que ambos os roteadores faam o encaminhamento (forwarding) dos pacotes. Voltando a topologia abaixo, vemos que os pacotes de DHCP enviados pelo H1 para o endereo 255.255.255.255 so recebidos por ambos roteadores RA e RB. Como ambos possuem o comando ip helper-address ambos enviam essas requisies para o servidor de DHCP (10.66.66.1).

Podemos ver isso melhor com um debug ip dhcp server packet: dhcp#debug ip dhcp server packet dhcp# DHCPD: DHCPRELEASE message received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254). dhcp# DHCPD: DHCPRELEASE message received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254). DHCPD: Finding a relay for client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 on interface Ethernet0/1. DHCPD: DHCPRELEASE message received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254). *Mar 1 00:03:15.423: DHCPD: Finding a relay for client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 on interface Ethernet0/1. DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.4. DHCPD: Allocate an address without class information (10.0.10.0) DHCPD: Sending DHCPOFFER to client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254). DHCPD: unicasting BOOTREPLY for client 00ba.00ba.00ca to relay 10.0.10.4. DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.3. DHCPD: Sending DHCPOFFER to client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254). DHCPD: unicasting BOOTREPLY for client 00ba.00ba.00ca to relay 10.0.10.3. DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.3.

Se quisermos evitar este efeito (alguns servidores de DHCP podem no trabalhar bem nesta situao, ou para evitar envio duplicado de informao na rede) podemos utilizar esse recurso. A configurao bastante simples, uma vez configurado o HSRP, e o ip helper-address, apenas algumas mudanas resolvem o problema: RA interface Ethernet0/1 ip address 10.0.10.3 255.255.255.0 ip helper-address 10.66.66.1 redundancy std1 full-duplex standby 1 ip 10.0.10.1 standby 1 preempt standby 1 name std1 end ra#sh standby brief P indicates configured to preempt. | Interface Grp Prio P State Active Standby Virtual IP Et0/1 1 100 P Standby 10.0.10.4 local 10.0.10.1 RB interface Ethernet0/1 ip address 10.0.10.4 255.255.255.0 ip helper-address 10.66.66.1 redundancy std1 full-duplex standby 1 ip 10.0.10.1 standby 1 preempt standby 1 name std1 end rb#sh standby br P indicates configured to preempt. | Interface Grp Prio P State Active Standby Virtual IP Et0/1 1 100 P Active local 10.0.10.3 10.0.10.1 E se verificarmos o debug no servidor dhcp , vemos que os pacotes so enviados apenas pelo roteador ativo do group HSRP, que no caso o roteador RB: *Mar 1 00:35:42.979: DHCPD: DHCPDISCOVER received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 through relay 10.0.10.4. *Mar 1 00:35:42.983: DHCPD: Allocate an address without class information (10.0.10.0) dhcp# *Mar 1 00:35:44.987: DHCPD: Sending DHCPOFFER to client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30 (10.0.10.254). *Mar 1 00:35:44.991: DHCPD: unicasting BOOTREPLY for client 00ba.00ba.00ca to relay 10.0.10.4. *Mar 1 00:35:45.271: DHCPD: DHCPREQUEST received from client 0063.6973.636f.2d30.3062.612e.3030. 6261.2e30.3063.612d.4574.302f.30. *Mar 1 00:35:45.275: DHCPD: Appending default domain from pool *Mar 1 00:35:45.275: DHCPD: Using hostname 'h1.vladrac.com.' for dynamic update (from hostname option)

 1- Configurar Duplex and speed Switch(config-if)# speed 100 Switch(config-if)# duplex full Troubleshooting Note: O host conectado a porta deve, obrigatoriamente, possuir velocidade e modo de transmisso fixada no driver da placa de rede. Caso contrrio, o switch ficar com a porta configurada em 100 Mbits/Full duplex e o servidor ficar com a placa de rede configurada em 100 Mbits/Half duplex. Sintomas : Incremento do contador de nmero de colises na porta do switch, no admitido em ambientes full duplex. 2- Spanning tree Root Per Vlan Switch(config)# spanning-tree vlan <vlan_id> root primary Processo de eleio do Root Bridge 1. Bridge Priority - Numerical value held by switches. All Catalyst switches are 32768 2. Se empatar, Bridge ID = MAC Address Troubleshooting Note: extremamente recomendado que seja designado como root bridge um equipamento com alto MTBF. Caso o root bridge fique indisponvel, haver um travamento na rede durante o novo processo de eleio e convergncia da topologia. 3- Configurar porta para subir o link de forma mais rpida Switch(config-if)# spanning-tree portfast Etapas no modo padro: From initialization to blocking From blocking to listening or to disabled From listening to learning or to disabled From learning to forwarding or to disabled From forwarding to disabled

