Você está na página 1de 351

CCNA Exploration - Acessando a WAN

1 Introdução a WANs
1.0 Introdução do capítulo
1.0.1 Introdução do capítulo

Página 1:
Quando uma empresa começa a incluir filiais, serviços de comércio eletrônico ou
operações globais, uma única rede LAN (rede local) deixa de ser suficiente para atender
a seus requisitos de negócios. O acesso à rede remota (WAN) se tornou essencial para
as grandes empresas atuais.

Há várias tecnologias WAN para atender às diferentes necessidades de negócios e


muitas formas de escalar a rede. Adicionar acesso à WAN apresenta outras
considerações, como segurança de rede e gerenciamento de endereço. Dessa forma,
projetar uma WAN e escolher os serviços corretos de rede não são questões simples.

Neste capítulo, você começará a explorar algumas das opções disponíveis para projetar
WANs empresariais, as tecnologias disponíveis para implementá-las e a terminologia
utilizada para abordá-las. Você obterá informações sobre como selecionar tecnologias
WAN apropriadas, serviços e dispositivos para atender aos requisitos de negócios de
uma empresa em expansão. As atividades e os laboratórios confirmam e reforçam sua
aprendizagem.

Concluindo este capítulo, você poderá identificar e descrever as tecnologias WAN


apropriadas para habilitar serviços WAN integrados em uma rede corporativa em vários
locais.
Exibir meio visual

1.1 Prestando serviços integrados à empresa


1.1.1 Apresentando redes remotas (WANs)

Página 1:
O que é uma WAN?

WAN é uma rede de comunicação de dados que funciona além do escopo geográfico de
uma rede local.

As WANs são diferentes das redes locais em vários aspectos. Enquanto uma rede local
conecta computadores, periféricos e outros dispositivos em um único prédio ou outra
área geográfica menor, uma WAN permite a transmissão dos dados em distâncias
geográficas maiores. Além disso, uma empresa deve contratar um provedor de serviço
WAN para utilizar os serviços de rede dessa operadora. As redes locais costumam ser
da companhia ou organização que as utilizam.

As WANs utilizam instalações fornecidas por um provedor de serviços ou operadora,


como uma companhia telefônica ou empresa de cabeamento, para conectar os locais de
uma organização aos locais de outras organizações, a serviços externos e a usuários
remotos. As WANs normalmente transportam vários tipos de tráfego, como voz, dados
e vídeo.

Aqui estão as três principais características das WANs:

• As WANs normalmente conectam dispositivos separados por uma área


geográfica maior do que a que pode ser atendida por uma rede local.
• As WANs utilizam os serviços das operadoras, como companhias telefônicas,
empresas de TV a cabo, sistemas de satélites e provedores de rede.
• As WANs utilizam conexões seriais de vários tipos para fornecer acesso à
largura de banda em grandes áreas geográficas.

Por que as WANs são necessárias?

As tecnologias de rede local fornecem velocidade e economia na transmissão de dados


em organizações em áreas geográficas relativamente pequenas. No entanto, há outras
necessidades de negócios que precisam de comunicação entre locais remotos, inclusive
as seguintes:

• As pessoas no escritório regional ou nas filiais de uma organização precisam ser


capazes de se comunicar e compartilhar dados com o local central.
• As organizações normalmente desejam compartilhar informações com outras
organizações em grandes distâncias. Por exemplo, fabricantes de software
sempre comunicam informações sobre produtos e promoções aos distribuidores
que vendem seus produtos para usuários finais.
• Os funcionários que viajam a negócios sempre precisam acessar informações
presentes em suas redes corporativas.

Além disso, os usuários de computadores domésticos precisam enviar e receber dados


em distâncias cada vez maiores. Aqui estão alguns exemplos:

• Agora é comum em muitas residências que os clientes se comuniquem com


bancos, lojas e vários fornecedores de mercadorias e serviços via computadores.
• Os alunos realizam pesquisas relativas às aulas acessando índices de bibliotecas
e publicações localizados em outras partes do país, além de outras partes do
mundo.
Como obviamente não é possível conectar computadores em um país ou em todo o
mundo da mesma forma que os computadores são conectados em uma rede local com
cabos, surgiram tecnologias diferentes para atender a essa necessidade. Cada vez mais, a
Internet está sendo utilizada como uma alternativa barata à utilização de uma WAN
corporativa em alguns aplicativos. Há novas tecnologias disponíveis para as empresas
fornecerem segurança e privacidade em suas comunicações e transações na Internet. As
WANs utilizadas por elas mesmas, ou em conjunto na Internet, permitem a
organizações e indivíduos atender a suas necessidades de comunicação remota.
Exibir meio visual

1.1.2 A empresa em evolução

Página 1:
Empresas e suas redes

Na medida em que as empresas crescem, elas contratam mais funcionários, abrem filiais
e atingem mercados globais. Essas alterações também influenciam seus requisitos de
serviços integrados e orientam seus requisitos de rede. Neste tópico, iremos explorar
como as redes corporativas são alteradas para acomodar seus requisitos de negócios em
alteração.

Todo negócio é único e como uma organização cresce depende de muitos fatores, como
o tipo de produtos ou serviços vendidos pela empresa, a filosofia de gerenciamento dos
proprietários e o clima econômico do país no qual a empresa atua.

Em momentos de crise econômica, muitas empresas se concentram em diminuir sua


lucratividade, aumentando a eficiência de suas operações existentes, a produtividade de
funcionários e diminuindo os custos operacionais. Estabelecer e gerenciar redes pode
representar despesas significativas de instalação e funcionamento. Para justificar essa
grande despesa, as empresas esperam que suas redes apresentem o desempenho ideal e
sejam capazes de oferecer um conjunto cada vez maior de serviços e aplicativos para
suportar a produtividade e a lucratividade.

Para ilustrar, vejamos um exemplo de uma empresa fictícia chamada Span Engineering
e como seus requisitos de rede mudam na medida em que a empresa cresce de um
pequeno negócio local para uma empresa global.

Clique nas guias na figura para ver cada estágio de crescimento e a topologia de rede
associada.

Pequeno escritório (rede local única)

A Span Engineering, uma empresa de consultoria ambiental, desenvolveu um processo


especial de conversão do lixo doméstico em eletricidade e está desenvolvendo um
pequeno projeto piloto para uma prefeitura em sua região. A empresa, que já está no
setor há quatro anos, cresceu e incluiu 15 funcionários: seis engenheiros, quatro
designers de desenho auxiliado por computador (CAD), uma recepcionista, dois
parceiros seniores e dois auxiliares administrativos.

O gerenciamento da Span Engineering espera ter projetos em escala completa depois


que o projeto piloto demonstrar a viabilidade de seu processo. Até lá, a empresa deve
gerenciar seus custos com cuidado.

Para seu pequeno escritório, a Span Engineering utiliza uma única rede local para
compartilhar informações entre computadores e dividir periféricos, como uma
impressora, uma plotadora em larga escala (para imprimir desenhos de engenharia) e
um aparelho de fax. Recentemente, eles atualizaram sua rede local para fornecer um
serviço barato de Voice over IP (VoIP, Voz sobre IP) e economizar os custos de linhas
telefônicas separadas para seus funcionários.

A conexão com a Internet é feita por meio de um serviço de banda larga comum
chamado linha digital do assinante (DSL), fornecido por sua operadora de telefonia
local. Com tão poucos funcionários, largura de banda não é um problema significativo.

A empresa não pode pagar uma equipe de suporte interna de tecnologia da informação
(TI) e utiliza serviços de suporte contratados da mesma operadora. A empresa também
utiliza um serviço de hospedagem, em vez de comprar e operar seu próprio FTP e seus
servidores de e-mail. A figura mostra um exemplo de um pequeno escritório e sua rede.

Campus (várias redes locais)

Cinco anos depois, e a Span Engineering já cresceu rapidamente. Como os proprietários


esperavam, a empresa foi contratada para projetar e implementar uma instalação de
reciclagem de lixo completa logo depois da implementação bem-sucedida do primeiro
plano piloto. Desde então, outros projetos também foram ganhos em prefeituras
vizinhas e em outras regiões do país.

Para lidar com a carga de trabalho adicional, a empresa contratou mais pessoas e alugou
mais salas. Agora ela é uma empresa de pequeno a médio porte com cerca de cem
funcionários. Muitos projetos estão sendo desenvolvidos simultaneamente e cada um
exige um gerente de projeto e uma equipe de suporte. A empresa se organizou em
departamentos funcionais, com cada um tendo sua própria equipe organizacional. Para
atender às necessidades crescentes, a empresa se mudou para vários andares de um
edifício comercial maior.

Na medida em que a empresa se expandiu, a rede também cresceu. Em vez de uma


única rede local pequena, a rede agora consiste em várias sub-redes, cada uma destinada
a um departamento diferente. Por exemplo, toda a equipe de engenharia está em uma
rede local, e a equipe de marketing está em outra. Essas várias redes locais são unidas
para criar uma rede de empresa completa, ou campus, que ocupa vários andares do
prédio.

Agora a empresa tem um pessoal de TI interno para suporte e manutenção da rede. A


rede inclui servidores de email, transferência de dados e armazenamento de arquivos,
ferramentas de produtividade baseadas na Web e aplicativos, bem como a intranet
corporativa para fornecer documentos internos e informações aos funcionários. Além
disso, a empresa tem uma extranet que fornece informações de projeto apenas para
clientes designados.

Filial (WAN)

Passados mais cinco anos, a Span Engineering foi tão bem-sucedida em seu processo
patenteado que a demanda por seus serviços cresceu enormemente, e novos projetos
agora estão sendo feitos em outras cidades. Para gerenciar esses projetos, a empresa
abriu pequenas filiais próximas dos locais dos projetos.

Essa situação apresenta novos desafios à equipe de TI. Para gerenciar a distribuição de
informações e serviços em toda a empresa, a Span Engineering agora conta com uma
central de dados, que mantém os vários bancos de dados e servidores corporativos. Para
assegurar que todas as partes da empresa sejam capazes de acessar os mesmos serviços
e aplicativos, independentemente de onde estejam localizados os escritórios, agora a
empresa precisa implementar uma WAN.

Para suas filiais nas cidades próximas, a empresa optou por utilizar linhas dedicadas
privadas por meio da sua operadora local. No entanto, para esses escritórios localizados
em outros países, a Internet agora é uma opção de conexão WAN atraente. Embora
conectar os escritórios por meio da Internet seja econômico, isso suscita problemas de
segurança e privacidade que a equipe de TI deve resolver.

Distribuição (global)

A Span Engineering agora já está no setor há 20 anos e chegou a milhares de


funcionários distribuídos em escritórios ao redor do mundo. O custo da rede e de seus
serviços relacionados agora é uma despesa significativa. Agora a empresa está
procurando fornecer a seus funcionários os melhores serviços de rede ao menor custo.
Os serviços de rede otimizados permitiriam a cada funcionário trabalhar com mais
eficiência.

Para aumentar a lucratividade, a Span Engineering precisa reduzir suas despesas


operacionais. Ela realocou algumas de suas filiais para áreas mais baratas. A empresa
também está incentivando que os funcionários trabalhem remotamente e criem equipes
virtuais. Aplicativos baseados na Web, inclusive conferência na Web, e-learning e
ferramentas colaborativas on-line, estão sendo utilizados para aumentar a produtividade
e reduzir custos. Redes virtuais privadas (VPNs) ponto-a-ponto e de acesso remoto
permitem à empresa utilizar a Internet para se conectar de maneira fácil e com
segurança a funcionários e instalações em todo o mundo. Para atender a esses requisitos,
a rede deve fornecer os serviços convergidos necessários e proteger a conectividade
WAN de Internet com filiais e indivíduos.

Como vimos nesse exemplo, os requisitos de rede de uma empresa podem mudar
drasticamente na medida em que a empresa cresce. Distribuir funcionários economiza
custos de muitas formas, mas aumenta a demanda na rede. Uma rede deve não apenas
atender às necessidades operacionais do dia-a-dia da empresa, mas também precisa ser
capaz de se adaptar e crescer na medida em que a empresa muda. Os programadores de
rede e os administradores superam esses desafios escolhendo cuidadosamente as
tecnologias de rede, os protocolos e os provedores de serviço e otimizando suas redes
com muitas das técnicas que ensinamos nesta série de cursos. O próximo tópico
descreve um modelo de rede para projetar redes capazes de acomodar as mudanças
contínuas nas necessidades das empresas atuais em evolução.
Exibir meio visual

1.1.3 O modelo de rede em evolução

Página 1:
O modelo de design hierárquico

O modelo de rede hierárquico é uma ferramenta útil de alto nível para projetar uma
infra-estrutura de rede confiável. Ele fornece uma exibição modular de uma rede, o que
facilita o projeto e a criação de uma rede escalável.

O modelo de rede hierárquico

Como você deve se lembrar do CCNA Exploration: Comutação de Rede Local e


Wireless, o modelo de rede hierárquico divide uma rede em três camadas:

• Camada de acesso – concede acesso ao usuário a dispositivos de rede. Em um


campus de rede, a camada de acesso costuma incorporar dispositivos de rede
local comutados com portas que fornecem conectividade a estações de trabalho e
servidores. No ambiente WAN, ele pode fornecer a funcionários remotos ou
sites remotos o acesso à rede corporativa em toda a tecnologia WAN.
• Camada de distribuição – agrega os wiring closets, utilizando switches para
dividir os grupos de trabalho em segmentos e isolar problemas de rede em um
ambiente de campus. Da mesma forma, a camada de distribuição agrega
conexões WAN na borda do campus e fornece conectividade baseada na
política.
• Camada do núcleo (também conhecida como o backbone) – um backbone de
alta velocidade projetado para comutar pacotes o mais rápido possível. Como o
núcleo é essencial para conectividade, ele deve fornecer um alto nível de
disponibilidade e se adaptar a alterações muito rapidamente. Ele também fornece
escalabilidade e convergência rápida.
Clique no botão Exemplo de topologia na figura.

A figura representa o modelo de rede hierárquico em ambientes de campus. O modelo


de rede hierárquico fornece uma estrutura modular que garante flexibilidade no projeto
de rede e facilita a implementação e a solução de problemas na infra-estrutura. No
entanto, é importante compreender que a infra-estrutura de rede só é a base de uma
arquitetura mais ampla.

As tecnologias de networking avançaram consideravelmente nos últimos anos, o que


resulta em redes cada vez mais inteligentes. Os elementos de rede atuais têm mais
características de tráfego, podendo ser configurados para fornecer serviços
especializados com base em coisas como os tipos de dados transportados, a prioridade
dos dados e até mesmo as necessidades de segurança. Embora grande parte desses
serviços de infra-estrutura estejam fora do escopo desse curso, é importante
compreender que eles influenciam o projeto da rede. No próximo tópico, iremos
explorar a arquitetura corporativa Cisco, que expande o modelo hierárquico, utilizando
a inteligência de rede para abordar a infra-estrutura de rede.
Exibir meio visual

Página 2:
A arquitetura corporativa

Conforme descrito anteriormente, empresas diferentes precisam de tipos de redes


distintos, dependendo da forma como a empresa é organizada e suas metas de negócios.
Infelizmente, é muito comum que as redes cresçam de maneira desordenada na medida
em que novos componentes são adicionados em resposta a necessidades imediatas. Com
o passar do tempo, essas redes se tornam muito complexas e caras de gerenciar. Como a
rede é uma mistura de tecnologias mais novas e mais antigas, ela pode ser difícil de
suportar e manter. Quedas e um mau desempenho são uma fonte constante de problemas
para administradores de rede.

Para ajudar a impedir essa situação, a Cisco desenvolveu uma arquitetura recomendada
chamada Cisco Enterprise Architecture (Arquitetura corporativa Cisco) com soluções
para diferentes estágios de crescimento de uma empresa. Essa arquitetura foi projetada
para fornecer a projetistas de rede um roteiro para a expansão da rede à medida que a
empresa passa por estágios diferentes. Seguindo o roteiro sugerido, os gerentes de TI
podem planejar atualizações de rede futuras que irão se integrar plenamente à rede
existente e suportar a necessidade cada vez maior de serviços.

Estes são alguns exemplos dos módulos dentro da arquitetura relevantes para o cenário
da Span Engineering descrito anteriormente:

• Arquitetura de campus corporativa


• Arquitetura de filial corporativa
• Arquitetura da central de dados corporativa
• Arquitetura de funcionário remoto corporativa
Exibir meio visual

Página 3:
Módulos na arquitetura corporativa

A arquitetura corporativa Cisco consiste em módulos que representam visões focadas


em cada local da rede. Cada módulo tem uma infra-estrutura de rede distinta com
serviços e aplicativos de rede que se estendem pelos módulos. A Arquitetura
corporativa Cisco inclui os módulos a seguir.

Passe o mouse sobre cada módulo na figura.

Arquitetura de campus corporativa

Uma rede de campus é um edifício ou um grupo de edifícios conectados a uma rede


corporativa que consiste em muitas redes locais. Um campus costuma ser limitado a
uma área geográfica fixa, mas pode abranger vários edifícios vizinhos, por exemplo, um
complexo industrial ou um ambiente de parque comercial. No exemplo da Span
Engineering, o campus abrangia vários andares do mesmo prédio.

A arquitetura de campus corporativo descreve os métodos recomendados para criar uma


rede escalável, ao mesmo tempo em que atende às necessidades de operações
comerciais ao estilo do campus. A arquitetura é modular, podendo ser facilmente
expandida para incluir edifícios ou andares de campus adicionais na medida em que a
empresa cresce.

Arquitetura de borda corporativa

Este módulo oferece conectividade a serviços de voz, de vídeo e de dados fora da


empresa. Este módulo permite à empresa utilizar a Internet e os recursos de parceiros,
além de fornecer recursos para seus clientes. Este módulo normalmente funciona como
uma ligação entre o módulo de campus e os demais módulos na arquitetura corporativa.
A arquitetura WAN corporativa e da rede de área metropolitana (MAN) cujas
tecnologias serão abordadas posteriormente neste curso, sendo consideradas parte deste
módulo.

Arquitetura de filial corporativa


Este módulo permite às empresas estenderem os aplicativos e os serviços encontrados
no campus a milhares de locais remotos e usuários ou a um grupo pequeno de filiais.
Grande parte deste curso se concentra nas tecnologias mais implementadas neste
módulo.

Arquitetura da central de dados corporativa

As centrais de dados são responsáveis por gerenciar e manter os muitos sistemas de


dados vitais para operações comerciais modernas. Funcionários, parceiros e clientes
dependem de dados e recursos na central de dados para criar, colaborar e interagir de
maneira eficiente. Na última década, o crescimento das tecnologias baseadas na Web e
da Internet tornou a central de dados mais importante do que nunca, aumentando a
produtividade, melhorando processos da empresa e agilizando alterações.

Arquitetura de funcionário remoto corporativa

Muitas empresas atuais oferecem um ambiente de trabalho flexível a seus funcionários,


o que os permite trabalharem remotamente em seus escritórios em casa. Trabalhar
remotamente é aproveitar os recursos de rede corporativa em casa. O módulo de
funcionário remoto recomenda que as conexões domésticas que utilizam serviços de
banda larga, como modem a cabo ou DSL se conectem à Internet e dela à rede
corporativa. Como a Internet apresenta riscos à segurança significativos para a empresa,
medidas especiais devem ser tomadas para garantir a segurança e a privacidade da
comunicação do funcionário remoto.

Clique no botão Exemplo de topologia na figura.

A figura mostra um exemplo de como esses módulos de arquitetura corporativa podem


ser utilizados para criar uma topologia de rede de negócios.
Exibir meio visual

Página 4:
Exibir meio visual

1.2 Conceitos de tecnologia WAN


1.2.1 Visão geral da tecnologia WAN

Página 1:
As WANs e o modelo OSI

Conforme descrito em relação ao modelo de referência OSI, as operações WAN se


concentram principalmente nas camadas 1 e 2. Os padrões de acesso WAN costumam
descrever os métodos de entrega da camada física e os requisitos da camada de enlace
de dados, incluindo endereço físico, controle de fluxo e encapsulamento. Os padrões de
acesso WAN são definidos e gerenciados por várias autoridades reconhecidas, inclusive
a Organização internacional para padronização (ISO, International Organization for
Standardization), a Associação da indústria de telecomunicações (TIA,
Telecommunicatuions Industry Association) e a Associação das indústrias de eletrônica
(EIA, Electronic Industries Association).

Os protocolos da camada física (Camada 1 OSI) descrevem como fornecer conexões


elétrica, mecânica, operacional e funcional com os serviços de uma operadora de
comunicação.

Os protocolos da camada de enlace de dados (Camada 2 OSI) definem como os dados


são encapsulados para transmissão em um local remoto e os mecanismos para transferir
os quadros resultantes. Várias tecnologias diferentes são utilizadas, como Frame Relay e
ATM. Alguns desses protocolos utilizam o mesmo mecanismo de quadros básico,
Controle de enlace de dados de alto nível (HDLC, High-Level Data Link Control) um
padrão ISO, ou um de seus subconjuntos ou variantes.
Exibir meio visual

1.2.2 Conceitos da camada física WAN

Página 1:
Terminologia da camada física WAN

Uma diferença primária entre uma WAN e uma rede local é que uma companhia ou
organização deve assinar uma provedor de serviços WAN externo para utilizar serviços
de rede WAN. Uma WAN utiliza enlaces de dados fornecidos por serviços de conexão
para acessar a Internet e conectar os locais de uma organização aos locais de outras
organizações, a serviços externos e a usuários remotos. A camada física de acesso WAN
descreve a conexão física entre a rede corporativa e a rede da operadora. A figura ilustra
a terminologia normalmente utilizada para descrever conexões WAN físicas, inclusive:

• Equipamento local do cliente (CPE, Customer Premises Equipment) – os


dispositivos e a fiação interna localizados no local do assinante e conectados ao
canal de telecomunicação de uma operadora. O assinante tem o CPE ou aluga o
CPE da operadora. Nesse contexto, um assinante é uma empresa que solicita
serviços WAN de um provedor de serviços ou operadora.
• Equipamento de comunicação de dados (DCE, Data Communications
Equipment) – também chamado de equipamento terminal de circuito de dados,
o DCE consiste em dispositivos que colocam dados no loop local. O DCE
fornece principalmente uma interface para conectar assinantes a um link de
comunicação na nuvem WAN.
• Equipamento de terminal de dados (DTE, Data Terminal Equipment ) – os
dispositivos de cliente que transmitem os dados de uma rede do cliente ou
computador host para transmissão pela WAN. O DTE se conecta ao loop local
por meio do DCE.
• Ponto de demarcação – um ponto estabelecido em um edifício ou complexo
para separar o equipamento do cliente do equipamento da operadora.
Fisicamente, o ponto de demarcação é a caixa de junção do cabeamento,
localizado no local do cliente, que conecta a fiação CPE ao loop local. Ele
costuma ser colocado tendo em vista um acesso facilitado por um técnico. O
ponto de demarcação é o local onde a responsabilidade da conexão passa do
usuário para a operadora. Isso é muito importante porque quando surgem
problemas, é necessário determinar se o usuário ou a operadora é responsável
por solucionar problemas ou repará-los.
• Loop local – o cabo telefônico de cobre ou fibra que conecta o CPE no local do
assinante ao CO da operadora. Às vezes, o loop local também é chamado de
"última-milha".
• Central da operadora (CO, Central Office) – uma instalação ou prédio da
operadora local onde os cabos telefônicos locais são vinculados a linhas de
comunicação de longa distância, totalmente digitais de fibra óptica por meio de
um sistema de switches e outro equipamento.
Exibir meio visual

Página 2:
Dispositivos WAN

As WANs utilizam vários tipos de dispositivos que são específicos de ambientes WAN,
incluindo:

• Modem – modula um sinal de operadora analógico para codificar informações


digitais e demodula o sinal para decodificar as informações transmitidas. Um
modem de banda de voz converte os sinais digitais produzidos por um
computador em freqüências de voz que podem ser transmitidas pelas linhas
analógicas da rede telefônica pública. Na outra extremidade da conexão, outro
modem converte os sons novamente em um sinal digital de entrada para um
computador ou conexão de rede. Modems mais rápidos, como modems a cabo e
modems DSL, transmitem utilizando freqüências de banda larga mais altas.
• CSU/DSU – linhas digitais, como linhas de operadora T1 ou T3, exigem uma
unidade do serviço de canal (CSU, channel service unit) e uma unidade de
serviço de dados (DSU, data service unit). As duas costumam ser integradas em
um único equipamento, chamado CSU/DSU. A CSU fornece uma terminação
para o sinal digital e assegura a integridade da conexão por meio da correção de
erros e da monitoração da linha. A DSU converte os quadros de linha da
operadora T em quadros que a rede local pode interpretar e vice-versa.
• Servidor de acesso – concentra comunicação do usuários de discagens feitas e
recebidas. Um servidor de acesso pode ter uma mistura de interfaces analógicas
e digitais e suportar centenas de usuários simultâneos.
• Switch WAN – um dispositivo inter-rede com várias portas utilizado em redes
de operadora. Esses dispositivos costumam comutar o tráfego, como Frame
Relay, ATM ou X.25 e operam na camada de enlace de dados do modelo de
referência OSI. Os switches da rede de telefonia pública comutada (PSTN,
Public Switched Telephone Network) também podem ser utilizados dentro da
nuvem das conexões de circuito comutado como rede digital de serviços
integrados (ISDN, Integrated Services Digital Network) ou discagem analógica.
• Roteador – fornece portas de interface de acesso de redes interconectadas e
WAN utilizadas na conexão com a rede da operadora. Essas interfaces podem
ser conexões seriais ou outras interfaces WAN. Com alguns tipos de interfaces
WAN, um dispositivo externo, como DSU/CSU ou modem (analógico, a cabo
ou DSL) é obrigatório para conectar o roteador ao ponto de presença (POP,
point of presence) local da operadora.
• Roteador central – um roteador que reside no meio ou no backbone da WAN, e
não em sua periferia. Para cumprir essa função, um roteador deve ser capaz de
suportar várias interfaces de telecomunicação da maior velocidade em utilização
no núcleo WAN, devendo ser capaz de encaminhar pacotes IP em total
velocidade em todas essas interfaces. O roteador também deve suportar os
protocolos de roteamento utilizados no núcleo.
Exibir meio visual

Página 3:
Padrões da camada física WAN

Os protocolos da camada física WAN descrevem como fornecer conexões elétrica,


mecânica, operacional e funcional para serviços WAN. A camada física WAN também
descreve a interface entre o DTE e o DCE. A interface DTE/DCE utiliza vários
protocolos da camada física, incluindo:

• EIA/TIA-232 – este protocolo permite sinalizar velocidades de até 64 kb/s em


um conector D de 25 pinos em curtas distâncias. Ele era conhecido como RS-
232. A especificação ITU-T V.24 é efetivamente a mesma.
• EIA/TIA-449/530 – este protocolo é uma versão mais rápida (até 2 Mb/s) do
EIA/TIA-232. Ele utiliza um conector D de 36 pinos, sendo capaz de extensões
maiores de cabo. Há várias versões. Este padrão também é conhecido como
RS422 e RS-423.
• EIA/TIA-612/613 – este padrão descreve o protocolo Interface serial de alta
velocidade (HSSI, High-Speed Serial Interface), que fornece acesso a serviços
de até 52 Mb/s em um conector D de 60 pinos.
• V.35 – este é o padrão ITU-T para comunicação síncrona entre um dispositivo
de acesso à rede e uma rede de pacote. Originalmente especificado para suportar
taxas de dados de 48 kb/s, ele agora suporta velocidades de até 2,048 Mb/s
utilizando um conector retangular de 34 pinos.
• X.21 – este protocolo é um padrão ITU-T para comunicação digital síncrona. Ele
utiliza um conector D de 15 pinos.
Esses protocolos estabelecem os códigos e os parâmetros elétricos utilizados pelos
dispositivos para se comunicar. Escolher um protocolo é amplamente determinado pelo
método do provedor de serviços de instalações.

Clique no botão Conectores de cabo WAN na figura para ver os tipos de conectores
de cabo associados a cada protocolo da camada física.
Exibir meio visual

1.2.3 Conceitos da camada de enlace de dados WAN

Página 1:
Protocolos de enlace de dados

Além dos dispositivos da camada física, as WANs exigem protocolos da camada de


enlace de dados para estabelecer o link na linha de comunicação do dispositivo de envio
para o de recebimento. Este tópico descreve os protocolos de enlace de dados comuns
utilizados nas redes empresariais atuais para implementar conexões WAN.

Protocolos da camada de enlace de dados definem como os dados são encapsulados para
transmissão em sites remotos e os mecanismos para transferir os quadros resultantes.
Várias tecnologias diferentes são utilizadas, como ISDN, Frame Relay ou ATM. Muitos
desses protocolos utilizam o mesmo mecanismo de quadros básico, HDLC, um padrão
ISO, ou um de seus subconjuntos ou variantes. A ATM é diferente das demais, porque
utiliza células pequenas de 53 bytes (48 bytes para dados), diferentemente das demais
tecnologias de pacote comutado, que utilizam pacotes de tamanho variável.

Os protocolos de enlace de dados WAN mais comuns são:

• HDLC
• PPP
• Frame Relay
• ATM

ISDN e X.25 são protocolos de enlace de dados mais antigos e menos utilizados
atualmente. No entanto, ISDN continua sendo abordado neste curso por conta da sua
utilização ao suportar rede VoIP com links PRI. X.25 é mencionado para ajudar a
explicar a relevância de Frame Relay. Além disso, X.25 continua sendo utilizado nos
países em desenvolvimento nos quais as redes de dados do pacote (PDN) são utilizadas
para transmitir transações de cartões de crédito e de débito dos comerciantes.

Nota: outro protocolo DLL é o protocolo de Comutação de rótulo de multiprotocolo


(MPLS, Multiprotocol Label Switching). O MPLS está sendo cada vez mais implantado
por provedores de serviço para fornecer uma solução econômica para conexão por
circuitos comutados, bem como tráfego da rede com pacotes comutados. Ele pode
funcionar em qualquer infra-estrutura existente, como IP, Frame Relay, ATM ou
Ethernet. Ele fica entre as camadas 2 e 3, sendo chamado, às vezes, de protocolo da
Camada 2.5. No entanto, o MPLS está além do escopo deste curso, embora seja
abordado em CCNP: Implementing Secure Converged Wide-area Networks.
Exibir meio visual

Página 2:
Encapsulamento WAN

Os dados da camada de rede são passados para a camada de enlace de dados para
entrega em um link físico, normalmente ponto-a-ponto em uma conexão WAN. A
camada de enlace de dados cria um quadro em torno dos dados da camada de rede para
que as verificações necessárias e os controles possam ser aplicados. Cada tipo de
conexão WAN utiliza um protocolo da Camada 2 para encapsular um pacote enquanto
cruza o link de WAN. Para assegurar que o protocolo de encapsulamento correto seja
utilizado, o tipo de encapsulamento da Camada 2 utilizado para cada interface serial do
roteador deve ser configurado. A opção dos protocolos de encapsulamento depende da
tecnologia WAN e do equipamento. HDLC foi inicialmente proposto em 1979 e, por
essa razão, a maior parte dos protocolos de quadros desenvolvidos depois se baseia nele.

Clique no botão Reproduzir na figura para exibir como os protocolos de enlace de


dados WAN encapsulam tráfego.
Exibir meio visual

Página 3:
Formatos de encapsulamento de quadro WAN

Examinar a porção do cabeçalho de um quadro HDLC irá ajudar a identificar campos


comuns utilizados por muitos protocolos de encapsulamento WAN. O quadro sempre
começa e termina com um campo de flag de 8 bits. O padrão de bits é 01111110. O
campo de endereço não é necessário para links de WAN, que quase sempre são ponto-a-
ponto. O campo de endereço continua presente, podendo ter 1 ou 2 bytes. O campo de
controle depende do protocolo, mas normalmente indica se o conteúdo dos dados é de
informações de controle ou dados da camada de rede. O campo de controle costuma ter
1 byte.

Juntos, os campos de endereço e de controle são chamados de cabeçalho do quadro. Os


dados encapsulados seguem o campo de controle. Dessa forma, uma seqüência de
verificação de quadro (FCS, frame check sequence) utiliza o mecanismo de verificação
de redundância cíclica (CRC, cyclic redundancy check) para estabelecer um campo de 2
ou 4 bytes.
Vários protocolos de enlace de dados são utilizados, inclusive subconjuntos e versões
próprias do HDLC. PPP e a versão Cisco do HDLC têm um campo extra no cabeçalho
para identificar o protocolo da camada de rede dos dados encapsulados.
Exibir meio visual

1.2.4 Conceitos de comutação WAN

Página 1:
Comutação de circuito

Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre nós e
terminais antes da comunicação dos usuários.

Como um exemplo, quando um assinante faz uma chamada telefônica, o número


discado é utilizado para definir switches nas trocas na rota da chamada para que haja um
circuito contínuo do chamador para a parte chamada. Por conta do funcionamento da
comutação utilizada para estabelecer o circuito, o sistema telefônico é chamado de rede
de circuito comutado. Se os telefones forem substituídos por modems, o circuito
comutado poderá transportar dados do computador.

O caminho interno usado pelo circuito entre as trocas é compartilhado por várias
conversas. A multiplexação por divisão de tempo (TDM, time-division multiplexing) dá
a cada conversa uma parte da conexão por vez. A TDM assegura que uma conexão de
capacidade fixa seja disponibilizada ao assinante.

Se o circuito transporta dados do computador, a utilização dessa capacidade fixa talvez


não seja eficiente. Por exemplo, se o circuito for utilizado para acessar a Internet, haverá
uma intensa atividade do circuito durante a transferência de uma página da Web. Isso
pode ser seguido de nenhuma atividade enquanto o usuário lê a página e, em seguida,
outra intensa atividade enquanto a próxima página é transferida. Essa variação de
utilização entre nenhum e máximo é típica do tráfego da rede de computadores. Como o
assinante só utiliza a alocação da capacidade fixa, os circuitos comutados costumam ser
uma forma cara de migrar dados.

PSTN e ISDN são dois tipos de tecnologia de circuito comutado que podem ser
utilizados para implementar uma WAN em uma configuração corporativa.

Clique no botão Reproduzir na figura para ver como funciona a comutação de


circuitos.
Exibir meio visual

Página 2:
Comutação de pacotes

Comparando-se com a comutação de circuitos, a comutação de pacotes divide os dados


do tráfego em pacotes roteados em uma rede compartilhada. As redes de comutação de
pacotes não exigem o estabelecimento de um circuito, permitindo a comunicação de
muitos pares de nós no mesmo canal.

Os switches em uma rede comutada por pacote (PSN) determinam que link o pacote
deve ser enviado em seguida a partir das informações de endereçamento em cada
pacote. Há duas abordagens para essa determinação de link, sem conexão ou orientada
por conexão.

• Sistemas sem conexão, como a Internet, transportam informações de


endereçamento completas em cada pacote. Cada switch deve avaliar o endereço
para determinar aonde enviar o pacote.
• Sistemas orientados a conexões predeterminam a rota para um pacote, e cada
pacote só precisa transportar um identificador. No caso do Frame Relay, eles são
chamados de Identificadores de conexão de enlace de dados (DLCIs, Data Link
Connection Identifier). O switch determina a rota adiante, observando o
identificador em tabelas mantidas na memória. O conjunto de entradas nas
tabelas identifica uma rota ou circuito específico no sistema. Se esse circuito só
existir fisicamente enquanto um pacote o percorrer, ele será chamado de circuito
virtual (VC).

Como os links internos entre os switches são compartilhados entre muitos usuários, os
custos da comutação de pacotes são menores que os da comutação de circuitos. Atrasos
(latência) e variação do atraso (atraso do sincronismo) são maiores na comutação de
pacotes do que em redes de circuito comutado. Isso é porque os links são
compartilhados, e os pacotes devem ser integralmente recebidos em um switch antes de
avançar. Apesar da latência e do atraso do sincronismo inerentes em redes
compartilhadas, a tecnologia moderna permite um transporte satisfatório da
comunicação de voz e até mesmo de vídeo nessas redes.

Clique no botão Reproduzir na figura para ver um exemplo de comutação de pacotes.

O servidor A está enviando dados para o servidor B. À medida que o pacote atravessa a
rede do fornecedor, ele chega ao segundo switch do provedor. O pacote é adicionado à
fila e encaminhado depois que os demais pacotes na fila são encaminhados. O pacote
acaba chegando ao servidor B.

Circuitos virtuais

As redes comutadas por pacotes podem estabelecer rotas pelos switches para conexões
fim-a-fim específicas. Essas rotas são chamadas de circuitos virtuais. VC é um circuito
lógico criado dentro de uma rede compartilhada entre dois dispositivos de rede. Há dois
tipos de VCs:
• Circuito virtual permanente (PVC) – um circuito virtual estabelecido
permanentemente que consiste em um modo: transferência de dados. Os PVCs
são utilizados em situações nas quais a transferência de dados entre dispositivos
é constante. Os PVCs diminuem a utilização da largura de banda associada ao
estabelecimento e ao encerramento de VCs, mas aumentam os custos por conta
da constante disponibilidade do circuito virtual. Os PVCs costumam ser
configurados pela operadora quando há uma ordem de serviço.
• Circuito virtual comutado (SVC) – um VC estabelecido dinamicamente sob
demanda e encerrado quando a transmissão é concluída. A comunicação em um
SVC consiste em três fases: estabelecimento de circuito, transferência de dados e
encerramento de circuito. A fase de estabelecimento envolve a criação do VC
entre os dispositivos de origem e de destino. A transferência de dados envolve a
transmissão de dados entre os dispositivos pelo VC, e a fase de encerramento do
circuito envolve a separação do VC entre os dispositivos de origem e de destino.
Os SVCs são utilizados em situações nas quais a transmissão de dados entre
dispositivos é intermitente, principalmente para economizar. Os SVCs liberam o
circuito quando a transmissão é concluída, o que resulta em encargos de conexão
inferiores aos incorridos por PVCs, que mantêm a disponibilidade constante do
circuito virtual.

Conexão a uma rede comutada por pacotes

Para se conectar a uma rede comutada por pacotes, um assinante precisa de um loop
local com o local mais próximo onde o provedor disponibiliza o serviço. Isso é chamado
de ponto de presença (POP) do serviço. Essa normalmente é uma linha alugada
dedicada. Essa linha é muito mais curta que uma linha alugada diretamente conectada
aos locais do assinante, e normalmente transporta vários VCs. Como é provável que
nem todos os VCs exijam demanda máxima simultaneamente, a capacidade da linha
alugada pode ser menor que a soma dos VCs individuais. Entre os exemplos de
conexões comutadas por pacotes ou células:

• X.25
• Frame Relay
• ATM
Exibir meio visual

Página 3:
Exibir meio visual

1.3 Opções de conexão WAN


1.3.1 Opções de conexão de link WAN

Página 1:
Há muitas opções para implementar soluções WAN disponíveis no momento. Elas
diferem quanto à tecnologia, à velocidade e ao custo. A familiaridade com essas
tecnologias é uma parte importante do projeto de rede e da avaliação.

As conexões WAN podem estar em uma infra-estrutura privada ou pública, como a


Internet.

Opções de conexão WAN privada

Entre as conexões WAN privadas estão as opções do link de comunicação dedicado e


comutado.

Links de comunicação dedicados

Quando conexões dedicadas permanentes forem obrigatórias, as linhas ponto-a-ponto


serão utilizadas com vários recursos limitados exclusivamente pelas instalações físicas
subjacentes e pela propensão dos usuários em pagar por essas linhas dedicadas. Um link
ponto-a-ponto fornece um caminho de comunicação WAN preestabelecido do local do
cliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-ponto
costumam ser alugadas de uma operadora, e também são chamadas de linhas alugadas.

Links de comunicação comutados

Os links de comunicação comutados podem ser comutados por circuitos ou pacotes.

• Links de comunicação comutados por circuito – a comutação de circuitos


estabelece dinamicamente uma conexão virtual dedicada para voz ou dados entre
um remetente e um destinatário. Para que a comunicação possa começar, é
necessário estabelecer a conexão por meio da rede da operadora. Os exemplos
de links de comunicação comutados por circuito são de acesso analógico
(PSTN) e ISDN.
• Links de comunicação comutados por pacotes – muitos usuários WAN não
utilizam de maneira eficiente da largura de banda fixa disponível com circuitos
dedicados, comutados ou permanentes porque o fluxo de dados flutua. Os
provedores de comunicação têm redes de dados disponíveis para atender esses
usuários de maneira mais apropriada. Em redes comutadas por pacotes, os dados
são transmitidos em quadros marcados, células ou pacotes. Entre os links de
comunicação comutados por pacotes estão Frame Relay, ATM, X.25 e Metro
Ethernet.

Opções de conexão WAN pública

As conexões públicas utilizam a infra-estrutura de Internet global. Até recentemente, a


Internet não era uma opção de rede viável para muitas empresas por causa dos riscos à
segurança significativos e da falta de garantia de desempenho apropriado em uma
conexão com a Internet fim-a-fim. No entanto, com o desenvolvimento da tecnologia
VPN, a Internet agora é uma opção barata e segura para conexão de trabalhadores
remotos e escritórios remotos em que garantias de desempenho não sejam críticas. Os
links de conexão WAN da Internet são com serviços de banda larga, como DSL, modem
a cabo e sem fio com banda larga, sendo integrados à tecnologia VPN para fornecer
privacidade na Internet.
Exibir meio visual

1.3.2 Opções de link de conexão dedicado

Página 1:
Linhas alugadas

Quando uma conexão dedicada permanente é obrigatória, um link ponto-a-ponto é


utilizado para fornecer um caminho de comunicação WAN preestabelecido do local do
cliente por meio da rede do provedor para um destino remoto. As linhas ponto-a-ponto
costumam ser alugadas de uma operadora, e são chamadas de linhas alugadas. Este
tópico descreve como as empresas utilizam linhas alugadas para fornecer uma conexão
WAN dedicada.

Clique no botão Tipos de linha e largura de banda na figura para exibir uma lista
dos tipos de linha alugada e seus recursos de taxa de bits.

As linhas alugadas estão disponíveis em capacidades diferentes, sendo geralmente


cobradas com base na largura de banda obrigatória e a distância entre os dois pontos
conectados.

Os links ponto-a-ponto costumam ser mais caros que serviços compartilhados, como
Frame Relay. O custo das soluções em linha alugada podem ser significativos quando
utilizadas para conectar vários locais em distâncias cada vez maiores. No entanto, há
momentos em que os benefícios superam o custo da linha alugada. A capacidade
dedicada remove latência ou atraso do sincronismo entre as extremidades. A
disponibilidade constante é essencial para alguns aplicativos, como VoIP ou vídeo sobre
IP.

Uma porta serial de roteador é obrigatória para cada conexão de linha alugada. Uma
CSU/DSU e o circuito real da operadora também são obrigatórios.

As linhas alugadas fornecem capacidade dedicada permanente, sendo utilizadas


amplamente na criação de WANs. Elas foram a conexão tradicional escolhida, mas há
muitas desvantagens. As linhas alugadas têm uma capacidade fixa, mas o tráfego WAN
costuma ser variável, o que deixa uma parte da capacidade inutilizada. Além disso, cada
extremidade precisa de uma interface física separada no roteador, o que aumenta os
custos de equipamento. Qualquer alteração feita na linha alugada normalmente exige
uma visita ao local pela operadora.
Exibir meio visual

Página 2:
Exibir meio visual

1.3.3 Opções de conexão comutada por circuitos

Página 1:
Discagem analógica

Quando transferências de dados intermitentes, de baixos volumes de dados, são


necessárias e as linhas telefônicas discadas analógicas fornecem baixa capacidade e
conexão comutada dedicada. Este tópico descreve as vantagens e as desvantagens de
utilizar opções de conexão dialup e identifica os tipos de cenários de negócios que
aproveitam esse tipo de opção.

A telefonia tradicional utiliza um cabo de cobre, chamado de loop local, para conectar o
monofone telefônico no local do assinante ao CO. O sinal no loop local durante uma
chamada é um sinal eletrônico variável contínuo que é uma tradução da voz de
assinante, analógica.

Os loops locais tradicionais podem transportar dados de computador binários por meio
da rede telefônica de voz utilizando um modem. O modem modula os dados binários em
um sinal analógico na origem e demodula o sinal analógico para os dados binários no
destino. As características físicas do loop local e sua conexão com a PSTN limitam a
taxa do sinal a menos de 56 kb/s.

Para pequenos negócios, essas conexões de dialup de velocidade relativamente baixa


são apropriadas à troca de dados sobre vendas, preços, relatórios de rotina e email.
Utilizar dialup automático durante a noite ou nos finais de semana para grandes
transferências de arquivos e backup de dados pode aproveitar tarifas menores fora do
pico (tarifas de linha). As tarifas se baseiam na distância entre as extremidades, a hora
do dia e a duração da chamada.

As vantagens do modem e das linhas analógicas são a simplicidade, a disponibilidade e


o baixo custo de implementação. As desvantagens são taxas de dados menores e um
tempo de conexão relativamente longo. O circuito dedicado tem pouco atraso ou atraso
do sincronismo para tráfego ponto-a-ponto, mas o tráfego de voz ou de vídeo não
funciona corretamente nessas taxas de bits.
Exibir meio visual
Página 2:
Rede digital de serviços integrados

A rede digital de serviços integrados (ISDN, Integrated Services Digital Network) é


uma tecnologia comutada por circuitos que permite ao loop local de uma PSTN
transmitir sinais digitais, o que resulta em uma conexão comutada de maior capacidade.
A ISDN altera a conexão interna da PSTN de transportar sinais analógicos para sinais
digitais de multiplexação por divisão de tempo (TDM). A TDM permite que dois ou
mais sinais ou fluxos de bits sejam transferidos como subcanais em um canal de
comunicação. Os sinais aparentam transferir simultaneamente, mas estão fisicamente se
alternando no canal. Um bloco de dados do subcanal 1 é transmitido durante o slot de
tempo 1, subcanal 2, durante o slot de tempo 2 e assim por diante. Um quadro TDM
consiste em um slot de tempo por subcanal. A TDM é descrita com mais detalhes no
Capítulo 2, PPP.

A ISDN transforma o loop local em uma conexão digital TDM. Essa alteração permite
ao loop local transportar sinais digitais que resultam em conexões comutadas de maior
capacidade. A conexão utiliza canais de portadora de 64 kb/s (B) para transmitir voz ou
dados e uma sinalização, canal delta (D) para configuração de chamada e outras
finalidades.

Existem dois tipos de interfaces ISDN:

• Interface de taxa básica (BRI, Basic Rate Interface) – ISDN se destina a


empresas domésticas ou pequenas, além de fornecer dois canais B de 64 kb/s e
um canal D de 16 kb/s. O canal D BRI foi projetado para controlar e costuma ser
mal utilizado, porque tem apenas dois canais B para controlar. Portanto, alguns
provedores permitem ao canal D transportar dados em taxas de bits menores,
como uma conexão X.25 a 9,6 kb/s.
• Interface de taxa primária (PRI, Primary Rate Interface ) – ISDN também
está disponível para instalações maiores. PRI fornece 23 canais B com 64 kb/s e
um canal D com 64 kb/s na América do Norte, para uma taxa total de bits de até
1,544 Mb/s. Isso inclui uma sobrecarga para sincronização. Na Europa, na
Austrália e em outras partes do mundo, a ISDN PRI fornece 30 canais B e um
canal D, para um total de bits de até 2,048 Mb/s, incluindo as sobrecarga com
sincronização. Na América do Norte, PRI corresponde a uma conexão T1. A
taxa da PRI internacional corresponde a uma conexão E1 ou J1.

Para WANs pequenas, a BRI ISDN pode fornecer um mecanismo de conexão ideal.
BRI tem um tempo de configuração da chamada de menos de um segundo, e o canal B
de 64 kb/s fornece maior capacidade que um link de modem analógico. Se for
necessária maior capacidade, um segundo canal B poderá ser ativado para fornecer um
total de 128 kb/s. Embora inapropriado para vídeo, ela permite várias conversas de voz
simultâneas, além do tráfego de dados.
Outra aplicação comum da ISDN é para fornecer capacidade adicional conforme
necessário em uma conexão utilizando linha alugada. A linha alugada é dimensionada
para transportar cargas de tráfego comuns, enquanto a ISDN é adicionada durante
períodos de demanda de pico. A ISDN também será utilizada como backup se houver
falha na linha alugada. As tarifas ISDN se baseiam em um canal B, sendo semelhantes
às conexões de voz analógicas.

Com PRI ISDN, vários canais B podem ser conectados entre duas extremidades. Isso
permite a videoconferência e conexões de dados com maior largura de banda sem
nenhuma latência ou atraso do sincronismo. No entanto, várias conexões podem ser
muito caras em longas distâncias.

Nota: Muito embora a ISDN continue sendo uma tecnologia importante para redes de
operadoras de telefonia, ela está perdendo popularidade como uma opção de conexão
com a Internet com a apresentação de serviços DSL de alta velocidade e outros de
banda larga.
Exibir meio visual

Página 3:
Exibir meio visual

1.3.4 Opções de conexão comutada por pacotes

Página 1:
Tecnologias WAN comuns de comutação de pacotes

A maioria das tecnologias de comutação de pacotes comuns utilizada nas redes WAN
empresariais atualmente inclui Frame Relay, ATM e antigos X.25.

Clique no botão X.25 na figura.

X.25

X.25 é um protocolo da camada de rede antigo que fornece aos assinantes um endereço
de rede. Os circuitos virtuais podem ser estabelecidos por meio da rede com pacotes de
solicitação de chamada para o endereço de destino. O SVC resultante é identificado por
um número de canal. Os pacotes de dados marcados com o número de canal são
entregues no endereço correspondente. Vários canais podem estar ativos em uma única
conexão.

Aplicações X.25 típicas são leitores de cartões em ponto de venda. Esses leitores
utilizam o X.25 em modo dialup para validar transações em um computador central.
Para essas aplicações, a pouca largura de banda e a latência alta não são uma
preocupação, e o baixo custo torna o X.25 acessível.

As velocidades de link X.25 variam de 2400 b/s a 2 Mb/s. No entanto, as redes públicas
costumam apresentar uma capacidade inferior com velocidades que raramente excedem
64 kb/s.

Agora as redes X.25 enfrentam um drástico declínio, sendo substituídas por tecnologias
de Camada 2 mais novas, como Frame Relay, ATM e ADSL. No entanto, elas
continuam sendo utilizadas em muitas partes do mundo em desenvolvimento, onde há
acesso limitado a tecnologias mais novas.

Clique no botão Frame Relay na figura.

Frame Relay

Embora o layout de rede seja aparentemente semelhante ao do X.25, o Frame Relay é


diferente do X.25 em várias formas. Mais importante, esse é um protocolo muito mais
simples que funciona na camada de enlace de dados, e não na camada de rede. O Frame
Relay não implementa nenhum controle de erro ou de fluxo. O tratamento simplificado
de quadros leva à latência reduzida, e as medidas tomadas para evitar o acúmulo de
quadros em switches intermediários ajudam a reduzir o atraso do sincronismo. O Frame
Relay oferece taxas de dados de até 4 Mb/s, com alguns fornecedores oferecendo taxas
ainda mais altas.

Os VCs Frame Relay são identificados exclusivamente por uma DLCI, que assegura
uma comunicação bidirecional de um dispositivo DTE com outro. A maioria das
conexões Frame Relay é de PVCs, e não de SVCs.

O Frame Relay fornece conectividade permanente, compartilhada, de largura de banda


média que transporta tráfego de voz e de dados. O Frame Relay é ideal para conectar
redes locais de empresas. O roteador na rede local só precisa de uma interface única,
mesmo quando vários VCs são usados. A linha alugada por um breve período para a
borda da rede Frame Relay permite uma conexão econômica entre redes locais muito
espalhadas.

O Frame Relay será descrito com mais detalhes no Capítulo 3, "Frame Relay".

Clique no botão ATM na figura.

ATM

A tecnologia modo de transferência assíncrona (ATM, Asynchronous Transfer Mode) é


capaz de transferir voz, vídeo e dados por meio de redes privadas e públicas. Ele é
criado a partir de uma arquitetura baseada em células, e não em uma arquitetura baseada
em quadros. As células ATM sempre têm um tamanho fixo de 53 bytes. A célula ATM
contém um cabeçalho ATM de 5 bytes seguido de 48 bytes de payload ATM. As células
de tamanho fixo, menores, são mais apropriadas ao transporte de tráfego de voz e vídeo
porque esse tráfego não é tolerante a atrasos. O tráfego de vídeo e de voz não precisa
aguardar a transmissão de um pacote de dados maior.

A célula ATM de 53 bytes é menos eficiente que os quadros maiores e pacotes do


Frame Relay e do X.25. Além disso, a célula ATM tem pelo menos 5 bytes de
sobrecarga para payload de 48 bytes. Quando a célula transporta pacotes da camada de
rede segmentados, a sobrecarga é maior porque o switch ATM deve ser capaz de
remontar os pacotes no destino. Uma linha ATM típica precisa de praticamente 20 por
cento mais largura de banda do que Frame Relay para transportar o mesmo volume de
dados da camada de rede.

A ATM foi projetada para ser extremamente escalável, podendo suportar velocidades de
link de T1/E1 a OC-12 (622 Mb/s) e superior.

A ATM oferece PVCs e SVCs, muito embora PVCs sejam mais comuns com WANs. E,
assim como acontece com outras tecnologias compartilhadas, o ATM permite que
vários VCs em uma única conexão de linha alugada com a borda da rede.
Exibir meio visual

Página 2:
Exibir meio visual

1.3.5 Opções de conexão com a Internet

Página 1:
Serviços de banda larga

As opções de conexão de banda larga costumam ser utilizadas para conectar


funcionários remotos a um local corporativo pela Internet. Entre essas opções estão
cabo, DSL e sem fio.

Clique no botão DSL na figura.

DSL

A tecnologia DSL é uma tecnologia de conexão sempre ativada que utiliza linhas
telefônicas de par trançado existentes para transportar dados em banda larga e fornece
serviços IP aos assinantes. Um modem DSL converte um sinal Ethernet do dispositivo
do usuário em um sinal DSL, transmitido para o escritório central.

Várias linhas de assinante DSL são multiplexadas em um único link de alta capacidade
utilizando um multiplexador de acesso à linha digital do assinante (DSLAM) no local
do fornecedor. Os DSLAMs incorporam a tecnologia TDM para agregar muitas linhas
de assinante em um único meio, geralmente uma conexão T3 (DS3). As tecnologias
DSL atuais utilizam técnicas sofisticadas de codificação e modulação para obter taxas
de dados de até 8,192 Mb/s.

Há uma ampla variedade de tipos DSL, padrões e novos padrões. DSL agora é uma
opção popular para departamentos de TI de empresas no suporte a funcionários remotos.
Em geral, um assinante não pode optar por se conectar a uma rede corporativa
diretamente, mas deve primeiro se conectar a um ISP e, em seguida, uma conexão IP é
estabelecida por meio da Internet com a empresa. Há riscos de segurança inerentes a
esse processo, embora possam ser minimizados com medidas de segurança.

Clique no botão Modem a cabo na figura.

Modem a cabo

O cabo coaxial é amplamente utilizado em áreas urbanas para distribuir sinais de


televisão. O acesso à rede está disponível em algumas redes de TV a cabo. Ele permite
uma largura de banda maior que o loop local telefônico convencional.

Os modems a cabo fornecem uma conexão permanente, além de uma instalação


simples. Um assinante conecta um computador ou roteador de rede local ao modem a
cabo, que traduz os sinais digitais nas freqüências de banda larga utilizadas na
transmissão em uma rede de TV a cabo. O escritório de TV a cabo local, chamado de
headend de cabo, contém o sistema de computadores e os bancos de dados necessários
para fornecer acesso à Internet. O componente mais importante localizado no headend é
o sistema terminal de modem a cabo (CMTS), que envia e recebe sinais de modem a
cabo digital em uma rede a cabo, sendo necessário para fornecer serviços de Internet aos
assinantes a cabo.

Os assinantes de modem a cabo devem utilizar um ISP associado à operadora. Todos os


assinantes locais têm a mesma largura de banda a cabo. Na medida em que mais
usuários assinam o serviço, a largura de banda disponível pode ficar abaixo da taxa
esperada.

Clique no botão Banda larga sem fio na figura.

Banda larga sem fio


A tecnologia sem fio utiliza o espectro de rádio não licenciado para enviar e receber
dados. O espectro não licenciado é acessível a qualquer um que tenha um roteador para
rede sem fio e uma tecnologia sem fio no dispositivo utilizado.

Até recentemente, uma limitação do acesso wireless era a necessidade de estar no


intervalo de transmissão local (normalmente, menos de 100 pés – 30 metros) de um
roteador sem fio ou um modem para rede sem fio com uma conexão com fio com a
Internet. Os novos desenvolvimentos a seguir na tecnologia sem fio de banda larga estão
mudando essa situação:

• WiFi municipal – muitas cidades começaram a configurar redes sem fio


municipais. Algumas dessas redes fornecem acesso à Internet de alta velocidade
gratuitamente ou por um preço consideravelmente menor do que o de outros
serviços de banda larga. Outras se destinam à utilização apenas na cidade,
permitindo à polícia e aos bombeiros, além de outros funcionários do município,
fazer determinados aspectos dos seus trabalhos remotamente. Para se conectar a
um WiFi municipal, um assinante normalmente precisa de um modem sem fio
com um rádio mais potente e uma antena mais direcional do que a dos
adaptadores sem fio convencionais. A maioria dos provedores de serviço fornece
o equipamento necessário gratuitamente ou a uma taxa, muito semelhante à
forma como fazem com modems DSL ou a cabo.
• WiMAX – Interoperabilidade Mundial para Acesso Microondas (WiMAX,
Worldwide Interoperability for Microwave Acess) é uma nova tecnologia que
começou a ser utilizada recentemente. Ela é descrita no padrão IEEE 802.16.
WiMAX fornece serviço de banda larga de alta velocidade com acesso wireless
e oferece ampla cobertura como uma rede telefônica celular, e não por meio de
pequenos hotspots WiFi. O WiMAX funciona de maneira semelhante ao WiFi,
mas em velocidades mais altas, em distâncias maiores e para um maior número
de usuários. Ele utiliza uma rede de torres WiMAX semelhantes a torres de
telefonia celular. Para acessar uma rede WiMAX, os assinantes devem assinar
um ISP com uma torre WiMAX num raio de 10 milhas (16 km) do local. Eles
também precisam de um computador compatível com WiMAX e de um código
de criptografia especial para obter acesso à estação base.
• Internet via satélite – normalmente utilizada por usuários em zonas rurais onde
cabo e DSL não estão disponíveis. Um satélite fornece comunicação de dados
bidirecional (upload e download). A velocidade de upload é cerca de um décimo
da velocidade de download de 500 kb/s. Cabo e DSL têm velocidades de
download maiores, mas os sistemas via satélite são cerca de 10 vezes mais
rápidos do que um modem analógico. Para acessar serviços de Internet via
satélite, os assinantes precisam de uma antena de satélite, dois modems (uplink e
downlink) e cabos coaxiais entre a antena e o modem.

Os serviços de banda larga DSL, a cabo e sem fio são descritos com mais detalhes no
Capítulo 6, "Serviços de funcionário remoto".
Exibir meio visual

Página 2:
Tecnologia de VPN

Há riscos de segurança quando um funcionário remoto ou escritório remoto utiliza


serviços de banda larga para acessar a WAN corporativa pela Internet. Para resolver
problemas de segurança, os serviços de banda larga fornecem recursos para utilizar
conexões de rede virtual privada (VPN) com um servidor VPN, normalmente localizado
no local corporativo.

Uma VPN é uma conexão criptografada entre redes privadas em uma rede pública,
como a Internet. Em vez de utilizar uma conexão da Camada 2 dedicada, como uma
linha alugada, uma VPN utiliza conexões virtuais chamadas de túneis VPN, roteados
pela Internet da rede privada corporativa para o local remoto ou o host do funcionário.

Benefícios da VPN

Entre os benefícios VPN estão:

• Economia – as VPNs permitem às organizações utilizar a Internet global para


conectar escritórios remotos e usuários remotos ao local corporativo principal, o
que elimina links de WAN dedicados caros e conjuntos de modems.
• Segurança – as VPNs fornecem o nível mais alto de segurança, utilizando
protocolos avançados de criptografia e autenticação que protegem dados do
acesso não autorizado.
• Escalabilidade – como as VPNs utilizam a infra-estrutura de Internet dentro de
ISPs e dispositivos, é fácil adicionar novos usuários. As corporações podem
adicionar uma grande quantidade de capacidade sem adicionar uma infra-
estrutura significativa.
• Compatibilidade com tecnologia de banda larga – como a tecnologia VPN é
suportada por provedores de serviço de banda larga, como DSL e cabo, os
funcionários móveis e remotos podem usufruir seu serviço na Internet de alta
velocidade doméstico para acessar suas redes corporativas. As conexões de
banda larga de alta velocidade, comerciais, também podem fornecer uma
solução econômica para conectar mais escritórios.

Tipos de acesso VPN

Existem dois tipos de acesso VPN:

• VPNs ponto-a-ponto – VPNs ponto-a-ponto conectam todas as redes, por


exemplo, elas conectam a rede de uma filial à rede da sede de uma empresa,
como mostrado na figura. Todo site é equipado com um gateway VPN, como
um roteador, firewall, concentrador VPN ou mecanismo de segurança. Na
figura, uma filial remota utiliza uma VPN ponto-a-ponto para se conectar à
matriz corporativa.
• VPNs de acesso remoto – VPNs de acesso remoto permitem a hosts
individuais, como funcionários remotos, usuários móveis e clientes de extranet
acessar a rede de uma empresa com segurança pela Internet. Cada host
normalmente tem um software cliente VPN carregado ou utiliza um cliente
baseado na Web.

Clique no botão VPN de acesso remoto ou no botão VPN ponto-a-ponto na figura


para ver um exemplo de cada tipo de conexão VPN.
Exibir meio visual

Página 3:
Ethernet metropolitana

A Metro Ethernet é uma tecnologia de rede em rápida evolução que amplia a Ethernet
até redes públicas mantidas por empresas de telecomunicação. Os switches Ethernet
compatíveis com IP permitem aos provedores de serviço oferecer serviços convergidos
de voz, de dados e de vídeo corporativos, como telefonia IP, streaming de vídeo,
digitalização e armazenamento de dados. Estendendo a Ethernet até a área
metropolitana, as empresas podem fornecer a seus escritórios remotos acesso confiável
a aplicativos e dados na rede local da sede corporativa.

Entre os benefícios da Metro Ethernet estão:

• Despesas e administração reduzidos – a Ethernet metropolitana fornece uma


rede da Camada 2 comutada, de grande largura de banda, compatível com o
gerenciamento de dados, voz e vídeo na mesma infra-estrutura. Essa
característica aumenta a largura de banda e elimina conversões caras em ATM e
Frame Relay. A tecnologia permite às empresas conectar vários locais sem custo
em uma área metropolitana e à Internet.
• Integração simplificada com redes existentes – a Ethernet metropolitana se
conecta facilmente a redes locais Ethernet, o que reduz custos e tempo de
instalação.
• Produtividade comercial melhorada – a Ethernet metropolitana permite às
empresas usufruir aplicativos IP que melhoram a produtividade difíceis de
implementar em redes TDM ou Frame Relay, como uma comunicação IP
hospedada, VoIP e streaming, além da transmissão de vídeo.
Exibir meio visual

Página 4:
Escolhendo uma conexão de link WAN
Agora que observamos várias opções de conexão WAN, como você escolhe a melhor
tecnologia para atender aos requisitos de uma empresa específica? A figura compara as
vantagens e as desvantagens das opções de conexão WAN que abordamos neste
capítulo. Essas informações são um bom começo. Além disso, para ajudar no processo
de tomada de decisões, aqui estão algumas perguntas que você deve se fazer ao escolher
uma opção de conexão WAN.

Qual é a finalidade da WAN?

Você deseja conectar filiais locais na mesma área da cidade, conectar filiais remotas, se
conectar a uma única filial, se conectar a clientes, se conectar a parceiros de negócios ou
algumas combinações dessas opções? Se a WAN for para fornecer clientes autorizados
ou parceiros de negócios com acesso limitado à intranet corporativa, qual será a melhor
opção?

Qual é o escopo geográfico?

Ele é local, regional, global, privativo (filial única), de filiais múltiplas, múltiplo
(distribuído)? Dependendo do intervalo, algumas opções de conexão WAN podem ser
melhores que outras.

Quais são os requisitos de tráfego?

Entre os requisitos de tráfego a serem considerados estão:

• O tipo de tráfego (somente dados, VoIP, vídeo, arquivos grandes, arquivos de


streaming) determina os requisitos de qualidade e desempenho. Por exemplo, se
você estiver enviando muito tráfego de voz ou de fluxo de vídeo, a ATM poderá
ser a melhor opção.
• Os volumes de tráfego que dependem do tipo (voz, vídeo ou dados) de cada
destino determinam a capacidade da largura de banda obrigatória para a conexão
WAN com o ISP.
• Os requisitos de qualidade podem limitar suas opções. Se o seu tráfego for muito
sensível à latência e ao atraso do sincronismo, você poderá eliminar opções de
conexão WAN que não forneçam a qualidade obrigatória.
• Os requisitos de segurança (integridade de dados, confidencialidade e segurança)
são fatores importantes caso o tráfego seja altamente confidencial ou forneça
serviços essenciais, como atendimento de emergências.

E se a WAN utilizar uma infra-estrutura privada ou pública?

Uma infra-estrutura privada oferece a melhor segurança e confidencialidade, e a infra-


estrutura de Internet pública oferece a maior flexibilidade e as menores despesas. A sua
opção depende da finalidade da WAN, dos tipos de tráfego transportado e do orçamento
operacional disponível. Por exemplo, caso a finalidade seja atender a uma filial próxima
com serviços seguros de alta velocidade, uma conexão privada dedicada ou comutada
talvez seja a ideal. Caso a finalidade seja conectar muitos escritórios remotos, uma
WAN pública que utiliza a Internet talvez seja a melhor opção. Para operações
distribuídas, uma combinação de opções talvez seja a solução.

Para uma WAN privada, ela deve ser dedicada ou comutada?

As transações em tempo real de alto volume têm requisitos especiais que poderiam
favorecer uma linha dedicada, como tráfego que flui entre a central de dados e a matriz
corporativa. Se você estiver se conectando a uma filial única local, será possível utilizar
uma linha alugada dedicada. No entanto, essa opção seria muito cara para uma conexão
WAN de vários escritórios. Nesse caso, uma conexão comutada pode ser melhor.

Para uma WAN pública, de que tipo de acesso VPN você precisa?

Caso a finalidade da WAN seja se conectar a um escritório remoto, uma VPN ponto-a-
ponto talvez seja a melhor opção. Para conectar funcionários remotos ou clientes, as
VPNs de acesso remoto são uma opção melhor. Caso a WAN esteja fornecendo uma
combinação de escritórios remotos, funcionários remotos e clientes autorizados, como
uma empresa global com operações distribuídas, uma integração de opções VPN talvez
seja obrigatória.

Quais são as opções de conexão disponíveis localmente?

Em algumas áreas, nem todas as opções de conexão WAN estão disponíveis. Nesse
caso, o seu processo de seleção é simplificado, muito embora a WAN resultante possa
fornecer um desempenho abaixo do ideal. Por exemplo, em uma área rural ou remota, a
única opção talvez seja o acesso à Internet de banda larga via satélite.

Qual é o custo das opções de conexão disponíveis?

Dependendo da opção escolhida, a WAN pode ser uma despesa permanente


significativa. O custo de uma opção específica deve ser ponderado segundo a qualidade
com que ele atende a outros requisitos. Por exemplo, uma linha alugada dedicada é a
opção mais cara, mas a despesa pode se justificar caso seja essencial assegurar uma
transmissão segura de grandes volumes de dados em tempo real. Para aplicações com
menos demanda, uma conexão com a Internet ou comutada mais barata pode ser mais
apropriada.

Como você pode ver, há muitos fatores importantes a serem considerados durante a
escolha de uma conexão WAN apropriada. Seguindo as diretrizes descritas acima, bem
como as descritas pela Arquitetura corporativa Cisco, agora você deve ser capaz de
escolher uma conexão WAN apropriada para atender aos requisitos de cenários de
negócios diferentes.
Exibir meio visual

Página 5:
Exibir meio visual

1.4 Laboratórios do capítulo


1.4.1 Revisão avançada

Página 1:
Neste laboratório, você irá revisar os conceitos básicos de roteamento e de comutação.
Tente fazer o máximo possível sozinho. Consulte o material anterior quando você não
conseguir continuar sozinho.

Nota: Configurar três protocolos de roteamento separados RIP, OSPF e EIGRP para
rotear a mesma rede não é efetivamente uma prática recomendada. Essa deve ser
considerada uma prática não recomendada, não sendo algo que deveria ser feito em uma
rede de produção. Isso é feito aqui para que você possa examinar os principais
protocolos de roteamento antes de continuar, além de ver uma ilustração drástica do
conceito de distância administrativa.
Exibir meio visual

1.5 Resumo do capítulo


1.5.1 Resumo do capítulo

Página 1:
WAN é uma rede de comunicação de dados que funciona além do escopo geográfico de
uma rede local.

Na medida em que as empresas crescem, adicionar mais funcionários, abrir filiais e


expandir até mercados globais, os requisitos de serviços integrados mudam. Esses
requisitos de negócios orientam seus requisitos de rede.

A Arquitetura corporativa Cisco se expande até o modelo de design hierárquico,


dividindo ainda mais a rede corporativa em áreas física, lógica e funcional.

A implementação de uma Arquitetura corporativa Cisco fornece uma rede segura,


robusta, com grande disponibilidade que facilita a implantação de redes convergentes.

As WANs funcionam de acordo com o modelo de referência OSI, principalmente nas


camadas 1 e 2.
Os dispositivos que colocam dados no loop local são chamados de equipamento
terminal de circuito de dados, ou equipamento de comunicação de dados (DCE). Os
dispositivos de cliente que transmitem os dados para o DCE são chamados de
equipamento de terminal de dados (DTE). O DCE fornece principalmente uma interface
para o DTE no link de comunicação na nuvem WAN.

O ponto de demarcação físico é o local onde a responsabilidade da conexão passa da


empresa para a operadora.

Protocolos da camada de enlace de dados definem como os dados são encapsulados para
transmissão em sites remotos e os mecanismos para transferir os quadros resultantes.

Uma rede de circuito comutado estabelece um circuito (ou canal) dedicado entre nós e
terminais antes da comunicação dos usuários.

Uma rede comutada por pacotes divide os dados do tráfego em pacotes roteados em
uma rede compartilhada. As redes de comutação de pacotes não exigem o
estabelecimento de um circuito, e elas permitem a comunicação de muitos pares de nós
no mesmo canal.

Um link ponto-a-ponto fornece um caminho de comunicação WAN preestabelecido do


local do cliente por meio da rede do provedor para um destino remoto. Os links ponto-a-
ponto utilizam linhas alugadas para fornecer uma conexão dedicada.

Entre as opções WAN de comutação de circuitos estão dialup analógico e ISDN. Entre
as opções WAN de comutação de pacotes estão X.25, Frame Relay e ATM. A ATM
transmite dados em células de 53 bytes, e não em quadros. A ATM é mais apropriada ao
tráfego de vídeo.

Entre as opções de conexão WAN com a Internet estão serviços de banda larga, como
DSL, modem a cabo, sem fio de banda larga ou Metro Ethernet. A tecnologia VPN
permite às empresas fornecer acesso seguro ao funcionário remoto pela Internet em
serviços de banda larga.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Esta atividade abrange muitas das habilidades que você adquiriu nos três primeiros
cursos do Exploration. Entre as habilidades estão criar uma rede, aplicar um esquema de
endereçamento, configurar roteamento, VLANs, STP e VTP, além de testar a
conectividade. Você deve revisar essas habilidades antes de continuar. Além disso, essa
atividade é uma oportunidade de revisar os fundamentos do programa Packet Tracer. O
Packet Tracer é integrado ao longo deste curso. Você deve saber como navegar no
ambiente do Packet Tracer para concluir este curso. Use os tutoriais se você precisar de
uma revisão dos princípios básicos do Packet Tracer. Os tutoriais estão localizados no
menu Ajuda do Packet Tracer.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

1.6 Teste do capítulo


1.6.1 Teste do capítulo

Página 1:
Exibir meio visual

2 PPP
2.0 Introdução do capítulo
2.0.1 Introdução do capítulo

Página 1:
Este capítulo inicia a exploração das tecnologias WAN, apresentando a comunicação
ponto-a-ponto e o (PPP).

Um dos tipos mais comuns de conexão WAN é a ponto-a-ponto. As conexões ponto-a-


ponto são utilizadas em redes locais com WANs de operadora e na conexão de
segmentos de rede local dentro de uma rede empresarial. Uma conexão ponto-a-ponto
entre rede local e WAN também é conhecida como uma conexão serial ou conexão de
linha alugada, porque as linhas são alugadas de uma operadora (normalmente uma
companhia telefônica) e de uso dedicado ao uso pela empresa locadora das linhas. As
empresas pagam por uma conexão contínua entre dois locais remotos, e a linha
permanece sempre ativa e disponível. Compreender como funcionam os links de
comunicação ponto-a-ponto para fornecer acesso a uma WAN é importante para que se
obtenha uma compreensão geral de como funcionam as WANs.

O Protocolo ponto a ponto (PPP, Point-to-Point Protocol) fornece conexões de rede


local para WAN com vários protocolos que lidam com TCP/IP, Intercâmbio de pacotes
de redes interconectadas (IPX, Internetwork Packet Exchange) e AppleTalk
simultaneamente. Ele pode ser usado em linhas de par trançado, de fibra óptica e na
transmissão via satélite. O PPP fornece transporte em links ATM, Frame Relay, ISDN e
ópticos. Em redes modernas, a segurança é uma grande preocupação. O PPP permite
autenticar conexões usando o Protocolo de autenticação de senha (PAP, Password
Authentication Protocol ) ou o mais eficiente Protocolo avançado de autenticação de
reconhecimento (CHAP, Challenge Handshake Authentication Protocol). Eles serão
apresentados na quarta seção.

Neste capítulo, você aprenderá os principais conceitos da comunicação serial e como


configurar e solucionar problemas de uma conexão serial PPP em um roteador Cisco.
Exibir meio visual

2.1 Links ponto-a-ponto seriais


2.1.1 Apresentando a comunicação serial

Página 1:
Como funciona a comunicação serial?

Você sabe que a maioria dos PCs têm portas seriais e paralelas. Você também sabe que
a eletricidade só pode se mover em uma velocidade. Uma forma de acelerar o
deslocamento de bits em um fio é compactar os dados para que menos bits sejam
necessários e, assim, exigir menos tempo no fio ou transmitir os bits simultaneamente.
Os computadores usam um número relativamente pequeno de conexões paralelas entre
componentes internos, mas usam um barramento serial para converter sinais em grande
parte das comunicações externas.

Comparemos as comunicações serial e paralela.

Clique no botão Serial e paralela para ver a animação.

• Com uma conexão serial, as informações são enviadas pelo fio, um bit de dados
por vez. O conector serial de 9 pinos na maioria dos PCs usa dois fios, um em
cada sentido, para a comunicação de dados, além de fios adicionais para
controlar o fluxo de informações. Em qualquer sentido, os dados continuam
passando por um único fio.
• Uma conexão paralela envia os bits por mais fios simultaneamente. No caso da
porta paralela de 25 pinos do seu PC, há oito fios que transportam dados para
transportar 8 bits simultaneamente. Como há oito fios para transportar os dados,
o link paralelo, em teoria, transfere dados oito vezes mais rapidamente do que
uma conexão serial. Dessa forma, com base nessa teoria, uma conexão paralelo
envia um byte no momento em que uma conexão serial envia um bit.
Essa explicação suscita algumas questões. O que significa, em teoria, mais rápido? Se o
paralelo for mais rápido que a serial, ele será mais apropriado à conexão com uma
WAN? Na verdade, esses links seriais costumam ser ajustados em uma velocidade
consideravelmente maior que os links paralelos, e eles conseguem uma taxa de dados
maior, por conta de dois fatores que afetam a comunicação paralela: diferença de clock
e interferência de linha cruzada.

Clique no botão Diferença de clock na figura.

Em uma conexão paralela, é errado supor que os 8 bits que saem do remetente juntos
cheguem ao destinatário juntos. Na verdade, alguns dos bits chegam lá mais tarde que
outros. Isso é conhecido como diferença de clock. Uma diferença de clock excedente
não é comum. A extremidade receptora deve sincronizar-se com o transmissor e
aguardar a chegada de todos os bits. Os processos de leitura, gravação, travamento,
espera pelo sinal do clock e transmissão dos 8 bits agregam tempo à transmissão. Em
uma comunicação paralela, a trava é um sistema de armazenamento de dados utilizado
para guardar informações em sistemas lógicos seqüenciais. Quanto mais fios você
utilizar e quanto mais longe chegar a conexão, mais problemas haverá, além da presença
do atraso. A necessidade de clocking coloca a transmissão paralela bem abaixo da
expectativas teóricas.

E isto não ocorre com links seriais, porque a maioria deles não precisa de clocking. As
conexões seriais exigem menos fios e cabos. Elas ocupam menos espaço e podem ser
mais bem isoladas da interferência entre fios e cabos.

Clique no botão Interferência na figura.

Os fios paralelos são agrupados fisicamente em um cabo paralelo, e os sinais podem


ficar uns sobre os outros. A possibilidade de linha cruzada nos fios exige mais
processamento, especialmente em freqüências mais altas. Os barramentos seriais em
computadores e roteadores, compensam a linha cruzada antes da transmissão dos bits.
Como os cabos seriais têm menos fios, há menos linha cruzada, e os dispositivos de
rede transmitem uma comunicação serial em freqüências mais altas, mais
eficientemente.

Na maior parte dos casos, a implementação da comunicação serial é consideravelmente


mais barata. A comunicação serial usa menos fios, cabos mais baratos e menos pinos
conectores.
Exibir meio visual

Página 2:
Padrões de comunicação serial
Todas as comunicações de longa distância e a maioria das redes de computadores usa
conexões seriais, porque o custo do cabo e as dificuldades de sincronização tornam as
conexões paralelas impraticáveis. A vantagem mais significativa é uma fiação mais
simples. Além disso, os cabos seriais podem ser mais longos que os cabos paralelos,
porque há muito menos interação (linha cruzada) entre os condutores no cabo. Neste
capítulo, restringiremos nossa consideração quanto à comunicação serial à conexão de
redes locais com WANs.

A figura é uma representação simples de uma comunicação serial. Os dados são


encapsulados pelo protocolo de comunicação utilizado pelo roteador de envio. O quadro
encapsulado é enviado por um meio físico para a WAN. Há várias formas de atravessar
a WAN, mas o roteador de recepção usa o mesmo protocolo de comunicação para
desencapsular o quadro quando ele chega.

Há muitos padrões de comunicação serial diferentes, cada um usando um método de


sinalização diferente. Existem três padrões de comunicação serial importantes que
afetam as conexões entre rede local e WAN:

• RS-232 – grande parte das portas seriais em computadores pessoais é


compatível com os padrões RS-232C ou RS-422 e RS-423. São usados
conectores de 9 e de 25 pinos. Uma porta serial é uma interface de finalidade
geral que pode ser usada por praticamente qualquer tipo de dispositivo, inclusive
modems, mouses e impressoras. Muitos dispositivos de rede utilizam conectores
RJ-45 que também são compatíveis com o padrão RS-232. A figura mostra um
exemplo de um conector RS-232.
• V.35 – normalmente utilizado na comunicação entre modem e multiplexador,
este padrão ITU para alta velocidade e troca de dados síncrona, integra a largura
de banda de vários circuitos telefônicos. Nos EUA, V.35 é o padrão de interface
utilizado pela maioria dos roteadores e DSUs que se conectam a operadoras de
T1. Os cabos V.35 são conjuntos seriais de alta velocidade projetados para
suportar taxas de dados maiores e conectividade entre DTEs e DCEs em linhas
digitais. Há mais sobre DTEs e DCEs posteriormente nesta seção.
• HSSI – Uma High-Speed Serial Interface (HSSI) suporta taxas de transmissão
de até 52 Mb/s. Os engenheiros usam HSSI para conectar roteadores em redes
locais a WANs em linhas de alta velocidade, como linhas T3. Eles também usam
HSSI para fornecer conectividade de alta velocidade entre redes locais, usando
Token Ring ou Ethernet. HSSI é uma interface DTE/DCE desenvolvida pela
Cisco Systems e pela T3plus Networking para atender à necessidade da
comunicação de alta velocidade em links de WAN.

Clique no botão RS-232 na figura.

Além, de métodos de sinalização diferentes, cada um desses padrões usa tipos diferentes
de cabos e conectores. Cada padrão desempenha uma função diferente em uma
topologia entre rede local e WAN. Embora este curso não examine os detalhes dos
esquemas de pinagem V.35 e HSSI, uma rápida observação do conector RS-232 de 9
pinos usado para conectar um PC a um modem ajuda a ilustrar o conceito. Um tópico
posterior observa os cabos V.35 e HSSI.
• Pino 1 – Detecção de operadora de dados (DCD, Data Carrier Detect) indica que
a operadora dos dados de transmissão está ativada.
• Pino 2 – o pino de recepção (RXD) transporta dados do dispositivo serial para o
computador.
• Pino 3 – o pino de transmissão (TxD) transporta dados do computador para o
dispositivo serial.
• Pino 4 – Terminal de dados pronto (DTR, Data Terminal Ready ) indica para o
modem que o computador está pronto para transmissão.
• Pino 5 – terra.
• Pino 6 – Conjunto de dados pronto (DSR, Data Set Ready) é semelhante a DTR.
Ele indica que o Dataset está ativado.
• Pino 7 – o pino RTS precisa de folga para enviar dados a um modem.
• Pino 8 – o dispositivo serial utiliza o pino Clear to Send (CTS) para confirmar o
sinal RTS do computador. Na maioria das situações, RTS e CTS estão sempre
ativos em toda a sessão de comunicação.
• Pino 9 – um modem de resposta automática utiliza o Ring Indicator (RI) para
sinalizar o recebimento de um sinal de toque telefônico.

Os pinos DCD e RI só estão disponíveis em conexões com um modem. Essas duas


linhas são utilizadas raramente porque grande parte dos modems transmite informações
de status para um PC quando um sinal de operadora é detectado (quando uma conexão é
estabelecida com outro modem) ou quando o modem recebe um sinal de toque da linha
telefônica.
Exibir meio visual

2.1.2 TDM

Página 1:
Multiplexação por divisão de tempo

A Bell Laboratories inventou a multiplexação por divisão de tempo (TDM, time


division multiplexing) para maximizar a quantidade de tráfego de voz transmitido por
um meio. Antes da multiplexação, cada chamada telefônica precisava de um link físico
próprio. Essa era uma solução cara e não escalável. TDM divide a largura de banda de
um único link em canais separados ou slots de tempo. TDM transmite dois ou mais
canais pelo mesmo link, alocando um intervalo diferente (slot de tempo) para a
transmissão de cada canal. Na verdade, os canais revezam a utilização do link.

TDM é um conceito da camada física. Ele não tem nada a ver com o futuro das
informações multiplexadas no canal de saída do comando. TDM é independente do
protocolo de Camada 2 que possa ser utilizado pelos canais de input.
TDM pode ser explicada por uma analogia com o tráfego de uma rodovia. Para
transportar o tráfego de quatro estradas para outra cidade, você pode enviar todo ele em
uma só pista caso as estradas que se ligam à ela estejam igualmente em boas condições
e o tráfego esteja sincronizado. Dessa forma, se cada uma das quatro estradas colocar
um carro na rodovia principal a cada quatro segundos, ela receberá um carro a cada
segundo. Desde que a velocidade de todos os carros esteja sincronizada, não haverá
colisão. No destino, acontece o inverso, e os carros saem da rodovia e entram nas
estradas locais pelo mesmo mecanismo síncrono.

Este é o princípio utilizado na TDM síncrona durante o envio de dados por um link. A
TDM aumenta a capacidade do link de transmissão, dividindo o tempo em intervalos
menores para que o link transporte os bits de várias origens de input, o que aumenta
efetivamente o número de bits transmitidos por segundo. Com TDM, o transmissor e o
receptor sabem exatamente o sinal enviado.

Em nosso exemplo, um multiplexador (MUX) no transmissor aceita três sinais distintos.


O MUX divide todo sinal em segmentos. O MUX coloca cada segmento em um único
canal, inserindo cada segmento em um slot de tempo.

Um MUX na extremidade de recepção reagrupa o fluxo TDM em três fluxos de dados


distintos com base exclusivamente no timing de chegada de cada bit. Uma técnica
chamada entrelaçamento de bits controla o número e a seqüência dos bits de cada
transmissão específica para que eles possam ser reagrupados de maneira rápida e
eficiente em sua forma original durante o recebimento. O entrelaçamento de bits realiza
as mesmas funções, mas como há oito bits em cada byte, o processo precisa de um slot
de tempo maior.
Exibir meio visual

Página 2:
Multiplexação estatística por divisão de tempo

Em outra analogia, compare TDM com um trem de 32 vagões. Cada vagão é de uma
empresa de frete diferente, e diariamente o trem sai com os 32 vagões em carreira. Se
uma das empresas tiver carga a ser enviada, o vagão será carregado. Se a empresa não
tiver nada para enviar, o vagão permanecerá vazio, mas continuará no trem. Enviar
contêineres vazios não é muito eficiente. A TDM apresenta essa deficiência quando o
tráfego é intermitente, porque o slot de tempo continua alocado, mesmo quando o canal
não tem nenhum dado a ser transmitido.

A Multiplexação estatística por divisão de tempo (STDM, Statistical time-division


multiplexing) foi desenvolvida para superar essa deficiência. A STDM utiliza um slot
de tempo variável, o que permite aos canais competir por qualquer espaço livre. Ele
emprega uma memória de buffer que armazena temporariamente os dados durante
períodos de pico do tráfego. A STDM não desperdiça tempo de linha de alta velocidade
com canais inativos que utilizam esse esquema. A STDM exige que cada transmissão
transporte informações de identificação (um identificador de canal).
Exibir meio visual

Página 3:
Exemplos de TDM – ISDN e SONET

Um exemplo de uma tecnologia que utiliza a TDM síncrona é a ISDN. A ISDN basic
rate (BRI) tem três canais que consistem em dois canais B de 64 kb/s (B1 e B2) e um
canal D de 16 kb/s. A TDM tem nove slots de tempo, repetidos na seqüência mostrada
na figura.

Em uma escala maior, o setor de telecomunicação utiliza o padrão SONET ou SDH no


transporte óptico dos dados TDM. O SONET, utilizado na América do Norte, e o SDH,
utilizado nos demais lugares, são dois padrões muito semelhantes que especificam
parâmetros de interface, taxas, formatos de quadros, métodos de multiplexação e
gerenciamento de TDM síncrono por fibra.

Clique no botão SONET na figura.

A figura exibe um exemplo de TDM estatística. SONET/SDH usa n fluxos de bits,


multiplexa e modula o sinal de maneira óptica, envia utilizando um dispositivo emissor
de luz em fibra com uma taxa de bits igual a (taxa de bits recebidos) x n. Dessa forma, o
tráfego recebido no multiplexador SONET de quatro locais a 2,5 Gb/s sai como um
único fluxo a 4 x 2,5 Gb/s ou 10 Gb/s. Esse princípio está ilustrado na figura, que
mostra um aumento na taxa de bits de quatro vezes o slot de tempo.

Clique no botão DS0 na figura.

A unidade original utilizada em chamadas telefônicas de multiplexação é de 64 kb/s, o


que representa uma chamada telefônica. Isso é conhecido como DS-0 ou DS0 (nível de
sinal digital igual a zero). Na América do Norte, 24 unidades DS0 são multiplexadas
utilizando-se a TDM em um sinal da taxa de bits maior com uma velocidade agregada
de 1,544 Mb/s para a transmissão em linhas T1. Fora da América do Norte, 32 unidades
DS0 são multiplexadas para a transmissão E1 a 2,048 Mb/s.

A hierarquia em nível de sinal para chamadas telefônicas de multiplexação é mostrada


na tabela. Como adendo, embora seja comum a referência a uma transmissão a 1,544
Mb/s como T1, é mais correto se referir a ela como DS1.

Clique no botão Hierarquia de operadora-T na figura.

A operadora T se refere ao grupo de DS0s. Por exemplo, um T1 = 24 DS0s, um T1C =


48 DS0s (ou 2 T1s) e assim por diante. A figura mostra uma hierarquia de infra-
estrutura de operadora T. A hierarquia de operadora E é semelhante.
Exibir meio visual

2.1.3 Ponto de demarcação

Página 1:
Ponto de demarcação

Antes da desregulamentação na América do Norte e nos demais países, as companhias


telefônicas eram proprietárias do loop local, inclusive da fiação e do equipamento local
dos clientes. A desregulamentação forçou as companhias telefônicas a desmembrar sua
infra-estrutura de loop local para permitir que outros fornecedores cedessem
equipamentos e serviços. Isso levou a uma necessidade de delinear a parte da rede de
propriedade da companhia telefônica e a parte de propriedade do cliente. Esse ponto de
delineação é o de demarcação, ou demarc. A demarcação indica o ponto em que a sua
rede mantém interface com a rede de propriedade de outra organização. Na terminologia
telefônica, essa é a interface entre o equipamento local do cliente (CPE) e o
equipamento da operadora do serviço de rede. A demarcação é o ponto da rede em que
cessa a responsabilidade da operadora.

O exemplo apresenta um cenário ISDN. Nos Estados Unidos, uma operadora fornece o
loop local no equipamento do cliente, e o cliente fornece o equipamento ativo, como a
unidade de serviço do canal/dados (CSU/DSU) em que se encerra o loop local. Esse
encerramento costuma ocorrer em um armário de telecomunicação, sendo o cliente o
responsável por manter, trocar ou reparar o equipamento. Em outros países, a unidade
de terminação de rede (NTU) é fornecida e gerenciada pela operadora. Isso permite à
operadora gerenciar ativamente e solucionar problemas do loop local com o ponto de
demarcação após a NTU. O cliente conecta um dispositivo CPE, como um roteador ou
dispositivo de acesso Frame Relay (FRAD), à NTU utilizando uma interface serial V.35
ou RS-232.
Exibir meio visual

2.1.4 DTE e DCE

Página 1:
DTE-DCE

Do ponto de vista da conexão com a WAN, uma conexão serial tem um dispositivo
DTE em uma extremidade da conexão e um dispositivo DCE na outra. A conexão entre
os dois dispositivos DCE é a rede de transmissão da operadora WAN. Neste caso:

• O CPE, que costuma ser um roteador, é o DTE. O DTE também pode ser um
terminal, computador, impressora ou aparelho de fax, caso eles sejam
conectados diretamente à rede da operadora.
• O DCE, normalmente um modem ou CSU/DSU, é o dispositivo utilizado para
converter os dados do usuário do DTE em uma forma aceitável para o link de
transmissão da operadora WAN. Esse sinal é recebido no DCE remoto, que
decodifica o sinal novamente em uma seqüência de bits. Em seguida, o DCE
remoto sinaliza essa seqüência para o DTE remoto.

A Associação das indústrias de eletrônica (EIA, Electronics Industry Association ) e o


International Telecommunication Union Telecommunications Standardization Sector
(ITU-T) têm participado ativamente do desenvolvimento de padrões que permitem a
comunicação entre os DTEs e os DCEs. A EIA se refere ao DCE como equipamento de
comunicação de dados, e o ITU-T se refere ao DCE como equipamento terminal de
circuito.
Exibir meio visual

Página 2:
Padrões de cabo

Originalmente, o conceito de DCEs e DTEs se baseava em dois tipos de equipamento:


terminal que gerava ou recebia dados e de comunicação, que apenas retransmitia dados.
No desenvolvimento do padrão RS-232, havia razões pelas quais os conectores RS-232
de 25 pinos nesses dois tipos de equipamento precisavam de fiações diferentes. Essas
razões não são mais significativas, mas ainda temos dois tipos diferentes de cabos: um
para conectar um DTE a um DCE e outro para conectar dois DTEs diretamente.

A interface DTE/DCE de um determinado padrão define as seguintes especificações:

• Mecânica/física – número de pinos e tipo de conector


• elétrica – define níveis de tensão para 0 e 1
• Funcional – especifica as funções desempenhadas, atribuindo-se significados a
cada uma das linhas de sinalização na interface
• Procedimento – especifica a seqüência de eventos para transmitir dados
Clique no botão Modem nulo na figura.

O padrão RS-232 original só definia a conexão de DTEs com DCEs, que eram modems.
No entanto, se você quiser conectar dois DTEs, como dois computadores ou dois
roteadores no laboratório, um cabo especial chamado modem nulo eliminará a
necessidade de um DCE. Em outras palavras, os dois dispositivos podem ser conectados
sem um modem. Um modem nulo é um método de comunicação para conectar
diretamente dois DTEs, como um computador, terminal ou impressora, utilizando-se um
cabo serial RS-232. Com uma conexão de modem nulo, as linhas de transmissão (Tx) e
de recepção (Rx) em links cruzados são mostradas na figura. Os dispositivos Cisco
suportam padrões EIA/TIA-232, EIA/TIA-449, V.35, X.21 e EIA/TIA-530.
Clique no botão DB-60 na figura.

O cabo da conexão DTE com DCE é um cabo de transição serial blindado. A


extremidade de roteador do cabo de transição serial blindado pode ser um conector DB-
60, conectado à porta DB-60 em uma placa de interface WAN serial. A outra
extremidade do cabo de transição serial está disponível com um conector apropriado
para o padrão a ser utilizado. O provedor WAN ou a CSU/DSU normalmente indica
esse tipo de cabo.

Clique no botão Smart Serial na figura.

Para suportar densidades de porta maiores em um form factor, a Cisco apresentou um


cabo Smart Serial. A extremidade da interface do roteador do cabo Smart Serial é um
conector de 26 pinos muito mais compacto do que o conector DB-60.

Clique no botão Roteador-a-roteador na figura.

Ao utilizar um modem nulo, lembre-se de que a conexão síncrona exige um sinal de


clock. Um dispositivo externo pode gerar o sinal, ou um dos DTEs pode gerar o sinal de
clock. Quando um DTE e um DCE forem conectados, a porta serial em um roteador
será a extremidade DTE da conexão por padrão, e o sinal de clock será normalmente
fornecido por uma CSU/DSU ou um dispositivo DCE. No entanto, ao utilizar um cabo
de modem nulo em uma conexão roteador-a-roteador, uma das interfaces seriais deve
ser configurada como a extremidade DCE para fornecer o sinal de clock à conexão.
Exibir meio visual

Página 3:
Conversão de serial em paralelo

Os termos DTE e DCE estão relacionados quanto à parte de uma rede observada. RS-
232C é o padrão recomendado (RS) que descreve a interface física e o protocolo para
comunicação de dados seriais com velocidade relativamente baixa entre computadores e
dispositivos relacionados. A EIA definiu originalmente o RS-232C para dispositivos de
teleimpressora. O DTE é a interface RS-232C utilizada por um computador para trocar
dados com um modem ou outro dispositivo serial. O DCE é a interface RS-232C
utilizada por um modem ou outro dispositivo serial na troca de dados com o
computador.

Por exemplo, o seu PC normalmente utiliza uma interface RS-232C para comunicar e
trocar dados com dispositivos seriais conectados, como um modem. O seu PC também
tem um chip Receptor/transmissor assíncrono universal (UART, Universal
Asynchronous Receiver/Transmitter) na placa-mãe. Como os dados no seu PC fluem
pelos circuitos paralelos, o chip UART converte os grupos de bits paralelos em um
fluxo serial de bits. Para funcionar mais rapidamente, um chip UART tem buffers para
que os dados provenientes do barramento do sistema sejam armazenados em cache
durante o processamento dos dados que saem pela porta serial. O UART é o agente
DTE do seu PC e se comunica com o modem ou outro dispositivo serial, que, de acordo
com o padrão RS-232C, tem uma interface complementar chamada de interface DCE.
Exibir meio visual

2.1.5 Encapsulamento HDLC

Página 1:
Protocolos de encapsulamento WAN

Em cada conexão WAN, os dados são encapsulados em quadros antes de cruzar o link
de WAN. Para assegurar que o protocolo correto seja utilizado, você precisa configurar
o tipo de encapsulamento da Camada 2 apropriado. A opção do protocolo depende da
tecnologia WAN e do equipamento de comunicação. Os protocolos WAN mais comuns
e onde eles são utilizados são mostrados na figura, além de breves descrições:

• HDLC – o tipo de encapsulamento padrão em conexões ponto-a-ponto, links


dedicados e conexões de circuito comutado quando o link utilizado dois
dispositivos Cisco. HDLC agora é a base para PPP síncrono utilizado por muitos
servidores para se conectar a uma WAN, mais normalmente a Internet.
• PPP – fornece conexões roteador-a-roteador e host-a-rede em circuitos
síncronos e assíncronos. O PPP funciona com vários protocolos da camada de
rede, como IP e IPX. O PPP também tem mecanismos de segurança internos,
como PAP e CHAP. Grande parte deste capítulo aborda o PPP.
• Protocolo de internet de linha serial (SLIP, Serial Line Internet Protocol) –
um protocolo padrão para conexões seriais ponto-a-ponto que utiliza TCP/IP. O
SLIP foi amplamente desbancado por PPP.
• X.25/Procedimento de acesso ao link, balanceado (LAPB, Link Access
Procedure, Balanced) – o padrão ITU-T que define como a conexão entre um
DTE e um DCE é mantida para acesso ao terminal remoto e uma comunicação
do computador em redes de dados públicas. X.25 especifica LAPB, um
protocolo DLL (camada de enlace). X.25 é um antecessor do Frame Relay.
• Frame Relay – protocolo DLL, padrão, comutado, que lida com vários circuitos
virtuais. Frame Relay é um protocolo da geração seguinte à do X.25. Frame
Relay elimina alguns dos processos mais demorados (como correção de erro e
controle de fluxo) empregados no X.25. O próximo capítulo se destina ao Frame
Relay.
• ATM – o padrão internacional de retransmissão de célula no qual os
dispositivos enviam vários tipos de serviço (como voz, vídeo ou dados) em
células de tamanho fixo (53 bytes). As células de tamanho fixo permitem que o
processamento ocorra no hardware, o que reduz atrasos de trânsito. O ATM
usufrui meio de transmissão de alta velocidade, como E3, SONET e T3.
Exibir meio visual
Página 2:
Encapsulamento HDLC

HDLC é um protocolo orientado para bit da camada de enlace síncrono desenvolvido


pela Organização internacional para padronização (ISO, International Organization for
Standardization). O padrão atual do HDLC é ISO 13239. O HDLC foi desenvolvido a
partir do padrão Controle de enlace de dados síncrono (SDLC, Synchronous Data Link
Control) proposto nos anos 70. O HDLC fornece serviços orientados à conexão e sem
conexão.

O HDLC utiliza transmissão serial síncrona para fornecer uma comunicação sem erros
entre dois pontos. O HDLC define uma estrutura de quadros da Camada 2 que permite o
controle de fluxo e o controle de erros por meio da utilização de confirmações. Cada
quadro tem o mesmo formato, independentemente do quadro ser de dados ou de
controle.

Quando quiser transmitir quadros por links síncronos ou assíncronos, você deverá se
lembrar de que esses links não têm nenhum mecanismo para marcar o início ou o
término dos quadros. O HDLC utiliza um delimitador de quadros, ou flag, para marcar o
início e o término de cada quadro.

A Cisco desenvolveu uma extensão para o protocolo HDLC a fim de resolver a


impossibilidade de fornecer suporte a vários protocolos. Embora o Cisco HDLC
(também conhecido como cHDLC) seja próprio, a Cisco permitiu sua implementação
por muitos outros fornecedores de equipamentos. Os quadros Cisco HDLC contêm um
campo para identificar o protocolo de rede encapsulado. A figura compara o HDLC com
o Cisco HDLC.

Clique no botão Tipos de quadro HDLC na figura.

O HDLC define três tipos de quadros, cada um com um formato de campo de controle
diferente. As seguintes descrições resumem os campos ilustrados na figura.

Flag – o campo de flag inicia e encerra a verificação de erros. O quadro sempre começa
e termina com um campo de flag de 8 bits. O de bits é 01111110. Como existe uma
probabilidade de que esse padrão ocorra nos dados reais, como o sistema HDLC de
envio sempre insere um bit 0 após cada cinco 1s no campo de dados, na prática, a
seqüência do flag só pode ocorrer no encerramento do quadro. O sistema de recepção
remove os bits inseridos. Quando os quadros são transmitidos de maneira consecutiva, o
flag final do primeiro quadro é utilizado como o flag inicial do próximo quadro.

Endereço – o campo de endereço contém o endereço HDLC da estação secundária.


Esse endereço pode ser um específico, um de grupos ou um endereço de broadcast. Um
endereço primário é uma origem ou um destino de comunicação, que elimina a
necessidade de incluir o endereço do primário.

Controle – o campo de controle utiliza três formatos diferentes, dependendo do tipo de


quadro HDLC utilizado:

• Quadro de informações (I): os quadros I transportam informações de camada


superior e algumas informações de controle. Esse quadro envia e recebe
números de sequência, e o bit poll final (P/F) executa o controle de fluxo e de
erro. O número de seqüência de envio consulta o número do quadro a ser
enviado em seguida. O número de seqüência de recebimento fornece o número
do quadro a ser recebido em seguida. O remetente e o receptor mantêm números
de seqüência de envio e de recebimento. Uma estação primária utiliza o bit P/F
para informar à secundária se exige ou não uma resposta imediata. Uma estação
secundária utiliza o bit P/F para informar à primária se o quadro atual é o último
em sua resposta atual.
• Quadro de supervisor (S): os quadros S fornecem informações de controle.
Um quadro S pode solicitar e suspender a transmissão, o relatório de status e a
confirmação de recebimento dos quadros I. Os quadros S não têm um campo de
informações.
• Quadro sem número (U): os quadros U suportam finalidades de suporte, não
estando em seqüência. Um quadro U pode ser utilizado para inicializar
secundários. Dependendo da função do quadro U, seu campo de controle tem 1
ou 2 bytes. Alguns quadros U não têm um campo de informações.

Protocolo – (utilizado apenas no Cisco HDLC) esse campo especifica o tipo de


protocolo encapsulado dentro do quadro (por exemplo, 0x0800 para IP).

Dados – o campo de dados contém uma unidade de informações sobre o caminho (PIU)
ou informações de identificação de troca (XID).

Seqüência de verificação de quadros (FCS) – o FCS precede o delimitador de flag


final, sendo normalmente um lembrete de cálculo da verificação de redundância cíclica
(CRC). O cálculo de CRC é refeito no receptor. Se o resultado for diferente do valor no
quadro original, haverá a pressuposição de um erro.
Exibir meio visual

2.1.6 Configurando o encapsulamento HDLC

Página 1:
Configurando o encapsulamento HDLC

Cisco HDLC é o método de encapsulamento padrão utilizado por dispositivos Cisco em


linhas seriais síncronas.
Você utiliza o Cisco HDLC como um protocolo ponto-a-ponto em linhas alugadas entre
dois dispositivos Cisco. Se você estiver se conectando a um dispositivo que não seja
Cisco, utilize PPP síncrono.

Se o método de encapsulamento padrão tiver sido alterado, utilize o comando


encapsulation hdlc no modo privilegiado para reabilitar o HDLC.

Há duas etapas para habilitar o encapsulamento HDLC:

Etapa 1. Entrar no modo de configuração da interface serial.

Etapa 2. Digitar o comando encapsulation hdlc para especificar o protocolo de


encapsulamento na interface.
Exibir meio visual

2.1.7 Identificação e solução de problemas de uma interface serial

Página 1:
A saída do comando show interfaces serial exibe informações específicas para
interfaces seriais. Quando o HDLC é configurado, o "HDLC de encapsulamento" deve
se refletir na saída do comando, conforme realçado na figura.

Clique no botão Estados possíveis na figura.

O comando show interface serial retorna um dos cinco estados possíveis. Você pode
identificar qualquer um dos cinco estados de problema possíveis na linha de status da
interface:

Clique no botão Status na figura.

• Serial x is down, line protocol is down


• Serial x is up, line protocol is down
• Serial x is up, line protocol is up (looped)
• Serial x is up, line protocol is down (disabled)
• Serial x is administratively down, line protocol is down
Clique no botão Controladores na figura.

O comando show controllers é outra ferramenta de diagnóstico importante durante a


solução de problemas de linhas seriais. A saída do comando indica o estado dos canais
de interface e se um cabo está conectado à interface. Na figura, a interface serial 0/0 tem
um cabo DCE V.35 conectado. A sintaxe de comando varia de acordo com a
plataforma. Os roteadores da série Cisco 7000 utilizam uma placa controladora cBus
para a conexão de links seriais. Com esses roteadores, utilize o comando show
controllers cbus.

Se a saída do comando da interface elétrica for mostrada como UNKNOWN, e não


V.35, EIA/TIA-449 ou algum outro tipo de interface elétrica, o possível problema será
um cabo conectado incorretamente. Também é possível que haja um problema com a
fiação interna da placa. Se a interface elétrica for desconhecida, a tela correspondente
do comando show interfaces serial <x> mostrará que a interface e o protocolo de linha
estão desativados.
Exibir meio visual

Página 2:
Nesta atividade, você irá praticar a solução de problemas em interfaces seriais. São
fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

Página 3:
Exibir meio visual

2.2 Conceitos de PPP


2.2.1 Apresentando o PPP

Página 1:
O que é PPP?

Lembre-se de que o HDLC é o método de encapsulamento serial padrão quando você


conecta dois roteadores Cisco. Com um tipo de campo de protocolo adicionado, a
versão Cisco do HDLC é própria. Por isso, o Cisco HDLC só pode funcionar com
outros dispositivos Cisco. No entanto, ao precisar se conectar a um roteador que não
seja Cisco, você deve utilizar o encapsulamento PPP.

O encapsulamento PPP foi projetado cuidadosamente para manter a compatibilidade


com o hardware de suporte mais utilizado. O PPP encapsula quadros de dados para
transmissão em links físicos da Camada 2. O PPP estabelece uma conexão direta
utilizando cabos seriais, linhas telefônicas, linhas de tronco, telefones celulares, links de
rádio especiais ou links de fibra óptica. Há muitas vantagens em utilizar PPP, inclusive
o fato de não ser propriedade de ninguém. Além disso, ele inclui muitos recursos não
disponíveis no HDLC:

• O recurso de gerenciamento de qualidade do link monitora a qualidade do link.


Se forem detectados muitos erros, o PPP desativará o link.
• O PPP suporta a autenticação PAP e CHAP. Este recurso será explicado e
praticado em uma seção posterior.

PPP contém três componentes principais:

• O protocolo HDLC para encapsulamento de datagramas em links ponto-a-ponto.


• Protocolo de controle do link extensível (LCP, Link Control Protocol) para
estabelecer, configurar e testar a conexão do link de dados.
• Família de Protocolos de controle de rede (NCP, Network Control Protocol)
para estabelecer e configurar protocolos da camada de rede diferentes. O PPP
permite a utilização simultânea de vários protocolos da camada de rede. Alguns
dos NCPs mais comuns são o Protocolo de controle de protocolo da internet,
Protocolo de controle Appletalk, Protocolo de controle Novell IPX, Protocolo de
controle Cisco Systems, Protocolo de controle SNA e Protocolo de controle de
compressão.
Exibir meio visual

2.2.2 Arquitetura de camadas PPP

Página 1:
Arquitetura PPP

Uma arquitetura de camadas é um modelo lógico, design ou plano que auxilia na


comunicação entre camadas de interconexão. A figura mapeia a arquitetura de camadas
do PPP em relação ao modelo Open System Interconnection (OSI). PPP e OSI têm a
mesma camada física, mas PPP distribui as funções de LCP e NCP de maneira
diferente.

Na camada física, você pode configurar o PPP em várias interfaces, incluindo:

• Serial assíncrona
• Serial síncrona
• HSSI
• ISDN
O PPP funciona em qualquer interface DTE/DCE (RS-232-C, RS-422, RS-423 ou
V.35). O único requisito absoluto imposto pelo PPP é um circuito bidirecional, dedicado
ou comutado, capaz de funcionar em modos seriais de bits assíncronos ou síncronos,
transparentes para quadros de camada de enlace PPP. O PPP não impõe nenhuma
restrição quanto à taxa de transmissão que não seja a imposta pela interface DTE/DCE
em particular sendo utilizada.