Troubleshooting Note: extremamente recomendado que as placas de rede dos servidores possuam um menor tempo de transio entre o status down e up. Contudo, atentar para que sejam mitigados possveis loops quando da no utilizao do spanning tree nesta porta. OBS: Outra forma de habilitar a mesma configurao: Switch(config-if)#switchport mode host 4- Preveno contra loop quando utilizar portfast

Bridge Protocol Data Unit = Bpdu Soluo = Bpdu guard Switch(config-if)# spanning-tree portfast bpduguard Opcionais (Altera recover time da porta) Switch(config-if)# errdisable recovery cause bpduguard Switch(config-if)# errdisable recovery interval 400 (Default recover time da porta = 300 segundos) Troubleshooting Note: extremamente recomendado utilizar o bpduguard quando configurada uma porta como portfast. O Bpduguard colocar a porta em errdisable state quando escutar frames bpdu na porta que fora configurada como portfast. 5- Configurao VTP Switch(config)# vtp mode transparent Switch(config)# vtp domain cisco Switch(config)# vtp password 123 Troubleshooting Note: extremamente recomendado que novos switches que forem inseridos na rede de produo sejam inicialmente configurados no modo transparent. Caso o mesmo seja inserido na rede de produo no modo server e possuir o mesmo domnio VTP e uma database revision number maior, ele alterar todas as vlans da rede atual ocasionando inconsistncia do vlan database. 6- Configurar Port modes Acess, Trunk , Dynamic Desirable Switch(config-if)# switchport mode trunk (ou access) Troubleshooting Note: extremamente recomendado no deixar nenhuma porta configurada como dynamic, este procedimento evita o futuro aparecimento de Trunks indesejados. Sempre configure todas as portas como access e depois altere para trunk as portas que necessitarem serem configuradas como trunk. Para que o trunk funcione sem problemas, obrigatoriamente, os dois equipamentos devem estar configurados no mesmo domnio VTP. 7- Configurar Trunk utilizando protocolo 802.1q mode, encapsulation Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunk OBS: Ao fixar o mode da porta, o protocolo DTP desabilitado. Troubleshooting Note: Existem switches que no possuem o comando switchport trunk encapsulation, estes switches utilizam o protocolo dot1q por default e no suportam o protocolo ISL.

8- Configurar Etherchanel nas portas f0/2 e f0/3 utilizando o protocolo PagP Switch(config-if)# speed 100 Switch(config-if)# duplex full Switch(config-if)# switchport mode access Switch(config-if)# channel-group 1 mode desirable Modes: Desirable - Negocia etherchannel utilizando protocolo PagP Auto - Modo passivo, apenas escuta solicitaes para negociao ON - No utiliza PagP, configura etherchannel de forma incondicional

Troubleshooting Note: Antes de configurar Etherchannel entre os switches , obrigatoriamente, primeiro coloque as portas em modo administrative down atravs do comando shutdown. Caso contrrio, o segundo equipamento (que ainda no foi configurado) detectar condio de loop uma vez que o etherchannel configurado no primeiro equipamento divulgar o MAC ADDRESS da primeira porta em todas as portas que compe o channel group. Obrigatoriamente todas as portas que pertenam a um channel group devem possuir as mesmas configuraes referentes velocidade e modo de transmisso. Recovery senha Cisco Segue abaixo um passo a passo para recuperar (ou zerar) a senha de switches layer 2 das famlias 2900XL/3500XL, 2940, 2950/2955, 2960 e 2970. Este procedimento tambm funciona para switches layer 3 da sries 3550, 3560 e 3750. Apesar do tamanho este procedimento extremamente simples. Basta seguir os passos abaixo. 1) Conecte um cabo console ao equipamento e abra um Emulador de Terminal (Hyperterminal, Tera Terminal, ou qualquer outro) utilizando a seguinte configurao: Bits per second (baud): 9600 Data bits: 8 Parity: None Stop bits: 1 Flow Control: Xon/Xoff

Para os iniciantes: Conectando um terminal na porta console de um switch Catalyst 2) Tire o cabo de fora do switch. 3) Aperte o boto mode (localizado na frente, do lado esquerdo do equipamento) e ligue novamente. Ilustrao: 3524XL e 2950-24.