Grande parte do trabalho feito pelo PPP acontece nas camadas de enlace e de rede pelo
LCP e pelos NCPs. O LCP configura a conexão PPP e seus parâmetros, os NCPs lidam
com configurações de protocolo da camada superior e o LCP encerra a conexão PPP.
Exibir meio visual

Página 2:
Arquitetura PPP – camada Link Control Protocol

O LCP é a parte funcional real do PPP. O LCP fica acima da camada física e tem uma
função de estabelecer, configurar e testar a conexão de enlace. O LCP estabelece o link
ponto-a-ponto. O LCP também negocia e configura opções de controle no vínculo
WAN, que são tratadas pelo NCPs.

O LCP fornece a configuração automática das interfaces em cada extremidade,


incluindo:

• Lidar com limites variáveis de tamanho de pacote


• Detectar erros mais comuns de configuração incorreta
• Encerrar o link
• Determinar quando um link está funcionando corretamente ou quando há falha

O PPP também utiliza o LCP para determinar automaticamente os formatos de


encapsulamento (autenticação, compressão, detecção de erros) assim que o link é
estabelecido.
Exibir meio visual

Página 3:
Arquitetura PPP – Camada de protocolo de controle de rede

Os links ponto-a-ponto tendem a piorar muitos problemas com a família atual de


protocolos de rede. Por exemplo, a atribuição e o gerenciamento de endereços IP, que
são problemáticos até mesmo em ambientes de rede local, são especialmente difíceis em
links ponto-a-ponto de circuito comutado (como servidores de modem dialup). O PPP
resolve esses problemas que utilizam NCPs.
O PPP permite a vários protocolos da camada de rede funcionar no mesmo link de
comunicação. Para todos os protocolo da camada de rede utilizados, o PPP utiliza um
NCP em separado. Por exemplo, IP utiliza o Protocolo de controle IP (IPCP, IP Control
Protocol), e o IPX utiliza o Protocolo de controle Novell IPX (IPXCP, IPX Control
Protocol).

Clique no botão Camada de rede na figura.

Os NCPs incluem campos funcionais que contêm códigos padronizados (os números de
campo do protocolo PPP mostrados na figura) para indicar o protocolo da camada de
rede encapsulado pelo PPP. Cada NCP gerencia as necessidades específicas exigidas
por seus respectivos protocolos da camada de rede. Os vários componentes NCP
encapsulam e negociam opções para vários protocolos da camada de rede. A utilização
de NCPs para configurar os vários protocolos da camada de rede será explicada e
praticada posteriormente neste capítulo.
Exibir meio visual

2.2.3 Estrutura de quadros de PPP

Página 1:
Estrutura de quadros de PPP

Um quadro PPP tem seis campos conforme mostrados na figura.

Passe o seu mouse sobre cada campo para obter uma explicação do que cada um
contém.

O LCP pode negociar modificações na estrutura do quadro PPP padrão.


Exibir meio visual

2.2.4 Estabelecendo uma sessão PPP

Página 1:
Estabelecendo uma sessão PPP

A figura mostra as três fases do estabelecimento de uma sessão PPP:

• Fase 1: estabelecimento do link e negociação da configuração – antes do PPP


trocar diagramas da camada de rede (por exemplo, IP), o LCP deve abrir
primeiro a conexão e negociar as opções de configuração. Essa fase é concluída
quando o roteador de recebimento envia um quadro de confirmação da
configuração de volta para o roteador que inicia a conexão.
• Fase 2: determinação da qualidade do link (opcional) – o LCP testa o link
para determinar se a qualidade do link é suficiente para carregar protocolos da
camada de rede. O LCP pode atrasar a transmissão das informações do protocolo
da camada de rede até a conclusão dessa fase.
• Fase 3: negociação da configuração do protocolo da camada de rede –
depois que o LCP conclui a fase de determinação da qualidade do link, o NCP
apropriado pode configurar separadamente os protocolos da camada de rede,
carregá-los e desativá-los a qualquer momento. Se o LCP fechar o link, ele
informará os protocolos da camada de rede para que eles possam executar a ação
apropriada.

O link continua configurado para comunicação até que os quadros LCP ou NCP
explícitos fechem o link ou até que ocorra algum evento externo (por exemplo, um
temporizador de inatividade expira ou um usuário intervém). O LCP pode encerrar o
link a qualquer momento. Isso costuma ser feito quando um dos roteadores solicita o
encerramento, mas pode acontecer por conta de um evento físico, como a perda de uma
operadora ou a expiração de um temporizador de período inativo.
Exibir meio visual

2.2.5 Estabelecendo um link com LCP

Página 1:
Funcionamento LCP

O funcionamento LCP inclui provisões para o estabelecimento, a manutenção e o


encerramento do link. O funcionamento LCP utiliza três classes de quadros LCP para
realizar o trabalho de cada uma das fases LCP:

• Quadros de estabelecimento de link estabelecem e configuram um link


(Configure-Request, Configure-Ack, Configure-Nak e Configure-Reject)
• Quadros de manutenção de link gerenciam e depuram um link (Code-Reject,
Protocol-Reject, Echo-Request, Echo-Reply e Discard-Request)
• Quadros de encerramento de link encerram um link (Terminate-Request e
Terminate-Ack)

A primeira fase do funcionamento LCP é o estabelecimento do link. Essa fase deve ser
concluída com êxito, antes de troca de qualquer pacote da camada de rede. Durante o
estabelecimento do link, o LCP abre a conexão e negocia os parâmetros da
configuração.

Clique no botão Negociação de link na figura.


O processo de estabelecimento do link começa com o dispositivo iniciador enviando um
quadro Configure-Request para o destinatário. O quadro Configure-Request inclui um
número variável de opções de configuração necessárias à configuração no link. Em
outras palavras, o iniciador enviou uma "lista de desejos" para o destinatário.

A lista de desejos do iniciador inclui opções para como ele deseja que o link seja criado,
inclusive protocolo ou parâmetros de autenticação. O destinatário processa a lista de
desejos e, se aceitável, responde com uma mensagem Configure-Ack. Depois de receber
a mensagem Configure-Ack, o processo passa ao estágio de autenticação.

Se as opções não forem aceitáveis ou não forem reconhecidas, o destinatário enviará um


Configure-Nak ou Configure-Reject. Se uma Configure-Ack for recebida, o
funcionamento do link será passado ao NCP. Se uma mensagem Configure-Nak ou
Configure-Reject for enviada para o solicitante, o link não será estabelecido. Se houver
falha na negociação, o iniciador precisará reiniciar o processo com novas opções.

Durante a manutenção do link, o LCP pode utilizar mensagens para fornecer


comentários e testar o link.

• Code-Reject e Protocol-Reject – esses tipos de quadro fornecem comentários


quando um dispositivo recebe um quadro inválido devido a um código LCP não
reconhecido (tipo de quadro LCP) ou um identificador de protocolo inválido.
Por exemplo, se um pacote que não pode ser interpretado for recebido no mesmo
nível, o pacote Code-Reject será enviado em resposta.
• Echo-Request, Echo-Reply e Discard-Request – esses quadros podem ser
utilizados para testar o link.

Depois da transferência de dados na camada de rede, o LCP encerra o link. Na figura,


observe que o NCP só finaliza a camada de rede e o link NCP. O link continua aberto
até que o LCP seja encerrado. Se o LCP encerrar o link antes do NCP, a sessão NCP
também será encerrada.

O PPP pode encerrar o link a qualquer momento. Isso pode acontecer por conta da perda
da operadora, da falha na autenticação, da falha na qualidade do link, da expiração de
um temporizador de período inativo ou do fechamento administrativo do link. O LCP
fecha o link, trocando pacotes Terminate. O dispositivo que inicia o desligamento envia
uma mensagem Terminate-Request. O outro dispositivo responde com um Terminate-
Ack. Uma solicitação de encerramento indica que o dispositivo de envio precisa fechar
o link. Quando o link for fechado, o PPP informará os protocolos da camada de rede
para que eles possam executar a ação apropriada.
Exibir meio visual

Página 2:
Pacote LCP
A figura mostra os campos de um pacote LCP.

Passe o mouse sobre cada campo e leia a descrição.

Cada pacote LCP é uma mensagem LCP única que consiste em um campo de código
LCP que identifica o tipo de pacote LCP, um campo identificador para que as
solicitações e as respostas sejam correspondentes e um campo de tamanho que indica o
tamanho do pacote LCP e os dados específicos do tipo.

Clique no botão Códigos LCP na figura.

Cada pacote LCP tem uma função específica na troca de informações sobre a
configuração que depende do tipo de pacote. O campo de código do pacote LCP
identifica o tipo de pacote de acordo com a tabela.
Exibir meio visual

Página 3:
Opções de configuração PPP

O PPP pode ser configurado para suportar várias funções, inclusive:

• Autenticação que utiliza PAP ou CHAP


• Compressão que utiliza Stacker ou Predictor
• Vários links que integram dois ou mais canais para aumentar a largura de banda
WAN

Essas opções serão abordadas com mais detalhes na próxima seção.

Clique no botão Campo de opção LCP na figura.

Para negociar a utilização dessas opções PPP, os quadros de estabelecimento do link


LCP contêm informações de opção no campo de dados do quadro LCP. Se uma opção
de configuração não for incluída em um quadro LCP, o valor padrão dessa opção de
configuração será assumido.

Essa fase é concluída quando um quadro de confirmação da configuração foi enviado e


recebido.
Exibir meio visual
2.2.6 Explicação do NCP

Página 1:
Processo NCP

Depois que o link for iniciado, o LCP passará o controle para o NCP apropriado.
Embora inicialmente projetado para datagramas IP, o PPP pode transportar dados de
muitos tipos de protocolos da camada de rede, utilizando uma abordagem modular em
sua implementação. Ele também pode transportar dois ou mais protocolos da Camada 3
simultaneamente. O modelo modular permite ao LCP configurar o link e apresentar os
detalhes de um protocolo de rede a um NCP específico. Cada protocolo de rede tem um
NCP correspondente. Cada NCP tem uma RFC correspondente. Há NCPs para IP, IPX,
AppleTalk e muitos outros. NCPs utilizam o mesmo formato de pacote dos LCPs.

Depois que o LCP configurou e autenticou o link básico, o NCP apropriado será
requisitado para concluir a configuração específica do protocolo da camada de rede
utilizado. Quando o NCP configurar o protocolo da camada de rede com êxito, o
protocolo de rede estará no estado aberto no link TCP estabelecido. Nesse momento, o
PPP pode transportar os pacotes do protocolo da camada de rede correspondentes.

Exemplo de IPCP

Como um exemplo de como funciona a camada NCP, IP, que é o protocolo da Camada
3 mais comum, é utilizado. Depois que LCP estabelece o link, os roteadores trocam
mensagens IPCP, negociando opções específicas do protocolo. O IPCP é responsável
por configurar, habilitar e desabilitar os módulos IP em ambas as extremidades do link.

O IPCP negocia duas opções:

• Compressão – permite aos dispositivos negociar um algoritmo para comprimir


os cabeçalhos TCP e IP e economizar largura de banda. A compressão de
cabeçalho TCP/IP Van Jacobson reduz o tamanho dos cabeçalhos TCP/IP para
menos de 3 bytes. Essa pode ser uma melhoria significativa em linhas seriais
lentas, especialmente no tráfego interativo.
• Endereço IP – permite ao dispositivo de início especificar um endereço IP para
utilizar IP de roteamento no link PPP ou solicitar um endereço IPP para o
destinatário. Os links de rede dialup utilizam mais a opção de endereço IP.

Quando o processo NCP estiver concluído, o link entrará no estado aberto e o LCP
reassumirá. O tráfego de link consiste em todas as combinações possíveis de pacotes de
protocolos LCP, NCP e da camada de rede. Dessa forma, a figura mostra como as
mensagens LCP podem ser utilizadas por um dispositivo para gerenciar ou depurar o
link.
Exibir meio visual
Página 2:
Exibir meio visual

2.3 Configurando PPP


2.3.1 Opções de configuração PPP

Página 1:
Opções de configuração PPP

Na seção anterior, você foi apresentado a opções LCP que podem ser configuradas para
atender a requisitos de conexão WAN específicos. PPP pode incluir as seguintes opções
de LCP:

• Autenticação – os roteadores de mesmo nível trocam mensagens de


autenticação. As duas opções de autenticação são o Protocolo de autenticação de
senha (PAP, Password Authentication Protocol) e o Protocolo avançado de
autenticação de reconhecimento (CHAP, Challenge Handshake Authentication
Protocol). A autenticação será explicada na próxima seção.
• Compressão – aumenta a produtividade efetiva em conexões PPP, reduzindo a
quantidade de dados no quadro que devem percorrer o link. O protocolo
descompacta o quadro em seu destino. Os dois protocolos de compressão
disponíveis em roteadores Cisco são Stacker e Predictor.
• Detecção de erros – identifica condições de falha. As opções Qualidade e
Magic Number ajudam a assegurar um enlace de dados confiável, sem loops. O
campo Magic Number ajuda a detectar links que estejam em uma condição de
loopback. Até que a opção de configuração do magic number seja negociada
com êxito, este deve ser transmitido como zero. Os números mágicos (magic
numbers) são gerados aleatoriamente ao final de cada conexão.
• Vários links – o Cisco IOS Release 11.1 e posteriores suportam PPP de vários
links. Essa alternativa fornece balanceamento de carga nas interfaces de roteador
utilizadas pelo PPP. O PPP multilink (também conhecido como MP, MPPP,
MLP ou multilink) fornece um método para espalhar o tráfego em vários links
de WAN físicos ao mesmo tempo em que fornece a fragmentação e a
remontagem de pacotes, o seqüenciamento apropriado, a interoperabilidade com
vários fornecedores e o balanceamento de carga no tráfego de entrada e de saída.
O multilink PPP não é abordado neste curso.
• Retorno PPP – para aperfeiçoar a segurança, o Cisco IOS Release 11.1 e
posteriores oferecem PPP callback. Com essa opção LCP, um roteador Cisco
pode funcionar como um cliente ou um servidor de retorno. O cliente faz a
chamada inicial, solicita que o servidor a retorne e encerra sua chamada inicial.
O roteador de retorno responde a chamada inicial e faz a chamada de retorno
para o cliente com base em suas instruções de configuração. O comando é ppp
callback [accept | request].
Quando as opções são configuradas, um valor de campo correspondente é inserido no
campo de opção LCP.
Exibir meio visual

2.3.2 Comandos de configuração PPP

Página 1:
Comandos de configuração PPP

Antes de você efetivamente configurar o PPP em uma interface serial, observaremos os


comandos e suas sintaxes conforme mostrado na figura. Esta série de exemplos mostra
como configurar o PPP e algumas das opções.

Exemplo 1: habilitando o PPP em uma interface

Para definir o PPP como o método de encapsulamento utilizado por uma interface serial
ou ISDN, utilize o comando de configuração da interface encapsulation ppp.

O seguinte exemplo habilita o encapsulamento PPP na interface serial 0/0/0:

R3#configure terminal

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

O comando encapsulation ppp não tem nenhum argumento, mas você deve primeiro
configurar o roteador com um protocolo de roteamento IP para utilizar o
encapsulamento PPP. Você deve se lembrar de que, se não configurar o PPP em um
roteador Cisco, o encapsulamento padrão das interfaces seriais é HDLC.

Exemplo 2: compressão

Você pode configurar a compressão de software ponto-a-ponto em interfaces seriais


depois de habilitar o encapsulamento PPP. Como essa opção requisita um processo de
compressão de software, ela pode afetar o desempenho do sistema. Se o tráfego já
consistir em arquivos compactados (.zip, .tar ou .mpeg, por exemple), não utilize essa
opção. A figura mostra a sintaxe do comando compress.

Para configurar a compressão em PPP, digite os seguintes comandos:


R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

R3(config-if)#compress [predictor | stac]

Exemplo 3: monitoramento de qualidade do link

Lembre-se da nossa discussão das fases LCP e de que ele fornece uma fase de
determinação da qualidade do link opcional. Nessa fase, o LCP testa o link para
determinar se sua qualidade é suficiente para utilizar protocolos da Camada 3. O
comando ppp quality percentual assegura que o link atende ao requisito de qualidade
determinado por você; do contrário, o link é fechado.

Os percentuais são calculados nos sentidos de entrada e de saída. A qualidade de saída é


calculada comparando-se o número total de pacotes e bytes enviados com o número
total de pacotes e bytes recebidos pelo nó de destino. A qualidade de entrada é calculada
comparando-se o número total de pacotes e bytes recebidos com o número total de
pacotes e bytes enviados pelo nó de destino.

Se o percentual de qualidade do link não for mantido, o link será considerado de má


qualidade, sendo desativado. O Link Quality Monitoring (LQM) implementa um retardo
para que o link não fique sendo ativado e desativado.

Essa configuração de exemplo monitora os dados ignorados no link e evita o loop de


quadros:

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

R3(config-if)#ppp quality 80

Utilize o comando no ppp quality para desabilitar LQM.

Exemplo 4: balanceamento de carga nos links

O PPP multilink (também conhecido como MP, MPPP, MLP ou Multilink) fornece um
método para espalhar o tráfego em vários links de WAN físicos ao mesmo tempo em
que fornece a fragmentação e a remontagem de pacotes, o seqüenciamento apropriado, a
interoperabilidade com vários fornecedores e o balanceamento de carga no tráfego de
entrada e de saída.
O MPPP permite que os pacotes sejam fragmentados e envia esses fragmentos
simultaneamente em vários links ponto-a-ponto para o mesmo endereço remoto. Os
vários links físicos surgem em resposta a um limite de carga definido pelo usuário. O
MPPP pode medir a carga quanto ao tráfego de entrada ou de saída, mas não quanto à
carga combinada de ambos os tráfegos.

Os seguintes comandos realizam o balanceamento de carga em vários links:

Router(config)#interface serial 0/0/0

Router(config-if)#encapsulation ppp

Router(config-if)#ppp multilink

O comando multilink não tem nenhum argumento. Para desabilitar vários links PPP,
utilize o comando no ppp multilink.
Exibir meio visual

2.3.3 Verificando uma config. de encapsulamento PPP serial

Página 1:
Verificando uma configuração de encapsulamento PPP

Utilize o comando show interfaces serial para verificar a configuração apropriada do


encapsulamento HDLC ou PPP. A saída do comando na figura mostra uma
configuração PPP.

Quando você configura o HDLC, a saída do comando show interfaces serial deve
mostrar "encapsulation HDLC". Ao configurar o PPP, você pode verificar seus estados
LCP e NCP.

Clique no botão Comandos na figura.

A figura resume comandos utilizados durante a verificação do PPP.


Exibir meio visual

2.3.4 Identificação e solução de problemas do encapsulamento PPP

Página 1:
Identificando e solucionando problemas da configuração de encapsulamento serial

Agora você sabe que o comando debug é utilizado para solucionar problemas, sendo
acessado no modo exec privilegiado da interface da linha de comando. Debug exibe
informações sobre várias operações do roteador e o tráfego relacionado gerado ou
recebido pelo roteador, bem como qualquer mensagem de erro. Essa é uma ferramenta
muito útil e informativa, mas você deve sempre se lembrar de que o Cisco IOS trata a
depuração como uma tarefa de alta prioridade. Isso pode consumir um volume
significativo de recursos, e o roteador é forçado a processar a comutação dos pacotes
depurados . Debug não deve ser utilizado como uma ferramenta de monitoramento – ele
foi projetado para ser utilizado por um curto período para solução de problemas. Ao
solucionar problemas de uma conexão serial, você utiliza a mesma abordagem utilizada
em outras tarefas de configuração.

Utilize o comando debug ppp para exibir informações sobre o funcionamento do PPP.
A figura mostra a sintaxe do comando. A forma no desse comando desabilita a saída do
comando de depuração.
Exibir meio visual

Página 2:
Saída do comando debug ppp packet

Um bom comando a ser utilizado durante a solução de problemas do encapsulamento de


interface serial é o comando debug ppp packet. O exemplo na figura é a saída do
comando debug ppp packet conforme visto no lado Link Quality Monitor (LQM) da
conexão. Esse exemplo mostra trocas de pacotes segundo o funcionamento do PPP
normal. Essa é apenas uma lista parcial, mas suficiente para aprontá-lo para o
laboratório prático.

Observe cada linha na saída do comando e compare-a com o significado do campo.


Utilize o seguinte para orientar sua análise da saída do comando.

• PPP – saída do comando de depuração PPP.


• Serial2 – número de interface associado a essas informações de depuração.
• (o), O – o pacote detectado é um pacote de saída do comando.
• (i), I – o pacote detectado é um pacote de input.
• lcp_slqr() – nome de procedimento; LQM em execução, envio de um Link
Quality Report (LQR).
• lcp_rlqr() – nome de procedimento; LQM em execução, recebimento de um
LQR.
• input (C021) – roteador recebeu um pacote do tipo de pacote especificado (em
hexadecimal). Um valor de C025 indica o pacote do tipo LQM.
• state = OPEN – estado PPP; o estado normal é OPEN.
• magic = D21B4 – Número mágico do nó indicado; quando não há uma saída do
comando indicada, esse é o Número mágico do nó em que a depuração é
habilitada. O Número mágico real depende da detecção do pacote conforme a
indicação I ou O.
• datagramsize = 52 – tamanho do pacote incluindo cabeçalho.
• code = ECHOREQ(9) – identifica o tipo de pacote recebido nas formas da
cadeia de caracteres e hexadecimal.
• len = 48 – tamanho do pacote sem cabeçalho.
• id = 3 – número da ID por formato de pacote Link Control Protocol (LCP).
• pkt type 0xC025 – tipo de pacote em hexadecimal; os tipos de pacote comuns
são C025 para LQM e C021 para LCP.
• LCP ECHOREQ (9) – solicitação de eco; valor entre parênteses é a
representação hexadecimal do tipo LCP.
• LCP ECHOREP (A) – resposta de eco; valor entre parênteses é a representação
hexadecimal do tipo LCP.
Exibir meio visual

Página 3:
Saída do comando debug ppp negotiation

A figura mostra a saída do comando debug ppp negotiation em uma negociação


normal, na qual ambos os lados aceitam parâmetros NCP. Nesse caso, o tipo de
protocolo IP é proposto e confirmado. Usando a saída do comando uma ou duas linhas
por vez:

As duas primeiras linhas indicam que o roteador está tentando carregar o LCP e usarão
as opções de negociação indicadas (Protocolo de qualidade e Número mágico). Os
campos de valor são os valores das próprias opções. Há conversão de C025/3E8 em
Quality Protocol LQM. 3E8 é o período de relatório (em centésimos de segundo).
3D56CAC é o valor do Número mágico do roteador.

ppp: sending CONFREQ, type = 4 (CI_QUALITYTYPE), value = C025/3E8

ppp: sending CONFREQ, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

As próximas duas linhas indicam que o outro lado negociou as opções 4 e 5 e que ele
solicitou e confirmou ambas. Se a extremidade de resposta não suportar as opções, o nó
de resposta enviará um CONFREJ. Se a extremidade de resposta não aceitar o valor da
opção, ela enviará um CONFNAK com o campo de valor modificado.

ppp: received config for type = 4 (QUALITYTYPE) acked


ppp: received config for type = 5 (MAGICNUMBER) value = 3D567F8 acked (ok)

As próximas três linhas indicam que o roteador recebeu um CONFACK do lado de


resposta e exibem os valores de opção aceitos. Utilize o campo rcvd id para verificar se
CONFREQ e CONFACK têm o mesmo campo id.

PPP Serial2: state = ACKSENT fsm_rconfack(C021): rcvd id 5

ppp: config ACK received, type = 4 (CI_QUALITYTYPE), value = C025

ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 3D56CAC

A próxima linha indica que o roteador tem roteamento IP habilitado nessa interface e
que o IPCP NCP foi negociado com êxito.

ppp: ipcp_reqci: returning CONFACK


(ok)
Exibir meio visual

Página 4:
Saída do comando debug ppp error

Você pode utilizar o comando debug ppp error para exibir os erros de protocolo e as
estatísticas de erro associadas à negociação e ao funcionamento da conexão PPP. Essas
mensagens podem ser exibidas quando a opção Protocolo de qualidade está habilitada
em uma interface com o PPP já em execução. A figura mostra um exemplo.

Observe cada linha na saída do comando e compare-a com o significado do campo.


Utilize o seguinte para orientar sua análise da saída do comando.

• PPP – saída do comando de depuração PPP.


• Serial3(i) – número de interface associada a essas informações de depuração;
indica que esse é um pacote de input.
• rlqr receive failure – o destinatário não aceita a solicitação para negociar a opção
Protocolo de qualidade.
• myrcvdiffp = 159 – número de pacotes recebidos durante o período
especificado.
• peerxmitdiffp = 41091 – número de pacotes enviados pelo nó remoto nesse
período.
• myrcvdiffo = 2183 – número de octetos recebidos nesse período.
• peerxmitdiffo = 1714439 – número de octetos enviados pelo nó remoto nesse
período.
• threshold = 25 – percentual de erro máximo aceitável nessa interface. Você
calcula esse percentual utilizando o valor limite inserido no comando de
configuração da interface ppp quality percentage. Um valor de 100 menos o
número é o percentual de erro máximo. Nesse caso, foi inserido um número 75.
Isso significa que o roteador local deve manter um percentual sem erros mínimo
de 75 por cento ou o link PPP ser fechado.
• OutLQRs = 1 – número de seqüência LQR enviado no momento do roteador
local.
• LastOutLQRs = 1 – último número de seqüência que o lado do nó remoto foi
visto no nó local.
Exibir meio visual

Página 5:
Nesta atividade, você praticará a alteração do encapsulamento em interfaces seriais. São
fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)


Exibir meio visual

2.4 Configurando PPP com autenticação


2.4.1 Protocolos de autenticação PPP

Página 1:
Protocolo de autenticação PAP

O PPP define um LCP extensível que permite a negociação de um protocolo de


autenticação para autenticar seu túnel antes de permitir os protocolos da camada de rede
transmitirem pelo link. A RFC 1334 define dois protocolos para autenticação, conforme
mostrado na figura.

PAP é um processo bidirecional muito básico. Não há nenhuma criptografia; o nome de


usuário e a senha são enviados em texto simples. Se isso for aceito, a conexão será
permitida. CHAP é mais seguro que PAP. Ele envolve uma troca tridirecional de um
segredo compartilhado. O processo será descrito posteriormente nesta seção.

A fase de autenticação de uma sessão PPP é opcional. Se for utilizado, você poderá
autenticar o túnel depois que o LCP estabelecer o link e escolher o protocolo de
autenticação. Se ele for utilizado, a autenticação ocorrerá antes da configuração do
protocolo da camada de rede.
As opções de autenticação exigem que o lado da chamada do link insira informações de
autenticação. Isso ajuda a assegurar que o usuário tenha a permissão do administrador
de rede para fazer a chamada. Os roteadores de mesmo nível trocam mensagens de
autenticação.
Exibir meio visual

2.4.2 Protocolo de autenticação de senha (PAP)

Página 1:
Um dos muitos recursos do PPP é que ele realiza a autenticação da Camada 2, além das
demais camadas de autenticação, criptografia, controle de acesso e procedimentos de
segurança geral.

Iniciando PAP

O PAP fornece um único método para um nó remoto a fim de estabelecer sua identidade
utilizando um handshake bidirecional. PAP não é interativo. Quando o comando ppp
authentication pap é utilizado, o nome de usuário e a senha são enviados como um
pacote de dados LCP, em vez do servidor enviar um prompt de login e aguardar uma
resposta. A figura mostra que o PPP conclui a fase de estabelecimento do link, o nó
remoto envia repetidamente um par nome de usuário/senha pelo link até que o nó de
envio confirme ou encerre a conexão.

Clique no botão Concluindo PAP na figura.

No nó de recebimento, o nome de usuário/senha é verificado por um servidor de


autenticação que permite ou nega a conexão. Uma mensagem de aceitação ou de
rejeição retorna ao solicitante.

PAP não é um protocolo de autenticação forte. Utilizando PAP, você envia senhas pelo
link em texto sem formatação, não havendo nenhuma proteção contra reprodução ou
ataques de tentativa e erro repetidos. O nó remoto está no controle da freqüência e do
timing das tentativas de login.

No entanto, há momentos em que a utilização do PAP pode se justificar. Por exemplo,


apesar de suas deficiências, o PAP pode ser utilizado nos seguintes ambientes:

• Uma grande base instalada de aplicativos clientes não compatíveis com CHAP
• Incompatibilidades entre implementações de fornecedores diferentes do CHAP
• Situações em que uma senha em texto simples deve ser disponibilizada para
simular um login no host remoto
Exibir meio visual
2.4.3 Protocolo avançado de autenticação de reconhecimento (CHAP)

Página 1:
Protocolo avançado de autenticação de reconhecimento (CHAP)

Depois que a autenticação é estabelecida com PAP, ela basicamente pára de funcionar.
Isso deixa a rede vulnerável a ataques. Diferentemente do PAP, que só autentica uma
vez, o CHAP realiza desafios periódicos para verificar se o nó remoto ainda tem um
valor de senha válido.

Depois que a fase de estabelecimento do link PPP é concluída, o roteador local envia
uma mensagem de desafio para o nó remoto.

Clique no botão Respondendo CHAP na figura.

O nó remoto responde com um valor calculado utilizando uma função de hash


unidirecional, que normalmente é Message Digest 5 (MD5) com base na senha e na
mensagem de desafio.

Clique no botão Concluindo CHAP na figura.

O roteador local verifica a resposta em relação ao seu próprio cálculo do valor de hash
esperado. Se os valores forem correspondentes, o nó inicial confirmará a autenticação.
Do contrário, ele encerra a conexão imediatamente.

O CHAP fornece proteção contra ataque de reprodução, utilizando um valor de desafio


variável exclusivo e imprevisível. Como o desafio é exclusivo e aleatório, o valor de
hash resultante também é exclusivo e aleatório. A utilização de desafios repetidos limita
o tempo de exposição a qualquer ataque. O roteador local ou um servidor de
autenticação de terceiros está no controle da freqüência e do timing dos desafios.
Exibir meio visual

2.4.4 Encapsulamento PPP e processo de autenticação

Página 1:
Encapsulamento PPP e processo de autenticação

Você pode utilizar um fluxograma para ajudar a compreender o processo de


autenticação PPP durante a configuração do PPP. O fluxograma fornece um exemplo
visual das decisões lógicas tomadas pelo PPP.
Por exemplo, se uma solicitação PPP de entrada não exigir nenhuma autenticação, o
PPP avançará ao próximo nível. Se uma solicitação PPP de entrada exigir autenticação,
ela poderá ser autenticada utilizando-se o banco de dados local ou um servidor de
segurança. Conforme ilustrado no fluxograma, a autenticação bem-sucedida avança ao
próximo nível, enquanto uma falha na autenticação irá desconectar e descartar a
solicitação PPP de entrada.

Clique no botão Exemplo de CHAP e clique no botão de execução para obter um


exemplo animado.

Siga as etapas conforme a animação avança. O roteador R1 deseja estabelecer uma


conexão PPP CHAP autenticada com o roteador R2.

Etapa 1. R1 negocia inicialmente a conexão de link utilizando LCP com o roteador R2


e os dois sistemas concordam em utilizar a autenticação CHAP durante a negociação
PPP LCP.

Etapa 2. O roteador R2 gera uma ID e um número aleatório, além de enviá-lo mais seu
nome de usuário como um pacote de desafio CHAP para R1.

Etapa 3. R1 irá utilizar o nome de usuário do desafiante (R2) e compará-lo com seu
banco de dados local para localizar a senha associada. Dessa forma, R1 irá gerar um
número de hash MD5 exclusivo utilizando o nome de usuário de R2, a ID, o número
aleatório e a senha secreta compartilhada.

Etapa 4. Em seguida, o roteador R1 envia a ID de desafio, o valor de hash e seu nome


de usuário (R1) para R2.

Etapa 5. R2 gera seu próprio valor de hash utilizando a ID, a senha secreta
compartilhada e o número aleatório enviados originalmente para R1.

Etapa 6. R2 compara seu valor de hash com o valor de hash enviado por R1. Se os
valores forem os mesmos, R2 enviará um link estabelecendo resposta com R1.

Se houver falha na autenticação, um pacote de falhas CHAP será criado a partir dos
seguintes componentes:

• 04 = tipo de mensagem de falha CHAP


• id = copiada do pacote de respostas
• "Authentication failure" ou alguma mensagem de texto assim, que deve ser uma
explicação legível pelo usuário

Observe que a senha secreta compartilhada deve ser idêntica em R1 e R2.


Exibir meio visual

2.4.5 Configurando PPP com autenticação

Página 1:
O comando ppp authentication

Para especificar a ordem na qual os protocolos CHAP ou PAP são solicitados na


interface, utilize o comando de configuração da interface ppp authentication,
conforme mostrado na figura. Utilize a forma no do comando para desabilitar essa
autenticação.

Depois que você habilitar a autenticação CHAP ou PAP, ou ambas, o roteador local
exigirá ao dispositivo remoto provar sua identidade antes de permitir o fluxo do tráfego
de dados. Isso é feito da seguinte forma:

• A autenticação PAP exige que o dispositivo remoto envie um nome e uma senha
a serem verificados em comparação com uma entrada correspondente no banco
de dados de nome de usuário local ou no banco de dados TACACS/TACACS+
remoto.
• A autenticação CHAP envia um desafio para o dispositivo remoto. O dispositivo
remoto deve criptografar o valor de desafio com uma senha secreta e retornar o
valor criptografado e seu nome para o roteador local em uma mensagem de
resposta. O roteador local utiliza o nome do dispositivo remoto para procurar o
segredo apropriado no nome de usuário local ou no banco de dados
TACACS/TACACS+. Ele utiliza o segredo pesquisado para criptografar o
desafio original e verificar se os valores criptografados correspondem.

Nota: AAA/TACACS é um servidor dedicado utilizado para autenticar usuários. AAA


significa "autenticação, autorização e auditoria". Os clientes TACACS enviam uma
consulta a um servidor de autenticação TACACS. O servidor pode autenticar o usuário,
autorizar o que o usuário pode fazer e controlar o que ele fez.

Você pode habilitar PAP ou CHAP ou ambos. Se ambos os métodos forem habilitados,
o primeiro método especificado será solicitado durante a negociação do link. Se o túnel
sugerir a utilização do segundo método ou apenas recusar o primeiro, o segundo será
testado. Alguns dispositivos remotos suportam apenas CHAP e outros, apenas PAP. A
ordem na qual você especifica os métodos se baseia nas suas preocupações sobre a
possibilidade do dispositivo remoto negociar corretamente o método apropriado, bem
como na sua preocupação sobre a segurança da linha de dados. Os nomes de usuário e
senhas PAP são enviados como cadeias de caracteres em texto sem formatação,
podendo ser interceptados e reutilizados. O CHAP eliminou a maioria das falhas de
segurança conhecidas.
Exibir meio visual
Página 2:
Configurando a autenticação PPP

O procedimento descrito no gráfico descreve como configurar o encapsulamento PPP e


os protocolos de autenticação PAP/CHAP. A configuração correta é essencial, porque
PAP e CHAP utilizam esses parâmetros na autenticação.

Clique no botão Exemplo de PAP na figura.

A figura é um exemplo de uma configuração de autenticação PAP bidirecional. Como


ambos os roteadores autenticam e são autenticados, os comandos de autenticação PAP
são espelhados. O nome de usuário e a senha PAP enviados pelo roteador devem
corresponder aos especificados com o comando username name password password
do outro roteador.

O PAP fornece um único método para um nó remoto a fim de estabelecer sua identidade
utilizando um handshake bidirecional. Isso só é feito no estabelecimento do link inicial.
O nome de host em um roteador deve corresponder ao nome de usuário configurado
pelo outro roteador. As senhas não precisam ser correspondentes.

Clique no botão Exemplo de CHAP na figura.

CHAP verifica periodicamente a identidade do nó remoto utilizando um handshake


triplo. O nome de host em um roteador deve corresponder ao nome de usuário
configurado pelo outro roteador. As senhas também devem ser correspondentes. Isso
ocorre no estabelecimento do link inicial, podendo ser repetido a qualquer momento
após esse estabelecimento. A figura é um exemplo de uma configuração CHAP.
Exibir meio visual

2.4.6 Identificação e solução de problemas de uma configuração PPP com


autenticação

Página 1:
Identificação e solução de problemas de uma configuração PPP com autenticação

Autenticação é um recurso que precisa ser implementado corretamente, ou a segurança


da sua conexão serial pode ficar comprometida. Sempre verifique a sua configuração
com o comando show interfaces serial, da mesma forma que você fez sem
autenticação.
Jamais suponha que a configuração da sua autenticação esteja funcionando sem testá-la.
A depuração permite confirmar a sua configuração e corrigir todas as deficiências. O
comando para depurar a autenticação PPP é debug ppp authentication.

A figura mostra uma saída do comando de exemplo do comando debug ppp


authentication. Esta é uma interpretação da saída do comando:

A linha 1 informa que o roteador não consegue se autenticar na interface Serial0 porque
o túnel não enviou um nome.

A linha 2 informa que o roteador não pôde validar a resposta CHAP porque
USERNAME 'pioneer' não foi encontrado.

A linha 3 informa que não foi encontrada nenhuma senha para 'pioneer'. Outras
respostas possíveis nessa linha, talvez não tenha recebido nenhum nome para autenticar,
nome desconhecido, nenhum segredo para o nome indicado, uma resposta MD5 foi
recebida ou haja falha na comparação com MD5.

Na última linha, o código = 4 significa que houve uma falha. Outros valores de código
são os seguintes:

• 1 = Desafio
• 2 = Resposta
• 3 = Êxito
• 4 = Falha

id = 3 é o número da ID por formato de pacote LCP.

len = 48 é o tamanho do pacote sem o cabeçalho.


Exibir meio visual

Página 2:
O encapsulamento PPP permite dois tipos diferentes de autenticação: PAP (Protocolo de
autenticação de senha) e CHAP (Protocolo avançado de autenticação de
reconhecimento). PAP utiliza uma senha em texto simples, e CHAP invoca um hash
unidirecional que fornece mais segurança que PAP. Nesta atividade, você irá configurar
PAP e CHAP e analisar a configuração de roteamento OSPF. São fornecidas instruções
detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)


Exibir meio visual
2.5 Laboratórios do capítulo
2.5.1 Configuração PPP básica

Página 1:
Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriais
usando a rede mostrada no diagrama de topologia. Você também aprenderá a restaurar
links seriais aos seus encapsulamentos de HDLC padrão. Preste atenção especial na
saída do roteador quando você divide intencionalmente o encapsulamento PPP. Isso o
ajudará no laboratório de solução de problemas associado a este capítulo. Por fim, você
irá configurar as autenticações PPP PAP e PPP CHAP.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 2.5.1. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do rastreador de pacote para obter mais detalhes.


Exibir meio visual

2.5.2 Configuração avançada PPP

Página 1:
Neste laboratório, você irá aprender a configurar o encapsulamento PPP em links seriais
usando a rede mostrada no diagrama de topologia. Você também configurará a
autenticação PPP CHAP. Se você precisar de assistência, consulte o laboratório de
configuração PPP básico, mas tente fazer isso por conta própria.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 2.5.2. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do rastreador de pacote para obter mais detalhes.


Exibir meio visual

2.5.3 Identificação e solução de problemas de configuração PPP

Página 1:
Os roteadores da sua empresa foram configurados por um engenheiro de rede sem
experiência. Vários erros na configuração resultaram em problemas de conectividade.
Seu chefe lhe pediu para solucionar problemas, corrigir os erros de configuração e
documentar seu trabalho. Com seus conhecimentos de PPP e métodos de teste padrão,
identifique e corrija os erros. Certifique-se de que todos os links seriais usem
autenticação PPP CHAP e de que todas as redes sejam alcançáveis.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 2.5.3. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do rastreador de pacote para obter mais detalhes.


Exibir meio visual

2.6 Resumo do capítulo


2.6.1 Resumo do capítulo

Página 1:
Ao concluir este capítulo, você pode descrever em termos práticos e conceituais por que
a comunicação ponto-a-ponto serial é utilizada para conectar a sua rede local à WAN da
sua operadora, e não utilizar a conexão paralela que pode parecer muito mais rápida.
Você pode explicar como a multiplexação permite uma comunicação eficiente e
maximiza a quantidade de dados que podem ser transmitidos por um link de
comunicação. Você aprendeu as funções dos componentes e dos protocolos principais
da comunicação serial, além de configurar uma interface serial com encapsulamento
HDLC em um roteador Cisco.

Isso proporcionou uma ampla base para um PPP, inclusive seus recursos, componentes
e arquiteturas. Você pode explicar como uma sessão PPP é estabelecida utilizando as
funções do LCP e dos NCPs. Você aprendeu a sintaxe dos comandos de configuração e
a utilização de várias opções obrigatórias para configurar uma conexão PPP, bem como
utilizar PAP ou CHAP para assegurar uma conexão segura. As etapas obrigatórias para
verificação e solução de problemas foram descritas. Agora você está pronto para
confirmar o seu conhecimento no laboratório no qual irá configurar o seu roteador para
utilizar o PPP na conexão com uma WAN.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Nesta atividade, você irá projetar um esquema de endereçamento, configurar o
roteamento e as VLANs, além de configurar o PPP com CHAP. São fornecidas
instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

2.7 Teste do capítulo


2.7.1 Teste do capítulo

Página 1:
Exibir meio visual

3 Frame Relay
3.0 Introdução
3.0.1 Introdução

Página 1:
Frame Relay é um protocolo WAN de alto desempenho que funciona nas camadas física
e de enlace do modelo OSI.

Eric Scace, engenheiro da Sprint International, inventou o Frame Relay como uma
versão mais simples do protocolo X.25 para ser usado em interfaces de Rede digital de
serviços integrados (ISDN, Integrated Services Digital Network). Atualmente, ele
também é usado em diversas outras interfaces de rede. Na primeira vez que a Sprint
implementou o Frame Relay em sua rede pública, eles usaram switches StrataCom. A
aquisição da StrataCom pela Cisco em 1996 marcou sua entrada no mercado das
operadoras.

Os provedores de rede geralmente implementam o Frame Relay para redes de voz e


dados como uma técnica de encapsulamento. Ele é usado entre redes locais em uma
WAN. Cada usuário final obtém uma linha particular (ou linha alugada) para um nó de
Frame Relay. A rede Frame Relay gerencia a transmissão por um caminho alterado com
frequência e transparente para todos os usuários finais.

O Frame Relay tornou-se um dos protocolos WAN mais usados, principalmente porque
é barato em comparação com as linhas dedicadas. Além disso, configurar o
equipamento do usuário em uma rede Frame Relay é muito simples. As conexões Frame
Relay são criadas configurando-se roteadores CPE ou outros dispositivos para que se
comuniquem com um switch Frame Relay da operadora. A operadora configura o
switch Frame Relay, o que ajuda a manter as tarefas de configuração do usuário final
em um nível mínimo.

Este capítulo descreve o Frame Relay e explica como configurá-lo em um roteador


Cisco.
Exibir meio visual

3.1 Conceitos básicos do Frame Relay


3.1.1 Apresentando o Frame Relay

Página 1:
Frame Relay: uma tecnologia WAN eficiente e flexível

O Frame Relay tornou-se a tecnologia WAN mais usada no mundo. Grandes empresas,
governos, provedores de Internet e pequenas empresas usam o Frame Relay,
principalmente por causa de seu preço e flexibilidade. Como as organizações estão
crescendo e dependem cada vez mais do transporte de dados confiável, as soluções
tradicionais de linha alugada são proibitivamente caras. O ritmo das alterações
tecnológicas e as fusões e aquisições na indústria de rede exigem mais flexibilidade.

O Frame Relay reduz os custos de rede usando menos equipamento, menos


complexidade e uma implementação mais fácil. Além disso, o Frame Relay fornece
mais largura de banda, confiabilidade e flexibilidade do que as linhas alugadas ou
privadas. Com o aumento da globalização e o crescimento de topologias múltiplas de
filial, o Frame Relay oferece arquitetura de rede mais simples e custo de propriedade
inferior.

Usar o exemplo da rede de uma grande empresa ajuda a ilustrar os benefícios do uso do
Frame Relay. No exemplo mostrado na figura, a Span Engineering possui cinco campus
na América do Norte. Como a maioria das organizações, os requisitos de largura de
banda da Span não se ajustam a uma solução padrão.

O primeiro item a ser considerado é o requisito de largura de banda de cada local.


Trabalhando na sede, a conexão de Chicago a Nova York exige uma velocidade máxima
de 256 kb/s. Três outros locais precisam de uma velocidade máxima de 48 kb/s para
conexão com a sede, enquanto a conexão entre as filiais de Nova York e de Dallas exige
somente 12 kb/s.

Antes do Frame Relay, a Span alugou linhas dedicadas.

Clique no botão Linhas dedicadas na figura.

Usando linhas alugadas, cada local da Span é conectado por meio de um switch no
escritório central (CO, central office) da empresa de telefonia local através do loop local
e, em seguida, através da rede inteira. Os escritórios de Chicago e de Nova York usam
uma linha dedicada T1 (equivalente a 24 canais DS0) para conectar-se ao switch,
enquanto outros escritórios usam conexões ISDN (56 kb/s). Como o escritório de Dallas
conecta-se ao de Nova York e ao de Chicago, possui duas linhas localmente alugadas.
Os provedores de rede forneceram à Span um DS0 entre os respectivos COs, exceto
para o ponto maior que conecta Chicago a Nova York, que tem quatro DS0s. Os preços
dos DS0s variam de acordo com a região e normalmente são oferecidos por um preço
fixo. Essas linhas são verdadeiramente dedicadas, pois o provedor de rede as reserva
para a Span. Não há nenhum compartilhamento. Além disso, a Span está pagando pelo
circuito fim-a-fim, independentemente da quantidade de largura de banda usada.

Uma linha dedicada não fornece muita oportunidade prática para uma conexão múltipla
sem obter mais linhas do provedor de rede. No exemplo, quase toda a comunicação
deve fluir pela sede corporativa simplesmente para reduzir o custo de linhas adicionais.

Se você analisar o que cada local exige em termos de largura de banda, notará uma falta
de eficiência:

• Dos 24 canais DSO disponíveis na conexão T1, o escritório de Chicago usa


somente sete. Algumas operadoras oferecem conexões T1 fracionárias em
incrementos de 64 kb/s, mas isso requer um multiplexador especializado na
extremidade do cliente para canalizar os sinais. Nesse caso, a Span optou pelo
serviço completo de T1.
• De maneira semelhante, o escritório de Nova York usa somente cinco de seus 24
DSOs disponíveis.
• Como Dallas precisa conectar-se a Chicago e Nova York, há duas linhas que
fazem a conexão com cada local através do CO.

O design de linha alugada também limita a flexibilidade. A menos que os circuitos já


estejam instalados, a conexão de novos sites normalmente exigirá novas instalações de
circuito e levará um tempo considerável para ser implementada. De um ponto de vista
de confiabilidade de rede, imagine os custos adicionais e a complexidade de adicionar
circuitos extras e redundantes.

Clique no botão Frame Relay na figura.

A rede Frame Relay da Span usa circuitos virtuais permanentes (PVCs). O PVC é o
caminho lógico entre um link de origem do Frame Relay, através da rede, e um link
Frame Relay de finalização para seu destino definitivo. Compare-o ao caminho físico
usado por uma conexão dedicada. Em uma rede com acesso Frame Relay, um PVC
define exclusivamente o caminho entre dois pontos de extremidade. O conceito de
circuitos virtuais será discutido em mais detalhes posteriormente nesta seção.

A solução de Frame Relay da Span fornece economia e flexibilidade.

Economia do Frame Relay

O Frame Relay é uma opção mais econômica por dois motivos. Primeiro, com linhas
dedicadas, os clientes pagam por uma conexão fim-a-fim. Isso inclui o loop local e o
link de rede. Com o Frame Relay, os clientes pagam somente pelo loop local e pela
largura de banda que compram do provedor de rede. A distância entre os nós não é
importante. Em um modelo de linha dedicada, os clientes usam essas linhas fornecidas
em incrementos de 64 kb/s. Os clientes de Frame Relay podem definir suas
necessidades de circuito virtual em uma granularidade muito maior, frequentemente em
incrementos pequenos de até 4 kb/s.

O segundo motivo pelo qual o Frame Relay é econômico é que ele compartilha largura
de banda com uma base maior de clientes. Normalmente, um provedor de rede pode
servir 40 ou mais de 56 kb/s aos clientes em um circuito de T1. Usar linhas dedicadas
exigiria mais DSU/CSUs (um para cada linha), além de roteamento e comutação mais
complexos. Os provedores de rede economizam porque há menos equipamento para
comprar e manter.

A flexibilidade do Frame Relay

Um circuito virtual fornece flexibilidade considerável no design de rede. Olhando para a


figura, você pode observar que todos os escritórios da Span conectam-se à nuvem
Frame Relay através de seus respectivos loops locais. O que acontece na nuvem não tem
nenhuma importância no momento. O que importa é que quando um escritório da Span
deseja se comunicar com outro, basta conectar-se a um circuito virtual que conduz ao
outro escritório. No Frame Relay, o fim de cada conexão tem um número para
identificá-la. Esse número é chamado de Identificador de conexão de enlace de dados
(DLCI, Data Link Connection Identifier). Qualquer estação pode conectar-se às demais.
Para isso, basta informar o endereço dessa estação e o número de DLCI da linha que
precisa usar. Em uma seção posterior, você aprenderá que, quando o Frame Relay é
configurado, todos os dados de todos os DLCIs configurados fluem pela mesma porta
do roteador. Tente imaginar a mesma flexibilidade usando linhas dedicadas. Não é
apenas complicado, mas também exige muito mais equipamento.

Clique no botão Custo na figura.

A tabela mostra uma comparação representativa de custos para conexões comparáveis


ISDN e Frame Relay. Embora os custos iniciais do Frame Relay sejam mais altos do
que os de ISDN, o custo mensal é consideravelmente menor. O Frame Relay é mais
fácil de gerenciar e configurar do que ISDN. Além disso, os clientes podem aumentar
sua largura de banda de acordo com o aumento das suas necessidades no futuro. Os
clientes de Frame Relay só pagam pela largura de banda de que precisam. Com o Frame
Relay, não há cobranças por hora. Já as chamadas de ISDN são medidas em metros e
podem resultar em despesas mensais inesperadamente altas com a empresa de telefonia,
se uma conexão em tempo integral for mantida.

Os próximos tópicos ampliarão seus conhecimentos de Frame Relay definindo os


principais conceitos apresentados no exemplo.
Exibir meio visual

Página 2:
WAN do Frame Relay

No final dos anos 1970 e no início dos anos 1990, a tecnologia WAN que unia locais
remotos costumava usar o protocolo X.25. Agora considerado um protocolo legado, o
X.25 era uma tecnologia de comutação de pacotes muito popular, pois fornecia uma
conexão muito confiável sobre infraestruturas de cabeamento não confiáveis. Ele fazia
isso incluindo um controle de fluxo e de erros adicional. No entanto, esses recursos
adicionais sobrecarregaram o protocolo. Sua principal aplicação era o processamento de
autorizações de cartão de crédito e de bancos 24 horas. Este curso só menciona o X.25
apenas para fins históricos.

Quando você cria uma WAN, independentemente da tecnologia escolhida, há sempre no


mínimo três componentes básicos, ou grupos de componentes, conectando dois locais.
Cada local precisa de seu próprio equipamento (DTE) para acessar o CO da empresa de
telefonia que atende à área (DCE). O terceiro componente fica no meio, unindo os dois
pontos de acesso. Na figura, esta é a parte fornecida pelo backbone do Frame Relay.

O Frame Relay tem sobrecarga inferior à do X.25, pois possui menos recursos. Por
exemplo, o Frame Relay não fornece correção de erros. Além disso, as instalações
WAN modernas oferecem serviços de conexão mais confiáveis e um grau mais elevado
de confiabilidade do que as instalações mais antigas. Ao detectar erros, o nó Frame
Relay simplesmente descarta os pacotes sem notificação. Qualquer correção de erros
necessária, como retransmissão de dados, é deixada para os pontos de extremidade. Isso
torna a propagação de cliente a cliente pela rede muito rápida.

O Frame Relay gerencia volume e velocidade de forma eficiente combinando as funções


necessárias das camadas de rede e de enlace em um único protocolo simples. Como um
protocolo de enlace de dados, o Frame Relay fornece acesso a uma rede, delimitando e
entregando quadros na ordem correta e reconhece erros de transmissão através de uma
Verificação de redundância cíclica padrão. Como um protocolo de rede, o Frame Relay
fornece várias conexões lógicas sobre um único circuito físico e permite que a rede
roteie dados nessas conexões para os destinos desejados.

O Frame Relay funciona entre o dispositivo de um usuário final, como uma bridge de
rede local ou um roteador, e uma rede. A própria rede pode usar qualquer método de
transmissão que seja compatível com a velocidade e a eficiência que os aplicativos para
Frame Relay exigem. Algumas redes usam o próprio Frame Relay, mas outras usam
comutação digital de circuitos ou sistemas de transmissão de célula ATM. A figura
mostra um backbone de comutação de circuitos conforme indicado pelos switches de
classe 4 ou 5. Os demais gráficos desta seção mostram backbones Frame Relay de
comutação de pacotes mais atuais.
Exibir meio visual

Página 3:
Operação do Frame Relay

A conexão entre um dispositivo DTE e um dispositivo DCE consiste em um


componente de camada física e um de camada de enlace:

• O componente físico define as especificações mecânica, elétrica, funcional e de


procedimento para a conexão entre os dispositivos. Uma das especificações de
interface de camada física mais usadas é a especificação RS-232.
• O componente da camada de enlace define o protocolo que estabelece a conexão
entre o dispositivo DTE, como um roteador, e o dispositivo DCE, como um
switch.

Quando as operadoras usam o Frame Relay para interconectar as redes locais, um


roteador em cada rede local é o DTE. Uma conexão serial, como uma linha alugada
T1/E1, conecta o roteador ao switch Frame Relay da operadora no ponto de presença
(POP, point-of-presence) mais próximo. O switch Frame Relay é um dispositivo DCE.
Os switches de rede movem quadros de um DTE através da rede e entregam quadros a
outros DTEs por meio de DCEs. Equipamentos de computação que não estejam em uma
rede local também podem enviar dados por uma rede Frame Relay. O equipamento de
computação usa um dispositivo de acesso Frame Relay (FRAD) como o DTE. Às vezes,
o FRAD é chamado de codificador/decodificador Frame Relay. Ele é também um
dispositivo dedicado ou um roteador configurado para suportar o Frame Relay. Está
localizado nos equipamentos do cliente e conecta-se a uma porta de switch da rede da
operadora. A operadora, por sua vez, interconecta os switches Frame Relay.
Exibir meio visual

3.1.2 Circuitos virtuais

Página 1:
Circuitos virtuais

A conexão por uma rede Frame Relay entre dois DTEs é chamada de circuito virtual
(VC). Os circuitos são virtuais porque não há conexão elétrica direta fim-a-fim. A
conexão é lógica, e os dados se movem fim-a-fim, sem um circuito elétrico direto. Com
os VCs, o Frame Relay compartilha a largura de banda entre vários usuários. Além
disso, os sites podem comunicar-se entre si sem usar várias linhas físicas dedicadas.

Há duas maneiras de estabelecer VCs:

• SVCs, circuitos virtuais comutados, são estabelecidos dinamicamente enviando


mensagens de sinalização à rede (CONFIGURAÇÃO DE CHAMADA,
TRANSFERÊNCIA DE DADOS, INATIVO, ENCERRAMENTO DE
CHAMADA).
• PVCs, circuitos virtuais permanentes, são pré-configurados pela operadora e,
depois de configurados, funcionam somente nos modos TRANSFERÊNCIA DE
DADOS e INATIVO. Algumas publicações referem-se aos PVCs como VCs
privados.

Clique no botão Reproduzir na figura.

Na figura, há um VC entre os nós de envio e de recebimento. O VC segue o caminho A,


B, C, e D. O Frame Relay cria um VC armazenando mapeamento de porta de entrada a
porta de saída na memória de cada switch e, assim, vincula um switch ao outro até
identificar um caminho contínuo de uma extremidade à outra do circuito. Um VC pode
percorrer qualquer número de dispositivos intermediários (switches) localizados na rede
Frame Relay.

Neste momento, você deve estar se perguntando: “Como os vários nós e switches são
identificados”?

Clique no botão Importância local na figura.


Os VCs fornecem um caminho de comunicação bidirecional de um dispositivo ao outro.
Os VCs são identificados por DLCIs. Os valores de DLCI são atribuídos normalmente
pela operadora de Frame Relay (por exemplo, a empresa de telefonia). Os DLCIs do
Frame Relay têm importância local, o que significa que os próprios valores não são
exclusivos na WAN Frame Relay. Um DLCI identifica um VC para o equipamento em
um ponto de extremidade. Um DLCI não tem nenhuma importância além do único link.
Dois dispositivos conectados por um VC podem usar um valor de DLCI diferente para
se referir à mesma conexão.

Os DLCIs de importância local tornaram-se o principal método de endereçamento, pois


o mesmo endereço pode ser usado em vários locais diferentes e ainda assim referir-se a
conexões diferentes. O endereçamento local evita que um cliente fique sem DLCIs à
medida que a rede cresce.

Clique no botão Identificando VCs e no botão Reproduzir na figura.

Essa rede é a mesma que foi apresentada na figura anterior. Porém, desta vez, à medida
que o quadro se move pela rede, o Frame Relay rotula cada VC com um DLCI. O DLCI
é armazenado no campo de endereço de todos os quadros transmitidos para informar à
rede como o quadro deverá ser roteado. A operadora de Frame Relay atribui números de
DLCI. Geralmente, os DLCIs de 0 a 15 e de 1008 a 1023 são reservados para fins
especiais. Portanto, as operadoras geralmente atribuem os DLCIs do intervalo de 16 a
1007.

Neste exemplo, o quadro usa o DLCI 102. Ele deixa o roteador (R1) usando a porta 0 e
o VC 102. No switch A, o quadro sai pela porta 1 usando o VC 432. Esse processo de
mapeamento de portas de VC continuará pela WAN até que o quadro alcance seu
destino no DLCI 201, conforme mostrado na figura. O DLCI é armazenado no campo
de endereço de todos os quadros transmitidos.
Exibir meio visual

Página 2:
Vários VCs

O Frame Relay é estatisticamente multiplexado. Isso significa que, embora ele transmita
apenas um quadro por vez, muitas conexões lógicas podem coexistir em uma única
linha física. O dispositivo de acesso Frame Relay (FRAD) ou o roteador conectado à
rede Frame Relay pode ter vários VCs que o conecta a vários pontos de extremidade.
Vários VCs em uma única linha física são diferenciados porque cada VC tem seu
próprio DLCI. Lembre-se de que a importância do DLCI é apenas local e pode ser
diferente em cada extremidade de um VC.

A figura mostra um exemplo de dois VCs em uma única linha de acesso, cada um com
seu próprio DLCI, conectados a um roteador (R1).
Esse recurso frequentemente reduz a complexidade do equipamento e da rede,
necessária para conectar vários dispositivos. Por esse motivo, ele representa uma
alternativa muito econômica para uma malha (mesh) de linhas de acesso. Com essa
configuração, cada ponto de extremidade precisa de apenas uma linha de acesso e uma
interface. É possível economizar mais, pois a capacidade da linha de acesso é baseada
no requisito de largura de banda média dos VCs, e não no requisito de largura de banda
máxima.

Clique no botão DLCIs da Span na figura.

Por exemplo, a Span Engineering está presente em cinco locais, com sede em Chicago.
O escritório de Chicago está conectado à rede usando cinco VCs, e cada VC recebe um
DLCI. Para visualizar os mapeamentos de DLCI, respectivos de Chicago, clique no
local desejado na tabela.

Custo Benefício de vários VCs

Lembre-se do exemplo anterior de como a Span Engineering evoluiu de uma rede de


linha dedicada para uma rede Frame Relay. Observe especificamente a tabela que
compara o custo de uma única conexão Frame Relay comparada a uma conexão ISDN
de tamanho semelhante. Com o Frame Relay, os clientes pagam pela largura de banda
que utilizam. De fato, eles pagam por uma porta de Frame Relay. Ao aumentar o
número de portas, conforme descrito acima, eles pagam por mais largura de banda. Mas
eles pagarão também por mais equipamento? A resposta é "não", pois as portas são
virtuais. Não há nenhuma alteração na infraestrutura física. Compare este procedimento
com uma compra de mais largura de banda usando linhas dedicadas.
Exibir meio visual

3.1.3 Encapsulamento Frame Relay

Página 1:
O processo de encapsulamento do Frame Relay

O Frame Relay recebe pacotes de dados de um protocolo de camada de rede, como IP


ou IPX, os encapsula como parte de dados de um quadro Frame Relay e, então,
transmite o quadro à camada física para ser enviado pelo cabo. Para entender como esse
processo funciona, será útil entender como ele se relaciona com as camadas inferiores
do modelo OSI.

A figura mostra como o Frame Relay encapsula os dados para o transporte e os move
até a camada física para entrega.

Primeiro, o Frame Relay aceita um pacote de um protocolo da camada de rede, como o


IP. Em seguida, ele o empacota com um campo de endereço que contém o DLCI e uma
soma de verificação. Campos de sinalização são adicionados para indicar o início e o
final do quadro. Os campos de sinalização marcam o início e o final do quadro, e são
sempre os mesmos. Os sinalizadores são representados como o número hexadecimal 7E
ou como o número binário 01111110. Depois que o pacote é encapsulado, o Frame
Relay transmite o quadro à camada física para o transporte.

Clique no botão Formato de quadro na figura.

O roteador CPE encapsula cada pacote da Camada 3 dentro de um cabeçalho e um


trailer Frame Relay antes de enviá-lo pelo VC. O cabeçalho e o trailer são definidos pela
especificação de serviços de portador do Procedimento de acesso ao link para Frame
Relay (LAPF, Link Access Procedure for Frame Relay), ITU Q.922-A.
Especificamente, o cabeçalho Frame Relay (campo de endereço) contém o seguinte:

• DLCI - O DLCI de 10 bits é a essência do cabeçalho Frame Relay. Esse valor


representa a conexão virtual entre o dispositivo DTE e o switch. Cada conexão
virtual multiplexada no canal físico é representada por um DLCI exclusivo. A
importância dos valores de DLCI é apenas local, o que significa que eles só são
exclusivos para o canal físico no qual residem. Portanto, os dispositivos em
extremidades opostas de uma conexão podem usar valores de DLCI diferentes
para referir-se à mesma conexão virtual.
• Endereço Estendido (EA) - Se o valor do campo de EA for 1, o byte atual será
determinado para ser o último octeto do DLCI. Embora todas as implementações
de Frame Relay atuais utilizem um DLCI de dois octetos, esse recurso permitirá
DLCIs mais longos no futuro. O oitavo bit de cada byte do campo de endereço
indica o EA.
• C/R - Segue o DLCI mais significativo do campo de endereço. O bit de C/R
geralmente não é usado pelo Frame Relay.
• Controle de congestionamento - Contém 3 bits que controlam os mecanismos da
notificação de congestionamento do Frame Relay. Os bits FECN, BECN e DE
são os três últimos bits no campo de endereço. O controle de congestionamento
será discutido em um tópico posterior.

A camada física é geralmente EIA/TIA -232, 449 ou 530, V.35 ou X.21. O quadro
Frame Relay é um subconjunto do tipo de quadro HDLC. Portanto, ele é delimitado
com campos de sinalização. O sinalizador de 1 byte usa o padrão de bits 01111110. O
FCS determina se qualquer erro no campo de endereço da Camada 2 ocorreu durante a
transmissão. O FCS é calculado antes da transmissão pelo nó de envio, e o resultado é
inserido no campo FCS. Na extremidade a frente, um segundo valor de FCS é calculado
e comparado ao FCS no quadro. Se os resultados forem os mesmos, o quadro será
processado. Se houver diferenças, o quadro será descartado. O Frame Relay não notifica
a origem quando um quadro é descartado. O controle de erros é deixado para as
camadas superiores do modelo OSI.
Exibir meio visual

3.1.4 Topologias Frame Relay


Página 1:
Quando mais de dois locais forem conectados, você deverá considerar a topologia das
conexões entre eles. Uma topologia é o mapa ou o layout visual da rede Frame Relay. É
necessário considerar a topologia de várias perspectivas para entender a rede e o
equipamento usado para criá-la. Topologias completas para projeto, implementação,
operação e manutenção incluem mapas de visão geral, mapas de conexão lógica, mapas
funcionais e mapas de endereços que mostram o equipamento em detalhes e os links de
canal.

As redes Frame Relay econômicas vinculam dezenas ou até mesmo centenas de locais.
Considerando que uma rede corporativa pode abranger qualquer número de operadoras
e incluir redes de negócios adquiridos com projeto básico diferente, documentar
topologias pode ser um processo muito complicado. No entanto, cada rede ou segmento
de rede pode ser exibido como um dos três seguintes tipos de topologia: estrela, malha
completa (Full mesh) ou malha parcial (Partial Mesh).

Topologia em estrela (Hub-and-spoke)

A topologia WAN mais simples é a estrela, conforme mostrado na figura. Nessa


topologia, a Span Engineering tem um local central em Chicago que atua como um hub
e hospeda os principais serviços. A Span cresceu e recentemente e abriu um escritório
em San Jose. O uso do Frame Relay facilitou relativamente essa expansão.

As conexões com cada um dos cinco locais remotos atuam como spokes. Em uma
topologia estrela, o local do hub geralmente é escolhido pelo menor custo da linha
alugada. Ao implementar uma topologia estrela com Frame Relay, cada local remoto
tem um link de acesso à nuvem Frame Relay com um único VC.

Clique no botão Estrela de Frame Relay na figura.

Esta é a topologia estrela no contexto de uma nuvem Frame Relay. O hub em Chicago
tem um link de acesso com vários VCs, um para cada local remoto. As linhas que saem
da nuvem representam as conexões da operadora de Frame Relay e terminam no
equipamento do cliente. A velocidade dessas linhas normalmente varia de 56.000 bp/s
para E-1 (2.048 Mb/s) e mais rápida. Um ou mais números de DLCI são atribuídos a
cada ponto de extremidade da linha. Como os custos do Frame Relay não estão
relacionados à distância, o hub não precisa estar no centro geográfico da rede.
Exibir meio visual

Página 2:
Topologia de malha completa
Esta figura representa uma topologia de malha completa que usa linhas dedicadas. Uma
topologia de malha completa é adequada a situações nas quais os serviços a serem
acessados estão geograficamente dispersos e há necessidade de acesso altamente
confiável a eles. Uma topologia de malha completa conecta todos os locais entre si. O
uso de interconexões de linha alugada, interfaces seriais adicionais e linhas aumentam
os custos. Neste exemplo, são necessárias 10 linhas dedicadas para interconectar cada
site em uma topologia de malha completa.

Clique em Malha completa de Frame Relay na figura.

Usando o Frame Relay, um programador de rede pode criar várias conexões


simplesmente configurando VCs adicionais em cada link existente. Essa melhoria de
software aumenta a topologia estrela para uma topologia de malha completa sem a
despesa de hardware adicional ou de linhas dedicadas. Como os VCs usam
multiplexação estatística, vários VCs em um link de acesso geralmente fazem melhor
uso do Frame Relay do que VCs separados. A figura mostra como a Span usou quatro
VCs em cada link para dimensionar sua rede sem adicionar novo hardware. As
operadoras cobrarão pela largura de banda adicional, mas essa solução geralmente é
mais econômica do que o uso de linhas dedicadas.

Topologia de malha parcial

Para grandes redes, uma topologia de malha completa raramente está disponível, pois o
número de links necessários aumenta drasticamente. O problema não está no custo do
hardware, e sim no limite teórico de menos de 1.000 VCs por link. Na prática, o limite é
menor do que esse.

Por esse motivo, geralmente as redes maiores são configuradas em uma topologia de
malha parcial. Com a malha parcial, há mais interconexões do que o necessário para
uma disposição em estrela e menos do que o necessário para uma malha completa. O
padrão real depende dos requisitos de fluxo de dados.
Exibir meio visual

3.1.5 Mapeamento de endereço Frame Relay

Página 1:
Para que um roteador Cisco possa transmitir dados por Frame Relay, ele precisa saber
qual DLCI local mapeia para o endereço da Camada 3 do destino remoto. Os roteadores
Cisco suportam todos os protocolos da camada de rede sobre Frame Relay, como IP,
IPX e AppleTalk. Esse mapeamento endereço-para-DLCI pode ser realizado por
mapeamento estático ou dinâmico.

ARP inverso
O Protocolo de resolução de endereço (ARP, Address Resolution Protocol) inverso,
também chamado de ARP inverso, obtém endereços da Camada 3 de outras estações de
endereços da Camada 2, como o DLCI em redes Frame Relay. Ele é usado
principalmente em redes Frame Relay e ATM, nas quais os endereços da Camada 2 de
VCs são ocasionalmente obtidos da sinalização da Camada 2, e os endereços
correspondentes da Camada 3 devem estar disponíveis para que esses VCs possam ser
usados. Enquanto o ARP determina os endereços da Camada 3 para os endereços da
Camada 2, o ARP inverso faz o oposto.

Mapeamento dinâmico

O mapeamento de endereço dinâmico depende do ARP inverso para determinar um


próximo salto rede endereço de protocolo para um valor de DLCI local. O roteador de
Frame Relay envia solicitações ARP inverso em seu PVC para descobrir o endereço de
protocolo do dispositivo remoto conectado à rede Frame Relay. O roteador usa as
respostas para preencher uma tabela de mapeamento de endereço-para-DLCI no
roteador de Frame Relay ou no servidor de acesso. O roteador cria e mantém essa tabela
de mapeamento, que contém todas as solicitações ARP inverso determinadas, incluindo
entradas de mapeamento dinâmicas e estáticas.

A figura mostra a saída do comando show frame-relay map. Você pode observar que a
interface está ativada e que o endereço IP de destino é 10.1.1.2. O DLCI identifica a
conexão lógica que está sendo usada para alcançar essa interface. Esse valor é exibido
de três maneiras: seu valor decimal (102), seu valor hexadecimal (0 x 66), e seu valor
como apareceria no cabo (0 x 1860). Essa entrada é estática, e não dinâmica. O link está
usando encapsulamento Cisco, em vez de encapsulamento IETF.

Em roteadores Cisco, o ARP inverso é habilitado por padrão para todos os protocolos
habilitados na interface física. Pacotes de ARP inverso não são enviados para protocolos
que não estão habilitados na interface.

Clique no botão Mapeamento estático na figura.

O usuário pode optar por sobrescrever o mapeamento de ARP inverso dinâmico


fornecendo um mapeamento estático manual para o endereço de protocolo de próximo
salto a um DLCI local. Um mapa estático funciona de maneira semelhante ao ARP
inverso dinâmico associando um endereço de protocolo de próximo salto especificado a
um DLCI local do Frame Relay. Não é possível usar o ARP inverso e uma instrução de
mapa para o mesmo DLCI e protocolo.

Um exemplo do uso do mapeamento de endereço estático é uma situação na qual o


roteador que está do outro lado da rede Frame Relay não suporta ARP inverso dinâmico
para um protocolo de rede específico. Para fornecer acessibilidade, é necessário um
mapeamento estático para completar o endereço remoto da camada de rede para a
resolução de DLCI local.
Outro exemplo está em uma rede Frame Relay hub-and-spoke. Use o mapeamento de
endereço estático nos roteadores spoke para fornecer acessibilidade spoke-to-spoke.
Como os roteadores spoke não têm conectividade direta entre si, o ARP inverso
dinâmico não funcionaria entre eles. O ARP inverso dinâmico depende da presença de
uma conexão ponto-a-ponto direta entre as duas extremidades. Nesse caso, o ARP
inverso dinâmico só funciona entre hub-and-spoke, e os spokes exigem mapeamento
estático para fornecer acessibilidade entre si.

Configurando o mapeamento estático

O estabelecimento do mapeamento estático depende das suas necessidades de rede. Veja


a seguir os vários comandos a serem usados:

Para mapear um endereço de protocolo de próximo salto para o endereço de destino do


DLCI, use este comando: frame-relay map protocol protocol-address dlci [broadcast]
[ietf] [cisco].

Use a palavra-chave ietf ao conectar-se a um roteador que não seja Cisco.

Você pode simplificar muito a configuração do protocolo OSPF adicionando a palavra-


chave opcional broadcast ao executar essa tarefa.

A figura mostra um exemplo de mapeamento estático em um roteador Cisco. Nesse


exemplo, o mapeamento de endereço estático é executado na interface serial 0/0/0 e o
encapsulamento Frame Relay usado no DLCI 102 é CISCO. Conforme visualizado nas
etapas de configuração, o mapeamento estático do endereço que utiliza o comando
frame-relay map permite que os usuários selecionem o tipo de encapsulamento Frame
Relay usado por VC. A configuração do mapeamento estático será discutida em mais
detalhes na próxima seção.
Exibir meio visual

Página 2:
Interface de gerenciamento local (LMI)

Uma revisão do histórico de rede o ajudará a entender a função desempenhada pela


Interface de gerenciamento local (LMI, Local Management Interface). O projeto de
Frame Relay proporciona transferência de dados comutada por pacote com atrasos
mínimos fim-a-fim. O projeto original omite qualquer coisa que possa contribuir para
atrasos.

Quando os fornecedores implementaram o Frame Relay como uma tecnologia separada,


e não como um componente de ISDN, decidiram que era necessário que os DTEs
adquirissem informações dinamicamente sobre o status da rede. No entanto, o projeto
original não incluía esse recurso. Um consórcio entre a Cisco, a Digital Equipment
Corporation (DEC), a Northern Telecom e a StrataCom estendeu o protocolo Frame
Relay para fornecer recursos adicionais a ambientes complexos de rede. Essas extensões
são chamadas coletivamente de LMI.

Basicamente, a LMI é um mecanismo de keepalive que fornece informações de status


sobre conexões Frame Relay entre o roteador (DTE) e o switch Frame Relay (DCE). A
cada 10 segundos, aproximadamente, o dispositivo final sonda a rede, solicitando uma
resposta de sequência dumb ou informações de status do canal. Se a rede não responder
com as informações solicitadas, o dispositivo do usuário poderá considerar que a
conexão está inativa. Quando a rede responder com FULL STATUS, ela incluirá
informações de status sobre DLCIs alocados para essa linha. O dispositivo final pode
usar essas informações para determinar se as conexões lógicas podem transmitir dados.

A figura mostra a saída do comando show frame-relay lmi. A saída do comando


mostra o tipo de LMI usado pela interface Frame Relay e os contadores da sequência de
trocas de status de LMI, incluindo erros como timeouts de LMI.

É fácil confundir a LMI e o encapsulamento. LMI é uma definição das mensagens


usadas entre o DTE (R1) e o DCE (o switch Frame Relay de propriedade da operadora).
O encapsulamento define os cabeçalhos usados por um DTE para comunicar
informações ao DTE na outra extremidade de um VC. O switch e seu roteador
conectado se importam em usar a mesma LMI. O switch não se importa com o
encapsulamento. Os roteadores ponto de extremidade (DTEs) se importam com o
encapsulamento.

Extensões de LMI

Além das funções de protocolo do Frame Relay para transferência de dados, a


especificação Frame Relay inclui extensões opcionais de LMI que são extremamente
úteis em um ambiente de rede. Algumas das extensões incluem:

• Mensagens de status de VC - Forneçe informações sobre a integridade do PVC


comunicando e sincronizando entre dispositivos, informando periodicamente a
existência de novos PVCs e a exclusão de PVCs já existentes. As mensagens de
status de VC impedem que os dados sejam enviados a buracos negros (PVCs
que já não existem).
• Multicast - Permite que um remetente transmita um único quadro que é
entregue a vários receptores. O multicast suporta a entrega eficiente de
mensagens de protocolo de roteamento e procedimentos de resolução de
endereço que costumam ser enviados simultaneamente a muitos destinos.
• Endereçamento global - Confere aos identificadores de conexão importância
global, e não local, permitindo que eles sejam usados para identificar uma
interface específica para a rede Frame Relay. O endereçamento global faz com
que a rede Frame Relay seja semelhante a uma rede local em termos de
endereçamento, e os ARPs se comportam exatamente como se estivessem em
uma rede local.
• Controle de fluxo simples - Fornece um mecanismo de controle de fluxo
XON/XOFF que se aplica à interface Frame Relay inteira. Ele se destina aos
dispositivos cujas camadas superiores não podem usar os bits de notificação de
congestionamento e precisam de um pouco de controle de fluxo.

Clique no botão Identificadores de LMI na figura.

O campo de DLCI de 10 bits suporta identificadores de VC de 1.024: 0 por 1023. As


extensões de LMI reservam alguns desses identificadores, o que reduz o número de VCs
permitidos. As mensagens LMI são trocadas entre o DTE e o DCE usando esses DLCIs
reservados.

Há vários tipos de LMI, e elas são incompatíveis entre si. O tipo de LMI configurado no
roteador deve corresponder ao tipo usado pela operadora. Três tipos de LMIs são
suportados pelos roteadores Cisco:

• Cisco - Extensão de LMI original


• Ansi - Correspondente ao padrão ANSI T1.617 Annex D
• q933a - Correspondente ao padrão ITU Q933 Annex A

Começando pelo software IOS Cisco versão 11.2, o recurso de autodetecção de LMI
padrão detecta o tipo de LMI suportado pelo switch Frame Relay diretamente
conectado. Com base nas mensagens de status LMI que recebe do switch Frame Relay,
o roteador configura automaticamente sua interface com o tipo de LMI suportado
reconhecido pelo switch Frame Relay.

Se for necessário definir o tipo de LMI, use o comando de configuração de interface


frame-relay lmi-type [cisco | ansi | q933a] Se você configurar o tipo de LMI, o recurso
de autodetecção será desabilitado.

Ao configurar manualmente o tipo de LMI, é necessário configurar o intervalo de


keepalive na interface Frame Relay para evitar que as trocas de status entre o roteador e
o switch expirem. As mensagens de troca de status LMI determinam o status da
conexão do PVC. Por exemplo, uma grande falta de correspondência no intervalo de
keepalive do roteador e do switch pode fazer o switch declarar o roteador como inativo.

Por padrão, o intervalo de keepalive é de 10 segundos em interfaces seriais Cisco. Você


pode alterar o intervalo de keepalive com o comando de configuração de interface
keepalive.

A definição do tipo de LMI e a configuração do keepalive serão praticadas em uma


atividade posterior.
Exibir meio visual
Página 3:
Formato do quadro LMI

As mensagens de LMI são transportadas em uma variante de quadros LAPF. O campo


de endereço transporta um do DLCIs reservados. Depois do campo de DLCI estão os
campos de controle, do discriminador de protocolo e de referência de chamada, que não
são alterados. O quarto campo indica o tipo mensagem LMI.

As mensagens de status ajudam a verificar a integridade dos links lógicos e físicos.


Essas informações são essenciais em um ambiente de roteamento, pois os protocolos de
roteamento tomam decisões com base na integridade dos links.
Exibir meio visual

Página 4:
Usando LMI e ARP inverso para mapear endereços

As mensagens de status LMI, combinadas com as mensagens de ARP inverso,


permitem que um roteador associe endereços da camada de rede e da camada de enlace.

Clique no botão LMI 1 para assistir ao vídeo que mostra como o processo LMI é
iniciado.

Nesse exemplo, quando R1 conecta-se à rede Frame Relay, ele envia uma mensagem de
consulta de status LMI à rede. A rede responde com uma mensagem de status LMI que
contém detalhes de todos os VCs configurados no link de acesso.

Periodicamente, o roteador repete a consulta de status, mas as respostas subsequentes


incluem somente as alterações de status. Depois de um número definido dessas
respostas abreviadas, a rede envia uma mensagem de status completa.

Clique no botão LMI 2 para ver o próximo estágio.

Se o roteador precisar mapear os VCs para endereços da camada de rede, ele enviará
uma mensagem de ARP inverso em cada VC. A mensagem de ARP inverso inclui o
endereço da camada de rede do roteador para que o DTE remoto, ou roteador, também
possa executar o mapeamento. A resposta do ARP inverso permite que o roteador faça
as entradas de mapeamento necessárias em sua tabela de mapas de endereço-para-DLCI.
Se vários protocolos da camada de rede forem suportados no link, serão enviadas
mensagens de ARP inverso a cada um deles.
Exibir meio visual
Página 5:
Exibir meio visual

3.2 Configurando Frame Relay


3.2.1 Configurando Frame Relay básico

Página 1:
Tarefas de configuração do Frame Relay

O Frame Relay é configurado em um roteador Cisco na interface de linha de comando


do Cisco IOS (CLI). Esta seção descreve as etapas necessárias para habilitar o Frame
Relay na sua rede, bem como algumas das etapas opcionais que você pode usar para
aprimorar ou personalizar sua configuração.

A figura mostra o modelo de configuração básico usado para essa discussão.


Posteriormente nesta seção, serão adicionados outros hardwares ao diagrama para
ajudar a explicar tarefas de configuração mais complexas. Nesta seção, você configurará
os roteadores Cisco como dispositivos de acesso Frame Relay, ou DTEs, conectados
diretamente a um switch Frame Relay dedicado, ou DCE.

A figura mostra uma configuração típica de Frame Relay e lista as etapas a serem
seguidas. Essas etapas são explicadas e praticadas neste capítulo.
Exibir meio visual

Página 2:
Habilitar o encapsulamento Frame Relay

Esta primeira figura mostra como o Frame Relay foi configurado nas interfaces seriais.
Isso envolve a atribuição de um endereço IP, a definição do tipo de encapsulamento e a
alocação de largura de banda. A figura mostra roteadores em cada extremidade do link
Frame Relay com os scripts de configuração para os roteadores R1 e R2.

Etapa 1. Definindo o endereço IP na interface

Em um roteador Cisco, o Frame Relay é geralmente suportado em interfaces seriais


síncronas. Use o comando ip address para definir o endereço IP da interface. Você
pode observar que R1 recebeu o endereço IP 10.1.1.1/24 e R2 o endereço IP
10.1.1.2/24.

Etapa 2. Configurando o encapsulamento


O comando de configuração de interface encapsulation frame-relay habilita o
encapsulamento Frame Relay e permite o processamento do Frame Relay na interface
suportada. Há duas opções de encapsulamento. Elas serão descritas a seguir.

Etapa 3. Definindo a largura de banda

Use o comando bandwidth para definir a largura de banda da interface serial.


Especifique a largura de banda em kb/s. Esse comando notifica o protocolo de
roteamento que a largura de banda é configurada estaticamente no link. Os protocolos
de roteamento EIGRP e OSPF usam o valor de largura de banda para calcular e
determinar a métrica do link.

Etapa 4. Definindo o tipo de LMI (opcional)

Essa etapa é opcional, pois os roteadores Cisco detectam automaticamente o tipo de


LMI. Lembre-se de que os roteadores Cisco suportam três tipos de LMI: Cisco, ANSI
Annex D e Q933-A Annex A. Além disso, o tipo de LMI padrão para os roteadores
Cisco é cisco.

Opções de encapsulamento

Lembre-se de que o tipo de encapsulamento padrão em uma interface serial em um


roteador Cisco é a versão do HDLC de propriedade da Cisco. Para alterar o
encapsulamento de HDLC para Frame Relay, use o comando encapsulation frame-
relay [cisco | ietf]. O comando noencapsulation frame-relay remove o
encapsulamento Frame Relay da interface e a retorna ao encapsulamento HDLC padrão.

O encapsulamento Frame Relay padrão habilitado em interfaces suportadas é Cisco. Use


essa opção ao conecta-se a outro roteador Cisco. Muitos dispositivos que não são Cisco
também suportam esse tipo de encapsulamento. Ele usa um cabeçalho de 4 bytes, com 2
bytes para identificar o DLCI e 2 bytes para identificar o tipo de pacote.

O tipo de encapsulamento IETF segue os padrões RFC 1490 e RFC 2427. Use essa
opção ao conectar-se a um roteador que não seja Cisco.

Clique no botão Verificando a configuração na figura.

A saída do comando show interfaces serial verifica a configuração.


Exibir meio visual

3.2.2 Configurando mapas Frame Relay estáticos


Página 1:
Configurando um mapa Frame Relay estático

Os roteadores Cisco suportam todos os protocolos da camada de rede sobre Frame


Relay, como IP, IPX e AppleTalk, e o mapeamento endereço-para-DLCI pode ser
realizado por mapeamento de endereço dinâmico ou estático.

O mapeamento dinâmico é executado pelo recurso ARP inverso. Como o ARP inverso é
habilitado por padrão, não é necessário nenhum comando adicional para configurar o
mapeamento dinâmico em uma interface.

O mapeamento estático é configurado manualmente em um roteador. O estabelecimento


do mapeamento estático depende das suas necessidades de rede. Para mapear entre um
endereço de protocolo de próximo salto e um endereço de destino de DLCI, utilize o
comando frame-relay map protocol protocol-address dlci [broadcast].

Usando a palavra-chave broadcast

Frame Relay, ATM e X.25 são redes ponto-a-multiponto (NBMA, nonbroadcast


multiaccess). Redes NBMA só permitem transferência de dados de um computador para
outro sobre um VC ou em um dispositivo de comutação. Redes NBMA não suportam
tráfego multicast ou broadcast. Portanto, um único pacote não pode alcançar todos os
destinos. Para isso, é necessário transmitir para replicar os pacotes manualmente a todos
os destinos.

Alguns protocolos de roteamento podem exigir opções de configuração adicionais. Por


exemplo, RIP, EIGRP e OSPF exigem configurações adicionais para que sejam
suportados em redes NBMA.

Como a NBMA não suporta o tráfego de broadcast, a palavra-chave broadcast é uma


maneira simplificada de encaminhar atualizações de roteamento. A palavra-chave
broadcast permite broadcasts e multicasts no PVC e, em vigor, transforma o broadcast
em unicast para que o outro nó obtenha as atualizações de roteamento.

Na configuração de exemplo, R1 usa o comando frame-relay map para mapear o VC


para R2.

Clique no botão Parâmetros na figura.

A figura mostra como usar as palavras-chave ao configurar mapas de endereço estático.

Clique no botão Verificar na figura.


Para verificar o mapeamento Frame Relay, use o comando show frame-relay map.
Exibir meio visual

Página 2:
Nesta atividade, você configurará dois mapas estáticos Frame Relay em cada roteador
para alcançar mais dois roteadores. Embora o tipo LMI seja enviado automaticamente
nos roteadores, você atribuirá estaticamente o tipo com a configuração manual da LMI.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

3.3 Conceitos avançados do Frame Relay


3.3.1 Identificando e solucionando problemas de acessibilidade

Página 1:
Split Horizon

Por padrão, uma rede Frame Relay fornece conectividade NBMA entre sites remotos.
Nuvens NBMA geralmente usam uma topologia hub-and-spoke. Infelizmente, uma
operação básica de roteamento baseada no princípio de split horizon pode causar
problemas de acessibilidade em uma rede NBMA Frame Relay.

Lembre-se de que o split horizon é uma técnica usada para evitar loop de roteamento em
redes que usam protocolos de roteamento de vetor distância. As atualizações de split
horizon reduzem loops de roteamento evitando que uma atualização de roteamento
recebida em uma interface seja encaminhada pela mesma interface.

A figura mostra R2, um roteador spoke, enviando uma atualização de roteamento em


broadcast a R1, o roteador hub.

Roteadores que suportam várias conexões em uma única interface física têm muitos
PVCs que finalizam em uma única interface. R1 deve replicar pacotes de broadcast,
como broadcasts de atualização de roteamento, em cada PVC para os roteadores
remotos. Os pacotes de broadcast replicados podem consumir largura de banda e causar
latência significativa para o tráfego de usuário. A quantidade de tráfego de broadcast e o
número de VCs que finalizam em cada roteador deve ser avaliada durante a fase de
projeto de uma rede Frame Relay. O tráfego de sobrecarga, como atualizações de
roteamento, pode afetar a entrega de dados essenciais de usuário, principalmente
quando o caminho de entrega contém links de baixa largura de banda (56 kb/s).

Clique no botão Problema de Split Horizon na figura.

R1 tem vários PVCs em uma única interface física. Portanto, a regra de split horizon
impede que R1 faça o encaminhamento dessa atualização de roteamento pela mesma
interface física a outros roteadores spoke remotos (R3).

Desabilitar o split horizon pode parecer uma solução simples porque permite que as
atualizações de roteamento sejam encaminhadas pela mesma interface física da qual
vieram. No entanto, somente o IP permite desabilitar o split horizon; IPX e AppleTalk
não. Além disso, desabilitar o split horizon aumenta a chance de loops de roteamento
em qualquer rede. O split horizon pode ser desabilitado para interfaces físicas com um
único PVC.

A outra solução óbvia para solucionar o problema de split horizon é usar uma topologia
completamente em malha. No entanto, ela é cara, pois são necessários mais PVCs. A
melhor solução é usar subinterfaces. Isso será explicado no próximo tópico.
Exibir meio visual

Página 2:
Subinterfaces Frame Relay

O Frame Relay pode dividir uma interface física em várias interfaces virtuais chamadas
subinterfaces. Uma subinterface é simplesmente uma interface lógica associada
diretamente a uma interface física. Portanto, uma subinterface Frame Relay pode ser
configurada para cada um dos PVCs que entram em uma interface serial física.

Para habilitar o encaminhamento de atualizações de roteamento em broadcast em uma


rede Frame Relay, você pode configurar o roteador com subinterfaces logicamente
atribuídas. Uma rede parcialmente em malha pode ser dividida em várias redes menores,
completamente em malha, ponto-a-ponto. Cada sub-rede ponto-a-ponto pode receber
um endereço de rede exclusivo, que permite que pacotes recebidos em uma interface
física sejam enviados pela mesma interface, pois os pacotes são encaminhados em VCs
em subinterfaces diferentes.

As subinterfaces Frame Relay podem ser configuradas nos modos ponto-a-ponto ou


multiponto:

• Ponto-a-ponto - Uma única subinterface ponto-a-ponto estabelece uma conexão


de PVC com outra subinterface ou interface física em um roteador remoto.
Nesse caso, cada par de roteadores ponto-a-ponto está em sua própria sub-rede, e
cada subinterface ponto-a-ponto tem um único DLCI. Em um ambiente ponto-a-
ponto, cada subinterface está atuando como uma interface ponto-a-ponto.
Normalmente, há uma sub-rede separada para cada VC ponto-a-ponto. Portanto,
o tráfego de atualização de roteamento não está sujeito à regra de split horizon.
• Multiponto – Uma única subinterface multiponto estabelece várias conexões de
PVC com várias subinterfaces ou interfaces físicas em roteadores remotos.
Todas as interfaces participantes estão na mesma sub-rede. A subinterface atua
como uma interface Frame Relay NBMA. Portanto, o tráfego de atualização de
roteamento está sujeito à regra de split horizon. Normalmente, todos os VCs
multiponto pertencem à mesma sub-rede.

A figura ilustra dois tipos de subinterfaces suportadas por roteadores Cisco.

Em ambientes de roteamento de split horizon, as atualizações de roteamento recebidas


em uma subinterface podem ser enviadas por outra subinterface. Em uma configuração
de subinterface, cada VC pode ser configurado como uma conexão ponto-a-ponto. Isso
permite que cada subinterface atue de maneira semelhante a uma linha alugada. Usando
uma subinterface Frame Relay ponto-a-ponto, cada par de roteadores ponto-a-ponto está
em sua própria sub-rede.

O comando encapsulation frame-relay é atribuído à interface física. Todos os outros


itens de configuração, como o endereço da camada de rede e os DLCIs, são atribuídos à
subinterface.

Você pode usar configurações multiponto para preservar endereços. Isso poderá ser
especialmente útil se o Mascaramento de sub-rede de tamanho variável (VLSM,
Variable Length Subnet Masking) não estiver sendo usada. No entanto, configurações
multiponto podem não funcionar corretamente segundo o tráfego de broadcast e as
considerações de split horizon. A opção de subinterface ponto-a-ponto foi criada para
evitar esses problemas.

Passe o mouse sobre a subinterface ponto-a-ponto e a subinterface multiponto na


figura para obter descrições resumidas.

A configuração de subinterfaces será explicada e praticada na próxima seção.


Exibir meio visual

3.3.2 Pagando pelo Frame Relay

Página 1:
Terminologia essencial

As operadoras criam redes Frame Relay usando switches muito grandes e muito
avançados, mas como cliente, seus dispositivos só visualizam a interface do switch do
provedor de serviços. Geralmente, os clientes não são expostos aos mecanismos
internos da rede, que pode ser criada em tecnologias de alta velocidade, como T1, T3,
SONET ou ATM.

Então, do ponto de vista de um cliente, o Frame Relay é uma interface e um ou mais


PVCs. Os clientes simplesmente contratam serviços Frame Relay de uma operadora. No
entanto, antes de decidir como pagar pelos serviços Frame Relay, há alguns termos e
conceitos essenciais a serem aprendidos, conforme ilustrado na figura:

• Taxa de acesso ou velocidade da porta - Do ponto de vista de um cliente, a


operadora fornece uma conexão serial ou um link de acesso à rede Frame Relay
em uma linha alugada. A velocidade da linha é a velocidade de acesso ou a
velocidade da porta. A taxa de acesso é a taxa na qual seus circuitos de acesso se
unem à rede Frame Relay. Geralmente, elas são de 56 kb/s, T1 (1.536 Mb/s) ou
T1 Fracionário (um múltiplo de 56 kb/s ou de 64 kb/s). As velocidades de porta
são sincronizadas no switch Frame Relay. Não é possível enviar dados a uma
velocidade mais alta do que a velocidade da porta.
• Taxa de informações garantida (CIR) - Os clientes negociam CIRs com as
operadoras para cada PVC. A CIR é a quantidade de dados que a rede recebe do
circuito de acesso. A operadora garante que o cliente pode enviar dados na CIR.
Todos os quadros recebidos em ou abaixo da CIR são aceitos.

Uma grande vantagem do Frame Relay é que a capacidade de rede que não estiver
sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmente
sem nenhum custo adicional. Isso permite que os clientes "estourem" suas CIRs como
um bônus. O burst é explicado no próximo tópico.

Clique no botão Exemplo na figura.

Neste exemplo, além de todos os custos de CPE, o cliente paga por três componentes de
custo de Frame Relay:

• Velocidade de acesso ou da porta: o custo da linha de acesso do DTE para o


DCE (cliente para operadora). Essa linha é carregada com base na velocidade de
porta que foi negociada e instalada.
• PVC: esse componente de custo é baseado nos PVCs. Quando um PVC é
estabelecido, o custo adicional para aumentar a CIR é tipicamente pequeno e
pode ser feito em incrementos pequenos (4 kb/s).
• CIR: geralmente os clientes escolhem uma CIR inferior à velocidade da porta ou
à taxa de acesso. Isso permite tirar proveito dos bursts.

No exemplo, o cliente está pagando pelo seguinte:

• Uma linha de acesso com uma taxa de 64 kb/s que conecta seu DCE ao DCE da
operadora pela porta serial S0/0/0.
• Duas portas virtuais, uma a 32 kb/s e a outra a 16 kb/s.
• Uma CIR de 48 kb/s por toda a rede Frame Relay. Geralmente, essa carga é fixa
e não é conectada à distância.

Oversubscription

Algumas vezes, as operadoras vendem mais capacidade do que realmente têm, supondo
que nem todos os clientes exigirão suas capacidades conferidas o tempo todo. Essa
oversubscription é análoga a linhas aéreas que vendem mais assentos do que realmente
têm na expectativa de que alguns dos clientes que possuem reserva não viajarão. Por
causa da oversubscription, haverá casos em que a soma de CIRs de vários PVCs para
um determinado local será mais alta do que a taxa da porta ou do canal de acesso. Isso
pode causar problemas de tráfego, como congestionamentos e tráfego descartado.
Exibir meio visual

Página 2:
Burst

Uma grande vantagem do Frame Relay é que a capacidade de rede que não estiver
sendo usada será disponibilizada ou compartilhada com todos os clientes, geralmente
sem nenhum custo adicional.

Usando o exemplo anterior, a figura mostra uma taxa de acesso na porta serial S0/0/0 do
roteador R1 a 64 kb/s. Essa taxa é mais alta do que as CIRs combinadas dos dois PVCs.
Em circunstâncias normais, o dois PVCs não devem transmitir mais de 32 kb/s e 16
kb/s, respectivamente. Desde que a quantidade de dados que o dois PVCs estão
enviando não exceda sua CIR, os dados devem atravessar a rede.

Como os circuitos físicos da rede Frame Relay são compartilhados entre os assinantes,
frequentemente haverá largura de banda disponível em excesso. O Frame Relay pode
permitir que os clientes acessem dinamicamente essa largura de banda adicional e
"estourar" suas CIRs gratuitamente.

O burst permite que os dispositivos que precisam temporariamente de largura de banda


adicional a empreste sem nenhum custo adicional de outros dispositivos que não a estão
utilizando. Por exemplo, se o PVC 102 estiver transferindo um arquivo grande, ele
poderá usar o 16 kb/s que não está sendo usado pelo PVC 103. Mesmo que um
dispositivo estoure até o limite da taxa de acesso, os dados poderão atravessar a rede. A
duração de uma transmissão de burst deve ser curta: menos de três ou quatro segundos.

Vários termos são usados para descrever taxas de burst, inclusive a Taxa de informações
de burst comprometida (CBIR) e o tamanho do excesso de burst (BE).
A CBIR é uma taxa negociada acima da CIR, que o cliente pode usar para transmissão
para burst rápido. Ela permite que o tráfego estoure para velocidades mais altas,
conforme a largura de banda de rede disponível permite. No entanto, ele não pode
exceder a velocidade da porta do link. Mesmo que um dispositivo estoure até o limite da
CBIR, os dados poderão atravessar a rede. A duração de uma transmissão de burst deve
ser curta: menos de três ou quatro segundos. Se os bursts longos persistirem, uma CIR
mais alta deverá ser adquirida.

Por exemplo, o DLCI 102 tem uma CIR de 32 kb/s com uma CBIR adicional de 16 kb/s
para um total de até 48 kb/s. Os quadros enviados nesse nível são marcados como
Discard Eligible (DE) em seus cabeçalhos, indicando que eles podem ser descartados se
houver congestionamento ou se não houver capacidade suficiente na rede. Os quadros
da CIR negociada não são qualificados para descarte (DE = 0). Os quadros acima da
CIR têm o bit DE definido como 1, marcando-os como qualificados para serem
descartados, caso a rede fique congestionada.

BE é o termo usado para descrever a largura de banda disponível acima da CBIR até a
taxa de acesso do link. Ao contrário da CBIR, ele não é negociado. Os quadros podem
ser transmitidos nesse nível, mas provavelmente serão descartados.

Clique no botão Burst na figura.

A figura ilustra a relação entre os vários termos de burst.


Exibir meio visual

3.3.3 Controle de fluxo do Frame Relay

Página 1:
O Frame Relay reduz a sobrecarga na rede implementando mecanismos simples de
notificação de congestionamento em vez de controle de fluxo explícito por VC. Esses
mecanismos de notificação de congestionamento são a Notificação explícita de
congestionamento à frente (FECN) e a Notificação de congestionamento explícito
reverso (BECN).

Para ajudar a entender os mecanismos, o gráfico que mostra a estrutura do quadro


Frame Relay é apresentado para revisão. FECN e BECN são controladas por um único
bit contido no cabeçalho do quadro. Elas permitem que o roteador saiba que há
congestionamento e que o roteador deve parar a transmissão até que a condição seja
invertida. BECN é uma notificação direta. FECN é uma notificação indireta.

O cabeçalho do quadro também contém um bit DE, que identifica o tráfego menos
importante que pode ser descartado durante períodos de congestionamento. Os
dispositivos DTE podem definir o valor do bit DE como 1 para indicar que o quadro
tem importância inferior à de outros quadros. Quando a rede fica congestionada, os
dispositivos DCE descartam os quadros com bit DE definido como 1 antes de descartar
os demais quadros. Isso reduz a probabilidade de descarte de dados essenciais durante
períodos de congestionamento.

Em períodos de congestionamento, o switch Frame Relay do provedor aplica as


seguintes regras lógicas a cada quadro recebido, dependendo da CIR ter sido excedida
ou não:

• Se o quadro recebido não exceder a CIR, ele será transmitido.


• Se um quadro recebido exceder a CIR, ele será marcado como DE.
• Se um quadro recebido exceder a CIR, além do BE, ele será descartado.

Clique no botão Fila na figura e em Reproduzir na animação.

Os quadros que chegam a um switch são enfileirados ou armazenados em buffer antes


de serem encaminhados. Como em qualquer sistema de fila, é possível que haja uma
formação excessiva de quadros em um switch. Isso causa atrasos. Os atrasos levam a
novas transmissões desnecessárias que ocorrem quando protocolos de níveis mais altos
não recebem nenhuma confirmação dentro de um período definido. Em casos severos,
isso pode causar uma queda séria na produtividade da rede. Para evitar esse problema, o
Frame Relay incorpora um recurso de controle de fluxo.

A figura mostra um switch com um enfileiramento. Para reduzir o fluxo de quadros para
a fila, o switch notifica os DTEs sobre o problema usando os bits de Notificação de
congestionamento explícito no campo de endereço do quadro.

• O bit FECN, indicado pelo "F" na figura, é definido em todos os quadros que o
switch upstream recebe no link congestionado.
• O bit BECN, indicado pelo "B" na figura, é definido em todos os quadros que o
switch posiciona no link congestionado para o switch downstream.

Os DTEs que recebem quadros com os bits ECN definidos devem tentar reduzir o fluxo
de quadros até que o congestionamento acabe.

Se o congestionamento ocorrer em um tronco interno, os DTEs poderão receber


notificação, embora não sejam a causa do congestionamento.
Exibir meio visual

Página 2:
Exibir meio visual

3.4 Configurando o Frame Relay avançado


3.4.1 Configurando as subinterfaces Frame Relay

Página 1:
Lembre-se de que usar as subinterfaces Frame Relay assegura que uma única interface
física seja tratada como várias interfaces virtuais para superar regras de split horizon. Os
pacotes recebidos em uma interface virtual podem ser encaminhados à outra, mesmo
que elas estejam configuradas na mesma interface física.

As subinterfaces resolvem as limitações das redes Frame Relay fornecendo um modo de


subdividir uma rede Frame Relay parcialmente em malha em várias sub-redes menores,
em malha completa (ou ponto-a-ponto). Cada sub-rede recebe seu próprio número de
rede e aparece para os protocolos como se fosse alcançável através de uma interface
separada. As subinterfaces ponto-a-ponto podem ser não numeradas para uso com IP,
reduzindo a sobrecarga de endereçamento que poderia ocorrer.

Para criar uma subinterface, use o comando interface serial. Especifique o número da
porta, seguido de um ponto (.) e o número da subinterface. Para facilitar a solução de
problemas, use o DLCI como o número da subinterface. Você também deve especificar
se a interface é ponto-a-ponto ou multiponto usando as palavras-chave multipoint ou
point-to-point, pois não há um padrão. Essas palavras-chave são definidas na figura.

O comando a seguir cria uma subinterface ponto-a-ponto para o PVC 103 em R3:
R1(config-if)#interface serial 0/0/0.103 point-to-point.

Clique no botão DLCI na figura.

Se a subinterface for configurada como ponto-a-ponto, o DLCI local da subinterface


também deverá ser configurado para diferenciá-la da interface física. O DLCI também é
necessário às subinterfaces multiponto para as quais o ARP inverso é habilitado. Ele não
é necessário para subinterfaces multiponto configuradas com mapas estáticos.

A operadora de Frame Relay atribui os números de DLCI. Esses números variam de 16


a 991, e normalmente sua importância é somente local. O intervalo varia, dependendo
da LMI usada.

O comando frame-relay interface-dlci configura o DLCI local na subinterface. Por


exemplo: R1(config-subif)#frame-relay interface-dlci 103.

Nota: infelizmente, a alteração de uma configuração de subinterface Frame Relay


existente pode não produzir o resultado esperado. Nessas situações, pode ser necessário
salvar a configuração e reiniciar o roteador.
Exibir meio visual
Página 2:
Exemplo de configuração de subinterfaces

Na figura, R1 tem duas subinterfaces ponto-a-ponto. A subinterface s0/0.0.102 é


conectada a R2 e a subinterface s0/0/0.103 é conectada a R3. Cada subinterface está em
uma sub-rede diferente.

Para configurar subinterfaces em uma interface física, são necessárias as seguintes


etapas:

Etapa 1. Remova todos os endereços de camada de rede atribuídos à interface física. Se


a interface física tiver um endereço, os quadros não serão recebidos pelas subinterfaces
locais.

Etapa 2. Configure o encapsulamento Frame Relay na interface física usando o


comando encapsulation frame-relay.

Etapa 3. Para cada um dos PVCs definidos, crie uma subinterface lógica. Especifique o
número da porta, seguido de um ponto (.) e o número da subinterface. Para facilitar a
solução de problemas, é recomendável que o número da subinterface corresponda ao
número do DLCI.

Etapa 4. Configure um endereço IP para a interface e defina a largura de banda.

Nesse momento, nós configuraremos o DLCI. Lembre-se de que a operadora de Frame


Relay atribui os números de DLCI.

Etapa 5. Configure o DLCI local na subinterface usando o comando frame-relay


interface-dlci.
Exibir meio visual

3.4.2 Verificando a operação do Frame Relay

Página 1:
O Frame Relay geralmente é um serviço muito confiável. No entanto, há momentos em
que o desempenho da rede é menor do que o esperado. Nesses casos, é necessário
solucionar os problemas. Por exemplo, os usuários podem relatar conexões lentas e
intermitentes pelo circuito. Os circuitos podem parar de funcionar. Independentemente
do motivo, quedas na rede são muito dispendiosas em termos de produtividade perdida.
Uma prática recomendada é verificar sua configuração antes que os problemas
apareçam.
Neste tópico, você visualizará um procedimento de verificação para garantir que tudo
esteja funcionando corretamente antes de você iniciar sua configuração em uma rede
ativa.

Verificar as interfaces Frame Relay

Depois de configurar um PVC Frame Relay e ao solucionar um problema, verifique se o


Frame Relay está funcionando corretamente nessa interface usando o comando show
interfaces.

Lembre-se de que, com o Frame Relay, o roteador geralmente é considerado um


dispositivo DTE. No entanto, um roteador Cisco pode ser configurado como um switch
Frame Relay. Em tais casos, o roteador torna-se um dispositivo DCE quando é
configurado como um switch Frame Relay.

O comando show interfaces mostra como o encapsulamento está configurado, além de


informações de status úteis da Camada 1 e da Camada 2, incluindo:

• Tipo de LMI
• DLCI LMI
• Tipo de DTE/DCE de Frame Relay

A primeira etapa é sempre confirmar se as interfaces estão configuradas corretamente.


A figura mostra um exemplo de saída do comando show interfaces. Entre outras coisas,
você pode visualizar detalhes sobre o encapsulamento, o DLCI na interface serial Frame
Relay e o DLCI usado para a LMI. Você deve confirmar se esses valores são os
esperados. Caso contrário, poderá ser necessário fazer alterações.

Clique no botão LMI na figura para verificar o seu desempenho.

A próxima etapa é analisar algumas estatísticas de LMI usando o comando show


frame-relay lmi. Na saída do comando, procure todos os itens "Invalid" diferentes de
zero. Isso ajuda a isolar o problema como um problema de comunicação Frame Relay
entre o switch da operadora e o seu roteador.

A figura exibe um exemplo de saída do comando que mostra o número de mensagens de


status trocadas entre o roteador local e o switch Frame Relay local.

Agora analise as estatísticas da interface.

Clique no botão Status de PVC na figura para verificar.


Use o comando show frame-relay pvc [interface interface] [dlci] para exibir as
estatísticas de PVC e de tráfego. Esse comando também é útil para exibir o número de
pacotes BECN e FECN recebidos pelo roteador. O status do PVC pode ser ativo, inativo
ou deletado.

O comando show frame-relay pvc exibe o status de todos os PVCs configurados no


roteador. Você também pode especificar um PVC em particular. Clique em Status do
PVC na figura para ver um exemplo da saída do comando show frame-relay pvc 102.

Depois que tiver coletado todas as estatísticas, use o comando clear counters para
reiniciar os contadores de estatísticas. Aguarde de 5 a 10 minutos depois de limpar os
contadores para emitir o comando show novamente. Observe todos os erros adicionais.
Se você precisar entrar em contato com a operadora, essas estatísticas o ajudarão a
solucionar os problemas.

A tarefa final é confirmar se o comando frame-relay inverse-arp determinou um


endereço IP remoto a um DLCI local. Use o comando show frame-relay map para
exibir as entradas de mapa atuais e as informações sobre as conexões.

Clique no botão ARP inverso na figura.