a) 2900XL, 3500XL e 3550: Solte o boto mode quando o LED sobre a porta 1 apagar. b) 2940 e 2950: Solte o boto mode quando o LED STAT apagar (aps soltar o boto mode, o LED SYST piscar mbar). c) 2960 e 2970: Solte o boto mode quando o LED SYST piscar mbar e voltar para verde (aps soltar o boto mode, o LED SYST piscar verde). d) 3560 e 3750: Solte o boto mode quando o LED SYST ficar verde (sem piscar). Aps soltar o boto mode o LED SYST piscar verde. e) 2955: Nos switches 2955 no preciso apertar o boto mode. Basta durante o boot enviar um break. Para isso devemos apertar Ctrl+Break no teclado (se voc estiver usando o Hyperterminal). Neste link temos outras combinaes para outros terminais. Devemos esperar at a mensagem abaixo para aperte Ctrl+Break C2955 Boot Loader (C2955-HBOOT-M) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST VERSION Compiled Fri 13-Dec-02 17:38 by madison WS-C2955T-12 starting Base ethernet MAC Address: 00:0b:be:b6:ee:00 Xmodem file system is available. Initializing Flash flashfs[0]: 19 files, 2 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440 flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs fsck took 7 seconds. done initializing flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 *** The system will autoboot in 15 seconds *** Send break character to prevent autobooting. 4) A partir daqui, qualquer que seja o switch o procedimento igual. Digite flash_init. switch: flash_init Initializing Flash flashfs[0]: 143 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672 flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck took 86 seconds .done Initializing Flash.

Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch: 5) Digite load_helper. switch: load_helper switch: 6) Digite dir, para verificar o nome do arquivo de configurao. switch: dir flash: Directory of flash:/ 2 -rwx 1803357 <date> c3500xl-c3h2s-mz.120-5.WC7.bin 4 -rwx 1131 <date> config.text 5 -rwx 109 <date> info 6 -rwx 389 <date> env_vars 7 drwx 640 <date> html 18 -rwx 109 <date> info.ver 403968 bytes available (3208704 bytes used) switch: 7) Renomeie o arquivo de configurao. switch: rename flash:config.text flash:config.old switch:

Digite boot, para que o switch reinicie. switch: boot Loading "flash:c3500xl-c3h2s-mz.120-5.WC7.bin"############################### ################################################################################ ###################################################################### File "flash:c3500xl-c3h2s-mz.120-5.WC7.bin" uncompressed and installed, entry po int: 03000 executing 9) O switch bootar sem nenhuma configurao (zerado). Entre no modo de configurao privilegiado e renomei o arquivo de configurao, voltando ao normal. Depois salve a configurao na nvram: switch>en Switch# Switch#rename flash:config.old flash:config.text Destination filename [config.text] Switch# Switch#copy flash:config.text system:running-config Destination filename [running-config]? 1131 bytes copied in 0.760 secs Sw1# Neste momento a configurao inteira foi restaurada, inclusive a senha.

10) Reconfigure as senhas: Sw1# conf t Sw1(config)#enable secret <new_secret_password> Sw1(config)#enable password <new_enable_password> Sw1(config)#line vty 0 15 Sw1(config-line)#password <new_vty_password> Sw1(config-line)#login Sw1(config-line)#line con 0 Sw1(config-line)#password <new_console_password> 11) Salve a configurao e PRONTO! Sw1#write memory Building configuration [OK] Sw1# Show interface FastEthernet O comando show interface traz muitas informaes que podemos utilizar para identificar problemas na interface, e at na rede. As vezes perdemos muito tempo atrs de uma informao que poderia ser encontrada analisando este comando. No incio um tanto confuso interpretar essas informaes (giants, overrun, BW100000,), mas para facilitar segue abaixo a explicao para a maioria dos dados apresentados pelo comando show interface em uma interface FastEthernet.

FastEthernet0 is up: Indica que a interface (hardware) est ativa.