A saída do comando mostra as seguintes informações:

• 10.140.1.1 é o endereço IP do roteador remoto, dinamicamente aprendido pelo


processo de ARP inverso.
• 100 é o valor decimal do DLCI local.
• 0 x 64 é a conversão hexadecimal do número de DLCI, 0 x 64 = 100 decimal.
• 0 x 1840 é o valor como apareceria no cabo devido à maneira como os bits de
DLCI são difundidos no campo de endereço do quadro Frame Relay.
• Broadcast/multicast estão habilitados no PVC.
• O status do PVC é ativo.

Para limpar mapas Frame Relay dinamicamente criados usando o ARP inverso, use o
comando clear frame-relay-inarp. Clique no botão Limpar mapas para visualizar
um exemplo dessa etapa.
Exibir meio visual

3.4.3 Identificação e solução de problemas de configuração do Frame Relay

Página 1:
Se o procedimento de verificação indicar que a sua configuração Frame Relay não está
funcionando corretamente, você precisará solucionar esses problemas.

Use o comando debug frame-relay lmi para determinar se o roteador e o switch Frame
Relay estão enviando e recebendo pacotes LMI corretamente.

Veja a figura e examine a saída do comando de uma troca LMI.

• "out" é uma mensagem de status LMI enviada pelo roteador.


• "in" é uma mensagem recebida do switch Frame Relay.
• Uma mensagem completa de status LMI é "tipo 0" (não mostrada na figura).
• Uma troca LMI é um "tipo 1".
• "dlci 100, status 0x2" significa que o status do DLCI 100 é ativo (não mostrado
na figura).

Quando é feita uma solicitação ARP inverso, o roteador atualiza sua tabela de mapas
com três possíveis estados de conexão LMI. Esses estados são: estado ativo, estado
inativo e estado deletado

• Estados ATIVOS indicam um circuito fim-a-fim (DTE para DTE) bem-


sucedido.
• O estado INATIVO indica uma conexão bem-sucedida com o switch (DTE para
DCE) sem um DTE detectado na outra extremidade do PVC. Isso pode ocorrer
devido a uma configuração residual ou incorreta no switch.
• O estado DELETADO indica que o DTE está configurado para um DLCI que o
switch não reconhece como válido para essa interface.

Os possíveis valores do campo de status são:

• 0 x 0 - O switch tem o DLCI programado. Porém, por alguma razão, ele não é
utilizável. Pode ser que a outra extremidade do PVC esteja inativa.
• 0 x 2 - O switch Frame Relay tem o DLCI e tudo funciona.
• 0 x 4 - O switch Frame Relay não tem o DLCI programado para o roteador, mas
ele foi programado em algum momento no passado. Outros motivos podem ser:
os DLCIs foram invertidos no roteador, ou o PVC foi excluído pela operadora
na nuvem Frame Relay.
Exibir meio visual

Página 2:
Exibir meio visual
3.5 Laboratórios do capítulo
3.5.1 Frame Relay básico

Página 1:
Neste laboratório, você irá aprender a configurar o encapsulamento Frame Relay em
links seriais usando a rede mostrada no diagrama de topologia. Você também aprenderá
a configurar um roteador como um switch frame relay. Há padrões Cisco e padrões
abertos que se aplicam ao Frame Relay. Você aprenderá ambos. Preste atenção especial
na seção de laboratório em que você divide intencionalmente as configurações de Frame
Relay. Isso o ajudará no laboratório de solução de problemas associado a este capítulo.
Exibir meio visual

3.5.2 Configuração avançada de Frame Relay

Página 1:
Neste laboratório, você irá configurar o Frame Relay usando a rede mostrada no
diagrama de topologia. Se você precisar de assistência, consulte o laboratório de Frame
Relay básico. No entanto, tente fazer o máximo possível.
Exibir meio visual

3.5.3 Identificação e solução de problemas de Frame Relay

Página 1:
Neste laboratório, você irá praticar a solução de problemas em um ambiente de Frame
Relay configurado incorretamente. Carregue ou peça ao instrutor para carregar as
configurações abaixo em seus roteadores. Localize e repare todos os erros nas
configurações e estabeleça a conectividade fim-a-fim. Sua configuração final deve
corresponder ao diagrama de topologia e à tabela de endereçamento.
Exibir meio visual

3.6 Resumo
3.6.1 Resumo do capítulo

Página 1:
O Frame Relay fornece mais largura de banda, confiabilidade e flexibilidade do que as
linhas alugadas ou particulares. O Frame Relay reduziu os custos de rede usando menos
equipamento, menos complexidade e fornecendo uma implementação mais fácil. Por
esses motivos, o Frame Relay se tornou a tecnologia WAN mais usada no mundo.

Uma conexão Frame Relay entre um dispositivo DTE na extremidade da rede local e
um dispositivo DCE na extremidade da operadora possui um componente de camada de
enlace e um componente de camada física. O Frame Relay recebe pacotes de dados e os
encapsula em um quadro Frame Relay. Em seguida, ele transmite o quadro à camada
física para ser enviado pelo cabo. A conexão pela rede da operadora é um VC
identificado por um DLCI. Vários VCs podem ser multiplexados com um FRAD. As
redes Frame Relay geralmente usam uma topologia de malha parcial otimizada para os
requisitos de fluxo de dados da base de clientes da operadora.

O Frame Relay usa o ARP inverso para mapear DCLIs para os endereços IP de locais
remotos. O mapeamento de endereço dinâmico depende do ARP inverso para
determinar um endereço de protocolo de rede de próximo salto para um valor de DLCI
local. O roteador de Frame Relay envia solicitações ARP inverso em seu PVC para
descobrir o endereço de protocolo do dispositivo remoto conectado à rede Frame Relay.
Os roteadores DTE do Frame Relay usam a LMI para fornecer informações de status
sobre sua conexão com o switch DCE. As extensões de LMI fornecem informações de
rede adicionais.

As duas primeiras tarefas da configuração do Frame Relay em um roteador Cisco são:


habilitar o encapsulamento de Frame Relay na interface e, em seguida, configurar o
mapeamento estático ou dinâmico. Depois disso, há várias tarefas opcionais que podem
ser concluídas conforme for necessário, incluindo configuração da LMI, dos VCs,
modelagem de tráfego e personalização do Frame Relay na sua rede. Monitorar a
manutenção das conexões Frame Relay é a tarefa final.

A configuração do Frame Relay deve considerar o problema de split horizon que ocorre
quando vários VCs convergem em uma única interface física. O Frame Relay pode
dividir uma interface física em várias interfaces virtuais chamadas subinterfaces. A
configuração da subinterface também foi explicada e praticada.

A configuração do Frame Relay é afetada pela maneira como as operadoras cobram


pelas conexões usando unidades de taxas de acesso e taxas de informações garantidas
(CIR). Uma vantagem desses esquemas de cobrança é que a capacidade de rede que não
estiver sendo usada será disponibilizada ou compartilhada com todos os clientes,
geralmente sem nenhum custo adicional. Isso permite que os usuários estourem o
tráfego por períodos curtos.

A configuração do controle de fluxo em uma rede Frame Relay também é afetada pelos
esquemas de cobrança das operadoras. Você pode configurar as filas e modelar o
tráfego de acordo com a CIR. Os DTEs podem ser configurados para controlar o
congestionamento na rede adicionando bits BECN e FECN aos endereços de quadro. Os
DTEs também podem ser configurados para definir um bit qualificado para descarte,
que indica que o quadro pode ser descartado antes de outros quadros, se houver
congestionamento. Os quadros enviados que excederem a CIR são marcados como
"qualificado para descarte" (DE), o que significa que eles poderão ser descartados se
houver congestionamento na rede Frame Relay.

Finalmente, depois de configurar o Frame Relay, você aprendeu a verificar e solucionar


os problemas das conexões.
Exibir meio visual
Página 2:
Exibir meio visual

Página 3:
Esta atividade permite praticar uma variedade de habilidades, incluindo a configuração
do Frame Relay, o PPP com o CHAP, o roteamento padrão e estático, o VTP e a
VLAN. Como há aproximadamente 150 componentes classificados nesta atividade,
talvez você não veja o aumento no percentual de conclusão sempre que configura um
comando classificado. Você pode clicar em Verificar resultados e em Itens de
avaliação para verificar se inseriu corretamente um comando classificado. São
fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

3.7 Teste do capítulo


3.7.1 Teste do capítulo

Página 1:
Exibir meio visual

4 Segurança de rede
4.0 Introdução do capítulo
4.0.1 Introdução do capítulo

Página 1:
A segurança foi colocada à frente do gerenciamento de rede e da implementação. O
desafio geral da segurança é encontrar um equilíbrio entre dois requisitos importantes: a
necessidade de abrir redes para dar suporte a cada vez mais oportunidades de negócios e
a necessidade de proteger informações privadas, pessoais e comerciais estratégicas.

A aplicação de uma política de segurança efetiva é o passo mais importante que uma
organização pode dar para proteger sua rede. Ela fornece diretrizes sobre as atividades a
serem realizadas e os recursos utilizados para proteger a rede de uma organização.
A segurança da Camada 2 não é abordada neste capítulo. Para obter informações sobre
as medidas de segurança da Camada 2, consulte o curso CCNA Exploration: Comutação
de rede local e rede sem fio.
Exibir meio visual

4.1 Introdução à segurança de rede


4.1.1 Por que a segurança de rede é importante?

Página 1:
Por que a segurança de rede é importante?

As redes de computadores cresceram em tamanho e importância muito rapidamente. Se


a segurança da rede for comprometida, talvez haja consequências sérias, como a perda
de privacidade, o roubo de informações e até mesmo a responsabilização legal. Para
tornar a situação ainda mais desafiadora, os tipos de ameaças em potencial à segurança
de rede estão sempre evoluindo.

Na medida em que o comércio eletrônico e os aplicativos da Internet continuam


crescendo, encontrar o equilíbrio entre o isolamento e a abertura é essencial. Além
disso, o crescimento do comércio móvel e das redes sem fio exige que as soluções em
segurança sejam totalmente integradas, mais transparentes e flexíveis.

Neste capítulo, você fará um tour por todo o mundo da segurança de rede. Você obterá
informações sobre tipos diferentes de ameaças, sobre o desenvolvimento de políticas de
segurança organizacionais, as técnicas de atenuação e as ferramentas do software IOS
Cisco para ajudar na proteção de redes. O capítulo termina com uma análise do
gerenciamento de imagens do software IOS Cisco. Embora aparentemente esse não seja
um problema de segurança, as imagens e as configurações do software IOS Cisco
podem ser excluídas. Dispositivos comprometidos dessa forma oferecem riscos à
segurança.
Exibir meio visual

Página 2:
A crescente ameaça à segurança

Com o passar dos anos, as ferramentas e os métodos de ataque à rede evoluíram.


Conforme mostrado na figura, em 1985 um atacante precisava contar com computador,
programação e conhecimento de rede sofisticados para utilizar ferramentas rudimentares
e ataques básicos. Com o passar do tempo, os métodos e as ferramentas dos
atacantesatacantes melhoraram, e eles já não precisavam do mesmo nível sofisticado de
conhecimento. Isso reduziu efetivamente os requisitos iniciais para os atacantes. Pessoas
que antes não participariam de crimes digitais agora podem fazer isso.
Como os tipos de ameaças, ataques e explorações evoluíram, vários termos foram
criados para descrever os indivíduos envolvidos. Alguns dos termos mais comuns são os
seguintes:

• White hat– um indivíduo que procura vulnerabilidades em sistemas ou redes e,


em seguida, informa essas vulnerabilidade aos proprietários do sistema para que
que elas possam ser corrigidas. Eles são totalmente contrários à violação de
sistemas de computadores. Um white hat normalmente se concentra na proteção
de sistemas de TI, enquanto um black hat (o oposto) gostaria de invadi-los.
• Hacker – termo geral historicamente utilizado para descrever um especialista
em programação de computador. Mais recentemente, esse termo passou a ser
mais utilizado de modo negativo para descrever um indivíduo que tenta obter
acesso não autorizado a recursos de rede com má intenção.
• Black hat – outro termo para indivíduos que utilizam seu conhecimento de
sistemas de computadores para invadir sistemas ou redes para os quais não têm
autorização, normalmente tendo em vista ganhos pessoais ou financeiros.
Cracker é um exemplo de black hat.
• Cracker – termo mais preciso para descrever alguém que tenta obter acesso não
autorizado a recursos de rede com má intenção.
• Phreaker – indivíduo que manipula a rede telefônica para que ela execute uma
função não permitida. Uma meta comum do phreaking é invadir a rede
telefônica, normalmente por meio de um telefone público, fazer chamadas de
longa distância gratuitamente.
• Spammer – indivíduo que envia grandes quantidades de mensagens de email
não solicitadas. Os spammers normalmente utilizam vírus para assumir o
controle de computadores domésticos e os utilizam para enviar mensagens em
massa.
• Phisher – utiliza email ou outros meios para levar outras pessoas a fornecer
informações confidenciais, como números de cartão de crédito ou senhas. Um
phisher se mascara como uma parte confiável que teria uma necessidade
legítima pelas informações confidenciais.

Pense como um atacante

A meta do atacanteatacante é comprometer uma rede-alvo ou um aplicativo em


execução em uma rede. Muitos atacantes utilizam esse processo em sete etapas para
obter informações e realizar um ataque.

Etapa 1. Executar a análise de presença (reconhecimento). A página Web de uma


empresa pode levar a informações, como os endereços IP de servidores. Com eles, um
atacante pode criar uma imagem do perfil de segurança ou do "mapa" da empresa.

Etapa 2. Enumerar informações. Um atacante pode expandir o mapa, monitorando o


tráfego da rede com um sniffer de pacotes, como o Wireshark, que acaba localizando
informações como os números de versão dos servidores FTP e dos servidores de email.
Uma referência cruzada com bancos de dados de vulnerabilidades expõe os aplicativos
da empresa a explorações em potencial.

Etapa 3. Manipular usuários para obter acesso. Às vezes, os funcionários escolhem


senhas que são facilmente descobertas. Em outros casos, os funcionários podem ser
induzidos por atacantes talentosos a fornecer informações confidenciais relacionadas ao
acesso.

Etapa 4. Escalonar privilégios. Depois de obter acesso básico, os atacantes utilizam


suas habilidades para aumentar seus privilégios de rede.

Etapa 5. Obter senhas e segredos adicionais. Com maiores privilégios de acesso, os


atacantes utilizam seus talentos para obter acesso a informações confidenciais, mais
bem guardadas.

Etapa 6. Instalar backdoors. Os backdoors proporcionam ao atacante uma forma de


entrar no sistema sem ser detectado. O backdoor mais comum é uma porta de escuta
TCP ou UDP aberta.

Etapa 7. Otimizar o sistema comprometido. Depois que um sistema é comprometido,


um atacante o utiliza para preparar ataques a outros hosts na rede.
Exibir meio visual

Página 3:
Tipos de crimes digitais

Como as medidas de segurança melhoraram com o passar dos anos, a frequência de


alguns dos tipos mais comuns de ataques diminuiu, embora novos tenham surgido. A
concepção de soluções em segurança de rede começa com uma avaliação do escopo
completo do crime digital. Estas são as ações mais comuns de crimes digitais relatados
que têm implicações na segurança de rede:

• Violação interna ao acesso da rede


• Vírus
• Roubo de dispositivo móvel
• Phishing no qual uma organização é representada de maneira fraudulenta como
o remetente
• Uso indevido de mensagens instantâneas
• Negação de serviço
• Acesso não autorizado a informações
• Bots dentro da organização
• Roubo de dados do cliente ou do funcionário
• Violação da rede sem fio
• Invasão ao sistema
• Fraude financeira
• Detecção de senha
• Key logging
• Desfiguração de site
• Uso indevido de um aplicativo público da Web
• Roubo de informações proprietárias
• Exploração do servidor DNS de uma organização
• Fraude em telecomunicação
• Sabotagem

Nota: em determinados países, algumas dessas atividades talvez não sejam crime, mas,
ainda assim, constituem um problema.
Exibir meio visual

Página 4:
Redes abertas x fechadas

O desafio geral da segurança para administradores de rede é equilibrar duas


necessidades importantes: manter redes abertas para dar suporte a cada vez mais
requisitos de negócios e proteger informações privadas, pessoais e comerciais
estratégicas.

Os modelos de segurança de rede seguem uma escala progressiva da permissão a


qualquer serviço, a menos que ele seja expressamente negado, até a negação, por
padrão, de serviços, a menos que eles sejam considerados necessários. No caso da rede
aberta, os riscos à segurança são evidentes. No caso da rede fechada, as regras para o
que é permitido são definidas na forma de uma política por um indivíduo ou grupo na
organização.

Uma alteração feita na política de acesso pode ser tão simples quanto pedir a um
administrador de rede que habilite um serviço. Dependendo da empresa, para que o
administrador tenha permissão para habilitar o serviço, uma alteração pode exigir uma
emenda à política de segurança corporativa. Por exemplo, uma política de segurança
pode desaprovar o uso dos serviços de mensagens instantâneas (IM), mas a demanda
por parte dos funcionários pode levar a empresa a alterar a política.

Uma alternativa extrema para o gerenciamento da segurança é fechar totalmente uma


rede ao mundo externo. Uma rede fechada só fornece conectividade a partes e sites
reconhecidamente confiáveis. Uma rede fechada não permite uma conexão a redes
públicas. Como não há nenhuma conectividade externa, as redes projetadas dessa forma
são consideradas protegidas de ataques externos. No entanto, ainda existem ameaças
internas. Uma rede fechada faz pouco para impedir ataques de dentro da empresa.
Exibir meio visual

Página 5:
Desenvolvendo uma política de segurança

O primeiro passo que qualquer organização deve dar para proteger seus dados e ela
própria de uma responsabilização é desenvolver uma política de segurança. Política é
um conjunto de princípios que orientam processos de tomada de decisões e permitem
aos líderes de uma organização delegar autoridade com confiança. A RFC2196 afirma
que "política de segurança é uma declaração formal das regras que as pessoas que
recebem acesso à tecnologia e aos ativos de informações de uma organização devem
seguir". Uma política de segurança pode ser tão simples quanto uma política de uso
aceitável resumida para recursos de rede, ou pode ter várias centenas de páginas e
detalhar todos os elementos de conectividade e as políticas associadas.

Uma política de segurança atinge estas metas:

• Informa usuários, equipe e gerentes de seus requisitos obrigatórios para proteger


a tecnologia e os ativos de informações
• Especifica os mecanismos por meio dos quais esses requisitos podem ser
atendidos
• Fornece uma linha de base para adquirir, configurar e auditar sistemas de
computadores e redes em conformidade com a política

A organização de uma política de segurança poderá ser um desafio, se realizada sem


orientação. Por isso, a Organização Internacional para Padronização (ISO) e a Comissão
de eletrotécnica internacional (IEC) publicaram um documento padrão sobre a
segurança chamado ISO/IEC 27002. Esse documento se refere especificamente à
tecnologia da informação e descreve um código de conduta para o gerenciamento de
segurança das informações.

O ISO/IEC 27002 deve ser uma base comum e uma diretriz prática para o
desenvolvimento de padrões de segurança organizacionais e de práticas efetivas para o
gerenciamento da segurança. O documento consiste em 12 seções:

• Avaliação de risco
• Política de segurança
• Organização da segurança das informações
• Gerenciamento de ativos
• Segurança de recursos humanos
• Segurança física e ambiental
• Gerenciamento da comunicação e das operações
• Controle de acesso
• Aquisição, desenvolvimento e manutenção dos sistemas de informações
• Gerenciamento de incidentes de segurança das informações
• Gerenciamento da continuidade dos negócios
• Conformidade

Este capítulo aborda a seção da política de segurança. Para obter mais informações
sobre todas as seções, visite http://en.wikipedia.org/wiki/ISO/IEC_27002. O
desenvolvimento do documento da política de segurança de rede é abordado nos tópicos
4.1.5 "O ciclo de segurança de rede" e 4.1.6 "A política de segurança da empresa".
Exibir meio visual

4.1.2 Ameaças comuns à segurança

Página 1:
Vulnerabilidades

Durante a abordagem da segurança de rede, três fatores comuns são vulnerabilidade,


ameaça e ataque.

Vulnerabilidade é o nível de fragilidade inerente a todas as redes e dispositivos. Isso


inclui roteadores, switches, desktops, servidores e até mesmo dispositivos de segurança.

Ameaças são as pessoas interessadas e qualificadas para usufruir de todas as fraquezas


relacionadas à segurança. Esses indivíduos devem continuar procurando novas proezas
e vulnerabilidades.

As ameaças utilizam várias ferramentas, scripts e programas para iniciar ataques contra
redes e dispositivos de rede. Normalmente, os dispositivos de rede sob ataque são as
extremidades, como servidores e desktops.

Há três vulnerabilidades principais:

• Vulnerabilidades tecnológicas
• Falhas na configuração
• Falhas na política de segurança

Clique no botão Tecnologia na figura.


O computador e as tecnologias de rede têm vulnerabilidades intrínsecas na segurança.
Entre elas estão o protocolo TCP/IP, o sistema operacional e as vulnerabilidades no
equipamento de rede.

Clique no botão Configuração na figura.

Os administradores ou os engenheiros de rede precisam saber quais são as falhas na


configuração e configurar corretamente os dispositivos de computação e de rede para
compensá-las.

Clique no botão Política na figura.

Haverá riscos à segurança de rede se os usuários não seguirem a política de segurança.


Algumas falhas comuns na política de segurança e como essas falhas são exploradas
estão listadas na figura.
Exibir meio visual

Página 2:
Ameaças à infraestrutura física

Ao pensar em segurança de rede, ou mesmo em segurança de computador, você talvez


imagine atacantes explorando vulnerabilidades do software. Uma classe de ameaça
menos conhecida, mas não menos importante, é a segurança física dos dispositivos. Um
atacante poderá negar o uso dos recursos de rede se esses recursos puderem ser
comprometidos fisicamente.

As quatro classes de ameaças físicas são:

• Ameaças ao hardware – dano físico em servidores, roteadores, switches,


instalação de cabeamento e estações de trabalho
• Ameaças ao ambiente – temperaturas extremas (muito quente ou muito frio) ou
umidade extrema (muito molhado ou muito seco)
• Ameaças elétricas – picos de tensão, tensão de alimentação insuficiente (quedas
de energia), energia não condicionada (ruído) e perda de energia total
• Ameaças à manutenção – mau processamento dos principais componentes
elétricos (descarga eletrostática), falta de peças críticas
sobressalentes,cabeamento ruim e sem rotulação

Alguns desses problemas devem ser resolvidos com uma política organizacional.
Alguns deles estão sujeitos a uma boa liderança e ao bom gerenciamento na
organização. As consequências da falta de sorte poderão se dar em uma rede, se a
segurança física não estiver suficientemente preparada.

Aqui estão algumas formas de atenuar ameaças físicas:

• Atenuação da ameaça ao hardware


• Atenuação da ameaça ao ambiente
• Atenuação da ameaça elétrica
• Atenuação da ameaça mecânica

Clique no botão Hardware na figura.

Atenuação da ameaça ao hardware

Tranque o wiring closet e só permita o acesso para o pessoal autorizado. Impeça o


acesso por qualquer placa móvel no teto, no chão, pela janela, pela tubulação ou ponto
de entrada que não seja o ponto de acesso protegido. Use o controle de acesso eletrônico
e registre todas as tentativas de entrada. Monitore as instalações com câmeras de
segurança.

Clique no botão Ambiental na figura.

Atenuação da ameaça ao ambiente

Crie um ambiente de operação apropriado por meio do controle de temperatura, de


umidade, do fluxo de ar, de alarmes remotos do ambiente, além da gravação e da
monitoração.

Clique no botão Elétrico na figura.

Atenuação da ameaça elétrica

Limite os problemas elétricos de alimentação, instalando sistemas de no-break e


geradores, seguindo um plano de manutenção preventiva, instalando fontes de
alimentação redundantes e utilizando alarmes remotos e monitoração.

Clique no botão Manutenção na figura.

Atenuação da ameaça de manutenção


Atenuação da ameaça de manutenção – use cabos limpos, rotule os cabos e os
componentes essenciais, use procedimentos para descarga eletrostática, guarde peças
sobressalentes essenciais e controle o acesso a portas de console.
Exibir meio visual

Página 3:
Ameaças a redes

No início deste capítulo, foram listados os crimes digitais mais comuns com
implicações na segurança de rede. Esses crimes podem ser agrupados em quatro classes
principais de ameaças a redes:

Ameaças não estruturadas

As ameaças não estruturadas consistem, em sua maioria, em indivíduos inexperientes


utilizando ferramentas facilmente disponíveis para hackers, como scripts de shell e
crackers de senha. Mesmo ameaças não estruturadas executadas apenas com a intenção
de testar as habilidades de um atacante podem causar sérios danos a uma rede. Por
exemplo, se o site de uma empresa for hackeado, a reputação dessa empresa poderá ser
abalada. Mesmo que o site seja separado das informações privadas que ficam protegidas
por um firewall, o público não tomará conhecimento disso. O que o público vê é que o
site talvez não seja um ambiente seguro para se fazer negócios.

Ameaças estruturadas

As ameaças estruturadas vêm de indivíduos ou grupos muito motivados e tecnicamente


competentes. Essas pessoas conhecem as vulnerabilidade do sistema e utilizam técnicas
sofisticadas de hackers para invadir negócios sem que haja suspeitas. Elas invadem os
computadores de empresas e governos para cometer fraudes, destruir ou alterar
registros, ou simplesmente bagunçar. Esses grupos normalmente estão envolvidos em
grandes fraudes e casos de roubos informados a agências de repressão ao crime. Sua
técnica é tão complexa e sofisticada que apenas investigadores especialmente treinados
compreendem o que está acontecendo.

Em 1995, Kevin Mitnick foi condenado por acessar computadores interestaduais nos
Estados Unidos para fins criminais. Ele invadiu o banco de dados do Departamento de
Trânsito da Califórnia, assumiu o controle dos hubs de comutação telefônicos de Nova
York e da Califórnia e roubou números de cartões de crédito. Ele inspirou o filme
"Jogos de Guerra" de 1983.

Ameaças externas
As ameaças externas podem decorrer de indivíduos ou organizações trabalhando fora de
uma empresa sem acesso autorizado aos sistemas de computadores ou à rede. Eles
fazem seu trabalho em uma rede principalmente pela Internet ou servidores de acesso
dial-up. As ameaças externas podem variar em termos de gravidade, dependendo da
experiência do atacante: amador (não estruturada) ou especialista (estruturada).

Ameaças internas

As ameaças internas ocorrem quando alguém tem acesso autorizado à rede com uma
conta ou acesso físico. Assim como acontece com ameaças externas, a gravidade de
uma ameaça interna depende da experiência do atacante.
Exibir meio visual

Página 4:
Engenharia social

A invasão mais fácil não envolve nenhuma habilidade com computador. Se um intruso
conseguir levar um membro de uma organização a fornecer informações importantes,
como o local de arquivos ou senhas, o processo de invasão será muito mais facilitado.
Esse tipo de ataque é chamado de engenharia social e atinge vulnerabilidades pessoais
que podem ser detectadas por atacantes talentosos. Ela pode incluir sensibilizações ao
ego de um funcionário ou pode ser uma pessoa disfarçada, ou com documento
falsificado, que leva uma pessoa a fornecer informações confidenciais.

O phishing é um tipo de ataque de engenharia social que envolve o uso do email ou de


outros tipos de mensagens em uma tentativa de levar outras pessoas a fornecer
informações confidenciais, como números de cartão de crédito ou senhas. O phisher se
mascara como uma parte confiável aparentemente com uma necessidade legítima
quanto às informações confidenciais.

Normalmente, as fraudes de phishing envolvem o envio de spams que aparentam ser de


instituições bancárias ou sites de leilões conhecidos. A figura mostra a réplica de um
email assim. A empresa real utilizada como isca neste exemplo foi alterada. Estes
emails contêm hiperlinks que aparentam ser legítimos, mas que, na verdade, levam os
usuários a um site falso configurado pelo phisher para capturar suas informações. O site
aparenta pertencer à parte falsificada no email. Quando o usuário insere as informações,
elas são registradas para uso do phisher.

Os ataques de phishing podem ser evitados instruindo-se usuários e implementando-se


diretrizes para relatórios quando eles receberem emails suspeitos. Os administradores
também podem bloquear o acesso a determinados sites e configurar filtros que
bloqueiem emails suspeitos.
Exibir meio visual
4.1.3 Tipos de ataques a redes

Página 1:
Tipos de ataques a redes

Há quatro classes principais de ataques.

Reconhecimento

Reconhecimento é a detecção não autorizada e o mapeamento de sistemas, serviços ou


vulnerabilidade. Ele também é conhecido como coleta de informações e, na maioria dos
casos, antecede outro tipo de ataque. O reconhecimento é semelhante a um ladrão que
investiga a vizinhança em busca de casas vulneráveis à invasão, como uma residência
desocupada, portas fáceis de abrir ou janelas abertas.

Acesso

Acesso ao sistema é a possibilidade de um intruso obter acesso a um dispositivo no qual


ele não tem uma conta ou uma senha. A entrada ou o acesso a sistemas normalmente
envolvem a execução de uma invasão, um script ou uma ferramenta que explore uma
vulnerabilidade conhecida do sistema ou do aplicativo que está sendo atacado.

Negação de serviços

A negação de serviço (DOS) acontece quando um atacante desabilita ou danifica redes,


sistemas ou serviços com a intenção de negar serviços a determinados usuários. Os
ataques DoS envolvem a falha do sistema ou a redução de sua velocidade até o ponto
em que fique inutilizável. Mas o DoS também pode ser tão simples quanto excluir ou
danificar informações. Na maioria dos casos, a execução do ataque envolve a simples
execução de uma invasão ou script. Por essas razões, os ataques DoS são os mais
temidos.

Worms, vírus e cavalos-de-Troia

Um software malicioso pode ser inserido em um host para danificar ou corromper um


sistema, se replicar, ou negar acesso a redes, sistemas ou serviços. Os nomes comuns
desse tipo de software são worms, vírus e cavalos-de-Troia.
Exibir meio visual

Página 2:
Ataques de reconhecimento
Os ataques de reconhecimento podem consistir em:

• Consultas de informações de Internet


• Varreduras de ping
• Verificações de porta
• Sniffers de pacote

Os atacantes externos podem utilizar ferramentas da Internet, como os utilitários


nslookup e whois, para determinar facilmente o espaço do endereço IP atribuído a uma
determinada corporação ou entidade. Depois que o espaço do endereço IP é
determinado, um atacante pode executar ping publicamente nos endereços IP
disponíveis para identificar os endereços ativos. Para ajudar a automatizar essa etapa,
um atacante pode utilizar uma ferramenta de varredura de ping, como fping ou gping,
que executa ping sistematicamente em todos os endereços de rede em um determinado
intervalo ou sub-rede. Isso é semelhante a consultar uma seção de uma agenda
telefônica e ligar para todos os números para saber quem atenderá.

Quando os endereços IP ativos são identificados, o intruso utiliza um scanner de porta


para determinar quais serviços de rede ou portas estão ativos nos endereços IP ativos.
Scanner de porta é um software, como Nmap ou Superscan, projetado para pesquisar
portas abertas em um host de rede. O scanner de porta consulta as portas para
determinar o tipo de aplicativo e a versão, bem como o tipo e a versão do sistema
operacional (OS) em execução no host de destino. Com base nessas informações, o
intruso pode determinar se existe uma vulnerabilidade que possa ser explorada.
Conforme mostrado na figura, uma ferramenta de exploração de rede, como Nmap,
pode ser utilizada para realizar a detecção de host, a verificação de porta e as detecções
de versão e do OS. Muitas dessas ferramentas estão disponíveis e são fáceis de utilizar.

Os atacantes internos podem tentar "interceptar" o tráfego da rede.

Detecção de rede e detecção de pacotes são termos comuns para interceptação. As


informações coletadas com a interceptação podem ser utilizadas para realizar outros
ataques à rede.

Dois usos comuns da interceptação são estes:

• Coleta de informações – os intrusos na rede conseguem identificar nomes de


usuário, senhas ou informações transportadas em um pacote.
• Roubo de informações – o roubo pode ocorrer à medida que os dados são
transmitidos pela rede interna ou externa. O intruso na rede também pode roubar
dados de computadores em rede, obtendo acesso não autorizado. Entre os
exemplos estão a invasão ou a interceptação em instituições financeiras e a
obtenção de números de cartão de crédito.
Um exemplo de dados suscetíveis à interceptação é o SNMP versão 1 das strings
comunitárias, enviadas em texto não criptografado. SNMP é um protocolo de
gerenciamento que fornece um meio para que dispositivos de rede coletem informações
sobre seu status e as enviem para um administrador. Um intruso pode interceptar
consultas SNMP e coletar dados importantes sobre a configuração do equipamento de
rede. Outro exemplo é a captura de nomes de usuário e senhas na medida em que eles
atravessam uma rede.

Um método comum para interceptar a comunicação é capturar o TCP/IP ou outros


pacotes de protocolo e decodificar o conteúdo utilizando um analisador de protocolo ou
utilitário semelhante. Um exemplo desse programa é o Wireshark, que você tem
utilizado muito ao longo de todos os cursos do Exploration. Depois de serem
capturados, os pacotes podem ser examinados em busca de informações vulneráveis.

Três dos métodos mais efetivos para contra-atacar a interceptação são os seguintes:

• Utilizar redes comutadas, e não hubs, para que o tráfego não seja encaminhado
para todas as extremidades ou hosts de rede.
• Utilizar uma criptografia que atenda às necessidades de segurança dos dados da
organização sem que haja a imposição de uma carga excessiva sobre os recursos
ou os usuários do sistema.
• Implementar e aplicar uma diretiva de política que proíba a utilização de
protocolos com suscetibilidades conhecidas à interceptação. Por exemplo, como
o SNMP versão 3 pode criptografar community strings, uma empresa pode
proibir a utilização do SNMP versão 1, mas permitir o SNMP versão 3.

A criptografia fornece proteção para dados suscetíveis a ataques de interceptação,


crackers de senha ou manipulação. Praticamente toda empresa tem transações que
poderiam ter consequências negativas se fossem exibidas por um interceptador. A
criptografia assegura que, quando dados confidenciais passarem por um meio suscetível
à interceptação, eles não poderão ser alterados ou observados. A descriptografia é
necessária quando os dados alcançam o host de destino.

Um método de criptografia é chamado de criptografia apenas de payload. Este método


criptografa a seção de payload (seção de dados) depois de um protocolo (UDP) ou
cabeçalho TCP. Isso permite a roteadores e switches com IOS Cisco ler as informações
da camada de rede e encaminhar o tráfego como qualquer outro pacote IP. A
criptografia apenas de payload permite à comutação de fluxo e a todos os recursos da
lista de acesso funcionar com o tráfego criptografado assim como funcionariam com o
tráfego de texto sem formatação, o que preserva qualidade de serviço (QoS) desejada
para todos os dados.
Exibir meio visual

Página 3:
Ataques de acesso
Os ataques de acesso exploram vulnerabilidades conhecidas em serviços de
autenticação, FTP e da Web para obter acesso a contas da Web, bancos de dados e
outras informações confidenciais.

Ataques de senha

Os ataques de senha podem ser implementados utilizando-se um sniffer de pacotes para


obter contas de usuário e senhas transmitidas como texto não criptografado. Os ataques
de senha normalmente se referem a tentativas repetidas de login em um recurso
compartilhado, como um servidor ou roteador, para identificar uma conta de usuário,
senha ou ambos. Essas tentativas repetidas são chamadas de ataques de dicionário ou
ataques de força bruta.

Para realizar um ataque de dicionário, os atacantes podem utilizar ferramentas como


L0phtCrack ou Cain. Esses programas tentam fazer o login repetidamente como um
usuário utilizando palavras derivadas de um dicionário. Os ataques de dicionário
normalmente são bem-sucedidos porque os usuários têm uma tendência de escolher
senhas simples, que tenham palavras curtas, únicas ou que sejam variações simples
fáceis de adivinhar, como adicionar o número 1 a uma palavra.

Outro método de ataque de senha utiliza tabelas de arco-íris. Tabela de arco-íris é uma
série de senhas pré-computadas criada compilando-se cadeias de possíveis senhas de
texto sem formatação. Cada cadeia é desenvolvida começando-se por um "chute"
escolhido aleatoriamente da senha de texto sem formatação e aplicando-se variações a
ela sucessivamente. O software de ataque aplicará as senhas na tabela de arco-íris até
determinar a senha. Para realizar um ataque de tabela de arco-íris, os atacantes podem
utilizar uma ferramenta como L0phtCrack.

Uma ferramenta de ataque de força bruta é mais sofisticada porque pesquisa


exaustivamente utilizando combinações de conjuntos de caracteres para computar todas
as possíveis palavras-chave formadas por esses caracteres. A desvantagem é que se
precisa de mais tempo para realizar esse tipo de ataque. As ferramentas de ataque de
força bruta se notabilizaram por determinar senhas simples em menos de um minuto.
Senhas maiores, mais complexas, podem demorar dias ou semanas para serem
determinadas.

Os ataques de senha podem ser atenuados, instruindo-se os usuários a utilizar senhas


complexas e especificando-se tamanhos mínimos de senha. Os ataques de força bruta
podem ser atenuados, restringindo-se o número de tentativas de login malsucedidas. No
entanto, um ataque de força bruta também pode ser realizado off-line. Por exemplo, se
detectasse uma senha criptografada, interceptando ou acessando um arquivo de
configuração, um atacante poderia tentar determinar a senha sem efetivamente estar
conectado ao host.

Exploração de confiança
A meta de um ataque de exploração de confiança é comprometer um host confiável,
utilizando-o para preparar ataques em outros hosts de uma rede. Se um host da rede de
uma empresa for protegido por um firewall (host interno), mas puder ser acessado por
um host confiável fora do firewall (host externo), o host interno poderá ser atacado por
meio do host externo confiável.

Os meios utilizados por atacantes para obter acesso ao host externo confiável, bem
como os detalhes da exploração de confiança, não são abordados neste capítulo. Para
obter informações sobre a exploração de confiança, consulte o curso Networking
Academy Network Security.

Os ataques baseados na exploração de confiança podem ser atenuados por meio de


restrições rígidas quanto aos níveis de confiança em uma rede, por exemplo, VLANs
privadas podem ser implantadas em segmentos de serviço público nos quais há vários
servidores públicos disponíveis. Sistemas fora de um firewall jamais devem ser
totalmente confiáveis por sistemas dentro de um firewall. Essa confiança deve ser
limitada a protocolos específicos, devendo ser autenticada por algo que não seja um
endereço IP, sempre que possível.

Redirecionamento de porta

Um ataque de redirecionamento de porta é um tipo de ataque de exploração de


confiança que utiliza um host comprometido para transmitir tráfego por meio de um
firewall que, do contrário, estaria bloqueado.

Considere um firewall com três interfaces e um host em cada uma delas. O host externo
pode alcançar o host no segmento de serviços públicos, mas não o host interno. Esse
segmento acessível publicamente é normalmente chamado de zona desmilitarizada. O
host no segmento de serviços públicos pode alcançar o host tanto externo quanto
interno. Se pudessem comprometer o host do segmento de serviços públicos, os
atacantes conseguiriam instalar um software para redirecionar o tráfego do host externo
diretamente para o host interno. Embora nenhuma comunicação viole as regras
implementadas no firewall, o host externo agora tem conectividade com o host interno
por meio do processo de redirecionamento de porta no host de serviços públicos. Um
exemplo de um utilitário que pode fornecer esse tipo de acesso é o netcat.

O redirecionamento de porta pode ser atenuado principalmente por meio do uso de


modelos confiáveis próprios, específicos da rede (conforme mencionado anteriormente).
Quando um sistema está sob ataque, um sistema de detecção de invasão baseado em
host pode ajudar a detectar um atacante e impedir a instalação desses utilitários em um
host.

Ataque de interceptação
Um ataque de interceptação (MITM) é realizado por atacantes que conseguem se
posicionar entre dois hosts legítimos. O atacante pode permitir a ocorrência das
transações normais entre os hosts e só manipular periodicamente a conversa entre os
dois.

Há muitas formas com as quais um atacante consegue ficar entre dois hosts. Os detalhes
desses métodos estão além do escopo deste curso, mas uma descrição resumida de um
método popular, o proxy transparente, ajuda a ilustrar a natureza dos ataques MITM.

Em um ataque de proxy transparente, um atacante pode capturar uma vítima com um


email de phishing ou desfigurando um site. Dessa forma, a URL de um site legítimo
recebe a URL adicional dos atacantes (antecedido). Por exemplo,
http:www.legitimate.com se torna http:www.attacker.com/http://www.legitimate.com.

1. Quando uma vítima solicita uma página Web, o host da vítima faz a solicitação ao
host do atacante.

2. O host do atacante recebe a solicitação e busca a página real no site legítimo.

3. O atacante pode alterar a página Web legítima e desfigurar qualquer dado desejado.

4. O atacante encaminha a página solicitada à vítima.

Outras classificações de ataques MITM são potencialmente ainda mais perigosas. Se


conseguirem ficar em uma posição estratégica, os atacantes poderão roubar
informações, sequestrar uma sessão em andamento para obter acesso a recursos de rede
privada, realizar ataques DoS, danificar dados transmitidos ou introduzir novas
informações em sessões de rede.

A atenuação de ataques MITM de WAN é obtida utilizando-se túneis VPN, que


permitem ao atacante ver apenas o texto criptografado, indecifrável. Os ataques MITM
de rede local utilizam ferramentas como ettercap e envenenamento ARP. Grande parte
da atenuação de ataques MITM de rede local normalmente pode ser feita configurando-
se a segurança de porta nos switches de rede local.
Exibir meio visual

Página 4:
Ataques DoS

Os ataques DoS são a forma mais conhecida de ataque e está entre os mais difíceis de
eliminar. Mesmo na comunidade de atacantes, os ataques DoS são considerados triviais
e ruins porque não exigem muito esforço para que sejam executados. Mas por conta da
facilidade em sua implementação e dos danos potencialmente significativos, os ataques
DoS merecem atenção especial dos administradores de segurança.

Os ataques DoS assumem muitas formas. Eles acabam impedindo as pessoas


autorizadas de utilizar um serviço, consumindo recursos do sistema. Estes são alguns
exemplos das ameaças DoS mais comuns:

Clique no botão Ping da morte na figura.

O ataque de ping da morte ganhou popularidade ainda nos anos 90. Ele usufruía as
vulnerabilidades nos sistemas operacionais mais antigos. Esse ataque modificava a
porção IP de um cabeçalho do pacote de ping para indicar que havia mais dados no
pacote do que existia efetivamente. Um ping normalmente tem 64 ou 84 bytes, enquanto
um ping da morte pode ter até 65.536 bytes. Enviar um ping desse tamanho pode travar
um computador alvo mais antigo. A maioria das redes não é mais suscetível a esse tipo
de ataque.

Clique no botão Envio SYN na figura.

Um ataque de envio SYN explora o handshake tridirecional TCP. Isso envolve o envio
de várias solicitações SYN (mais de 1.000) para um servidor de destino. O servidor
responde com a resposta SYN-ACK habitual, mas o host mal-intencionado nunca
responde com o ACK final para concluir o handshake. Isso trava o servidor até que ele
acaba ficando sem recursos e não consegue responder a uma solicitação válida de host.

Entre outros tipos de ataques DOS estão:

• Bombardeamentos de email – os programas enviam emails em massa para


indivíduos, listas ou domínios, monopolizando os serviços de email.
• Applets mal-intencionados – esses ataques são programas Java, JavaScript ou
ActiveX que causam a destruição ou o travamento dos recursos do computador.

Ataques DDoS

Os ataques de negação de serviço distribuído (DDoS) foram projetados para saturar


links de rede com dados ilegítimos. Esses dados podem sobrecarregar um link da
Internet, o que causa o descarte de tráfego legítimo. O DDoS utiliza métodos de ataque
semelhantes a ataques DoS padrão, mas funciona em uma escala muito maior.
Normalmente, centenas ou milhares de pontos de ataque tentam sobrecarregar um
destino.

Clique no botão DDoS na figura.

Normalmente, há três componentes em um ataque de DDoS.


• Há um cliente que normalmente é a pessoa que inicia o ataque.
• Gerenciador é um host comprometido no qual o programa atacante está em
execução e cada gerenciador é capaz de controlar vários agentes
• Agente é um host comprometido no qual o programa atacante está em execução,
sendo o responsável pela geração de um fluxo de pacotes com destino à vítima
desejada

Entre os exemplos de ataques DDoS estão os seguintes:

• Ataque SMURF
• Tribe flood network (TFN)
• Stacheldraht
• MyDoom

Clique no botão Ataque Smurf na figura.

O ataque Smurf utiliza mensagens de ping transmitidas falsificadas para inundar um


sistema desejado. Ele começa com um atacante enviando um grande número de
solicitações de eco ICMP para o endereço de broadcast de rede utilizando endereços IP
de origem falsificados válidos. Um roteador poderia executar a função de broadcast da
Camadas 3 para a Camada 2, e a maioria dos hosts responderá, cada um, com uma
resposta de eco ICMP, multiplicando o tráfego pelo número de hosts que respondem.
Em uma rede de broadcast multiacesso, talvez haja centenas de máquinas respondendo a
todos os pacotes de eco.

Por exemplo, consideremos que a rede tenha 100 hosts e que o atacante tenha um link
T1 de alto desempenho. O atacante envia um fluxo de 768 kb/s em solicitações de eco
ICMP com um endereço de origem falsificado da vítima para o endereço de broadcast
de uma rede de destino (chamado de um site de reflexo). Esses pacotes de ping chegam
ao site de reflexo na rede de broadcast de 100 hosts, e cada um deles pega e responde o
pacote, o que cria 100 respostas de ping de saída. Um total de 76,8 megabits por
segundo (Mb/s) de largura de banda é utilizado de saída no site de reflexo depois que o
tráfego é multiplicado. Em seguida, ele é enviado para a vítima ou para a origem
falsificada dos pacotes de origem.

A desativação do recurso de broadcast direcionado na infraestrutura de rede impede a


rede de ser utilizada como um site de reflexo. O recurso de broadcast direcionado é
desativado por padrão no software IOS Cisco desde a versão 12.0.

Os ataques DoS e DDoS podem ser atenuados, implementando-se a antifalsificação


especial e as listas de controle de acesso anti-DoS. Os ISPs também podem implementar
taxa de tráfego, limitando a quantidade de tráfego não essencial que atravessa
segmentos de rede. Um exemplo comum é limitar a quantidade de tráfego ICMP
permitido em uma rede, porque esse tráfego só é utilizado para fins de diagnóstico.
Os detalhes da operação desses ataques estão além do escopo deste curso. Para obter
mais informações, consulte o curso Networking Academy Network Security.
Exibir meio visual

Página 5:
Ataques de código malicioso

As principais vulnerabilidade para estações de trabalho de usuário final são worms,


vírus e ataques de cavalo-de-Troia.

Um worm executa código e instala cópias na memória do computador infectado, o que


pode, por sua vez, infectar outros hosts.

Vírus é um software malicioso anexado a outro programa com a finalidade de executar


uma determinada função indesejável em uma estação de trabalho.

Um cavalo-de-Troia é diferente de um worm ou vírus apenas porque todo o aplicativo


foi escrito para ser semelhante a alguma coisa, quando, na verdade, é uma ferramenta de
ataque.

Worms

A anatomia de um ataque de worm é a seguinte:

• A vulnerabilidade de habilitação – um worm se instala, explorando


vulnerabilidades conhecidas em sistemas, como usuários finais ingênuos que
abrem anexos de executáveis não verificados em emails.
• Mecanismo de propagação – depois de obter acesso a um host, um worm se
copia para esse host e, em seguida, escolhe novos destinos.
• Payload – depois que um host é infectado por um worm, o atacante tem acesso
ao host, normalmente como um usuário privilegiado. Os atacantes poderiam
utilizar uma exploração local para escalonar seu nível de privilégio até
administrador.

Normalmente, worms são programas autossuficientes que atacam um sistema e tentam


explorar uma vulnerabilidade específica no destino. Assim que houver a exploração
bem-sucedida da vulnerabilidade, o worm copia seu programa do host de ataque para o
sistema recém-explorado para começar tudo novamente. Em janeiro de 2007, um worm
infectou a conhecida comunidade MySpace. Usuários confiáveis habilitaram a
propagação do worm, que começou a se replicar nos sites dos usuários com a
desfiguração "w0rm.EricAndrew".
A atenuação de ataques de worm exige diligência por parte da equipe administradora do
sistema e de rede. A coordenação entre as equipes de administração do sistema, de
engenharia da rede e das operações de segurança é essencial na resposta efetiva a um
incidente de worm. Estas são as etapas recomendadas para a atenuação de ataques de
worm:

• Contenção – contenha a difusão do worm na rede e dentro dela. Isole as partes


não infectadas da rede.
• Inoculação – comece aplicando patches a todos os sistemas e, se possível,
verificando se há sistemas vulneráveis.
• Quarentena – monitore todas as máquina infectadas dentro da rede.
Desconecte, remova ou bloqueie máquinas infectadas na rede.
• Tratamento – Limpe e aplique um patch a todos os sistemas infectados. Alguns
worms podem exigir reinstalações completas para limpar o sistema.

Vírus e cavalos-de-Troia

Vírus é um software malicioso anexado a outro programa para executar uma


determinada função indesejável em uma estação de trabalho. Um exemplo é um
programa anexado ao command.com (o interpretador principal de sistemas Windows) e
exclui determinados arquivos, além de infectar todas as outras versões de
command.com que conseguir localizar.

Um cavalo-de-Troia é diferente apenas porque todo o aplicativo foi escrito para ser
semelhante a alguma coisa, quando, na verdade, é uma ferramenta de ataque. Um
exemplo de um cavalo-de-Troia é um aplicativo que executa um simples jogo em uma
estação de trabalho. Enquanto o usuário está ocupado com o jogo, o cavalo-de-Troia
envia uma cópia para todos os endereços na agenda de endereços do usuário. Os outros
usuários recebem o jogo e o executam, o que difunde o cavalo-de-Troia para os
endereços em todas as agendas de endereços.

Um vírus normalmente exige um mecanismo de entrega – um vetor – como um arquivo


zip ou algum outro arquivo executável anexado a um email, para transportar o código
do vírus de um sistema para outro. O principal elemento que distingue um worm de um
vírus de computador é essa interação humana necessária à facilitação da difusão de um
vírus.

Esses tipos de aplicativos podem ser contidos por meio do uso efetivo de software
antivírus no nível do usuário e, possivelmente, no nível da rede. Um software antivírus
pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia, além de
impedir sua difusão na rede. Manter-se atualizado em relação aos desenvolvimento mais
recentes quanto a esses tipos de ataques também pode levar a uma postura mais efetiva
relacionada a esses ataques. Na medida em que novos vírus ou aplicativos de cavalo-de-
Troia são liberados, as empresas precisam se manter atualizadas quanto às versões mais
atuais do software antivírus.
Sub7, ou subseven, é um cavalo-de-Troia comum que instala um programa backdoor
em sistemas de usuários. Ele é conhecido tanto por ataques não estruturados quanto
estruturados. Por ser uma ameaça não estruturada, atacantes inexperientes podem
utilizar o programa de forma que os cursores do mouse desapareçam. Como uma
ameaça estruturada, os crackers podem utilizá-lo para instalar keystroke loggers
(programas que registram todas as teclas pressionadas pelo usuário) para capturar
informações confidenciais.
Exibir meio visual

4.1.4 Técnicas de atenuação gerais

Página 1:
Segurança baseada em host e em servidor

Dispositivo fortalecido

Quando um novo sistema operacional é instalado em um computador, as configurações


de segurança são definidas de acordo com os valores padrão. Na maioria dos casos, esse
nível de segurança é inadequado. Existem alguns passos simples que devem ser dados e
que se aplicam à maioria dos sistemas operacionais:

• Nomes de usuário e senhas padrão devem ser alterados imediatamente.


• O acesso a recursos do sistema deve ser restrito apenas aos indivíduos com
autorização para utilizá-los.
• Qualquer serviço e aplicativo desnecessário deve ser desativado e desinstalado,
quando possível.

A seção 4.2, "Protegendo roteadores Cisco", descreve um dispositivo fortalecido com


mais detalhes.

É essencial proteger hosts de rede, como PCs de estação de trabalho e servidores. Esses
hosts precisam ser protegidos quando adicionados à rede, devendo ser atualizados com
patches de segurança assim que essas atualizações forem disponibilizadas. Passos
adicionais podem ser dados para proteger esses hosts. Antivírus, firewall e detecção de
invasão são ferramentas importantes que podem ser utilizadas para proteger hosts de
rede. Como muitos recursos de negócio podem estar em um único servidor de arquivos,
é especialmente importante que os servidores sejam acessíveis e estejam disponíveis.

Software antivírus
Instale um software antivírus de host para se proteger de vírus conhecidos. Um software
antivírus pode detectar a maioria dos vírus e muitos aplicativos de cavalo-de-Troia,
além de impedir sua difusão na rede.

O software antivírus faz isso de duas formas:

• Ele verifica arquivos, comparando seu conteúdo com vírus conhecidos de um


dicionário de vírus. As correspondências são sinalizadas de maneira definida
pelo usuário final.
• Ele monitora processos suspeitos em execução em um host que possam indicar
infecção. Essa monitoração pode incluir capturas de dados, monitoração de porta
e outros métodos.

O software antivírus comercial, em sua maioria, utiliza todas essas abordagens.

Clique no botão Antivírus na figura.

Atualize o software antivírus sempre.

Firewall pessoal

Computadores pessoais conectados à Internet por meio de uma conexão dial-up, DSL
ou modems a cabo são tão vulneráveis quanto redes corporativas. Os firewalls pessoais
residem no PC do usuário e tentam impedir ataques. Os firewalls pessoais não foram
projetados para implementações de rede local, como firewalls baseados em dispositivo
ou servidor, e eles podem impedir o acesso à rede se instalados com outros clientes de
rede, serviços, protocolos ou adaptadores.

Clique no botão Firewalls pessoais na figura.

Entre alguns dos fornecedores de firewall pessoal estão McAfee, Norton, Symantec e
Zone Labs.

Patches do sistema operacional

A maneira mais efetiva de atenuar um worm e suas variantes é baixando atualizações de


segurança do fornecedor do sistema operacional e aplicar o patch a todos os sistemas
vulneráveis. Isso é difícil com sistemas de usuário sem controle na rede local, e ainda
mais problemático caso esses sistemas estejam conectados remotamente à rede por meio
de uma rede virtual privada (VPN) ou servidor de acesso remoto (RAS). A
administração de vários sistemas envolve a criação de uma imagem de software padrão
(sistema operacional e aplicativos aprovados com autorização para serem utilizados em
sistemas de clientes implantados) implantada em sistemas novos ou melhorados. Essas
imagens talvez não contenham os patches mais recentes, e o processo de recriação
contínuo da imagem para integrar o patch mais recente pode se tornar rapidamente algo
demorado administrativamente. Aplicar patches a todos os sistemas exige que esses
sistemas estejam de alguma forma conectados à rede, o que talvez não seja possível.

Uma solução para o gerenciamento de patches de segurança críticos é criar um servidor


de patches central com o qual todos os sistemas devem se comunicar após um
determinado período. Qualquer patch não aplicado a um host é baixado
automaticamente no servidor de patches e instalado sem a intervenção do usuário.

Além de executar atualizações de segurança do fornecedor do OS, a determinação de


quais dispositivos são exploráveis pode ser simplificada pela utilização de ferramentas
de auditoria de segurança que procuram vulnerabilidades.

Clique no botão Patches do OS na figura.


Exibir meio visual

Página 2:
Detecção de invasão e prevenção

Os sistemas de detecção de invasão detectam ataques a uma rede e enviam logs a uma
console de gerenciamento. Os sistemas de prevenção de invasão (IPSs) impedem
ataques à rede e devem fornecer os seguintes mecanismos de defesa ativos, além da
detecção:

• Prevenção – impede a execução do ataque detectado.


• Reação – imuniza o sistema contra ataques futuros de uma origem maliciosa.

Qualquer tecnologia pode ser implementada em um nível de rede ou de host, ou ambos,


tendo em vista a máxima proteção.

Sistemas de detecção de invasão baseados em host

A invasão baseada em host costuma ser implementada como uma tecnologia interna ou
passiva, dependendo do fornecedor.

A tecnologia passiva, a primeira geração da tecnologia, é chamada de sistema de


detecção de invasão baseado em host (HIDS). O HIDS envia logs a uma console de
gerenciamento após a ocorrência do ataque e do dano.

A tecnologia interna, chamada de sistema de prevenção de invasão baseado em host


(HIPS), na verdade, interrompe o ataque, impede o dano e bloqueia a propagação dos
worms e dos vírus.
A detecção ativa pode ser definida para fechar a conexão de rede ou parar os serviços
afetados automaticamente. A ação corretiva pode ser feita imediatamente. A Cisco
fornece o HIPS utilizando o software Cisco Security Agent.

O software do HIPS deve ser instalado em cada host, no servidor ou no desktop, para
monitorar a atividade realizada no host. Esse software é chamado de software agente. O
software agente executa a análise da detecção de invasão e a prevenção. O software
agente também envia logs e alertas para um servidor centralizado de
gerenciamento/política.

A vantagem do HIPS é que ele pode monitorar processos do sistema operacional e


proteger recursos essenciais do sistema, inclusive arquivos que talvez só existam nesse
determinado host. Isso significa que ele pode notificar os gerentes de rede quando
algum processo externo tentar modificar um arquivo de sistema de forma que possa
incluir um programa backdoor.

A figura ilustra uma implantação de HIPS típica. Os agentes são instalados em


servidores publicamente acessíveis, além de servidores de aplicativos e de email
corporativo. O agente informa eventos a um servidor de console central localizado
dentro do firewall corporativo. Como alternativa, os agentes no host podem enviar logs
como email para um administrador.
Exibir meio visual

Página 3:
Mecanismos de segurança comuns e aplicativos

A segurança é uma das principais considerações durante o planejamento de uma rede.


Antes, o dispositivo que vinha à mente quando o assunto era segurança de rede era o
firewall. Um firewall, por si só, deixou de ser apropriado à proteção de uma rede. É
necessária uma abordagem integrada envolvendo firewall, prevenção de invasão e VPN.

Uma abordagem integrada em relação à segurança, além dos dispositivos necessários


para que ela aconteça, segue estes componentes básicos:

Controle de ameaça – controla o acesso à rede, isola sistemas infetados, impede


intrusões e protege ativos, contra-atacando tráfego malicioso, como worms e vírus. Os
dispositivos que fornecem soluções em controle de ameaça são:

• Mecanismos de segurança Cisco série ASA 5500 Adaptive


• Roteadores de serviços integrados (ISRs)
• Network Admission Control, controle de admissão de rede
• Cisco Security Agent for Desktops
• Sistemas de prevenção de invasão Cisco

Comunicações seguras – protege extremidades da rede com VPN. Os dispositivos que


permitem a uma organização implantar VPN são roteadores Cisco ISR com a solução
em VPN do IOS Cisco e os switches Cisco 5500 ASA e Cisco Catalyst 6500.

Controle de admissão de rede (NAC) – fornece um método baseado em funções para


impedir o acesso não autorizado a uma rede. A Cisco oferece um dispositivo NAC.

Software IOS Cisco em roteadores de serviços integrados (ISRs) Cisco

A Cisco fornece muitas das medidas de segurança obrigatórias para os clientes dentro
do software IOS Cisco. O software IOS Cisco fornece serviços internos IOS Cisco
Firewall, IPsec, SSL VPN e IP.

Mecanismo de segurança Cisco série ASA 5500 Adaptive

Houve um momento em que o firewall PIX era o dispositivo que uma rede segura
implantaria. O PIX evoluiu até chegar a uma plataforma que integra muitos recursos de
segurança diferentes, chamada de Cisco Adaptive Security Appliance (ASA). O Cisco
ASA integra firewall, segurança de voz, SSL e IPsec VPN, IP e serviços de segurança
de conteúdo em um único dispositivo.

Sensores Cisco IPS série 4200

Para redes maiores, um sistema de prevenção de invasão interno é fornecido pelos


sensores Cisco IP série 4200. Esse sensor identifica, classifica e interrompe o tráfego
malicioso na rede.

Dispositivo Cisco NAC

O dispositivo Cisco NAC utiliza a infraestrutura de rede para aplicar a conformidade


com a política de segurança em todos os dispositivos que procuram acessar recursos de
computação em rede.

Cisco Security Agent (CSA)

O software Cisco Security Agent fornece recursos de proteção contra ameaças para
sistemas de computação em servidor, desktop e ponto de serviço (POS). O CSA defende
esses sistemas contra ataques determinados, spyware, rootkits e ataques day-zero.
A cobertura aprofundada desses dispositivos está além do escopo deste curso. Consulte
os cursos CCNP: Implementação de redes remotas convergidas seguras e Segurança de
rede 1 e 2 para obter mais informações.
Exibir meio visual

4.1.5 O ciclo de segurança de rede

Página 1:
A maior parte dos incidentes de segurança ocorre porque os administradores de sistema
não implementam as contramedidas disponíveis, e os atacantes ou os funcionários
insatisfeitos exploram a omissão. Por isso, o problema não é apenas alguém confirmar a
existência de uma vulnerabilidade técnica e localizar uma contramedida que funcione.
Também é essencial verificar se a contramedida está implantada e funcionando
corretamente.

Para auxiliar na conformidade de uma política de segurança, o Ciclo de segurança, um


processo contínuo se mostrou uma abordagem efetiva. O Ciclo de segurança incentiva
novos testes e a reaplicação de medidas de segurança atualizadas regularmente.

Para começar o processo do Ciclo de segurança, primeiro desenvolva uma política de


segurança que permita a aplicação de medidas de segurança. A política de segurança
inclui o seguinte:

• Identifica os objetivos de segurança da organização.


• Documenta os recursos a serem protegidos.
• Identifica a infraestrutura de rede com mapas atuais e inventários.
• Identifica os recursos essenciais que precisam ser protegidos, como pesquisa e
desenvolvimento, finanças e recursos humanos. Isso se chama análise de risco.

A política de segurança é o ponto no qual as quatro etapas do Ciclo de segurança se


baseiam. As etapas são proteger, monitorar, testar e melhorar.

Etapa 1. Proteger

Proteja a rede, aplicando a política de segurança e implementando as seguintes soluções


em segurança:

• Proteção contra ameaças


• Inspeção stateful e filtragem de pacote – filtre o tráfego da rede para permitir
somente tráfego e serviços válidos.
Nota: a inspeção stateful se refere a um firewall que mantém informações sobre o
estado de uma conexão em uma tabela de estados de forma que ele possa reconhecer
alterações feitas na conexão que poderiam indicar que um atacante está tentando
capturar uma sessão ou manipular uma conexão.

• Sistemas de prevenção de invasão – implantados nos níveis de rede e de host


para parar o tráfego malicioso ativamente.
• Patches de vulnerabilidade – aplique correções ou medidas para parar a
exploração quanto a vulnerabilidades conhecidas.
• Desabilitar serviços desnecessários – quanto menos serviços habilitados, mais
difícil será para os atacantes obter acesso.

Conectividade segura

• VPNs – criptografe tráfego da rede para impedir a divulgação indesejável a


indivíduos sem autorização ou maliciosos.
• Confiança e identidade – implemente restrições plenas quanto a níveis de
confiança dentro de uma rede. Por exemplo, sistemas fora de um firewall jamais
devem ser totalmente confiáveis por sistemas dentro de um firewall.
• Autenticação – só dê acesso a usuários autorizados. Um exemplo disso é a
utilização de senhas únicas.
• Aplicação da política – assegure-se de que os usuários e os dispositivos finais
estejam em conformidade com a política corporativa.

Etapa 2. Monitorar

A monitoração de segurança envolve métodos ativo e passivo de detecção das violações


à segurança. O método ativo mais utilizado é auditar arquivos de log em nível de host.
A maioria dos sistemas operacionais inclui funcionalidade de auditoria. Os
administradores de sistema devem habilitar o sistema de auditoria em todos os hosts na
rede e devem parar para verificar e interpretar as entradas do arquivo de log.

Entre os métodos passivos estão a utilização de dispositivos IDS para detectar invasões
automaticamente. Esse método requer menos atenção por parte dos administradores de
segurança da rede do que os métodos ativos. Esses sistemas podem detectar violações à
segurança em tempo real, podendo ser configurados para responder automaticamente
antes que um intruso cause algum dano.

Um benefício a mais de monitoração da rede é verificar se as medidas de segurança


implementadas na etapa 1 do Ciclo de segurança foram configuradas e estão
funcionando corretamente.

Etapa 3. Testar
Na fase de testes do Ciclo de segurança, as medidas de segurança são testadas de
maneira proativa. Especificamente, a funcionalidade das soluções em segurança
implementadas na etapa 1 e os métodos de auditoria do sistema e de detecção de
invasão implementados na etapa 2 são verificados. Ferramentas de avaliação de
vulnerabilidade, como SATAN, Nessus ou Nmap, são úteis para testar as medidas de
segurança da rede periodicamente nos níveis de rede e de host.

Etapa 4. Melhorar

A fase de melhoria do Ciclo de segurança envolve a análise dos dados coletados durante
as fases de monitoração e testes. Essa análise contribui com o desenvolvimento e a
implementação de mecanismos de melhoria que aumentam a política de segurança e os
resultados ao adicionar itens à etapa 1. Para manter uma rede a mais segura possível, o
ciclo de segurança deve ser repetido continuamente, porque novas vulnerabilidades e
riscos à rede estão surgindo todos os dias.

Com as informações coletadas das fases de monitoração e de testes, os IDSs podem ser
utilizados para implementar melhorias à segurança. A política de segurança deve ser
ajustada na medida em que novas vulnerabilidades e riscos à segurança são detectados.
Exibir meio visual

4.1.6 A política de segurança corporativa

Página 1:
O que é uma política de segurança?

Uma política de segurança é um conjunto de diretrizes determinadas para proteger a


rede de ataques, tanto dentro quanto fora de uma empresa. A formação de uma política
começa com perguntas. Como a rede ajuda a organização a atingir sua visão, missão e
plano estratégico? Que implicações os requisitos da empresa têm sobre a segurança da
rede, e como esses requisitos se traduzem na aquisição de equipamento especializado e
nas configurações carregadas nos dispositivos?

Uma política de segurança beneficia uma organização das seguintes formas:

• Fornece um meio para auditar a segurança de rede existente e comparar os


requisitos com o que está implantado.
• Planeje melhorias de segurança, inclusive equipamento, software e
procedimentos.
• Define as funções e as responsabilidades dos executivos, administradores e
usuários da empresa.
• Define qual comportamento é e qual não é permitido.
• Define um processo para tratar incidentes de segurança na rede.
• Habilita a implementação de segurança global e a aplicação, funcionando como
um padrão entre sites.
• Cria uma base para ação legal se necessário.

Uma política de segurança é um documento vivo, o que significa que ele jamais é
concluído, sendo continuamente atualizado conforme os requisitos de tecnologia e de
funcionário mudam. Ele funciona como uma ponte entre os objetivos do gerenciamento
e os requisitos de segurança específicos.
Exibir meio visual

Página 2:
Funções de uma política de segurança

Uma política de segurança abrangente cumpre estas funções essenciais:

• Protege as pessoas e as informações


• Estabelece as regras para o comportamento esperado por parte de usuários,
administradores de sistema e equipes de gerenciamento e segurança
• Autoriza a equipe de segurança a monitorar, testar e investigar
• Define e autoriza as consequências de violações

A política de segurança é para todos, inclusive funcionários, contratados, fornecedores e


clientes que tenham acesso à rede. No entanto, a política de segurança deve tratar cada
um desses grupos de maneira diferente. Cada grupo só deve ver a parte da política
apropriada ao seu trabalho e a seu nível de acesso à rede.

Por exemplo, uma explicação do porquê algo está sendo feito nem sempre é necessária.
Você pode supor que a equipe técnica já sabe por que um determinado requisito foi
incluído. Não é provável que os gerentes se interessem pelos aspectos técnicos de um
requisito específico; eles talvez só queiram uma visão geral ou o princípio que sustenta
o requisito. No entanto, quando sabem por que um controle de segurança específico foi
incluído, os usuários finais tendem mais a cumprir a política. Por isso, não é provável
que um documento atenda às necessidades de todo o público-alvo de uma grande
organização.
Exibir meio visual

Página 3:
Componentes de uma política de segurança

O SANS Institute (http://www.sans.org) fornece diretrizes desenvolvidas em acordo


com vários líderes do setor, inclusive a Cisco, para desenvolver políticas de segurança
abrangentes para grandes e pequenas organizações. Nem todas as organizações
precisam de todas essas políticas.

Estas são as políticas de segurança gerais que uma organização pode invocar:

• Declaração de autoridade e escopo – define quem na organização patrocina a


política de segurança, quem é responsável por implementá-la e quais áreas são
abrangidas pela política.
• Política de utilização aceitável (AUP) – define a utilização aceitável do
equipamento e dos serviços de computação, além das medidas de segurança do
funcionário apropriadas para proteger recursos corporativos e informações
proprietárias.
• Identificação e política de autenticação – define quais tecnologias a empresa
utiliza para assegurar que apenas pessoal autorizado tenha acesso a seus dados.
• Política de acesso à Internet – define o que a empresa irá ou não tolerar em
relação à utilização da conectividade com a Internet por funcionários e
convidados.
• Política de acesso ao campus – define a utilização aceitável dos recursos de
tecnologia no campus por funcionários e convidados.
• Política de acesso remoto – define como os usuários remotos podem utilizar a
infraestrutura de acesso remoto da empresa.
• Procedimento de tratamento de incidentes – especifica quem responderá a
incidentes de segurança e como com eles serão tratados.

Além dessas seções de política de segurança principais, entre algumas outras que podem
ser necessárias em determinadas organizações estão:

• Política de solicitação de acesso à conta – formaliza a conta e o processo de


solicitação de acesso dentro da organização. Os usuários e os administradores de
sistema que ignoram os processos padrão para solicitações de conta e acesso
podem estar sujeitos à ação legal dentro da organização.
• Política de avaliação de aquisição – define as responsabilidades referentes a
aquisições corporativas e define os requisitos mínimos de uma avaliação de
aquisição que o grupo de segurança das informações deve realizar.
• Política de auditoria – define políticas de auditoria para assegurar a integridade
das informações e dos recursos. Isso inclui um processo para investigar
incidentes, assegurar a conformidade em relação às políticas de segurança e
monitorar a atividade do usuário e do sistema
• Política de importância das informações – define os requisitos para classificar
e proteger informações da maneira apropriada segundo o seu nível de
importância.
• Política de senha – define os padrões para criar, proteger e alterar senhas fortes.
• Política de avaliação de risco – define os requisitos e fornece a autoridade para
a equipe de segurança da informação identificar, avaliar e solucionar riscos à
infraestrutura de informações associada à realização do negócio.
• Política de servidor Web global – define os padrões exigidos por todos os
hosts da Web.

Com a ampla utilização do email, uma organização talvez também queira aplicar
políticas relacionadas especificamente a email, como:

• Política de email encaminhado automaticamente – documenta a política que


restringe o encaminhamento automático de email para um destino externo sem
aprovação prévia do gerente ou do diretor apropriado.
• Política de email – define padrões de conteúdo para impedir a maculação da
imagem pública da organização.
• Política de spam – define como o spam deve ser informado e tratado.

Entre as políticas de acesso remoto podem estar:

• Política de acesso dial-up – define o acesso dial-up apropriado e sua utilização


por pessoal autorizado.
• Política de acesso remoto – define os padrões para conexão com a rede da
organização de qualquer host ou rede externa com a organização.
• Política de segurança VPN – define os requisitos para conexões VPN com a
rede da organização.

É preciso observar que os usuários que desafiem ou violem as regras de uma política de
segurança podem estar sujeitos à ação disciplinar, incluindo até mesmo demissão.
Exibir meio visual

Página 4:
Exibir meio visual

4.2 Protegendo roteadores Cisco


4.2.1 Problemas de segurança do roteador

Página 1:
A função dos roteadores na segurança de rede

Você sabe que pode criar uma rede local, conectando dispositivos com switches de rede
local da Camada 2. Dessa forma, você pode utilizar um roteador para rotear tráfego
entre redes diferentes com base em endereços IP da Camada 3.
A segurança do roteador é um elemento essencial em qualquer implantação de
segurança. Os roteadores são alvos definitivos para os atacantes de rede. Se um atacante
conseguir comprometer e acessar um roteador, isso poderá ajudá-lo. A compreensão das
funções que os roteadores realizam na rede ajuda a entender suas vulnerabilidades.

Os roteadores realizam as seguintes funções:

• Anunciam redes e filtram quem pode utilizá-las.


• Fornecem acesso a segmentos de rede e sub-redes.
Exibir meio visual

Página 2:
Os roteadores são os alvos

Como fornecem gateways para outras redes, os roteadores são alvos óbvios, estando
sujeitos a vários ataques. Aqui estão alguns exemplos de vários problemas de
segurança:

• O comprometimento do controle de acesso pode expor detalhes da configuração


de rede, o que facilita ataques a outros componentes da rede.
• O comprometimento das tabelas de rotas pode afetar o desempenho, negar
serviços de comunicação da rede e expor dados confidenciais.
• A configuração incorreta de um filtro de tráfego de roteador pode expor
componentes internos da rede a verificações e ataques, o que facilita para os
atacantes evitar a detecção.

Como os atacantes podem comprometer roteadores de formas diferentes, não há


nenhuma abordagem única que os administradores de rede possam utilizar para
combatê-los. As formas de comprometimento dos roteadores são semelhantes aos tipos
de ataques que você aprendeu anteriormente neste capítulo, inclusive ataques de
exploração de confiança, falsificação IP, captura de sessão e ataques MITM.

Nota: esta seção aborda como proteger roteadores. A maioria das práticas
recomendadas discutidas também pode ser utilizada para proteger switches. No entanto,
esta seção não aborda ameaças da Camada 2, como endereço MAC com ataques de
inundação e STP, porque eles são abordados no CCNA Exploration: Comutação de rede
local e rede sem fio.
Exibir meio visual

Página 3:
Protegendo a sua rede
Proteger os roteadores no perímetro da rede é uma etapa inicial importante na proteção
da rede.

Pense na segurança do roteador segundo estas categorias:

• Segurança física
• Atualizar o IOS do roteador sempre que isso for aconselhável
• Fazer o backup da configuração e do IOS do roteador
• Reforçar o roteador para eliminar o abuso potencial de portas e serviços não
utilizados

Para fornecer segurança física, coloque o roteador em um sala trancada, acessível


apenas a pessoal autorizado. Está sala também não deve apresentar qualquer
interferência eletrostática ou magnética e ter controles de temperatura e umidade. Para
reduzir a possibilidade de DoS devido a uma falta de energia, instale um UPS e
mantenha componentes sobressalentes à disposição.

Os dispositivos físicos utilizados na conexão com o roteador devem ser armazenados


em uma instalação bloqueada ou devem permanecer em posse de um indivíduo
confiável para que não sejam comprometidos. Um dispositivo livremente à disposição
pode ter cavalos-de-Troia ou outro tipo de arquivo executável armazenados.

Provisione o roteador com a quantidade de memória máxima possível. A


disponibilidade de memória pode ajudar na proteção contra alguns ataques DoS, ao
mesmo tempo em que dá suporte a vários serviços de segurança.

Os recursos de segurança em um sistema operacional evoluem com o passar do tempo.


No entanto, a versão mais recente de um sistema operacional talvez não seja a mais
estável disponível. Para obter o melhor desempenho em termos de segurança do seu
sistema operacional, utilize o release estável mais recente que atenda aos requisitos de
recursos da sua rede.

Sempre tenha uma cópia de backup de uma configuração e do IOS disponível em caso
de falha de um roteador. Mantenha uma cópia segura da imagem do sistema operacional
do roteador e do arquivo de configuração do roteador em um servidor TFTP para fins de
backup.

Proteja o roteador para torná-lo o mais seguro possível. Um roteador tem muitos
serviços habilitados por padrão. Muitos desses serviços são desnecessários e talvez
sejam utilizados por um atacante na coleta de informações ou na exploração. Você deve
proteger a configuração do seu roteador, desabilitando serviços desnecessários.
Exibir meio visual
4.2.2 Aplicando recursos de segurança do IOS Cisco a roteadores

Página 1:
Para configurar recursos de segurança em um roteador, você precisa de um plano para
todas as etapas de configuração da segurança do IOS Cisco.

A figura mostra as etapas para proteger um roteador. As cinco primeiras etapas são
abordadas neste capítulo. Embora sejam discutidas no próximo capítulo, as listas de
controle de acesso (ACLs) formam uma tecnologia essencial, devendo ser configuradas
para controlar e filtrar o tráfego da rede.
Exibir meio visual

4.2.3 Gerenciar a segurança do roteador

Página 1:
A segurança básica do roteador consiste em configurar senhas. Uma senha forte é o
elemento mais importante no controle do acesso seguro a um roteador. Por essa razão,
senhas fortes devem ser configuradas sempre.

Entre as boas práticas de senha estão as seguintes:

• Não anote e deixe as senhas em locais óbvios, como sua mesa ou em seu
monitor.
• Evite palavras de dicionários, nomes, números de telefone e datas. A utilização
de palavras de dicionários torna as senhas vulneráveis a ataques de dicionário.
• Combine letras, números e símbolos. Inclua pelo menos uma letra minúscula,
uma letra maiúscula, um dígito e um caracter especial.
• Escreva incorretamente uma palavra em uma senha de maneira deliberada. Por
exemplo, Smith pode ser escrito Smyth ou também incluir números, como
5mYth. Outro exemplo pode ser Security escrito como 5ecur1ty.
• Crie senhas extensas. A prática recomendada é ter pelo menos oito caracteres.
Você pode aplicar o tamanho mínimo utilizando um recurso disponível em
roteadores Cisco, discutido posteriormente neste tópico.
• Altere as senhas com a maior frequência possível. Você deve ter uma política
que defina quando e com que frequência as senhas devem ser alteradas. A
alteração frequente de senhas tem duas vantagens. Essa prática limita a chance
de um hacker conseguir quebrar uma senha e limita a exposição depois que uma
senha foi comprometida.

Nota: os espaços à esquerda da senha são ignorados, mas todos os espaços após o
primeiro caractere, não.
Frases de acesso

Um método recomendado para a criação de senhas complexas fortes é utilizar frases de


acesso. Uma frase de acesso é, basicamente, uma oração ou frase que funciona como
uma senha mais segura. Tenha certeza de que a frase seja grande o suficiente para
dificilmente ser adivinhada, mas fácil o bastante para ser lembrada e digitada com
precisão.

Utilize uma oração, uma citação de um livro ou uma letra de música da qual você
consiga se lembrar facilmente como base para a sua senha ou frase de acesso. A figura
fornece exemplos de frases de acesso.
Exibir meio visual

Página 2:
Por padrão, o software IOS Cisco deixa senhas em texto sem formatação quando elas
são digitadas em um roteador. Isso não é seguro porque qualquer pessoa que esteja
passando atrás de você enquanto estiver observando a configuração de um roteador
pode olhar por cima do seu ombro e ver a senha.

A utilização dos comandos enable password ou username username password


password resultaria na exibição dessas palavras-chave durante a observação da
configuração em execução.

Por exemplo:

R1(config)# username Student password cisco123


R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#

O 0 exibido na configuração em execução indica que a senha não está oculta.

Por essa razão, todas as senhas devem ser criptografadas em um arquivo de


configuração. O IOS Cisco fornece dois esquemas para proteção de senha:

• Criptografia simples chamada esquema tipo 7. Ela utiliza o algoritmo de


criptografia definido pela Cisco e ocultará a senha utilizando um algoritmo de
criptografia simples.
• Criptografia complexa chamada esquema tipo 5. Ela utiliza um hash MD5 mais
seguro.
A criptografia tipo 7 pode ser utilizada pelos comandos enable password, username e
line password que incluem vty, console e porta auxiliar. Ela não oferece muita proteção
porque só oculta a senha que utiliza um algoritmo de criptografia simples. Embora não
seja tão segura quanto a criptografia tipo 5, ela ainda é melhor que não ter criptografia.

Para criptografar senhas utilizando a criptografia tipo 7, utilize o comando de


configuração global service password-encryption conforme exibido na figura. Esse
comando impede que senhas exibidas na tela sejam legíveis.

Por exemplo:

R1(config)# service password-encryption


R1(config)# do show run | include username
username Student password 7 03075218050061
R1(config)#

O 7 exibido na configuração em execução indica que a senha está oculta. Na figura,


você pode ver que a senha da linha console agora está oculta.

Clique no botão Configurar senha na figura.

A Cisco recomenda que a criptografia Tipo 5 seja utilizada em lugar da Tipo 7 sempre
que possível. A criptografia MD5 é um método de criptografia forte. Ela deve ser
utilizada sempre que possível. Ela é configurada, substituindo-se a palavra-chave
password por secret.

Por isso, para proteger o nível EXEC privilegiado o máximo possível, sempre configure
o comando enable secret conforme mostrado na figura. Também tenha certeza de que a
enable secret seja exclusiva e de que não corresponda a nenhuma outra senha de
usuário.
Um roteador sempre utilizará a enable secret sem detrimento da enable password. Por
essa razão, o comando enable password jamais deve ser configurado, porque pode
fornecer a senha de um sistema.

Nota: se você se esquecer da senha do modo EXEC privilegiado, será preciso executar
o procedimento de recuperação de senha. Esse procedimento será abordado
posteriormente neste capítulo.

Os nomes de usuário do banco de dados local também devem ser configurados


utilizando-se o comando de configuração global username username secret password.
Por exemplo:

R1(config)# username Student secret cisco


R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#

Nota: alguns processos talvez não possam utilizar senhas criptografadas tipo 5. Por
exemplo, PAP utiliza senhas de texto não criptografado, não podendo utilizar senhas
criptografadas MD5.

Clique no botão Tamanho da senha na figura.

O software IOS Cisco release 12.3(1) e posteriores permitem aos administradores


definir o tamanho mínimo em caracteres para todas as senhas do roteador utilizando o
comando de configuração global security passwords min-length, conforme mostrado
na figura. Esse comando fornece melhor acesso de segurança ao roteador, permitindo
especificar um tamanho de senha mínimo, eliminando senhas comuns que prevaleçam
na maioria das redes, como "laboratório" e "cisco".

Esse comando afeta todas as novas senha de usuário, senhas de habilitar e segredos,
além de senhas da linha criadas depois que o comando foi executado. O comando não
afeta senhas de roteador existentes.
Exibir meio visual

4.2.4 Protegendo o acesso administrativo remoto a roteadores

Página 1:
Protegendo o acesso administrativo a roteadores

Os administradores de rede podem se conectar local ou remotamente a um roteador ou


switch. Por ser seguro, o acesso local pela porta console é o modo preferencial para um
administrador se conectar a um dispositivo. Na medida em que as empresas ficam
maiores e o número de roteadores e switches na rede cresce, a carga de trabalho do
administrador para se conectar localmente a todos os dispositivos pode se tornar
excessiva.

O acesso administrativo remoto é mais prático do que o acesso local para


administradores que tenham muitos dispositivos para gerenciar. No entanto, se ele não
for implementado com segurança, um atacante poderá coletar informações confidenciais
importantes. Por exemplo, a implementação do acesso administrativo remoto utilizando
Telnet pode ser muito insegura porque Telnet encaminha todo o tráfego de rede em
texto não criptografado. Um atacante poderia capturar o tráfego da rede enquanto um
administrador tivesse feito login remotamente em um roteador e detectar as senhas ou as
informações de configuração do roteador. Por isso, o acesso administrativo remoto deve
ser configurado com precauções de segurança adicionais.
Para proteger o acesso administrativo a roteadores e switches, primeiro você protegerá
as linhas administrativas (VTY, AUX) e, em seguida, configurará o dispositivo de rede
para criptografar o tráfego em um túnel SSH.
Exibir meio visual

Página 2:
Acesso administrativo remoto com Telnet e SSH

Ter acesso remoto a dispositivos de rede é essencial para gerenciar uma rede de maneira
efetiva. O acesso remoto normalmente envolve a permissão de Telnet, Shell Seguro
(SSH), HTTP, HTTP Seguro (HTTPS) ou conexões SNMP no roteador em um
computador nas mesmas redes interconectadas do roteador.

Se o acesso remoto for obrigatório, as suas opções serão as seguintes:

• Estabelecer uma rede de gerenciamento dedicada. A rede de gerenciamento deve


incluir apenas hosts de administração identificados e conexões com dispositivos
de infraestrutura. Isso poderia ser obtido utilizando-se uma VLAN de
gerenciamento ou uma rede física adicional à qual conectar os dispositivos.
• Criptografar todo o tráfego entre o computador do administrador e o roteador.
Em qualquer um dos casos, um filtro de pacote pode ser configurado para
permitir apenas os hosts de administração identificados e o protocolo para
acessar o roteador. Por exemplo, só permita o endereço IP do host de
administração iniciar uma conexão SSH com os roteadores na rede.

O acesso remoto não se aplica apenas à linha VTY do roteador, mas também às linhas
TTY e à porta auxiliar (AUX). As linhas TTY fornecem acesso assíncrono a um
roteador utilizando um modem. Embora sejam menos comuns do que já foram, elas
ainda existem em algumas instalações. Proteger essas portas é até mesmo mais
importante do que proteger portas de terminal locais.

A melhor forma de proteger um sistema é assegurar que sejam aplicados controles


apropriados a todas as linhas, inclusive VTY, TTY e AUX.

Os administradores devem ter certeza de que os logins em todas as linhas sejam


controlados utilizando um mecanismo de autenticação, mesmo em máquinas
teoricamente inacessíveis em redes não confiáveis. Isso é especialmente importante para
linhas VTY e linhas conectadas a modems ou outros dispositivos de acesso remoto.

Os logins podem ser totalmente evitados em qualquer linha, configurando-se o roteador


com os comandos login e no password. Essa é a configuração padrão para VTYs, mas
não para TTYs e a porta AUX. Por isso, se essas linhas não forem obrigatórias,
assegure-se de que elas sejam configuradas com a combinação de comandos login e no
password.
Clique no botão Impedir logins para exibir um exemplo.

Controlando VTYs

Por padrão, todas as linhas VTY são configuradas para aceitar qualquer tipo de conexão
remota. Por razões de segurança, as linhas VTY devem ser configuradas para aceitar
apenas as conexões com os protocolos efetivamente necessários. Isso é feito com o
comando transport input. Por exemplo, uma VTY que só deve receber sessões Telnet
seria configurada com transport input telnet e uma VTY que permitisse sessões Telnet
e SSH teria transport input telnet ssh configurado.

Clique no botão Acesso VTY na figura.

O primeiro exemplo de configuração exibe como configurar a VTY para aceitar apenas
as conexões Telnet e SSH, e o segundo exemplo exibe como configurar a VTY para
aceitar apenas conexões SSH. Se a imagem do IOS Cisco em um roteador der suporte a
SSH, será altamente recomendável habilitar apenas esse protocolo.

Um dispositivo Cisco tem um número limitado de linhas VTY, normalmente cinco.


Quando todas as VTYs estiverem em uso, mais nenhuma conexão remota adicional
poderá ser estabelecida. Isso cria a oportunidade para um ataque DoS. Se um atacante
conseguir abrir sessões remotas em todas as VTYs do sistema, o administrador legítimo
talvez não consiga fazer login. O atacante não precisa fazer login para conseguir isso.
As sessões podem ser simplesmente abandonadas no prompt de login.

Uma forma de reduzir essa exposição é configurando a última linha VTY para aceitar
conexões apenas de uma única estação de trabalho administrativa específica, enquanto
as demais VTYs podem aceitar conexões de qualquer endereço em uma rede
corporativa. Isso assegura que pelo menos uma linha VTY esteja disponível para o
administrador. Para implementar isso, as ACLs, com o comando ip access-class na
última linha VTY, devem ser configuradas. Essa implementação é abordada no Capítulo
5.

Outra tática útil é configurar timeouts VTY utilizando o comando exec-timeout. Isso
impede uma sessão ociosa de consumir a VTY indefinidamente. Embora sua efetividade
contra ataques deliberados seja relativamente limitada, ela fornece alguma proteção
contra sessões abandonadas ociosas acidentalmente. Da mesma forma, habilitar
keepalives TCP em conexões de entrada utilizando o comando service tcp-keepalives-
in pode ajudar na proteção contra ataques maliciosos e sessões abandonadas causadas
por falhas em sistemas remotos.

Clique no botão VTY protegido na figura.


A configuração exibe como definir o executive timeout como 3 minutos e habilitar
keepalives TCP.
Exibir meio visual

Página 3:
Implementando SSH em acesso administrativo remoto seguro

Tradicionalmente, o acesso administrativo remoto em roteadores era configurado


utilizando-se Telnet na porta TCP 23. No entanto, o Telnet foi desenvolvido quando a
segurança não era um problema. Por essa razão, todo o tráfego Telnet é encaminhado
em texto claro.

O SSH substituiu o Telnet como a prática recomendada para fornecer à administração


do roteador com conexões que dão suporte à privacidade forte e à integridade da sessão.
O SSH utiliza a porta TCP 22. Ele fornece funcionalidade semelhante à de uma conexão
Telnet de saída, exceto pela conexão ser criptografada. Com autenticação e criptografia,
o SSH permite uma comunicação segura em uma rede não segura.

Nem todas as imagens do IOS Cisco dão suporte ao SSH. Somente imagens
criptográficas podem. Normalmente, essas imagens têm IDs de imagem k8 ou k9 em
seus nomes. Os nomes de imagem são abordados na Seção 5.

O recurso de acesso à linha de terminal SSH permite aos administradores configurar


roteadores com acesso seguro e executar as seguintes tarefas:

• Conecte-se a um roteador que tenha várias linhas de terminal conectadas a


consoles ou portas seriais de outros roteadores, switches e dispositivos.
• Simplifique a conectividade com um roteador em qualquer lugar, conectando-se
com segurança ao servidor de terminal em uma determinada linha.
• Permita que modems conectados a roteadores sejam utilizados em discagens
com segurança.
• Exija autenticação em todas as linhas por meio de um nome de usuário e senha
definidos localmente, ou um servidor de segurança, como um servidor
TACACS+ ou RADIUS.

Os roteadores Cisco são capazes de agir como o cliente e o servidor SSH. Por padrão,
essas duas funções são habilitadas no roteador quando o SSH é habilitado. Como
cliente, um roteador pode executar SSH em outro roteador. Como servidor, um roteador
pode aceitar conexões clientes SSH.
Exibir meio visual

Página 4:
Configurando a segurança SSH

Para habilitar o SSH no roteador, os seguintes parâmetros devem ser configurados:

• Hostname
• Nome de domínio
• Chaves assimétricas (Asymmetrical keys)
• Autenticação local (Local authentication)

Entre os parâmetros de configuração opcionais estão:

• Timeouts
• Novas tentativas (Retries)

As seguintes etapas configuram o SSH em um roteador.

Etapa 1: Definir parâmetros do roteador

Configure o hostname do roteador com o comando hostname hostname no modo de


configuração global.

Etapa 2: Definir o nome de domínio

Deve haver um nome de domínio para habilitar o SSH. Neste exemplo, digite o
comando ip domain-name no modo de configuração global.

Etapa 3: Gerar chaves assimétricas

Você precisa criar uma chave que o roteador utilize para criptografar o seu tráfego de
gerenciamento SSH com o comando crypto key generate rsa no modo de configuração
global. O roteador responde com uma mensagem que mostra a convenção de
nomenclatura para as chaves. Escolha o tamanho do módulo da chave no intervalo entre
360 e 2.048 para as suas Chaves de finalidade geral. Escolher um módulo de chave
maior que 512 pode demorar alguns minutos. Como prática recomendada, a Cisco
recomenda a utilização de um tamanho de módulo mínimo de 1.024. Você deve saber
que um módulo maior demora mais para ser gerado e utilizado, embora ofereça maior
segurança.

Você pode obter mais informações sobre o comando crypto key no curso Segurança de
rede.
Etapa 4: Configurar autenticação local e vty

Você deve definir um usuário local e atribuir uma comunicação SSH a linhas vty
conforme mostrado na figura.

Etapa 5: Configurar timeouts SSH (opcional)

Os timeouts fornecem segurança adicional à conexão, encerrando conexões


prolongadas, inativas. Utilize os comandos ip ssh time-out seconds e authentication-
retries integer para habilitar timeouts e novas tentativas de autenticação. Defina o
timeout SSH como 15 segundos e o número de novas tentativas como 2.

Para se conectar a um roteador configurado com SSH, você precisa utilizar um


aplicativo cliente SSH, como PuTTY ou TeraTerm. Você deve ter certeza para escolher
a opção SSH e de que ela utiliza a porta TCP 22.

Clique no botão Utilizar SSH na figura.

Utilizando o TeraTerm para se conectar com segurança ao roteador R2 com SSH,


depois que a conexão é iniciada, R2 exibe um prompt do nome de usuário, seguido por
um prompt de senha. Supondo que as credenciais corretas sejam fornecidas, o TeraTerm
exibe o prompt do modo EXEC usuário do roteador R2.
Exibir meio visual

Página 5:
Exibir meio visual

4.2.5 Registrando a atividade do roteador em log

Página 1:
Os logs permitem verificar se um roteador está funcionando corretamente ou determinar
se ele foi comprometido. Em alguns casos, um log pode mostrar os tipos de testes ou de
ataques feitos contra o roteador ou à rede protegida.

A configuração do registro em log (syslog) no roteador deve ser feita cuidadosamente.


Envie os logs do roteador para um host de log designado. O host de log deve ser
conectado a uma rede confiável ou protegida ou à interface de um roteador isolada e
dedicada. Proteja o host de log, removendo todos os serviços desnecessários e contas.
Roteadores oferecem suporte a níveis diferentes de registro em log. Os oito níveis vão
de 0, emergências que indicam que o sistema está instável, a 7 para depurar mensagens
que incluam todas as informações sobre o roteador.
Os logs podem ser encaminhados para vários locais, inclusive a memória do roteador ou
um servidor de syslog dedicado. Um servidor de syslog fornece uma solução melhor,
porque todos os dispositivos de rede podem encaminhar seus logs para uma estação
central na qual um administrador possa examiná-los. Um exemplo de um aplicativo para
servidores de syslog é o Kiwi Syslog Daemon.

Também considere o envio dos logs para um segundo dispositivo de armazenamento,


por exemplo, uma mídia de gravação única ou uma impressora dedicada, para lidar com
cenários de pior caso (por exemplo, um comprometimento do host de log).

A coisa mais importante a ser lembrada sobre o registro em log é que os logs devem ser
examinados regularmente. Verificando os logs regularmente, você pode ter a sensação
do comportamento normal da sua rede. Uma sólida compreensão da operação normal e
de seu reflexo nos logs ajuda a identificar condições de ataque ou anormalias.

Registros de data e hora precisos são importantes no registro em log. Registros de data e
hora permitem rastrear ataques à rede com mais credibilidade. Todos os roteadores são
capazes de manter seu próprio horário, mas isso normalmente não basta. Em vez de
fazer isso, direcione o roteador para pelo menos dois servidores de horário confiáveis
diferentes para assegurar a disponibilidade das informações sobre isso. Um servidor
Network Time Protocol (NTP) talvez precise ser configurado para fornecer uma origem
de horário sincronizado para todos os dispositivos. A configuração dessa opção está
além do escopo deste curso.

Por exemplo:

R2(config)#service timestamps ?
debug Timestamp debug messages
log Timestamp log messages
<cr>
R2(config)#service timestamps

Posteriormente neste capítulo você obterá informações sobre o comando debug. A saída
do comando debug também pode ser enviada para logs.
Exibir meio visual

4.3 Serviços de rede do roteador seguros


4.3.1 Serviços e interfaces vulneráveis do roteador

Página 1:
Serviços e interfaces vulneráveis do roteador

Os roteadores Cisco dão suporte a vários serviços de rede nas camadas 2, 3, 4 e 7,


conforme a descrição na figura. Alguns desses serviços são os protocolos da camada de
aplicativo que permitem aos usuários e aos processos do host se conectar ao roteador.
Outros são configurações e processos automáticos que devem dar suporte a
configurações herdadas ou especializadas que ofereçam riscos à segurança. Alguns
desses serviços podem ser restringidos ou desabilitados para aumentar a segurança sem
diminuir a utilização operacional do roteador. A prática de segurança geral para
roteadores deve ser utilizada para dar suporte apenas ao tráfego e aos protocolos de que
uma rede precisa.

A maioria dos serviços listados nesta seção não é obrigatória normalmente. A tabela na
figura descreve os serviços gerais vulneráveis de roteador e lista as práticas
recomendadas associadas a esses serviços.

A desativação de um serviço de rede no próprio roteador não o impede de dar suporte a


uma rede na qual esse protocolo é empregado. Por exemplo, uma rede pode exigir
serviços TFTP para fazer backup dos arquivos de configuração e das imagens do IOS.
Esse serviço costuma ser fornecido por um servidor TFTP dedicado. Em certas
instâncias, um roteador também poderia ser configurado como um servidor TFTP. No
entanto, isso é muito incomum. Por isso, na maioria dos casos, o serviço TFTP no
roteador deve ser desabilitado.

Em muitos casos, o software IOS Cisco dá suporte à desativação completa de um


serviço ou à restrição do acesso a determinados segmentos de rede ou a conjuntos de
hosts. Se uma porção específica de uma rede precisar de um serviço, mas o resto não, os
recursos de restrição deverão ser empregados para limitar o escopo do serviço.

A desativação de um recurso de rede automático normalmente impede um determinado


tipo de tráfego de rede de ser processado pelo roteador, ou o impede de atravessar o
roteador. Por exemplo, o roteamento de origem IP é um recurso IP pouco utilizado que
pode ser utilizado em ataques à rede. A menos que seja obrigatório à operação da rede,
o roteamento de origem IP deve ser desabilitado.

Nota: o CDP é aproveitado em algumas implementações de telefonia IP. Isso precisa


ser considerado antes da ampla desabilitação do serviço.
Exibir meio visual

Página 2:
Há vários comandos obrigatórios para desabilitar serviços. A saída do comando show
running-config na figura fornece uma configuração de exemplo de vários serviços que
foram desabilitados.
Os serviços que normalmente devem ser desabilitados estão listados abaixo. São alguns
deles:

• Serviços pequenos, como echo, discard e chargen – utilize o comando no


service tcp-small-servers ou no service udp-small-servers.
• BOOTP – utilize o comando no ip bootp server.
• Finger – utilize o comando no service finger.
• HTTP – utilize o comando no ip http server.
• SNMP – utilize o comando no snmp-server.

Também é importante desabilitar serviços que permitam a determinados pacotes passar


pelo roteador, enviar pacotes especiais ou serem utilizados na configuração do roteador
remoto. Os comandos correspondentes para desabilitar esses serviços são:

• Protocolo de detecção da Cisco (CDP, Cisco Discovery Protocol) – utilize o


comando no cdp run.
• Configuração remota – utilize o comando no service config.
• Roteamento de origem – utilize o comando no ip source-route.
• Roteamento classless – utilize o comando no ip classless.

As interfaces no roteador podem ficar mais seguras utilizando-se determinados


comandos no modo de configuração de interface:

• Interfaces não utilizadas – utilize o comando shutdown.


• Negar ataques SMURF – utilize o comando no ip directed-broadcast.
• Roteamento ad hoc – utilize o comando no ip proxy-arp.
Exibir meio visual

Página 3:
Vulnerabilidades SNMP, NTP e DNS

A figura descreve três serviços de gerenciamento que também devem ser protegidos. Os
métodos para desabilitar ou ajustar as configurações desses serviços estão além do
escopo deste curso. Esses serviços são abordados no curso CCNP: Implementação de
redes remotas convergidas seguras.
As descrições e as diretrizes para proteger esses serviços estão listadas abaixo.

SNMP

SNMP é o protocolo IP para monitoração remota automatizada e administração. Há


várias versões do SNMP com propriedades de segurança diferentes. As versões do
SNMP anteriores à versão 3 transmitem informações em texto não criptografado.
Normalmente, o SNMP versão 3 deve ser utilizado.

NTP
Os roteadores Cisco e os demais hosts utilizam o NTP para manter seus horários e datas
precisos. Se possível, os administradores de rede devem configurar todos os roteadores
como parte de uma hierarquia NTP, o que torna um roteador o temporizador mestre e
fornece seu horário para os demais roteadores na rede. Se uma hierarquia NTP não
estiver disponível na rede, você deverá desabilitar o NTP.

A desabilitação do NTP em uma interface não impede as mensagens NTP de atravessar


o roteador. Para rejeitar todas as mensagens NTP em uma determinada interface, utilize
uma lista de acesso.

DNS

O software IOS Cisco dá suporte à procura de nomes de host com o Sistema de Nome
de Domínio (DNS). O DNS fornece o mapeamento entre nomes, como
central.mydomain.com para endereços IP, como 14.2.9.250.

Infelizmente, o protocolo DNS básico não oferece nenhuma autenticação ou garantia de


integridade. Por padrão, as consultas de nome são enviadas para o endereço de
broadcast 255.255.255.255.

Se um ou mais servidores de nomes estiverem disponíveis na rede e for desejável


utilizar nomes em comandos do IOS Cisco, defina explicitamente os endereços do
servidor de nome utilizando o comando de configuração global ip name-server
addresses. Do contrário, desative a resolução de nome DNS com o comando no ip
domain-lookup. Também é uma ideia boa dar um nome ao roteador, utilizando o
comando hostname. O nome dado ao roteador é exibido no prompt.
Exibir meio visual

4.3.2 Protegendo os protocolos de roteamento

Página 1:
Visão geral da autenticação do protocolo de roteamento

Como administrador de rede, você precisa saber que os seus roteadores correm o risco
de serem atacados tanto quanto os seus sistemas de usuário final. Qualquer pessoa com
um sniffer de pacotes, como o Wireshark, pode ler as informações que se propagam
entre os roteadores. Em geral, os sistemas de roteamento podem ser atacados de duas
formas:

• Situação de interrupção de mesmo nível


• Falsificação das informações de roteamento
A situação de interrupção de mesmo nível é a menos crítica dos dois ataques porque os
protocolos de roteamento se corrigem, o que faz a interrupção durar um pouco menos
do que o próprio ataque.

Uma classe mais sutil de ataque tem como alvo as informações transportadas dentro do
protocolo de roteamento. As informações de roteamento falsificadas normalmente
podem ser utilizadas para fazer os sistemas enganar (mentir) uns aos outros, causar um
DoS ou fazer o tráfego seguir um caminho que normalmente não seguiria. As
consequências da falsificação das informações de roteamento são as seguintes:

1. Redirecionar o tráfego para criar loops de roteamento, conforme o mostrado na figura

2. Redirecionar o tráfego para que ele possa ser monitorado em um link inseguro

3. Redirecionar o tráfego para descartá-lo

Uma maneira direta de atacar o sistema de roteamento é atacar os roteadores que


executem os protocolos de roteamento, obter acesso aos roteadores e inserir
informações falsas. Saiba que qualquer pessoa que esteja "escutando" pode capturar
atualizações de roteamento.

Clique no botão Reproduzir na figura para exibir uma animação de um ataque de


loop de roteamento.

A animação mostra um exemplo de um ataque que cria um loop de roteamento. Um


atacante conseguiu se conectar diretamente ao link entre os roteadores R2 e R3. O
atacante injeta informações de roteamento falsas destinadas exclusivamente ao roteador
R1, o que indica que o R3 é o destino preferido para a rota do host 192.168.10.10/32.
Embora tenha uma entrada na tabela de roteamento para a rede 192.168.10.0/24
diretamente conectada, R1 adicionará a rota injetada à sua tabela de roteamento por
conta da máscara de sub-rede maior. Uma rota com uma máscara de sub-rede
compatível maior é considerada superior a uma rota com uma máscara de sub-rede
menor. Consequentemente, quando receber um pacote, um roteador escolherá a máscara
de sub-rede maior por ser uma rota mais precisa até o destino.

Quando o PC3 enviar um pacote para o PC1 (192.168.10.10/24), R1 não encaminhará o


pacote para o PC1. Em vez disso, ele roteará o pacote para o roteador R3, porque, até
onde se sabe, o melhor caminho para 192.168.10.10/32 é pelo R3. Quando obtiver o
pacote, R3 irá olhar sua tabela de roteamento e encaminhar o pacote novamente para
R1, o que cria o loop.

A melhor maneira de proteger informações de roteamento na rede é autenticar pacotes


de protocolo de roteamento utilizando o algoritmo MD5 (message digest 5). Um
algoritmo como MD5 permite aos roteadores comparar assinaturas que devem ser todas
iguais.
Clique no botão Proteger atualização na figura.

A figura mostra como cada roteador na cadeia de atualização cria uma assinatura. Entre
os três componentes desse sistema estão:

1. Algoritmo de criptografia, que normalmente é de conhecimento público

2. Chave utilizada no algoritmo de criptografia, que é um segredo compartilhado pelos


roteadores que autenticam seus pacotes

3. Conteúdo do próprio pacote

Clique no botão Operação na figura.

Clique em Reproduzir para exibir uma animação.

Na animação, vemos como cada roteador autentica as informações de roteamento.


Geralmente, o originador das informações de roteamento produz uma assinatura
utilizando a chave e roteando dados a serem enviados como entradas para o algoritmo
de criptografia. Em seguida, os roteadores que recebem esses dados de roteamento
podem repetir o processo utilizando a mesma chave, os dados recebidos e os mesmos
dados de roteamento. Se a assinatura que o receptor computa for igual à assinatura do
remetente, os dados e a chave deverão ser iguais aos transmitidos pelo remetente, e a
atualização será autenticada.

RIPv2, EIGRP, OSPF, IS-IS e BGP, todos, dão suporte a várias formas de autenticação
MD5.
Exibir meio visual

Página 2:
Configurando o RIPv2 com autenticação do protocolo de roteamento

A topologia na figura está exibindo uma rede configurada com o protocolo de


roteamento RIPv2. O RIPv2 dá suporte à autenticação do protocolo de roteamento. Para
proteger atualizações de roteamento, cada roteador deve ser configurado para dar
suporte à autenticação. As etapas para proteger atualizações RIPv2 são as seguintes:

Etapa 1. Impedir a propagação da atualização de roteamento RIP

Etapa 2. Impedir a recepção não autorizada de atualizações RIP


Etapa 3. Verificar a operação do roteamento RIP

Impedir a propagação da atualização de roteamento RIP

Você precisa impedir um intruso com “escuta” na rede de receber atualizações às quais
não tem direito. Você faz isso, forçando todas as interfaces no roteador no modo passivo
e carregando apenas as interfaces obrigatórias para o envio e o recebimento de
atualizações RIP. Uma interface no modo passivo recebe mas não envia atualizações.
Você deve configurar interfaces no modo passivo em todos os roteadores na rede.

Clique no botão Config e em Etapa 1.

A figura mostra os comandos de configuração para controlar as interfaces que


participarão das atualizações de roteamento. As atualizações de roteamento jamais
devem ser anunciadas em interfaces que não estejam conectadas a outros roteadores.
Por exemplo, as interfaces de rede local no roteador R1 não se conectam a outros
roteadores e, por isso, não devem anunciar atualizações de roteamento. Apenas a
interface S0/0/0 no roteador R1 deve anunciar atualizações de roteamento.

Na saída do comando na tela, o comando passive-interface default desabilita anúncios


de roteamento em todas as interfaces. Isso também inclui a interface S0/0/0. O comando
no passive-interface s0/0/0 permite à interface S0/0/0 enviar e receber atualizações
RIP.

Clique no botão Topologia e em Etapa 2.

Impedir a recepção não autorizada de atualizações RIP

Na figura, o intruso é impedido de interceptar atualizações RIP porque a autenticação


MD5 foi habilitada nos roteadores, R1, R2 e R3; os roteadores que estão participando
das atualizações RIP.

Clique no botão Config e em Etapa 2.

A saída do comando mostra os comandos para configurar a autenticação do protocolo


de roteamento no roteador R1. Os roteadores R2 e R3 também precisam ser
configurados com esses comandos nas interfaces apropriadas.

O exemplo mostra comandos para criar uma cadeia de chaves chamada RIP_KEY.
Embora várias chaves possam ser consideradas, nosso exemplo mostra apenas uma. A
Chave 1 é configurada para conter uma string de chave chamada cisco. A string da
chave é semelhante a uma senha, e os roteadores que trocam chaves de autenticação
devem ser configurados com a mesma string. A interface S0/0/0 é configurada para dar
suporte à autenticação MD5. A cadeia RIP_KEY e a atualização de roteamento são
processadas utilizando-se o algoritmo MD5 para produzir uma assinatura exclusiva.