Line protocol is up: Indica que a parte lgica (software/processos/protocolos) da interface est ok. MTU 1500 bytes: Tamanho mximo dos pacotes transmitidos pela interface. BW 100000 Kbit: Banda da interface em kilobits por segundos. Pode ser configurado com o comando bandwith. DLY 100 usec: Delay da interface em microsegundos. reliability 255/255: Confiabilidade da interface, onde 255 o mximo (100%). Se existir problemas na camada 1 ou 2 a confiabilidade diminui (241/255, por exemplo). txload 1/255, rxload 1/255: Carga da interface, onde 255/255 indica 100% de utilizao. O clculo feito baseado no valor indicado no comando bandwith (tx = transmitido e rx = recebido). Encapsulation ARPA: Tipo de encapsulamento utilizado. Keepalive set (10 sec): A cada 10 segundos um keepalive enviado para verificar se a interface est viva. Full-duplex, 100Mb/s, 100BaseTX/FX: Velocidade, estilo e sentido (unidirecional ou bidirecional) da comunicao e tipo da interface. Last clearing of show interface counters never: Mostra quando foram zerados os contadores da interface (no exemplo acima, nunca). Queueing strategy: fifo: Tipo de fila utilizada na interface (Neste caso First In, First Out). Output queue 0/40, 0 drops; input queue 0/75, 0 drops: Nmero de pacotes na fila de entrada e sada. Se tiver mais pacotes do que a fila suporta, eles sero descartados , incrementando o contador output drop. 5 minute input rate 270000 bits/sec, 174 packets/sec: Mdia de bits e pacotes recebidos por segundos. Para mudar o tempo de coleta destas informaes use o comando load-interval na interface. 5 minute output rate 1977000 bits/sec, 226 packets/sec: Mdia de bits e pacotes transmitidos por segundos. Para mudar o tempo de coleta destas informaes use o comando load-interval na interface. runts: Pacotes descartados por no terem o tamanho mnimo (64 bytes, no caso do ethernet). giants(Jabber): Nmero de pacotes descartados por excederem o tamanho mximo. Por padro so considerados giants pacotes ethernets maiores que 1518 . throttles: Nmero de vezes que o receptor na porta foi desativada, possivelmente devido sobrecarga de buffer ou processador. input errors: Nmero total de erros, incluindo runts, giants, falta de buffer, CRC, frame, overrun e ignored counts. CRC: O Cyclic Redundancy Checksum aponta erros fsicos normalmente, como configurao de velocidade e duplex diferentes (de um lado est configurado full-duplex e no outro equipamento halfduplex), por exemplo. Problemas desse tipo so verificados olhando o checksum do pacote recebido.

frame: Nmero de pacotes recebidos que tem erro de CRC ou algum problema na estrutura do frame. overrun: Nmero de vezes que a interface no foi capaz de entregar os dados recebidos para o buffer, porque a taxa de entrada excedeu a capacidade do receptor. Muitas vezes ocorre por que a utilizao da CPU est alta (acima de 80%). Se o nmero aumentar rapidamente verifique a utilizao da CPU usando o comando show processos CPU . ignored: Nmero de pacotes recebido, mas ignorados, por problema no buffer. Excesso de trfego, Broadcast storms e bursts of noise podem causar o incremento deste contador. watchdog: Nmero de vezes que aconteceu um timer expired no watchdog. Isso acontece quando recebido um pacote maior que 2048. input packets with dribble condition detected: Informa quanto frame pequenos foram recebidos. Contador apenas informativo, j que o roteador aceita estes pacote (pacote maior que que os runts). packets output: Nmero total de pacotes transmitidos. bytes: Total de bytes transmitidos. underruns: Nmero de vezes que o transmissor enviou dados mais rpido do que o roteador poderia receber. Algumas interfaces podem no trazer esta informao. output errors: Todos de erros que impediram a transmisso dos datagramas para fora da interface. Observe que se somarmos os erros apresentados anteriormente o valor pode ser diferente deste (alguns erros no se enquadram em nenhum das categorias acima, mas so considerados pelo output errors). collisions: Nmero de mensagens retransmitidas por causa de coliso no meio (Ethernet). Colises podem ser causadas pelo uso de hubs, excesso no cascateamento de switches, configurao divergente quanto a velocidade e duplex, entre outros. interface resets: Nmero de vezes que a interface foi resetada. Isto pode acontecer quando os pacotes que esto na fila para transmisso no so transmitidos em alguns segundos. Quase sempre ocasionado por congestionamento da rede. babbles: Indica quantas vezes o tempo para a transmisso de pacotes jabber expirou. late collision: Nmero de late collision, que so colises que ocorrem aps o a transmisso do preambulo. Podem ocorrer quando a rede muito grande ou grande a distancia entre os equipamentos. deferred: Este contador incrementado quando a interface tem que esperar a confirmao do carrier para realizar a transmisso. lost carrier: Nmero de vezes que o carrier foi perdido durante a transmisso. no carrier: Nmero de vezes que o carrier no esteve presente para a transmisso. output buffer failures: Nmero de erros causados por falta de recursos na sada (transmisso). output buffers swapped out: Nmero de pacotes trocados com a memria DRAM.