Quando R1 é configurado, os demais roteadores receberão as atualizações de


roteamento com uma assinatura exclusiva e, consequentemente, não poderão mais
decifrar as atualizações de R1. Essa condição permanecerá até cada roteador na rede ser
configurado com a autenticação do protocolo de roteamento.

Clique no botão Topologia e em Etapa 3.

Verificar a operação do roteamento RIP

Depois de configurar todos os roteadores na rede, você precisará verificar a operação do


roteamento RIP.

Clique no botão Config e em Etapa 3.

Utilizando o comando show ip route, a saída do comando confirma se o roteador R1 se


autenticou com os outros roteadores e conseguiu adquirir as rotas dos roteadores R2 e
R3.
Exibir meio visual

Página 3:
Visão geral da autenticação do protocolo de roteamento para EIGRP e OSPF

A autenticação do protocolo de roteamento também deve ser configurada para outros


protocolos de roteamento como EIGRP e OSPF. Para obter detalhes sobre a
autenticação do protocolo de roteamento para EIGRP e OSPF, consulte CCNP2:
Implementação de redes remotas convergidas seguras.

Clique no botão EIGRP na figura.

EIGRP

A figura mostra os comandos utilizados para configurar a autenticação do protocolo de


roteamento no EIGRP no roteador R1. Esses comandos são bem parecidos com os que
você utilizou na autenticação RIPv2 MD5. As etapas para configurar a autenticação do
protocolo de roteamento EIGRP no roteador R1 são as seguintes:

Etapa 1. A área realçada superior mostra como criar uma cadeia de chaves a ser
utilizada por todos os roteadores em sua rede. Esses comandos criam uma cadeia de
chaves chamada EIGRP_KEY e colocam seu terminal no modo de configuração da
cadeia de chaves, um número de chave 1 e valor da string de chave cisco.

Etapa 2. A área realçada inferior mostra como habilitar a autenticação MD5 em pacotes
EIGRP que atravessam uma interface.

Clique no botão OSPF na figura.

OSPF

A figura mostra os comandos utilizados para configurar a autenticação do protocolo de


roteamento para o OSPF na interface S0/0/0 do roteador R1. O primeiro comando
especifica a chave a ser utilizada na autenticação MD5. O próximo comando habilita a
autenticação MD5.
Exibir meio visual

Página 4:
Esta atividade abrange a autenticação simples e a autenticação MD5 do OSPF (message
digest 5). Você pode habilitar a autenticação no OSPF para trocar as informações sobre
atualização de roteamento de uma maneira segura. Com a autenticação simples, a senha
é enviada em texto não criptografado pela rede. A autenticação simples é utilizada
quando os dispositivos dentro de uma área não conseguem dar suporte à autenticação
MD5, a mais segura. Com a autenticação usando MD5, a senha não é enviada pela rede.
MD5 é considerado o modo de autenticação OSPF mais seguro. Quando configurar a
autenticação, você deve configurar uma área inteira com o mesmo tipo de autenticação.
Nesta atividade, você irá configurar a autenticação simples entre R1 e R2 e a
autenticação MD5 entre R2 e R3.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

4.3.3 Bloqueando seu roteador com Cisco Auto Secure

Página 1:
O Cisco AutoSecure utiliza um único comando para desabilitar processos e serviços não
essenciais, o que elimina potenciais ameaças à segurança. Você pode configurar o
AutoSecure no modo EXEC privilegiado utilizando o comando auto secure em um
destes dois modos:
• Modo interativo – este modo solicita a você opções para habilitar e desabilitar
serviços e outros recursos de segurança. Este é o modo padrão.
• Modo não interativo – este modo executa o comando auto secure
automaticamente com as configurações padrão recomendadas pela Cisco. Esse
modo é habilitado com a opção de comando no-interact.

Clique no botão Saída do roteador na figura.

Executar o AutoSecure em um roteador Cisco

A saída do comando na tela mostra uma saída parcial de uma configuração do Cisco
AutoSecure. Para iniciar o processo de proteção de um roteador, emita o comando auto
secure. O Cisco AutoSecure solicitará vários itens, incluindo:

• Especificidades de interface
• Banners
• Senhas
• SSH
• Recursos de firewall do IOS

Nota: O Cisco Router and Security Device Manager (SDM) fornece um recurso
semelhante ao do comando Cisco AutoSecure. Esse recurso é descrito na seção
"Utilizando o Cisco SDM".
Exibir meio visual

4.4 Utilizando o Cisco SDM


4.4.1 Visão geral do Cisco SDM

Página 1:
O que é o Cisco SDM?

O Cisco Router e Security Device Manager (SDM) é uma ferramenta de gerenciamento


de dispositivos baseada na Web, fácil de utilizar, projetada para configurar recursos de
segurança, de rede local e WAN em roteadores, baseados no software IOS Cisco.

A figura mostra a tela principal do SDM. A interface ajuda os administradores de rede


de pequenas a médias empresas a executar operações do dia-a-dia. Ela fornece
assistentes inteligentes fáceis de utilizar, automatiza o gerenciamento de segurança do
roteador e ajuda por meio de ajuda e tutoriais online abrangentes.
O Cisco SDM dá suporte a um amplo conjunto de releases do software IOS Cisco. Ele
já vem pré-instalado por padrão em todos os novos roteadores de serviços integrados da
Cisco. Se não estiver pré-instalado, você terá que instalá-lo. Os arquivos do SDM
podem ser instalados no roteador, em um PC ou em ambos. Uma vantagem de instalar o
SDM no PC é que isso economiza memória do roteador, além de permitir utilizar o
SDM para gerenciar outros roteadores na rede. Se o Cisco SDM estiver pré-instalado no
roteador, a Cisco recomendará utilizar o Cisco SDM para executar a configuração
inicial.
Exibir meio visual

Página 2:
Recursos do Cisco SDM

O Cisco SDM simplifica a configuração do roteador e da segurança por meio da


utilização de vários assistentes inteligentes para habilitar a configuração eficiente dos
parâmetros da rede virtual privada (VPN) e do firewall do IOS Cisco. Esse recurso
permite aos administradores implantar rápida e facilmente, além de configurar e
monitorar, roteadores de acesso Cisco.

Os assistentes inteligentes do Cisco SDM orientam os usuários etapa a etapa pelo fluxo
de trabalho da configuração de segurança, configurando sistematicamente as interfaces
de rede local e WAN, firewall, IPS e VPNs.

Os assistentes inteligentes do Cisco SDM podem detectar configurações incorretas de


maneira inteligente e propor correções, como permitir o tráfego DHCP por um firewall
caso a interface WAN seja endereçada por DHCP. A ajuda online interna do Cisco
SDM contém informações em segundo plano apropriadas, além de procedimentos etapa
a etapa para ajudar os usuários a inserir os dados corretos no Cisco SDM.
Exibir meio visual

4.4.2 Configurando o seu roteador para dar suporte ao Cisco SDM

Página 1:
O Cisco SDM deve ser instalado em todos os novos roteadores Cisco. Se você tiver um
roteador que já esteja sendo utilizado mas sem o Cisco SDM, você poderá instalar e
executá-lo sem interromper o tráfego da rede. Para instalá-lo em um roteador
operacional, você deve verificar se algumas definições de configuração estão presentes
no arquivo de configuração do roteador. A figura mostra uma topologia na qual o
administrador do sistema instalará o Cisco SDM no roteador R1.

Para configurar o Cisco SDM em um roteador que já esteja em utilização, sem


interromper o tráfego da rede, siga estas etapas:
Etapa 1. Acessar a interface CLI do roteador utilizando Telnet ou a conexão de console

Etapa 2: Habilitar os servidores HTTP e HTTPS no roteador

Etapa 3. Criar uma conta de usuário definida com um nível de privilégio 15 (habilitar
privilégios).

Etapa 4. Configurar SSH e Telnet para login local e nível de privilégio15.

Clique no botão Saída do roteador na figura.

A saída do comando na tela mostra um exemplo da configuração necessária para


assegurar que você possa instalar e executar o Cisco SDM em um roteador de produção
sem interromper o tráfego da rede.
Exibir meio visual

4.4.3 Iniciando o Cisco SDM

Página 1:
O Cisco SDM fica armazenado na memória flash do roteador. Ele também pode ser
armazenado em um PC local. Para iniciar o Cisco SDM, utilize o protocolo HTTPS e
coloque o endereço IP do roteador no navegador. A figura mostra o navegador com um
endereço https://198.162.20.1 e a página iniciar do Cisco SDM. O prefixo http:// poderá
ser utilizado se o SSL não estiver disponível. Quando a caixa de diálogo de nome de
usuário e senha for exibida (não mostrada), digite um nome de usuário e uma senha para
a conta privilegiada (nível de privilégio 15) no roteador. Depois que a página inicial for
exibida, um applet Java do Cisco SDM assinado será exibido, devendo permanecer
aberto enquanto o Cisco SDM estiver em execução. Por ser um applet Java do Cisco
SDM assinado, talvez você seja solicitado a aceitar um certificado. O alerta de
segurança do certificado é exibido no canto direito inferior da figura.

Nota: a sequência de etapas do login pode variar, dependendo da execução do Cisco


SDM em um computador pessoal ou diretamente em um roteador Cisco ISR.
Exibir meio visual

4.4.4 A interface do Cisco SDM

Página 1:
Visão geral da página inicial do Cisco SDM

Depois que o Cisco SDM for iniciado e você fizer login, a primeira página exibida será
a página de visão geral.
Essa página exibe o modelo do roteador, a memória total, as versões da memória flash,
do IOS e do SDM, além do hardware instalado e um resumo de alguns recursos de
segurança, como o status do firewall e o número de conexões VPN ativas.

Mais especificamente, ele fornece informações básicas sobre o hardware do roteador, o


software e a configuração:

• Barra de menus – a parte superior da tela tem uma barra de menus típica com
File, Edit, View, Tools e itens do menu Help.
• Tool – abaixo da barra de menus, estão os assistentes SDM e os modos que você
pode escolher.
• Informações do roteador – o modo atual é exibido no lado esquerdo sob a barra
de ferramentas.

Nota: a barra de menus, a barra de ferramenta e o modo atual são sempre exibidos na
parte superior de cada tela. As outras áreas da tela são alteradas de acordo com o modo
e a função que você está executando.

• Visão geral da configuração – resume os parâmetros da configuração. Para


exibir a configuração em execução, clique no botão View Running-Config.
Exibir meio visual

Página 2:
Sobre a área do roteador

Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada um
dos seguintes elementos da GUI (interface gráfica do usuário):

About Your Router (Sobre o seu roteador) – a área da homepage do Cisco SDM que
mostra informações básicas sobre o hardware e o software do roteador e inclui os
seguintes elementos:

• Host Name (Nome do host) – esta área mostra o nome de host configurado para
o roteador, que é RouterX
• Hardware – esta área mostra o número do modelo do roteador, a quantidade
disponível e o total de RAM e a quantidade da memória flash disponível.
• Software – esta área descreve as versões do software IOS Cisco e do Cisco SDM
em execução no roteador.
• A barra Feature Availability, localizada na parte inferior da guia About Your
Router, mostra os recursos disponíveis na imagem do IOS Cisco que o roteador
está utilizando. Se o indicador ao lado de cada recurso estiver verde, ele estará
disponível. Se estiver vermelho, ele não estará disponível. As marca de seleção
mostram que o recurso está configurado no roteador. Na figura, o Cisco SDM
mostra que IP, firewall, VPN, IP e NAC estão disponíveis, mas apenas o IP está
configurado.
Exibir meio visual

Página 3:
Área de visão geral da configuração

A figura mostra a área de visão geral da configuração da homepage do Cisco SDM.


Quando clicar nos botões na figura, você poderá ver os detalhes associados a cada um
dos seguintes elementos da interface gráfica do usuário:

• Interfaces and Connections (Interfaces e conexões) – esta área exibe


informações relacionadas à interface e à conexão, inclusive o número de
conexões ativadas e desativadas, o número total de interfaces de rede local e
WAN presentes no roteador, e o número de interfaces de rede local e WAN
configuradas atualmente no roteador. Ela também exibe informações de DHCP.
• Firewall Policies (Políticas de firewall) – esta área exibe informações
relacionadas a firewall, inclusive se um firewall estiver ativado, o número de
interfaces confiáveis (dentro), não confiáveis (fora) e DMZ. Ela também exibe o
nome da interface à qual um firewall foi aplicado, se a interface foi projetada
como uma interface interna ou externa, e se a regra NAT foi aplicada a essa
interface.
• VPN – esta área exibe informações relacionadas à VPN, inclusive o número de
conexões VPN ativas, o número de conexões VPN ponto a ponto configuradas e
o número de clientes VPN ativos.
• Routing (Roteamento) – esta área exibe o número de rotas estáticas e quais
protocolos de roteamento estão configurados.
Exibir meio visual

4.4.5 Assistentes do Cisco SDM

Página 1:
O Cisco SDM fornece vários assistentes para ajudar a configurar um roteador Cisco
ISR. Quando uma tarefa é escolhida na área de tarefas na interface gráfica do usuário do
Cisco SDM, o painel de tarefas permite escolher um assistente. A figura mostra várias
telas da interface gráfica do usuário do Cisco SDM para o assistente NAT básico. O
NAT será discutido posteriormente no curso Serviços de endereçamento IP.

Consulte http://www.cisco.com/go/sdm para obter as informações mais recentes sobre


os assistentes do Cisco SDM e as interfaces de suporte.
Exibir meio visual
4.4.6 Bloqueando um roteador com o Cisco SDM

Página 1:
O assistente de bloqueio em uma etapa do Cisco SDM implementa praticamente todas
as configurações de segurança oferecidas pelo Cisco AutoSecure. O assistente de
bloqueio em uma etapa é acessado pela interface gráfica do usuário Configure,
clicando-se na tarefa Security Audit. O assistente de bloqueio em uma etapa testa a
configuração do seu roteador para problemas de segurança potenciais e faz
automaticamente todas as alterações na configuração necessárias para corrigir todos os
problemas encontrados.

Não considere que a rede esteja segura só porque você executou um bloqueio em uma
etapa. Além disso, nem todos os recursos do Cisco AutoSecure são implementados no
Cisco SDM. Entre os recursos do AutoSecure são implementados de maneira diferente
no Cisco SDM estão os seguintes:

• Desabilita o SNMP e não configura o SNMP versão 3.


• Habilita e configura SSH em imagens do IOS Cisco criptografadas
• Não habilite o Service Control Point ou desabilite outro acesso e serviços de
transferência de arquivos como FTP.

Clique nos botões na figura para explorar as etapas do assistente de bloqueio em uma
etapa Cisco.
Exibir meio visual

4.5 Gerenciamento seguro do roteador


4.5.1 Mantendo imagens do software IOS Cisco

Página 1:
Periodicamente, o roteador exige que as atualizações sejam carregadas no sistema
operacional ou no arquivo de configuração. Essas atualizações são necessárias para
corrigir vulnerabilidades de segurança conhecidas, dar suporte a novos recursos que
permitem políticas de segurança mais avançadas ou melhorar o desempenho.

Nota: Nem sempre é uma ideia boa atualizar para a versão mais recente do software
IOS Cisco. Muitas vezes esse release não é estável.

Há determinadas diretrizes que você deve seguir ao alterar o software IOS Cisco em um
roteador. As alterações são classificadas como atualizações. Uma atualização substitui
um release por outro sem atualizar o conjunto de recursos. O software pode ser
atualizado para corrigir um bug ou substituir um release para o qual não haja mais
suporte. As atualizações são gratuitas.
Uma atualização substitui um release por outro que tenha um conjunto de recursos
melhorado. O software pode ser melhorado para adicionar novos recursos ou
tecnologias, ou substituir um release para o qual não haja mais suporte. As atualizações
não são gratuitas. Cisco.com oferece diretrizes para ajudar a determinar que método se
aplica.

A Cisco recomenda seguir um processo de migração de quatro fases para simplificar as


operações e o gerenciamento da rede. Ao seguir um processo que pode ser repetido,
você também pode aproveitar os custos reduzidos em operações, gerenciamento e
treinamento. As quatro fases são:

• Planejar – definir metas, identificar recursos, hardware e software da rede de


perfil e criar uma programação preliminar a fim de migrar para novos releases.
• Projetar – escolha novos releases do IOS Cisco e criar uma estratégia a fim de
migrar para eles.
• Implementar – programe e execute a migração.
• Operar – monitore o progresso da migração e faça cópias de backup das
imagens em execução na sua rede.

Há várias ferramentas disponíveis em Cisco.com para ajudar na migração do software


IOS Cisco. Você pode utilizar as ferramentas para obter informações sobre releases,
conjuntos de recursos, plataformas e imagens. As seguintes ferramentas não exigem um
login em Cisco.com:

• Cisco IOS Reference Guide – abrange os fundamentos da família de software


IOS Cisco
• Documentos técnicos do software IOS Cisco – documentação de cada release
do software IOS Cisco
• Cisco Feature Navigator – localiza versões que dão suporte a um conjunto de
recursos de software e hardware e compara releases

As seguintes ferramentas exigem contas de login válidas no Cisco.com:

• Download do software – downloads do software IOS Cisco


• Conjunto de ferramentas para bug – procura correções de software
conhecidas com base na versão do software, no conjunto de recursos e palavras-
chave
• Software Advisor – compara releases, os recursos do software IOS Cisco e do
OS Cisco Catalyst em busca de releases, além de descobrir qual release do
software dá suporte a um determinado dispositivo de hardware
• IOS Cisco Upgrade Planner – localiza releases por hardware, release e
conjunto de recursos, além de fazer o download de imagens do software IOS
Cisco
Para obter uma listagem completa das ferramentas disponíveis em Cisco.com, vá para
http://www.cisco.com/en/US/support/tsd_most_requested_tools.html.
Exibir meio visual

4.5.2 Gerenciando imagens do IOS Cisco

Página 1:
Sistemas de arquivos e dispositivos IOS Cisco

A disponibilidade da rede talvez esteja em risco caso uma configuração do roteador ou


do sistema operacional esteja comprometida. Os atacantes que obtêm acesso a
dispositivos de infraestrutura podem alterar ou excluir arquivos de configuração. Eles
também podem carregar imagens do IOS incompatíveis ou excluir a imagem atual. As
alterações são solicitadas automaticamente ou sempre que o dispositivo for
reinicializado.

Para atenuar esses problemas, você precisa ser capaz de salvar, fazer backup e restaurar
a configuração e as imagens do IOS. Para isso, você aprende a realizar algumas
operações de gerenciamento de arquivo no software IOS Cisco.

Os dispositivos do IOS Cisco fornecem um recurso chamado IOS Cisco Integrated File
System (IFS). Esse sistema permite criar, navegar e manipular diretórios em um
dispositivo Cisco. Os diretórios disponíveis dependem da plataforma.

Por exemplo, a figura exibe a saída do comando show file systems que lista todos os
sistemas de arquivos disponíveis em um roteador Cisco 1841. Esse comando fornece
informações detalhadas, como a memória disponível e livre, o tipo do sistema de
arquivos e suas permissões. Entre as permissões estão somente leitura (ro), somente
gravação (wo) e leitura e gravação (rw).

Embora haja vários sistemas de arquivos listados, os que nos interessam serão os
sistemas de arquivos tftp, memória flash e nvram. O restante dos sistemas de arquivos
listados está além do escopo deste curso.

Entre os sistemas de arquivos de rede estão FTP, trivial FTP (TFTP) ou Protocolo de
cópia remota (RCP, Remote Copy Protocol). Este curso aborda o TFTP.

Observe que o sistema de arquivos da memória flash também tem uns asteriscos que o
precedem, o que indica que se trata do sistema de arquivos padrão atual. Lembre-se de
que, como o IOS inicializável está localizado na memória flash, o símbolo de sustenido
(#) adicionado à listagem da memória flash indica se tratar de um disco inicializável.
Clique no botão Memória flash na figura.

Esta figura lista o conteúdo do sistema de arquivos padrão atual, que, neste caso, é a
memória flash, conforme indicação pelos asteriscos que precedem a listagem na figura
anterior. Há vários arquivos localizados na memória flash, mas é a última listagem que
interessa especificamente. Trata-se do nome da imagem do arquivo do IOS atual em
execução na memória RAM.

Clique no botão NVRAM na figura.

Para exibir o conteúdo da NVRAM, você deve alterar o sistema de arquivos padrão
atual utilizando o comando de alteração de diretório cd. O comando do diretório de
trabalho atual pwd verifica se estamos no diretório da NVRAM. Por fim, o comando
dir lista o conteúdo da NVRAM. Embora haja vários arquivos de configuração listados,
o que nos interessa especificamente é o arquivo de configuração de inicialização.
Exibir meio visual

Página 2:
Prefixos de URL para dispositivos Cisco

Quando um administrador de rede quiser transferir arquivos em um computador, o


sistema operacional oferecerá uma estrutura de arquivos visível para especificar origens
e destinos. Os administradores não têm sugestões visuais ao trabalhar na CLI de um
roteador. O comando show file systems no tópico anterior exibiu os vários sistemas de
arquivos disponíveis na plataforma Cisco 1841.

Os locais dos arquivos são especificados no Cisco IFS utilizando a convenção de URL.
As URLs utilizadas pelas plataformas IOS Cisco são semelhantes ao formato que você
conhece da Web.

Por exemplo, TFTP na figura é: tftp://192.168.20.254/configs/backup-config.

• A expressão "tftp:" é chamada de prefixo.


• Tudo o que estiver depois das duas barras (//) define o local.
• 192.168.20.254 é o local do servidor TFTP.
• "configs" é o diretório mestre.
• "backup-config" é o nome de um arquivo.
O prefixo da URL especifica o sistema de arquivos. Passe o mouse sobre os vários
botões na figura para exibir os prefixos mais comuns e a sintaxe associada a cada um
deles.
Exibir meio visual
Página 3:
Comandos para gerenciar arquivos de configuração

A boa prática para manter a disponibilidade do sistema é assegurar que você sempre
tenha cópias de backup dos arquivos de configuração de inicialização e dos arquivos de
imagem do IOS. O comando copy do IOS Cisco é utilizado para mover arquivos de
configuração de um componente ou dispositivo para outro, como RAM, NVRAM ou
um servidor TFTP. A figura realça a sintaxe do comando.

A seguir, exemplos da utilização comum do comando copy. Os exemplos listam dois


métodos para realizar as mesmas tarefas. O primeiro exemplo é uma sintaxe simples e o
segundo exemplo fornece um exemplo mais explícito.

Copie a configuração em execução da RAM para a configuração de inicialização na


NVRAM:

R2# copy running-config startup-config

R2# copy system:running-config nvram:startup-config

Copie a configuração em execução da RAM para um local remoto:

R2# copy running-config tftp:

R2# copy system:running-config tftp:

Copie uma configuração de uma origem remota para a configuração em execução:

R2# copy tftp: running-config

R2# copy tftp: system:running-config

Copie uma configuração de uma origem remota para a configuração de inicialização:

R2# copy tftp: startup-config

R2# copy tftp: nvram:startup-config


Exibir meio visual
Página 4:
Convenções de nomenclatura do arquivo do IOS Cisco

O arquivo de imagem do IOS Cisco se baseia em uma convenção de nomenclatura


especial. O nome do arquivo de imagem do IOS Cisco contém várias partes, cada uma
com um significado específico. É importante que você compreenda essa convenção de
nomenclatura ao atualizar e escolher um IOS.

Por exemplo, o nome de arquivo na figura é explicado da seguinte forma:

A primeira parte, c1841, identifica a plataforma na qual a imagem é executada. Nesse


exemplo, a plataforma é Cisco 1841.

A segunda parte, ipbase, especifica o conjunto de recursos. Nesse caso, "ipbase" se


refere à imagem de rede IP básica. Entre outras possibilidades do conjunto de recursos
estão:

i – designa o conjunto de recursos IP

j – designa o conjunto de recursos enterprise (todos os protocolos)

s – designa um conjunto de recursos PLUS (enfileiramento extra, manipulação ou


traduções)

56i – designa a criptografia DES IPsec de 56 bits

3 – designa o firewall/IDS

k2 – designa a criptografia IPsec 3DES (168 bits)

A terceira parte, mz, indica onde a imagem é executada e se o arquivo está compactado.
Nesse exemplo, "mz" indica que o arquivo é executado na RAM e está compactado.

A quarta parte, 12.3-14.T7, é o número de versão.

A parte final, bin, é a extensão do arquivo. A extensão .bin indica que esse é um
arquivo executável binário.
Exibir meio visual
4.5.3 Imagens do IOS Cisco gerenciadas pelo TFTP

Página 1:
Utilizando servidores TFTP para gerenciar imagens do IOS Cisco

As redes interconectadas de produção normalmente abrangem grandes áreas e contêm


vários roteadores. É uma tarefa importante de um administrador sempre atualizar as
imagens do IOS Cisco sempre que explorações e vulnerabilidades forem detectadas.
Também é uma boa prática assegurar que todas as suas plataformas estejam executando
a mesma versão de software IOS Cisco sempre que possível. Por fim, para qualquer
rede, é sempre prudente reter uma cópia de backup da imagem do software IOS Cisco
caso a imagem do sistema no roteador seja corrompida ou apagada acidentalmente.

Roteadores muito espalhados precisam de uma origem ou local de backup para imagens
do software IOS Cisco. A utilização de um servidor TFTP de rede permite uploads e
downloads de imagem e configuração pela rede. O servidor TFTP de rede pode ser
outro roteador, uma estação de trabalho ou um sistema de host.

Na medida em que uma rede cresce, o armazenamento das imagens do software IOS
Cisco e dos arquivos de configuração no servidor TFTP central permite controlar o
número e o nível de revisão das imagens do IOS Cisco, além dos arquivos de
configuração que devem ser mantidos.

Antes de alterar uma imagem do IOS Cisco no roteador, você precisa concluir estas
tarefas:

• Determinar a memória obrigatória para a atualização e, se necessário, instalar a


memória adicional.
• Configurar e testar o recurso de transferência de arquivos entre o host do
administrador e o roteador.
• Programar a indisponibilidade obrigatória, normalmente fora do horário
comercial, para o roteador executar a atualização.

Quando você estiver pronto para fazer a atualização, execute estas etapas:

• Desativar todas as interfaces no roteador em que não precisa haver a atualização.


• Fazer backup do sistema operacional atual e do arquivo de configuração atual
para um servidor TFTP.
• Carregar a atualização no sistema operacional ou no arquivo de configuração.
• Testar para confirmar se a atualização funciona corretamente. Se os testes
tiverem êxito, você poderá reabilitar as interfaces que desabilitou. Se os testes
não tiverem êxito, faça o backup da atualização, determine o que saiu errado e
recomece.
Um grande desafio para operadores de rede de rede será minimizar a indisponibilidade
depois que um roteador for comprometido e o sistema operacional e os dados de
configuração tiverem sido apagados do backup. O operador deve recuperar uma cópia
arquivada (se houver) da configuração e deve restaurar uma imagem funcional no
roteador. A recuperação deve ser executada para todos os roteadores afetados, que
adiciona indisponibilidade total à rede.

Lembre-se de que o recurso de configuração flexível do software IOS Cisco permite um


roteador proteger e manter uma cópia funcional da imagem do sistema operacional em
execução e a configuração para que esses arquivos consigam suportar tentativas
maliciosas de apagar o conteúdo do backup (NVRAM e memória flash).
Exibir meio visual

4.5.4 Fazendo backup e atualizando a imagem do software

Página 1:
Fazendo backup da imagem do software IOS

Entre as tarefas básicas de gerenciamento estão gravar backups dos seus arquivos de
configuração, bem como fazer download e instalar arquivos de configuração
melhorados quando houver orientação para isso. Um arquivo de imagem de backup do
software é criado copiando-se o arquivo de imagem de um roteador para um servidor
TFTP na rede.

Para copiar um software de imagem do IOS Cisco da memória flash para o servidor
TFTP em rede, você deve seguir estas etapas sugeridas.

Clique nos botões Topologia e Config na figura na medida em que avança cada
etapa.

Etapa 1. Executar ping no servidor TFTP para ter certeza de que você possui acesso a
ele.

Etapa 2. Verificar se o servidor TFTP tem espaço em disco suficiente para acomodar a
imagem do software IOS Cisco. Utilize o comando show flash: no roteador para
determinar o tamanho do arquivo de imagem do IOS Cisco.

O comando show flash: é uma ferramenta importante para coletar informações sobre a
memória do roteador e o arquivo de imagem. Ele pode determinar o seguinte:

• Quantidade total de memória flash no roteador


• Memória flash disponível
• Nome de todos os arquivos armazenados na memória flash

Com as etapas 1 e 2 concluídas, agora faça o backup da imagem do software.

Etapa 3. Copiar o arquivo de imagem do sistema atual do roteador para o servidor


TFTP na rede, utilizando o comando copy flash: tftp: no modo EXEC privilegiado. O
comando exige que você digite o endereço IP do host remoto e o nome dos arquivos de
imagem de origem e de destino.

Durante o processo de cópia, pontos de exclamação (!) indicam o progresso. Cada ponto
de exclamação significa que um segmento UDP foi transferido com êxito.
Exibir meio visual

Página 2:
Atualizando imagens do software IOS Cisco

A atualização de um sistema para versão de software mais nova exige o carregamento


de um arquivo de imagem do sistema diferente no roteador. Utilize o comando copy
tftp: flash: para fazer o download da nova imagem a partir do servidor TFTP na rede.

Clique no botão Config na figura.

O comando solicita a você digitar o endereço IP do host remoto e o nome dos arquivos
de imagem de origem e de destino. Digite o nome do arquivo apropriado da imagem de
atualização da mesma forma como ele é exibido no servidor.

Depois que essas entradas forem confirmadas, o prompt Erase flash: será exibido.
Apagar a memória flash libera espaço para a nova imagem. Apague a memória flash se
não houver espaço suficiente para mais de uma imagem do IOS Cisco. Se nenhuma
memória flash livre estiver disponível, a rotina de exclusão será obrigatória antes da
cópia de novos arquivos. O sistema informa essas condições e solicita uma resposta.

Cada ponto de exclamação (!) significa que um segmento UDP foi transferido com
êxito.

Nota: verifique se a imagem do IOS Cisco carregada é apropriada à plataforma do


roteador. Se a imagem do IOS Cisco errada estiver carregada, o roteador não poderá ser
inicializado, o que exige a intervenção do monitor ROM (ROMmon).
Exibir meio visual
Página 3:
Nesta atividade, você irá configurar o acesso a um servidor TFTP e carregar uma
imagem mais nova e mais avançada do IOS Cisco. Embora o Packet Tracer simule a
atualização da imagem do IOS Cisco em um roteador, o Packet Tracer não simula o
backup de uma imagem do IOS Cisco no servidor TFTP. Além disso, embora a imagem
de atualização seja mais avançada, essa simulação do Packet Tracer não refletirá a
atualização, habilitando comandos mais avançados. O mesmo conjunto de comandos do
Packet Tracer ainda estará em vigor.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

4.5.5 Recuperando imagens de software

Página 1:
Restaurando imagens do software IOS Cisco

Um roteador não pode funcionar sem seu software IOS Cisco. Caso o IOS seja excluído
ou corrompido, um administrador deve copiar uma imagem para o roteador para que ele
volte a ficar operacional

Um método para realizar isso seria utilizar a imagem do IOS Cisco salva anteriormente
no servidor TFTP. No exemplo da figura, foi feito o backup da imagem do IOS de R1
em um servidor TFTP conectado a R2. R1 não pode chegar a esse servidor TFTP em
seu estado atual.

Quando um IOS em um roteador for excluído acidentalmente da memória flash, o


roteador continuará operacional porque o IOS está em execução na RAM. No entanto, é
essencial que o roteador não seja reinicializado neste momento porque ele não seria
capaz de localizar um IOS válido na memória flash.

Na figura, o IOS do roteador R1 foi excluído acidentalmente da memória flash.


Infelizmente, o roteador foi reinicializado e não consegue mais carregar um IOS. Agora
ele carrega o prompt do ROMmon por padrão. Enquanto estiver nesse estado, o roteador
R1 precisa recuperar o IOS, que foi copiado para o servidor TFTP conectado ao R2.
Nesse cenário, o TFTP será conectado diretamente ao roteador R1. Com as preparações
no servidor TFTP, realize o procedimento a seguir.
Etapa 1. Conecte os dispositivos.

• Conecte o PC do administrador de sistema à porta de console do roteador


afetado.
• Conecte o servidor TFTP à primeira porta Ethernet do roteador. Na figura, como
R1 é um Cisco 1841, a porta é Fa0/0. Habilite o servidor TFTP e configure-o
com um endereço IP estático 192.168.1.1/24.

Etapa 2. Inicializar o roteador e definir as variáveis do ROMmon.

Como o roteador não tem uma imagem válida do IOS Cisco, o roteador inicializa
automaticamente no modo ROMmon. Há pouquíssimos comandos disponíveis no modo
ROMmon. Você pode exibir esses comandos, digitando-se ? no prompt de comando
rommon>.

Você deve inserir todas as variáveis listadas na figura. Quando você inserir as variáveis
no ROMmon, esteja atento ao seguinte:

• Os nomes de variável diferenciam maiúsculas de minúsculas.


• Não inclua nenhum espaço antes ou depois do símbolo =.
• Sempre que possível, utilize um editor de texto para recortar e colar as variáveis
na janela do terminal. Toda a linha deve ser digitada com precisão.
• As teclas de navegação não são operacionais.

Agora o Roteador R1 deve ser configurado com os valores apropriados para se conectar
ao servidor TFTP. A sintaxe dos comandos do ROMmon é muito crucial. Embora os
endereços IP, a máscara de sub-rede e o nome da imagem na figura sejam apenas
exemplos, é essencial que a sintaxe exibida seja seguida durante a configuração do
roteador. Lembre-se de que as variáveis reais irão mudar de acordo com a sua
configuração.

Quando você tiver inserido as variáveis, passe à próxima etapa.

Etapa 3. Digitar o comando tftpdnld no prompt do modo ROMmon.

O comando exibe as variáveis de ambiente obrigatórias e adverte que todos os dados


existentes na memória flash serão apagados. Digite y para continuar e pressione Enter.
O roteador tenta se conectar ao servidor TFTP para iniciar o download. Quando
conectado, o download começa conforme a indicação pelos pontos de exclamação (!).
Cada ! indica que um segmento UDP foi recebido pelo roteador.
Você pode utilizar o comando reset para reiniciar o roteador com a nova imagem do
IOS Cisco.
Exibir meio visual

Página 2:
Utilizando xmodem para restaurar uma imagem do IOS Cisco

A utilização do comando tftpdnld é uma forma muito rápida de copiar o arquivo de


imagem. Outro método para restaurar uma imagem do IOS Cisco para um roteador é
utilizando Xmodem. No entanto, a transferência de arquivos é realizada utilizando-se o
cabo de console e, por isso, é muito lenta quando comparada com o comando tftpdnld.

Se a imagem do IOS Cisco for perdida, o roteador entrará no modo ROMmon durante a
inicialização. O ROMmon dá suporte a Xmodem. Com esse recurso, o roteador pode se
comunicar com um aplicativo de emulação de terminal, como HyperTerminal, no PC de
um administrador de sistema. Um administrador de sistema que tenha uma cópia da
imagem do IOS Cisco em um PC pode restaurá-la no roteador, estabelecendo uma
conexão de console entre o PC e o roteador e executando o Xmodem no
HyperTerminal.

As etapas que o administrador segue são mostradas na figura.

Etapa 1. Conectar o PC do administrador de sistema à porta console no roteador


afetado. Abra uma sessão de emulação de terminal entre o roteador R1 e o PC do
administrador de sistema.

Etapa 2. Inicializar o roteador e emitir o comando xmodem no prompt de comando do


modo ROMmon.

A sintaxe do comando é xmodem [-cyr] [filename]. A opção cyr varia de acordo com a
configuração. Por exemplo, -c especifica CRC-16, y especifica o protocolo Ymodem e r
copia a imagem para a RAM. O nome de arquivo é o do arquivo a ser transferido.

Aceite todos os prompts quando solicitado, conforme mostrado na figura.

Etapa 3. A figura mostra o processo de envio de um arquivo utilizando HyperTerminal.


Neste caso, escolha Transfer > Send File.

Etapa 4. Navegue até o local da imagem do IOS Cisco que você deseja transferir e
escolha o protocolo Xmodem. Clique em Send. Uma caixa de diálogo é exibida com o
status do download. Demora vários segundos para que o host e o roteador comecem a
transferência das informações.
Assim que o download começa, os campos Pacote e Decorrido são incrementados.
Anote o indicador de tempo restante estimado. O tempo de download poderia ser muito
maior se você alterasse a velocidade da conexão do HyperTerminal e do roteador de
9.600 b/s para 115.000 b/s.

Quando a transferência for concluída, o roteador será reiniciado automaticamente com o


novo IOS Cisco.
Exibir meio visual

4.5.6 Identificação e solução de problemas de configurações do IOS Cisco

Página 1:
Comandos de identificação e solução de problemas do IOS Cisco

Quando você tiver uma imagem do IOS Cisco válida em execução em todos os
roteadores na rede e todas as configurações tiverem backup, você poderá ajustar as
configurações manualmente para dispositivos individuais a fim de melhorar o
desempenho na rede.

Dois comandos muito utilizados na administração de rede diária são show e debug. A
diferença entre os dois é significativa. Um comando show lista os parâmetros
configurados e seus valores. O comando debug permite rastrear a execução de um
processo. Utilize o comando show para verificar as configurações. Utilize o comando
debug para identificar o tráfego que passa pelas interfaces e processado pelo roteador.

A figura resume as características dos comandos show e debug. O melhor momento


para obter informações sobre a saída gerada por esses comandos será quando uma rede
estiver totalmente operacional. Dessa forma, você conseguirá reconhecer o que está
faltando ou está incorreto ao utilizar os comandos para identificar e solucionar
problemas de uma rede.
Exibir meio visual

Página 2:
Utilizando o comando show

O comando show exibe informações estáticas. Utilize os comandos show ao coletar


fatos para isolar problemas em redes interconectadas, inclusive problemas com
interfaces, nós, mídias, servidores, clientes ou aplicativos. Você também pode usá-lo
sempre para confirmar se as alterações feitas na configuração foram implementadas.
A figura fornece um exemplo do comando show protocols. O guia de comandos do IOS
Cisco lista 1.463 comandos show. Quando você estiver no prompt de comando, digite
show ? para obter uma lista de comandos show disponíveis para o nível e o modo de
operação.
Exibir meio visual

Página 3:
Utilizando o comando debug

Ao configurar um roteador, os comandos que você digita iniciam muito mais processos
do que os que você vê na linha de código simples. Por isso, o rastreamento das suas
configurações digitadas linha por linha não revela todas as possibilidades de erro. Em
vez disso, você precisa de uma forma de capturar dados dos dispositivos à medida que
cada etapa em um processo em execução é iniciado.

Por padrão, o roteador envia a saída dos comandos debug e as mensagens de erro do
sistema para a console. Lembre-se de que você pode redirecionar a saída do comando
debug para um servidor syslog.

Nota: a saída do comando de depuração recebe prioridade alta na fila de processos da


CPU e, por isso, pode interferir em processos de produção normais em uma rede. Por
isso, utilize comandos debug durante momentos de inatividade e somente para
identificar e solucionar problemas específicos.

O comando debug exibe dados e eventos dinâmicos. Utilize o debug para verificar o
fluxo do tráfego de protocolo em busca de problemas, bugs em protocolo ou
configurações incorretas. O comando debug fornece um fluxo de informações sobre o
tráfego visto (ou não) em uma interface, mensagens de erro geradas por nós na rede,
pacotes de diagnóstico específicos de protocolo e outros dados de identificação e
solução de problemas. Utilize comandos debug quando as operações no roteador ou na
rede precisarem ser exibidas para determinar se eventos ou pacotes estão funcionando
corretamente.

Todos os comandos debug são digitados no modo EXEC privilegiado, e a maioria dos
comandos debug não tem nenhum argumento. Para listar e ver uma descrição resumida
de todas as opções de comando de depuração, digite debug ? no modo EXEC
privilegiado.

Cuidado: é importante desativar a depuração quando você terminar a identificação e


solução de problemas. A melhor forma de assegurar que não haja nenhuma operação de
depuração prolongada é utilizando o comando no debug all.
Exibir meio visual
Página 4:
Considerações durante a utilização do comando debug

Um caso é utilizar comandos debug para identificar e solucionar problemas em uma


rede de laboratório sem o tráfego do aplicativo de usuário final. Outro caso é utilizar os
comandos debug em uma rede de produção da qual usuários dependem para o fluxo de
dados. Sem as precauções apropriadas, o impacto de um comando debug poderia piorar
as coisas.

Com a utilização apropriada, seletiva e temporária dos comandos debug, você pode
obter informações possivelmente úteis sem precisar de um analisador de protocolo ou de
outra ferramenta de terceiros.

Outras considerações para a utilização dos comandos debug são as seguintes:

• Quando as informações necessárias do comando debug são interpretadas e a


depuração (e qualquer outra configuração relacionada, se houver) for concluída,
o roteador poderá retomar sua comutação mais rápidamente. A solução de
problemas pode ser reiniciada, um melhor plano de ação pode ser criado e o
problema da rede, resolvido.
• Saiba que os comandos debug podem gerar muito mais dados do que a pouca
utilização para um determinado problema. Normalmente, o conhecimento do
protocolo ou dos protocolos em depuração é obrigatório para a interpretação
apropriada das saídas do comando debug.
• Ao utilizar ferramentas de identificação e solução de problemas debug, lembre-
se de que os formatos da saída do comando variam de acordo com cada
protocolo. Alguns geram uma única linha de saída do comando por pacote,
outros geram várias linhas de saída do comando por pacote. Alguns comandos
debug geram grandes quantidades de saída de comando; outros só geram saída
de comando ocasional. Alguns geram linhas de texto e outros geram
informações no formato de campo.
Exibir meio visual

Página 5:
Comandos relacionados ao comando debug

Para utilizar as ferramentas de depuração efetivamente, você deve considerar o seguinte:

• Impacto que uma ferramenta de identificação e solução de problemas tem no


desempenho do roteador
• Utilização mais seletiva e concentrada da ferramenta de diagnóstico
• Como minimizar o impacto da identificação e solução de problemas em outros
processos que competem pelos recursos no dispositivo de rede
• Como parar a ferramenta de identificação e solução de problemas quando o
diagnóstico for concluído para que o roteador possa retomar sua comutação mais
eficiente

Para otimizar a utilização eficiente do comando debug, estes comandos podem ajudar:

• O comando service timestamps é utilizado para adicionar um registro de data e


hora a uma mensagem de depuração ou log. Esse recurso pode fornecer
informações importantes sobre quando houve elementos de depuração e o tempo
entre os eventos.
• O comando show processes exibe a utilização da CPU para cada processo.
Esses dados podem influenciar decisões sobre a utilização de um comando
debug se indicarem que o sistema de produção já está sendo muito utilizado na
adição de um comando debug.
• O comando no debug all desabilita todos os comandos debug. Esse comando
pode liberar recursos do sistema depois que você conclui a depuração.
• O comando terminal monitor exibe a saída do comando debug e as mensagens
de erro do sistema do terminal e da sessão atuais. Ao executar Telnet em um
dispositivo e emitir um comando debug, você não verá nenhuma saída do
comando, a menos que esse comando seja digitado.
Exibir meio visual

4.5.7 Recuperando uma senha de roteador

Página 1:
Sobre a recuperação de senha

Você já se esqueceu da senha de um roteador? Talvez não, mas algum dia na sua
carreira, você certamente conhecerá alguém que se esquecerá e precisará recuperá-la.

A primeira coisa que precisa saber sobre a recuperação de senha é que, por razões de
segurança, você deve ter acesso físico ao roteador. Você conecta o seu PC ao roteador
por meio de um cabo de console.

As senhas enable password e enable secret password protegem o acesso aos modos
EXEC privilegiado e de configuração. A enable password pode ser recuperada, mas a
enable secret é criptografada, devendo ser substituída por uma nova senha.

O registro de configuração é um conceito sobre qual você obterá mais informações


posteriormente nos seus estudos. O registro de configuração é semelhante às
configuração da BIOS do seu PC, que controlam o processo de inicialização. Entre
outras coisas, a BIOS informa ao PC que disco rígido inicializar. Em um roteador, um
registro de configuração, representado por um único valor hexadecimal, informa ao
roteador que etapas específicas executar quando ligá-lo. Os registros de configuração
têm muitas utilizações e a recuperação de senha costuma ser a mais utilizada.
Exibir meio visual

Página 2:
Procedimento de recuperação de senha do roteador

Para recuperar a senha de um roteador, faça o seguinte:

Preparar o dispositivo

Etapa 1. Conectar-se à porta de console.

Etapa 2. Mesmo perdida a enable password, ainda assim você teria acesso ao modo
EXEC usuário. Digite show version no prompt e grave a definição do registro de
configuração.

R>#show version
<saída do comando show omitida>
Configuration register is 0x2102
R1>

O registro de configuração normalmente é definido como 0x2102 ou 0x102. Se não


puder mais acessar o roteador (porque um login ou uma senha TACACS foi perdido),
você poderá supor tranquilamente que o registro de configuração esteja definido como
0x2102.

Etapa 3. Utilizar a chave liga/desliga para desligar o roteador e ligá-lo novamente.

Etapa 4. Emita um sinal de break no terminal em 60 segundos após ligar o roteador no


ROMmon. Um sinal de break é enviado utilizando uma sequência de chaves de
interrupção apropriada ao programa terminal e ao sistema operacional.

Clique no botão Ignorar inicialização na figura.

Etapa 5. Digitar confreg 0x2142 no prompt rommon 1>. Isso faz o roteador ignorar a
configuração de inicialização na qual a enable password esquecida é armazenada.
Etapa 6. Digitar reset no prompt rommon 2>. O roteador é reinicializado, mas ignora a
configuração salva.

Etapa 7. Digitar no depois de cada pergunta de configuração ou pressionar Ctrl-C para


ignorar o procedimento de configuração inicial.

Etapa 8. Digitar enable no prompt Router>. Isso leva você ao modo enable, devendo
ser capaz de ver o prompt Router#.

Clique no botão Acessar NVRAM na figura.

Etapa 9. Digitar copy startup-config running-config para copiar o conteúdo da


NVRAM para a memória RAM. Tome cuidado! Não digite copy running-config
startup-config, ou você apagará a sua configuração de inicialização.

Etapa 10. Digitar show running-config. Nessa configuração, o comando shutdown é


exibido em todas as interfaces porque todas elas estão desativadas no momento. Mas o
mais importante é que agora você pode ver as senhas (enable password, enable secret,
vty, console) nos formatos criptografado ou não-criptografado. Você pode reutilizar
senhas não-criptografadas. Você deve alterar senhas criptografadas para uma nova
senha.

Clique no botão Redefinir senhas na figura.

Etapa 11. Digitar configure terminal. O prompt R1(config)# é exibido.

Etapa 12. Digitar enable secret password para alterar a senha enable secret. Por
exemplo:

R1(config)# enable secret cisco

Etapa 13. Emitir o comando no shutdown em todas as interfaces desejadas. Você pode
emitir um comando show ip interface brief para confirmar se a configuração da sua
interface está correta. Todas as interfaces que você deseja usar devem ser exibidas como
ativadas.

Etapa 14. Digitar config-register configuration_register_setting.


configuration_register_setting é o valor registrado na Etapa 2 ou 0x2102. Por exemplo:

R1(config)#config-register 0x2102
Etapa 15. Pressionar Ctrl-Z ou digitar end para sair do modo de configuração. O
prompt R1# é exibido.

Etapa 16. Digitar copy running-config startup-config para confirmar as alterações.

Agora você concluiu a recuperação de senha. A digitação do comando show version irá
confirmar que o roteador utilizará a definição do registro de configuração configurado
na próxima reinicialização.
Exibir meio visual

4.6 Laboratórios do capítulo


4.6.1 Configuração básica de segurança

Página 1:
Neste laboratório, você irá aprender a configurar a segurança básica de rede usando a
rede mostrada no diagrama de topologia. Você saberá como configurar a segurança do
roteador de três maneiras diferentes: utilizando a CLI, o recurso auto-secure e o Cisco
SDM. Você também aprenderá a gerenciar o software IOS Cisco.
Exibir meio visual

4.6.2 Configuração avançada de segurança

Página 1:
Neste laboratório, você irá configurar a segurança usando a rede mostrada no diagrama
de topologia. Se você precisar de assistência, consulte o laboratório básico de
segurança. No entanto, tente fazer o máximo possível. Para este laboratório, não use a
proteção por senha ou login em nenhuma linha de console porque isso pode causar o
logout acidental. No entanto, você ainda deve proteger a linha de console usando outros
meios. Utilize ciscoccna em todas as senhas deste laboratório.
Exibir meio visual

4.6.3 Identificação e solução de problemas de configuração de segurança

Página 1:
Sua empresa contratou recentemente um novo engenheiro de rede que criou alguns
problemas de segurança na rede com configurações incorretas e omissões. Seu chefe lhe
pediu para corrigir os erros que o novo engenheiro cometeu ao configurar os roteadores.
Enquanto corrige os problemas, verifique se todos os dispositivos estão seguros, mas
ainda acessíveis para administradores, e que todas as redes são alcançáveis. Todos os
roteadores devem ser acessíveis com SDM do PC1. Verificar se um dispositivo é seguro
usando ferramentas como Telnet e ping. O uso não autorizado dessas ferramentas deve
ser bloqueado. Por outro lado, o uso autorizado deve ser permitido. Para este
laboratório, não use a proteção por login ou senha em nenhuma linha de console para
impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.
Exibir meio visual

4.7 Resumo do capítulo


4.7.1 Resumo do capítulo

Página 1:
A importância da segurança de rede não pode ser subestimada. Este capítulo enfatizou a
importância de desenvolver uma política de segurança efetiva e de aceitar o que ela
exige que você faça. Você conhece as ameaças à sua rede, tanto internas quanto
externas, e sabe as etapas básicas que você precisa executar para se proteger dessas
ameaças. Além disso, agora você compreende os requisitos para equilibrar segurança
em relação a acesso.

Os ataques de rede vêm de todas as direções e de muitas formas. Os ataques de senha


são fáceis de iniciar e fáceis de se conter. As táticas da engenharia social exigem que os
usuários desenvolvam um determinado nível de desconfiança e cuidado. Quando
consegue acesso à rede, um atacante podem literalmente abrir todos os trincos. Mas os
atacantes nem sempre obtêm acesso para acabar com tudo. Os ataques de negação de
serviço podem ser iniciados, sobrecarregando os recursos de rede ao ponto em que não
conseguem mais funcionar. Worms, vírus e cavalos-de-Troia podem penetrar redes e
continuar se espalhando e infectando os dispositivos.

Uma das principais tarefas na proteção de uma rede é proteger os roteadores. Os


roteadores são o gateway da rede, sendo os alvos óbvios. Conversas administrativas
básicas incluindo segurança física, manutenção do IOS e backup dos arquivos de
configuração já são um começo. O software IOS Cisco fornece vários recursos de
segurança para proteger roteadores e bloquear acessosos por portas e serviços utilizados,
e a maioria deles pode ser feito utilizando-se o recurso de bloqueio em uma etapa do
Cisco SDM.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Esta atividade é uma revisão cumulativa do capítulo que abrange o roteamento e a
autenticação de OSPF e a atualização da imagem do IOS Cisco.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

4.8 Teste do capítulo


4.8.1 Teste do capítulo

Página 1:
Exibir meio visual

5 ACLs
5.0 Introdução
5.0.1 Introdução

Página 1:
Segurança de rede é um assunto enorme, e grande parte dele está além do escopo deste
curso. No entanto, uma das habilidades mais importantes das quais um administrador de
rede precisa é dominar as listas de controle de acesso (ACLs). Os administradores
utilizam as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado
enquanto interrompe todo o restante do tráfego em suas redes. Este capítulo inclui uma
oportunidade para desenvolver o seu domínio de ACLs com uma série de lições,
atividades e exercícios de laboratório.

Os designers de rede utilizam firewalls para proteger redes do uso não autorizado. Os
firewalls são soluções em hardware ou software que aplicam políticas de segurança de
rede. Considere uma trava na porta de um quarto dentro de um edifício. A trava só
permite que usuários autorizados com uma chave ou cartão de acesso abram a porta. Da
mesma forma, um firewall filtra pacotes não autorizados ou potencialmente perigosos
para que não entrem na rede. Em um roteador Cisco, você pode configurar um firewall
simples que forneça recursos de filtragem de tráfego básicos utilizando ACLs.

Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam
a endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficiente
de controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs para
todos os protocolos de rede roteados.

A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede.
Este capítulo explica como utilizar ACLs padrão e estendidas como parte de uma
solução em segurança e ensina como configurá-las em um roteador Cisco. Dicas,
considerações, recomendações e diretrizes gerais sobre como utilizar ACLs são
incluídas.
Exibir meio visual

5.1 Utilizando as ACLs para proteger redes


5.1.1 Uma conversa TCP

Página 1:
As ACLs permitem controlar o tráfego dentro e fora da sua rede. Esse controle pode ser
tão simples quanto permitir ou negar hosts de rede ou endereços. No entanto, as ACLs
também podem ser configuradas para controlar o tráfego da rede com base na porta TCP
utilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar
o diálogo que ocorre durante uma conversa TCP quando você faz o download de uma
página da Web no seu computador.

Quando você solicita dados de um servidor Web, o IP cuida da comunicação entre o PC


e o servidor. O TCP cuida da comunicação entre o seu navegador (aplicativo) e o
software do servidor de rede. Quando você envia um email, observa uma página da Web
ou faz o download de um arquivo, o TCP é responsável por dividir os dados em pacotes
IP para que eles sejam enviados, além de montar os dados a partir dos pacotes quando
eles chegam. O processo TCP é muito semelhante a uma conversa na qual dois nós em
uma rede concordam em transmitir dados entre um e o outro.

Lembre-se de que o TCP fornece um serviço de fluxo de bytes confiável, orientado à


conexão. O termo orientado a conexão significa que os dois aplicativos que utilizam o
TCP devem estabelecer uma conexão TCP para que eles possam trocar dados. TCP é
um protocolo em full duplex, o que significa que cada conexão TCP dá suporte a um par
de fluxos de bytes, cada um com fluxo em uma direção. O TCP inclui um mecanismo
de controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos
dados o remetente pode transmitir. O TCP também implementa um mecanismo de
controle de congestionamento.

Clique no botão Reproduzir na figura para exibir a animação.

A animação mostra como ocorre uma conversa TCP/IP. Os pacotes TCP são marcados
com flags que denotam sua finalidade: SYN inicia (sincroniza) a sessão; ACK é uma
confirmação (ACK) de que o pacote aguardado foi recebido e FIN encerra a sessão.
SYN/ACK confirma que a transferência foi sincronizada. Entre os segmentos de dados
TCP estão o protocolo de nível mais alto necessário ao direcionamento dos dados de
aplicativo para o aplicativo correto.

Clique no botão Números de porta TCP/UDP na figura.

O segmento de dados TCP também identifica a porta correspondente ao serviço


solicitado. Por exemplo, HTTP é a porta 80, SMTP é a porta 25 e FTP é a porta 20 e 21.
A figura mostra exemplos de portas UDP e TCP.
Clique nos botões da figura para explorar portas TCP/UDP.
Exibir meio visual

5.1.2 Filtragem de pacote

Página 1:
A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla o
acesso a uma rede, analisando os pacotes de entrada e de saída e transmitindo ou
paralisando-os com base em critérios informados.

Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de


acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de
pacote, o roteador extrai determinadas informações do cabeçalho do pacote e toma
decisões de acordo com as regras do filtro quanto à possibilidade do pacote ser
transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelo
de referência OSI ou na camada de Internet do TCP/IP.

Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras


para determinar se deve permitir ou negar tráfego com base nos endereços IP de origem
e de destino, na porta de origem e na porta de destino, além do protocolo do pacote.
Essas regras são definidas utilizando-se listas de controle de acesso ou ACLs.

Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou


negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode
extrair as seguintes informações do cabeçalho do pacote, testá-lo em relação às suas
regras e tomar decisões "permitir" ou "negar" com base em:

• Endereço IP de origem
• Endereço IP de destino
• Tipo de mensagem ICMP

A ACL também pode extrair informações de camada superior e testá-las em relação às


suas regras. Entre as informações da camada superior estão:

• Porta de origem TCP/UDP


• Porta de destino TCP/UDP

Clique nos botões da figura para obter uma visão geral de como uma ACL permite ou
nega um pacote. Embora as animações exibam a filtragem de pacote que ocorre na
Camada 3, é preciso observar que a filtragem também poderia ocorrer na Camada 4.
Exibir meio visual
Página 2:
Exemplo de filtragem de pacote

Para compreender o conceito de como um roteador utiliza a filtragem de pacote,


imagine que um segurança foi colocado diante de uma porta fechada. As instruções do
segurança são para permitir apenas as pessoas cujos nomes estão em uma lista para
passar pela porta. O segurança está filtrando as pessoas com base nos critérios da
presença de seus nomes na lista autorizada.

Por exemplo, você poderia dizer, "Só permita acesso à Web para usuários da rede A.
Negue acesso à Web para usuários da rede B, mas permita a eles todos os demais
acessos". Consulte a figura para examinar o caminho de decisão utilizado pelo filtro de
pacote para realizar essa tarefa.

Para esse cenário, o filtro de pacote observa todos os pacotes da seguinte forma:

• Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele terá
permissão para passar. Todos os demais acessos são negados para esses
usuários.
• Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele será
bloqueado. No entanto, todos os demais acessos são permitidos.

Este é apenas um simples exemplo. Você pode configurar várias regras para ainda
permitir ou negar serviços a usuários específicos. Você também pode filtrar pacotes no
nível de porta utilizando uma ACL estendida, abordada na Seção 3.
Exibir meio visual

5.1.3 O que é ACL?

Página 1:
ACL é um script de configuração de roteador que controla se um roteador permite ou
nega a passagem a pacotes com base nos critérios encontrados no cabeçalho de pacote.
As ACLs estão entre os objetos mais utilizados no software IOS Cisco. As ACLs
também são utilizadas para selecionar tipos de tráfego a ser analisado, encaminhado ou
processado de outras formas.

Na medida em que cada pacote passa por uma interface com uma ACL associada, a
ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão
correspondente ao pacote de entrada. A ACL aplica uma ou mais políticas de segurança
corporativas, aplicando uma regra de permissão ou negação para determinar o destino
do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-
rede.
Por padrão, um roteador não tem nenhuma ACL configurada e, por isso, não filtra o
tráfego. O tráfego que entra no roteador é roteado de acordo com a tabela de
roteamento. Se você não utilizar as ACLs no roteador, todos os pacotes que puderem ser
roteados pelo roteador passarão pelo roteador até o próximo segmento de rede.

Aqui estão algumas diretrizes para utilizar ACLs:

• Utilize as ACLs em roteadores de firewall colocados entre as suas redes interna


e externa, como a Internet.
• Utilize as ACLs em um roteador colocado entre duas partes da sua rede para
controlar o tráfego que entra ou sai de uma determinada parte da sua rede
interna.
• Configure as ACLs em roteadores de borda (roteadores situados nas
extremidades das suas redes). Isso fornece um buffer muito básico da rede
externa ou entre uma área menos controlada da sua própria rede e uma área mais
confidencial da sua rede.
• Configure as ACLs para cada protocolo de rede configurado nas interfaces do
roteador de borda. Você pode configurar as ACLs em uma interface para filtrar o
tráfego de entrada, o tráfego de saída ou ambos.

Clique no botão ACLs em um roteador na figura.

Os três Ps

Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta
memorizar os três Ps. Você pode configurar uma ACL por protocolo, por direção, por
interface:

• Uma ACL por protocolo – para controlar o fluxo de tráfego em uma interface,
uma ACL deve ser definida para cada protocolo habilitado na interface.
• Uma ACL por direção – as ACLs controlam o tráfego em uma direção por vez
em uma interface. Duas ACLs separadas devem ser criadas para controlar os
tráfegos de entrada e de saída.
• Uma ACL por interface – as ACLs controlam o tráfego de uma interface, por
exemplo, Fast Ethernet 0/0.

Escrever ACLs pode ser uma tarefa desafiante e complexa. Cada interface pode ter
vários protocolos e direções definidas. O roteador no exemplo tem duas interfaces
configuradas para IP, AppleTalk e IPX. Esse roteador pode exigir 12 ACLs separadas:
uma ACL para cada protocolo, duas para cada direção e duas para o número de portas.

As ACLs executam as seguintes tarefas:


• Limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo,
se a política corporativa não permitir tráfego de vídeo na rede, as ACLs que
bloqueiam o tráfego de vídeo poderão ser configuradas e aplicadas. Isso
reduziria muito a carga de rede e aumentaria o desempenho da rede.
• Fornecer controle de fluxo do tráfego. As ACLs podem restringir a entrega das
atualizações de roteamento. Se as atualizações não forem obrigatórias por conta
das condições de rede, a largura de banda será preservada.
• Forneça um nível básico de segurança para o acesso à rede. As ACLs podem
permitir a um host acessar uma parte da rede e impedir outro host de acessar a
mesma área. Por exemplo, o acesso à rede de recursos humanos pode ser
restringido para selecionar os usuários.
• Decida que tipos de tráfego encaminhar ou bloquear nas interfaces do roteador.
Por exemplo, uma ACL pode permitir tráfego de email, mas bloqueia todo o
tráfego de Telnet.
• Controle as áreas que um cliente pode acessar em uma rede.
• Os hosts na tela para permitir ou negar acesso a serviços de rede. As ACLs
podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou
HTTP.

As ACLs inspecionam pacotes de rede com base em critérios, como endereço de


origem, endereço de destino, protocolos e números de porta. Além de permitir ou negar
tráfego, uma ACL pode classificar o tráfego para habilitar o processamento por
prioridades na linha. Esse recurso é semelhante a ter uma passagem VIP para um show
ou evento esportivo. A passagem VIP oferece privilégios a convidados selecionados não
oferecidos a proprietários de entradas, como poder entrar em uma área restrita e ser
escoltado até seus assentos.
Exibir meio visual

5.1.4 Operação ACL

Página 1:
Como as ACLs funcionam

As ACLs definem o conjunto de regras que dão controle adicional para pacotes que
entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que
saem pelas interfaces de saída do roteador. As ACLs não funcionam em pacotes com
origem no próprio roteador.

As ACLs são configuradas para se aplicar ao tráfego de entrada ou ao tráfego de saída.

• ACLs de entrada – os pacotes de entrada são processados antes de serem


roteados para a interface de saída. Uma ACL de entrada será eficiente porque
evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for
permitido pelos testes, o pacote será processado para roteamento.
• ACLs de saída – os pacotes de entrada são roteados para a interface de saída e,
em seguida, processados pela ACL de saída.

As instruções ACL funcionam em ordem sequencial. Elas avaliam pacotes em relação à


ACL, de cima para baixo, uma instrução por vez.

A figura mostra a lógica de uma ACL de entrada. Se o cabeçalho de um pacote


corresponder a uma instrução ACL, as demais instruções na lista serão ignoradas e o
pacote será permitido ou negado conforme determinação da instrução correspondente.
Se o cabeçalho de um pacote não corresponder a uma instrução ACL, o pacote será
testado em relação à próxima instrução da lista. Esse processo de comparação continua
até o término da lista.

Uma instrução incluída no final abrange todos os pacotes para os quais as condições não
se mostraram verdadeiras. Essa condição de teste final corresponde a todos os demais
pacotes e resultados em uma instrução "negar". Em vez de continuar dentro ou fora de
uma interface, o roteador ignora todos esses pacotes restantes. Essa instrução final
costuma ser conhecida como "negar qualquer instrução implicitamente" ou "negar todo
o tráfego". Por conta dessa instrução, uma ACL deve ter pelo menos uma instrução de
permissão; do contrário, a ACL bloqueia todo o tráfego.

Você pode aplicar uma ACL a várias interfaces. No entanto, talvez só haja uma ACL
por protocolo, direção e interface.

Clique no botão ACLs de saída na figura.

A figura mostra a lógica de uma ACL de saída. Para que um pacote seja encaminhado
para uma interface de saída, o roteador verifica a tabela de roteamento para ver se o
pacote pode ser roteado. Se não puder ser roteado, o pacote será ignorado. Em seguida,
o roteador verifica se a interface de saída é agrupada em uma ACL. Os exemplos de
operação de ACL de saída são os seguintes:

• Se a interface de saída não for agrupada em uma ACL de saída, o pacote será
enviado diretamente para a interface de saída.
• Se a interface de saída for agrupada em uma ACL de saída, o pacote não será
enviado pela interface de saída até ser testado pela combinação de instruções
ACL associadas a essa interface. Com base nos testes ACL, o pacote é permitido
ou negado.

Para listas de saída, "permitir" significa enviar o pacote para o buffer de saída e "negar"
significa descartá-lo.
Exibir meio visual
Página 2:
A ACL e o roteamento e os processos ACL em um roteador

A figura mostra a lógica do roteamento e dos processos ACL em um roteador. Quando


um pacote chega a uma interface do roteador, o processo do roteador é o mesmo,
independentemente das ACLs serem utilizadas ou não. À medida que um quadro entra
em uma interface, o roteador verifica se o destino do endereço da Camada 2 de destino
corresponde ao seu ou se o quadro é de broadcast.

Se o endereço do quadro for aceito, as informações do quadro serão removidas e o


roteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o
pacote agora será testado em relação às instruções na lista.

Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito na
interface, o pacote será verificado em relação às entradas da tabela de roteamento para
determinar a interface de destino e comutado para essa interface.

Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma
ACL, o pacote será testado em relação às instruções na lista.

Se corresponder a uma instrução, o pacote será aceito ou rejeitado.

Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no novo
protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.

A instrução implícita do critério "Negar todo o tráfego"

Ao final de toda lista de acesso, há uma instrução implícita do critério "negar todo o
tráfego". Ela também é conhecida às vezes como a instrução "deny any implícito". Por
isso, se não corresponder a nenhuma das entradas ACL, um pacote será bloqueado
automaticamente. "negar todo o tráfego" implícito é o comportamento padrão das
ACLs, não podendo ser alterado.

Existe uma advertência chave associada a esse comportamento "negar tudo": para a
maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de
tráfego, você deverá incluir instruções de critérios da lista de acesso explícitas para
permitir atualizações de roteamento. Se não fizer, você poderá efetivamente perder a
comunicação com a interface quando as atualizações de roteamento forem bloqueadas
pela instrução implícita "negar todo o tráfego" ao final da lista de acesso.
Exibir meio visual
5.1.5 Tipos de ACLs Cisco

Página 1:
Há dois tipos de ACLs Cisco, padrão e estendida.

ACLs padrão

As ACLs padrão permitem a você permitir ou negar tráfego de endereços IP de origem.


O destino do pacote e as portas envolvidas não importam. O exemplo permite todo o
tráfego da rede 192.168.30.0/24. Por conta da "negar tudo" implícita ao final, todo os
demais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modo
de configuração global.

Clique no botão ACL estendida na figura.

ACLs estendidas

As ACLs estendidas filtram pacotes IP com base em vários atributos, por exemplo, tipo
de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de
origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais para
maior granularidade de controle. Na figura, a ACL 103 permite tráfego com origem em
qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80
(HTTP). As ACLs estendidas são criadas no modo de configuração global.

Os comandos para ACLs são explicados nos próximos tópicos.


Exibir meio visual

5.1.6 Como uma ACL padrão funciona

Página 1:
Uma ACL padrão é uma coleção sequencial de condições para permitir e negar que se
aplicam a endereços IP. O destino do pacote e as portas envolvidas não são abordados.

O processo de decisão está mapeado na figura. O software IOS Cisco testa endereços
em relação às condições individualmente. A primeira correspondência determina se o
software aceita ou rejeita o endereço. Como o software para de testar condições depois
da primeira correspondência, a ordem das condições é essencial. Se nenhuma condição
corresponder, o endereço será rejeitado.

As duas tarefas principais envolvidas na utilização das ACLs são as seguintes:


Etapa 1. Criar uma lista de acesso, especificando um número da lista de acesso ou
nome e condições de acesso.

Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal.


Exibir meio visual

5.1.7 Numerando e nomeando ACLs

Página 1:
Utilizar ACLs numeradas é um método efetivo para determinar o tipo de ACL em redes
menores com tráfego definido de maneira mais homogênea. No entanto, um número não
informa a finalidade da ACL. Por essa razão, começando pelo IOS Cisco release 11.2,
você pode utilizar um nome para identificar uma ACL Cisco.

A figura sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas.

Em relação a ACLs numeradas, caso você esteja se perguntando por que os números de
200 a 1.299 são ignorados, é porque esses números são utilizados por outros protocolos.
Este curso só aborda ACLs IP. Por exemplo, os números de 600 a 699 são utilizados por
AppleTalk, e os números de 800 a 899 são utilizados por IPX.
Exibir meio visual

5.1.8 Onde colocar ACLs

Página 1:
A localização apropriada de uma ACL para filtrar tráfego indesejável faz a rede operar
com mais eficiência. As ACLs podem agir como firewalls para filtrar pacotes e eliminar
o tráfego indesejável. Onde você coloca as ACLs pode reduzir o tráfego desnecessário.
Por exemplo, o tráfego a ser negado em um destino remoto não deve utilizar recursos de
rede ao longo da rota até esse destino.

Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência. As
regras básicas são:

• Localize as ACLs estendidas mais próximas da origem do tráfego negado. Dessa


forma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.
• Como as ACLs padrão não especificam endereços de destino, coloque-as o mais
próximo possível do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o


local de rede se baseiam naquilo que você deseja que a ACL faça.
Na figura, o administrador deseja impedir o tráfego com origem na rede
192.168.10.0/24 de chegar à rede 192.168.30.0/24. Uma ACL na interface de saída de
R1 também nega a R1 a possibilidade de enviar tráfego a outros locais. A solução é
colocar uma ACL padrão na interface de entrada de R3 a fim de parar todo o tráfego do
endereço de origem 192.168.10.0/24. Uma ACL padrão só atende às necessidades
porque se preocupa com os endereços IP de origem.

Clique no botão ACL estendida na figura.

Considere que os administradores só podem colocar as ACLs em dispositivos que eles


controlem. Por isso, o local deve ser determinado dentro do contexto de até onde o
controle do administrador de rede se estende. Nesta figura, o administrador das redes
192.168.10.0/24 e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente,
neste exemplo) deseja negar o tráfego Telnet e FTP de Onze para a rede
192.168.30.0/24 (Trinta, neste exemplo). Ao mesmo tempo, outro tráfego deve ter
permissão para deixar Dez.

Há várias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet e
FTP em Onze realizaria a tarefa, mas o administrador não controla R3. Além disso, essa
solução ainda permite ao tráfego indesejado cruzar toda a rede apenas para ser
bloqueado no destino. Isso afeta a eficiência geral da rede.

Uma solução é utilizar uma ACL estendida de saída que especifique os endereços de
origem e de destino (Onze e Trinta, respectivamente) e diga "O tráfego Telnet e FTP de
Onze não pode ir para Trinta". Coloque essa ACL estendida na porta de saída S0/0/0 de
R1.

Uma desvantagem dessa solução é que esse tráfego de Dez também estaria sujeito a
algum processamento por parte da ACL, embora o tráfego Telnet e FTP seja permitido.

A melhor solução é se aproximar da origem e colocar uma ACL estendida na interface


de entrada Fa0/2 de R1. Isso assegura que pacotes de Onze não entram em R1 e,
subsequentemente, não podem cruzar Dez ou mesmo entrar em R2 ou R3. O tráfego
com outros endereços de destino e portas ainda é permitido em R1.
Exibir meio visual

5.1.9 Diretrizes gerais para criar ACLs

Página 1:
Práticas recomendadas ACL

A utilização das ACLs exige atenção a detalhes e muito cuidado. Equívocos podem sair
caros em termos de indisponibilidade, identificação e solução de problemas e um
serviço de rede ruim. Antes de começar a configurar uma ACL, o planejamento básico é
obrigatório. A figura apresenta diretrizes que formam a base de uma lista de práticas
recomendadas da ACL.
Exibir meio visual

Página 2:
Exibir meio visual

5.2 Configurando ACLs padrão


5.2.1 Inserindo instruções de critérios

Página 1:
Antes de começar a configurar uma ACL padrão, revisaremos conceitos importantes da
ACL abordados na Seção 1.

Lembre-se de que, ao entrar no roteador, o tráfego é comparado com instruções ACL


com base na ordem em que ocorrem as entradas no roteador. O roteador continua
processando as instruções ACL até que haja uma correspondência. Por essa razão, você
deve ter a entrada ACL mais utilizada na parte superior da lista. Se nenhuma
correspondência for encontrada quando o roteador chegar ao final da lista, o tráfego será
negado porque as ACLs têm uma negação implícita para todo o tráfego que não atenda
a nenhum dos critérios testados. Uma ACL única com apenas uma entrada de negação
tem o efeito de negar todo o tráfego. Você deve ter pelo menos uma instrução de
permissão em uma ACL, ou todo o tráfego será bloqueado.

Por exemplo, as duas ACLs (101 e 102) na figura têm o mesmo efeito. A rede
192.168.10.0 teria permissão para acessar a rede 192.168.30.0, mas 192.168.11.0, não.
Exibir meio visual

5.2.2 Configurando uma ACL padrão

Página 1:
Lógica da ACL padrão

Na figura, os pacotes que chegam por Fa0/0 são verificados em relação aos seus
endereços de origem:

access-list 2 deny host 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255


access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Se forem permitidos, os pacotes serão roteados pelo roteador para uma interface de
saída. Se não forem permitidos, os pacotes serão ignorados na interface de entrada.
Exibir meio visual

Página 2:
Configurando ACLs padrão

Para configurar ACLs padrão numeradas em um roteador Cisco, você deve primeiro
criar a ACL padrão e ativar a ACL em uma interface.

O comando no modo de configuração global access-list define uma ACL padrão com
um número no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu esses
números, permitindo de 1300 a 1999 fornecer um máximo de 799 ACLs padrão
possíveis. Esses números adicionais são conhecidos como ACLs IP expandidas.

A sintaxe completa do comando ACL padrão é a seguinte:

Router(config)#access-list access-list-number [deny | permit | remark] source


[source-wildcard] [log]

A sintaxe completa do comando da ACL padrão para filtrar um determinado host é a


seguinte:

Router(config)#access-list access-list-number [deny | permit] source [log]

A figura fornece uma explicação detalhada da sintaxe de uma ACL padrão.

Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede
192.168.10.0 /24, você digitaria:

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255

Clique no botão Remover ACL na figura.

A forma no desse comando remove uma ACL padrão. Na figura, a saída do comando
show access-list exibe as ACLs atuais configuradas no roteador R1.
Para remover a ACL, o comando no modo de configuração global no access-list é
utilizado. A emissão do comando show access-list confirma se a lista de acesso 10 foi
removida.

Clique no botão Comentário na figura.

Normalmente, os administradores criam ACLs e compreendem perfeitamente todas as


finalidades de cada instrução dentro da ACL. No entanto, quando uma ACL for revista
mais tarde, talvez não seja tão óbvia quanto já foi.

A palavra-chave remark é utilizada na documentação e facilita muito a compreensão


das listas de acesso. Cada comentário é limitado a 100 caracteres. A ACL na figura,
embora bastante simples, é utilizada para fornecer um exemplo. Durante a revisão da
ACL na configuração, o comentário também é exibido.

O próximo tópico explica como utilizar a máscara curinga para identificar redes
específicas e hosts.
Exibir meio visual

5.2.3 Máscara curinga ACL

Página 1:
Mascaramento curinga

Entre as instruções ACLs estão máscaras, também chamadas de máscaras curinga.


Máscara curinga é uma string de dígitos binários que informam ao roteador que partes
do número da sub-rede observar. Embora não tenham nenhuma relação funcional com
máscaras de sub-rede, as máscaras curinga fornecem uma função semelhante. A
máscara determina a proporção de um endereço IP de origem ou de destino a ser
aplicada à correspondência de endereço. Os números 1 e 0 na máscara identificam como
tratar os bits de endereço IP correspondentes. No entanto, eles são utilizados para fins
diferentes, seguindo regras diferentes.

As máscaras curinga e de sub-rede têm 32 bits e utilizam 1s e 0s binários. As máscaras


de sub-rede utilizam 1s e 0s binários para identificar a rede, a sub-rede e a porção de
host de um endereço IP. As máscaras curinga utilizam 1s e 0s binário para filtrar
endereços IP individuais ou grupos e permitir ou negar acesso a recursos com base em
um endereço IP. Definindo máscaras curinga com cuidado, você pode permitir ou negar
um ou vários endereços IP

As máscaras curinga e de sub-rede são diferentes quanto à forma com que comparam 1s
e 0s binários. As máscaras curinga utilizam as seguintes regras para comparar 1s e 0s
binários:
• Bit da máscara curinga 0 – comparar o valor do bit correspondente no endereço
• Bit da máscara curinga 1 – ignorar o valor do bit correspondente no endereço

A figura explica como máscaras curinga diferentes filtram endereços IP. Ao observar o
exemplo, lembre-se de que o 0 binário significa uma correspondência e que o 1 binário
significa ignorar.

Nota: as máscaras curinga costumam ser conhecidas como máscaras inversas. A razão é
que, diferentemente de uma máscara de sub-rede na qual o 1 binário é igual a uma
correspondência e 0 binário, não, o inverso é verdadeiro.

Clique no botão Exemplo de máscara curinga na figura.

Utilizando uma máscara curinga

A tabela na figura mostra os resultados da aplicação de uma máscara curinga


0.0.255.255 a um endereço IP de 32 bits. Lembre-se de que um 0 binário indica um
valor correspondente.
Exibir meio visual

Página 2:
Máscaras curinga correspondentes a sub-redes IP

O cálculo da máscara curinga pode ser um pouco confuso inicialmente. A figura fornece
três exemplos de máscaras curinga.

O primeiro exemplo que a máscara curinga estipula é de que todo bit no IP 192.168.1.1
deve corresponder exatamente. A máscara curinga equivale à máscara de sub-rede
255.255.255.255.

No segundo exemplo, a máscara curinga estipula que qualquer coisa corresponderá. A


máscara curinga equivale à máscara de sub-rede 0.0.0.0.

No terceiro exemplo, a máscara curinga estipula que corresponderá a qualquer host


dentro da rede 192.168.1.0 /24. A máscara curinga equivale à máscara de sub-rede
255.255.255.0.

Esses exemplos foram bastante simples e diretos. No entanto, o cálculo de máscaras


curinga pode ficar um pouco mais difícil.
Clique no botão Máscara curinga 2 na figura.

Os dois exemplos na figura são mais complicados do que os três últimos que você
exibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiro
octeto devem corresponder exatamente. Os últimos quatro bits no terceiro octeto e o
último octeto podem ser qualquer número válido. Isso resulta em uma máscara que
verifica de 192.168.16.0 a 192.168.31.0

O Exemplo 2 mostra uma máscara curinga que corresponde aos dois primeiros octetos,
e o bit menos significativo no terceiro octeto. O último octeto e os sete primeiros bits no
terceiro octeto podem ser qualquer número válido. O resultado é uma máscara que
permitiria ou negaria todos os hosts de sub-redes ímpares dentro da rede principal
192.168.0.0.

O cálculo das máscaras curinga pode ser difícil, mas você pode fazer isso facilmente,
subtraindo a máscara de sub-rede de 255.255.255.255.

Clique no botão Exemplo 1 na figura.

Por exemplo, suponhamos que você queira permitir o acesso a todos os usuários da rede
192.168.3.0. Subtraia a máscara de sub-rede, que é 255.255.255.0 de 255.255.255.255,
conforme a indicação na figura. A solução produz a máscara curinga 0.0.0.255.

Clique no botão Exemplo 2 na figura.

Agora suponhamos que você queira permitir o acesso à rede para os 14 usuários da sub-
rede 192.168.3.32 /28. Como a máscara da sub-rede IP é 255.255.255.240, use
255.255.255.255 e subtraia da máscara de sub-rede 255.255.255.240. Desta vez, a
solução produz a máscara curinga 0.0.0.15.

Clique no botão Exemplo 3 na figura.

Neste terceiro exemplo, suponhamos que você queira apenas comparar as redes
192.168.10.0 e 192.168.11.0. Novamente, você usa 255.255.255.255 e subtrai a máscara
de sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado é 0.0.1.255.

Ainda que você possa obter o mesmo resultado com duas instruções, como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255


É muito mais eficiente configurar a máscara curinga como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

Isso pode não parecer mais eficiente, mas quando você considera se quis comparar a
rede 192.168.16.0 a 192.168.31.0 da seguinte forma:

R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255


R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255

Você pode ver que a configuração da seguinte máscara curinga a torna mais eficiente:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255


Exibir meio visual

Página 3:
Palavras-chave de máscara curinga

Trabalhar com representações decimais de bits de máscara curinga binários pode ser
entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam a
identificar as utilizações mais comuns da máscara curinga. Essas palavras-chave
eliminam a entrada de máscaras curinga durante a identificação de um host específico
ou rede. Elas também facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a
origem ou destino dos critérios.

• A opção host substitui a máscara 0.0.0.0. Essa máscara informa que todos os
bits de endereço IP devem corresponder ou apenas um host é correspondente.
• A opção any substitui o endereço IP e a máscara 255.255.255.255. Essa máscara
diz para ignorar todo o endereço IP ou aceitar qualquer endereço.
Exemplo 1: Processo de máscara curinga com um único endereço IP

No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, você pode utilizar host


192.168.10.10.

Exemplo 2: Processo de máscara curinga com a correspondência de qualquer


endereço IP

No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, você pode utilizar a palavra-


chave any sozinha.
Exibir meio visual

Página 4:
As palavras-chave any e host

Nesta figura, temos dois exemplos. O Exemplo 1 está exibindo como utilizar a opção
any para substituir 0.0.0.0 para o endereço IP com uma máscara curinga
255.255.255.255.

O Exemplo 2 está exibindo como utilizar a opção host para substituir a máscara
curinga.
Exibir meio visual

5.2.4 Aplicando ACLs padrão a interfaces

Página 1:
Procedimentos de configuração da ACL padrão

Depois de ser configurada, a ACL padrão é vinculada a uma interface utilizando-se o


comando ip access-group:

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

Para remover uma ACL de uma interface, primeiro digite o comando no ip access-
group na interface e, em seguida, o comando global no access-list para remover toda a
ACL.

A figura lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numerada
em um roteador.
Clique no botão Exemplo 1 na figura para obter um exemplo de uma ACL que
permita uma única rede.

Essa ACL só permite ao tráfego da rede de origem 192.168.10.0 ser encaminhado por
S0/0/0. O tráfego das redes que não sejam 192.168.10.0 é bloqueado.

A primeira linha identifica a ACL como lista de acesso 1. Ela permite o tráfego
correspondente aos parâmetros selecionados. Nesse caso, o endereço IP e a máscara
curinga que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de que
há uma instrução negar tudo implícita equivalente ao adicionar a linha access-list 1
deny 0.0.0.0 255.255.255.255.

O comando de configuração da interface ip access-group 1 out vincula a ACL 1 à


interface Serial 0/0/0 como um filtro de saída.

Por isso, a ACL 1 só permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Ela
nega qualquer outra rede, inclusive a rede 192.168.11.0.

Clique no botão Exemplo 2 na figura para obter um exemplo de uma ACL que negue
um host específico.

Essa ACL substitui o exemplo anterior, mas também bloqueia o tráfego de um endereço
específico. O primeiro comando exclui a versão anterior da ACL 1. A próxima instrução
da ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede
192.168.10.0 /24 é permitido. Mais uma vez, as instruções negar implícitas
correspondem a todas as demais redes.

A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída.

Clique no botão Exemplo 3 na figura para obter um exemplo de uma ACL que negue
um host específico e permita algumas sub-redes.

Essa ACL substitui o exemplo anterior, mas ainda bloqueia o tráfego do PC1 de host.
Ela também permite a todo o outro tráfego de rede local sair do roteador R1.

Os dois primeiros comandos são iguais aos do exemplo anterior. O primeiro comando
exclui a versão anterior da ACL 1 e a próxima instrução da ACL nega o host de PC1
localizado em 192.168.10.10.

A terceira linha é nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora
significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora os
hosts da rede 192.168.11.0, também.
A ACL é novamente reaplicada à interface S0/0/0 em uma direção de saída. Por isso,
ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 com
exceção do host de PC1.
Exibir meio visual

Página 2:
Utilizando uma ACL para controlar o acesso VTY

A Cisco recomenda a utilização de SSH em conexões administrativas para roteadores e


switches. Se a imagem do software IOS Cisco em seu roteador não dá suporte a SSH,
você pode melhorar parcialmente a segurança das linhas administrativas, restringindo o
acesso a VTY. Restringir o acesso a VTY é uma técnica que permite definir quais
endereços IP têm permissão de acesso Telnet ao processo EXEC do roteador. Você
pode controlar qual estação de trabalho administrativa ou rede gerencia o seu roteador
com uma ACL e uma instrução access-class para as suas linhas VTY. Você também
pode utilizar essa técnica com SSH mais melhorar ainda mais a segurança do acesso
administrativo.

O comando access-class no modo de configuração da linha restringe conexões de


entrada e de saída entre um VTY específico (em um dispositivo Cisco) e os endereços
em uma lista de acesso.

As listas de acesso padrão e estendida se aplicam a pacotes que percorrem um roteador.


Elas não foram projetadas para bloquear pacotes com origem dentro do roteador. Por
padrão, uma ACL estendida de Telnet de saída não impede sessões Telnet iniciadas por
roteador.

A filtragem do tráfego Telnet é normalmente considerada uma função da ACL IP


estendida porque filtra um protocolo de nível mais alto. No entanto, como você está
utilizando o comando access-class para filtrar sessões Telnet de entrada ou de saída
pelo endereço de origem e aplicar filtragem a linhas VTY, você pode utilizar instruções
ACL padrão para controlar acesso a VTY.

A sintaxe do comando access-class é:

access-class access-list-number {in [vrf-also] | out}

O parâmetro in restringe conexões de entrada entre um dispositivo Cisco e os endereços


na lista de acesso, e o parâmetro out restringe conexões de saída entre um determinado
dispositivo Cisco e os endereços na lista de acesso.
Um exemplo que permite VTY 0 e 4 é mostrado na figura. Por exemplo, a ACL na
figura é configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de
0 a 4. Todas as demais redes têm acesso negado a VTYs.

O seguinte deve ser considerado durante a configuração das listas de acesso em VTYs:

• As restrições idênticas devem ser definidas em todos os VTYs, porque um


usuário pode tentar se conectar a um deles.
Exibir meio visual

5.2.5 Editando ACLs numeradas

Página 1:
Editando ACLs numeradas

Durante a configuração de uma ACL, as instruções são adicionadas na ordem em que


são inseridas no final da ACL. No entanto, não há nenhum recurso de edição interno
que permita editar uma alteração em uma ACL. Você não pode inserir ou excluir linhas
de maneira seletiva.

É altamente recomendável que qualquer ACL seja criada em um editor de texto, como o
Bloco de Notas da Microsoft. Isso permite a você criar ou editar a ACL e, em seguida,
colá-la no roteador. Em relação a uma ACL existente, você poderia utilizar o comando
show running-config para exibir a ACL, copiar e colá-la no editor de texto, fazer as
alterações necessárias e recarregá-la.

Por exemplo, suponhamos que o endereço IP de host na figura tenha sido digitado
incorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11.
Aqui estão as etapas para editar e corrigir a ACL 20:

Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo na


figura utiliza a palavra-chave include para exibir apenas as instruções ACL.

Etapa 2. Realçar a ACL, copiar e colá-la para o Bloco de Notas da Microsoft. Edite a
lista conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas da
Microsoft, realce-a e copie.

Etapa 3. No modo de configuração global, desabilite a lista de acesso utilizando o


comando no access-list 20. Do contrário, as novas instruções seriam adicionadas à ACL
existente. Em seguida, cole a nova ACL na configuração do roteador.

Deve-se mencionar que durante a utilização do comando no access-list, nenhuma ACL


está protegendo a sua rede. Além disso, lembre-se de que, se cometer um erro na nova
lista, você terá que desabilitá-la e identificar e solucionar o problema. Nesse caso, mais
uma vez, a sua rede não tem nenhuma ACL durante o processo de correção.
Exibir meio visual

Página 2:
Comentando ACLs

Você pode utilizar a palavra-chave remark para incluir comentários sobre entradas em
qualquer ACL padrão ou estendida. Os comentários simplificam a compreensão e a
verificação da ACL. Cada linha de comentário é limitada a 100 caracteres.

O comentário pode ficar antes ou depois de uma instrução permit ou deny. Você deve
manter a consistência quanto ao local onde coloca o comentário para que fique claro o
que cada um descreve em relação a instruções permit ou deny. Por exemplo, seria
confuso ter alguns comentários antes das instruções permit ou deny associadas e outros
depois.

Para incluir um comentário sobre as ACLs padrão ou estendida numeradas por IP,
utilize o comando de configuração global access-list access-list number remark
remark. Para remover o comentário, utilize a forma no desse comando.

No primeiro exemplo, a ACL padrão permite o acesso à estação de trabalho que


pertence a Jones e nega acesso à estação de trabalho que pertence a Smith.

Para uma entrada em uma ACL nomeada, utilize o comando de configuração remark.
Para remover o comentário, utilize a forma no desse comando. O segundo exemplo
mostra uma ACL nomeada estendida. Lembre-se da definição anterior de ACLs
estendidas, de que elas são utilizadas para controlar números de porta específicos ou
serviços. No segundo exemplo, o comentário diz que a estação de trabalho de Jones não
tem permissão para utilizar Telnet de saída.
Exibir meio visual

5.2.6 Criando ACLs nomeadas padrão

Página 1:
Nomear uma ACL facilita a compreensão de sua função. Por exemplo, uma ACL para
negar FTP poderia se chamar NO_FTP. Quando você identifica a sua ACL com um
nome em vez de um número, o modo de configuração e a sintaxe do comando são um
pouco diferentes.

A figura mostra as etapas para criar uma ACL nomeada padrão.


Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list
para criar uma ACL nomeada. Os nomes de ACL são alfanuméricos, devendo ser
exclusivos e não começar com um número.

Etapa 2. No modo de configuração da ACL nomeada, utilizar as instruções permit ou


deny para especificar uma ou mais condições e determinar se um pacote foi
encaminhado ou ignorado.

Etapa 3. Retornar ao modo EXEC privilegiado com o comando end.

Clique no botão Exemplo na figura.

Na figura, a saída do comando da tela mostra os comandos utilizados para configurar


uma ACL nomeada padrão no roteador R1, a interface Fa0/0 que nega ao host
192.168.11.10 acesso à rede 192.168.10.0.

Usar maiúsculas em nomes da ACL não é obrigatório, mas os destaca durante a


exibição da saída do comando running-config.
Exibir meio visual

5.2.7 Monitorando e verificando ACLs

Página 1:
Quando você concluir a configuração de uma ACL, utilize os comandos show do IOS
Cisco para verificar a configuração. Na figura, o exemplo superior mostra a sintaxe do
IOS Cisco para exibir o conteúdo de todas as ACLs. O exemplo inferior mostra o
resultado da emissão do comando show access-lists no roteador R1. Os nomes de ACL
em maiúsculas, VENDAS e ENG, se destacam na saída do comando na tela.

Lembre-se de que você começou configurando as ACLs inicialmente; você quis


implementar as políticas de segurança da sua organização. Agora que você verificou se
as ACLs estão configuradas conforme desejado, a próxima etapa é confirmar se as
ACLs funcionam conforme planejado.

As diretrizes discutidas anteriormente nesta seção sugerem que você configure as ACLs
em uma rede de teste e implemente as ACLs testadas na rede de produção. Embora uma
discussão sobre como preparar um cenário de teste da ACL esteja além do escopo deste
curso, você precisa saber que confirmar se as suas ACLs funcionam conforme o
planejado pode ser um processo complexo e demorado.
Exibir meio visual

5.2.8 Editando ACLs nomeadas


Página 1:
As ACLs nomeadas têm uma grande vantagem sobre as ACLs numeradas por serem
mais fáceis de editar. Começando pelo software IOS Cisco release 12.3, as ACLs IP
nomeadas permitem excluir entradas individuais em uma ACL específica. Você pode
usar números de sequência para inserir instruções em qualquer lugar da ACL nomeada.
Se estiver utilizando uma versão anterior do software IOS Cisco, você só poderá
adicionar instruções na parte inferior da ACL nomeada. Como pode excluir entradas
individuais, você pode modificar a sua ACL sem ter que excluir e, em seguida,
reconfigurar toda a ACL.

O exemplo na figura mostra uma ACL aplicada à interface S0/0/0 de R1. Ela restringiu
o acesso ao servidor Web. Observando este exemplo, você pode ver duas coisas que
ainda não viu neste curso:

Clique no botão Saída do roteador na figura.

• Na primeira saída do comando show, você pode ver que a ACL nomeada
WEBSERVER tem três linhas numeradas que indicam regras de acesso para o
servidor Web.
• Conceder acesso a outra estação de trabalho na lista requer apenas a inserção de
uma linha numerada. No exemplo, a estação de trabalho com o endereço IP
192.168.11.10 está sendo adicionada.
• A saída do comando show verifica se a nova estação de trabalho agora tem
permissão.
Exibir meio visual

Página 2:
As ACLs padrão são scripts de configuração de roteador que controlam se um roteador
permite ou nega pacotes com base no endereço de origem. Esta atividade vai ensinar a
definir critérios de filtragem, configurar as ACLs padrão, aplicar as ACLs a interfaces
de roteador e verificar e testar a implementação da ACL.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

5.3 Configurando ACLs estendidas


5.3.1 ACLs estendidas

Página 1:
Testando pacotes com ACLs estendidas

Para obter um controle de filtragem de tráfego mais preciso, você pode utilizar ACLs
estendidas numeradas de 100 a 199 e de 2.000 a 2.699, fornecendo um total de 800
ACLs estendidas possíveis. As ACLs estendidas também podem ser nomeadas.

As ACLs estendidas são mais utilizadas que as ACLs padrão porque fornecem um
intervalo maior de controle e, por isso, acrescentam à sua solução de segurança. Assim
como as ACLs padrão, as ACLs estendidas verificam os endereços do pacote de origem,
mas também verificam o endereço de destino, protocolos e números de porta (ou
serviços). Isso proporciona um número maior de critérios nos quais a ACL se baseia.
Por exemplo, uma ACL estendida pode permitir tráfego de email simultaneamente de
uma rede para um destino específico enquanto nega transferências de arquivos e
navegação na Web.

A figura mostra o caminho de decisão lógico utilizado por uma ACL estendida criada
para filtragem com base nos endereços de origem e de destino, no protocolo e nos
números de porta. Neste exemplo, a ACL filtra primeiro o endereço de origem e, em
seguida, a porta e o protocolo da origem. Em seguida, ela filtra o endereço de destino, a
porta e o protocolo do destino e toma uma decisão final de permitir ou negar.

Lembre-se de que, como as entradas são processadas em ACLs uma depois da outra,
uma decisão 'Não' não necessariamente equivale a 'Negar'. Na medida em que você
passa pelo caminho de decisão lógico, observe que um 'Não' significa ir para a próxima
entrada até que todas as entradas sejam testadas. Somente quando todas as entradas
foram processadas é que a decisão 'Permitir' ou 'Negar' é finalizada.

A próxima página fornece um exemplo de uma ACL estendida.


Exibir meio visual

Página 2:
Testando portas e serviços

A possibilidade de filtrar com base no protocolo e no número da porta permite criar


ACLs estendidas muito específicas. Utilizando o número de porta apropriado, você
pode especificar um aplicativo, configurando o número de porta ou o nome de uma
porta bem conhecida.

A figura mostra alguns exemplos de como um administrador especifica um número de


porta TCP ou UDP, colocando-o no final da instrução da ACL estendida. Operações
lógicas podem ser utilizadas, como igual (eq), diferente (neq), maior que (gt) e menor
que (lt).

Clique no botão Portas na figura.

A figura mostra como gerar uma lista dos números de porta e palavras-chave que você
pode utilizar enquanto cria uma ACL utilizando R1(config)#access-list 101 permit tcp
any eq ? .
Exibir meio visual

5.3.2 Configurando ACLs estendidas

Página 1:
As etapas procedurais para configurar as ACLs estendidas são iguais a ACLs padrão:
você primeiro cria a ACL estendida e só então a ativa em uma interface. No entanto, a
sintaxe do comando e os parâmetros são mais complexos para dar suporte aos recursos
adicionais fornecidos por ACLs estendidas.

A figura mostra a sintaxe do comando comum para ACLs estendidas. O campo de


rolagem fornece detalhes das palavras-chave e dos parâmetros. Na medida em que
avança neste capítulo, há explicações e exemplos que ampliarão ainda mais a sua
compreensão.

Clique no botão Configurando ACLs estendidas na figura.

A figura mostra um exemplo de como você poderia criar uma ACL estendida específica
para as suas necessidades de rede. Neste exemplo, o administrador de rede precisa
restringir o acesso à Internet para permitir apenas a navegação no site. A ACL 103 se
aplica ao tráfego que deixa a rede 192.168.10.0 e a ACL 104 ao tráfego que chega à
rede.

A ACL 103 atende à primeira parte do requisito. Ela permite ao tráfego proveniente de
qualquer endereço na rede 192.168.10.0 ir para qualquer destino, estando sujeito à
limitação do tráfego chegar apenas até as portas 80 (HTTP) e 443 (HTTPS).

A natureza de HTTP exige que esse tráfego volte na rede, mas o administrador de rede
quer restringir esse tráfego a trocas HTTP nos sites solicitados. A solução em segurança
deve negar qualquer outro tráfego que chega até a rede. A ACL 104 faz isso bloqueando
todo o tráfego de entrada, exceto pelas conexões estabelecidas. HTTP estabelece
conexões que começam pela solicitação original e passam pela troca de mensagens
ACK, FIN e SYN.

Observe que o exemplo utiliza o parâmetro established.


Esse parâmetro permite a respostas trafegar com origem na rede 192.168.10.0 /24 e
retornar à entrada em s0/0/0. Uma correspondência ocorrerá se o datagrama TCP tiver
os bits ACK ou de redefinição (RST) definidos, o que indica que o pacote pertence a
uma conexão existente. Com o parâmetro established, o roteador permitirá apenas ao
tráfego estabelecido voltar e bloquear todos os demais tráfegos.
Exibir meio visual

5.3.3 Aplicando ACLs estendidas a interfaces

Página 1:
Nos diga como configurar uma lista de acesso estendida, aproveitando o exemplo
anterior. Lembre-se de que nós queremos permitir aos usuários navegar em sites seguros
e não seguros. Primeiro considere se o tráfego que você deseja filtrar está entrando ou
saindo. A tentativa de acessar sites na Internet é tráfego saindo. Receber emails na
Internet é tráfego entrando na empresa. No entanto, durante a consideração de como
aplicar uma ACL a uma interface, entrar e sair ganham significados diferentes,
dependendo do ponto de vista.

No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma
porta Fast Ethernet, Fa0/0. O tráfego de Internet que chega entra pela interface S0/0/0,
mas sai pela interface Fa0/0 para alcançar PC1. O exemplo aplica a ACL à interface
serial em ambas as direções.

Clique no botão Negar FTP na figura.

Este é um exemplo da negação de tráfego FTP na sub-rede 192.168.11.0 para a sub-rede


192.168.10.0, mas que permite todo o tráfego restante. Observe a utilização de máscaras
curinga. Lembre-se de que, como o FTP exige as portas 20 e 21, você precisa
especificar ambas eq 20 e eq 21 para negar FTP.

Com ACLs estendidas, você pode escolher utilizar números de porta como os do
exemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de
uma ACL estendida, as instruções foram anotadas da seguinte forma:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

Observe que para FTP, ftp e ftp-data devem ser mencionados.

Clique no botão Negar Telnet na figura.


Este exemplo nega tráfego Telnet de 192.168.11.0, mas permite todo o tráfego IP
restante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe a
utilização das palavras-chave any, o que significa de qualquer lugar para qualquer
lugar.
Exibir meio visual

5.3.4 Criando ACLs estendidas nomeadas

Página 1:
Você pode criar ACLs estendidas nomeadas basicamente da mesma forma como criou
ACLs padrão nomeadas. Os comandos para criar uma ACL nomeada são diferentes para
ACLs padrão e estendidas.

Começando no modo EXEC privilegiado, siga estas etapas para criar uma ACL
estendida utilizando nomes.

Etapa 1. Começando no modo de configuração global, utilizar o comando ip access-list


extended name para definir uma ACL estendida nomeada.

Etapa 2. No modo de configuração da ACL nomeada, especificar as condições que


você deseja permitir ou negar.

Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando
show access-lists [number | name].

Etapa 4. Como opção e etapa recomendada, salvar as suas entradas no arquivo de


configuração com o comando copy running-config startup-config.

Para remover uma ACL estendida nomeada, utilize o comando no modo de


configuração global no ip access-list extended name.

A figura mostra a versão nomeada da ACL criada anteriormente.


Exibir meio visual

Página 2:
As ACLs estendidas são scripts de configuração de roteador que controlam se um
roteador permite ou nega pacotes com base no endereço de origem ou de destino, bem
como protocolos ou portas. As ACLs estendidas dão mais flexibilidade e granularidade
do que as ACLs padrão. Esta atividade vai ensinar a definir critérios de filtragem,
configurar as ACLs estendidas, aplicar as ACLs a interfaces de roteador, e verificar e
testar a implementação da ACL.
São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

5.4 Configurar ACLs complexas


5.4.1 O que são ACLs complexas?

Página 1:
Tipos de ACLs complexas

As ACLs padrão e estendidas podem se tornar a base para ACLs complexas, que
fornecem funcionalidade adicional. A tabela na figura sumariza as três categorias de
ACLs complexas.
Exibir meio visual

5.4.2 ACLs dinâmicas

Página 1:
O que são ACLs dinâmicas?

O lock-and-key é um recurso de segurança de filtragem de tráfego que utiliza ACLs


dinâmicas, às vezes conhecidas como ACLs lock-and-key. O lock-and-key só está
disponível para tráfego IP. As ACLs dinâmicas dependem da conectividade Telnet, da
autenticação (local ou remota) e das ACLs estendidas.

A configuração da ACL dinâmica começa com a aplicação de uma ACL estendida para
bloquear tráfego no roteador. Os usuários que desejam atravessar o roteador são
bloqueados pela ACL estendida até utilizarem Telnet para se conectar ao roteador e
serem autenticados. A conexão Telnet é descartada, e uma ACL dinâmica de entrada
única é adicionada à ACL estendida existente. Isso permite o tráfego durante um
período específico; timeouts ociosos e absolutos são possíveis.

Quando utilizar ACLs dinâmicas

Algumas razões comuns para utilizar as ACLs dinâmicas são as seguintes:


• Quando você quiser que um usuário remoto específico ou grupo de usuários
remotos acesse um host dentro da sua rede, ao mesmo tempo em que conectam
nos hosts remotos via Internet. Lock-and-key autentica o usuário e permite
acesso limitado pelo seu roteador de firewall a um host ou sub-rede durante um
período finito.
• Quando você deseja que um subconjunto de hosts em uma rede local acesse um
host em uma rede remota protegida por um firewall. Com lock-and-key, você só
pode habilitar o acesso ao host remoto para o conjunto desejado de hosts locais.
Lock-and-key exige que os usuários se autentiquem por meio de um servidor
AAA, TACACS+ ou outro servidor de segurança antes de permitir a seus hosts
acessar os hosts remotos.

Benefícios de ACLs dinâmicas

As ACLs dinâmicas têm os seguintes benefícios de segurança em relação a ACLs


padrão e estendidas estáticas:

• Utilização de um mecanismo de desafio para autenticar usuários individuais.


• Gerenciamento simplificado em grandes redes interconectadas.
• Em muitos casos, a redução do volume do processamento do roteador
obrigatório para ACLs.
• Redução da oportunidade para invasões à rede por hackers.
• Criação de acesso de usuário dinâmico por um firewall, sem comprometer outras
restrições de segurança configuradas.

Na figura, o usuário em PC1 é um administrador que exige acesso backdoor à rede


192.168.30.0 /24 localizada no roteador R3. Uma ACL dinâmica foi configurada para
permitir a FTP e HTTP acesso no roteador R3, mas apenas por um tempo limitado.
Exibir meio visual

Página 2:
Exemplos de ACL dinâmica

Considere um requisito para que um administrador de rede em PC1 obtenha acesso


periódico à rede (192.168.30.0 /24) pelo roteador R3. Para facilitar esse requisito, uma
ACL dinâmica é configurada na interface serial S0/0/1 no roteador R3.

Embora uma descrição detalhada da configuração para uma ACL dinâmica esteja além
do escopo deste curso, é útil revisar as etapas de configuração.

Clique no botão Config na figura para exibir um exemplo de uma configuração de


ACL dinâmica.
Passe o mouse sobre cada Etapa na figura para revisar as etapas de configuração da
ACL dinâmica.
Exibir meio visual

5.4.3 ACLs reflexivas

Página 1:
O que são ACLs reflexivas?

As ACLs reflexivas forçam o tráfego de resposta do destino de um pacote de saída


conhecido recente a ir para a origem desse pacote de saída. Isso dá mais controle sobre
o tráfego no qual você tem permissão na sua rede e aumenta os recursos das listas de
acesso estendidas.

Os administradores de rede utilizam ACLs reflexivas para permitir tráfego IP para


sessões com origem em sua rede enquanto negam tráfego IP para sessões com origem
fora da rede. Essas ACLs permitem ao roteador gerenciar tráfego de sessão
dinamicamente. O roteador examina o tráfego de saída e, quando vê uma nova conexão,
adiciona uma entrada a uma ACL temporária para permitir respostas. As ACLs
reflexivas contêm apenas entradas temporárias. Essas entradas são criadas
automaticamente quando uma nova sessão IP começa, por exemplo, com um pacote de
saída, e as entradas são removidas automaticamente quando a sessão termina.

As ACLs reflexivas fornecem uma forma de filtragem de sessão mais real que uma
ACL estendida utilizando o parâmetro established apresentado anteriormente. Embora
sejam semelhantes em termos conceituais ao parâmetro established, as ACLs reflexivas
também funcionam com UDP e ICMP, que não têm bits ACK ou RST. A opção
established também não funciona com aplicativos que alteram dinamicamente a porta
de origem do tráfego de sessão. A instrução permit established só verifica bits ACK e
RST, e não endereços de origem e destino.

As ACLs reflexivas não são aplicadas diretamente a uma interface, mas são "aninhadas"
em uma ACL IP nomeada estendida que se aplicada à interface.

As ACLs reflexivas só podem ser definidas com ACLs IP nomeadas estendidas. Elas
não podem ser definidas com ACLs numeradas ou nomeadas padrão ou com outras
ACLs de protocolo. As ACLs reflexivas podem ser utilizadas com outras ACLs
estendidas estáticas e padrão.

Benefícios de ACLs reflexivas

As ACLs reflexivas têm os seguintes benefícios:


• Ajudam a proteger a sua rede contra hackers de rede e podem ser incluídas em
uma defesa de firewall.
• Fornecem um nível de segurança contra spoofing e determinados ataques DoS.
As ACLs reflexivas são muito mais difíceis de falsificar porque mais critérios de
filtro devem corresponder para que um pacote tenha permissão. Por exemplo, os
endereços de origem e de destino e os números de porta, e não apenas os bits
ACK e RST, são verificados.
• Simples de utilizar e, em comparação com ACLs básicas, fornecem maior
controle sobre quais pacotes entram na sua rede.
Exibir meio visual

Página 2:
Exemplo de ACL reflexiva

A figura mostra um exemplo no qual o administrador precisa de uma ACL reflexiva que
permita tráfego de saída e de entrada ICMP, enquanto permite apenas tráfego TCP
iniciado dentro da rede. Suponhamos que todo o restante do tráfego seja negado. A
ACL reflexiva é aplicada à interface de saída de R2.

Clique no botão Config na figura.

Embora a configuração completa de ACLs reflexivas esteja além do escopo deste curso,
a figura mostra um exemplo das etapas obrigatórias para configurar uma ACL reflexiva.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configuração da
ACL reflexiva.
Exibir meio visual

5.4.4 ACLs baseada no tempo

Página 1:
O que são ACLs baseadas em tempo?

As ACLs baseadas em tempo são semelhantes a ACLs estendidas em termos de função,


mas permitem o controle de acesso com base na hora. Para implementar ACLs baseadas
em hora, você cria um intervalo que define horas específicas do dia e da semana. Você
identifica o intervalo com um nome e se refere a ele por uma função. As restrições de
hora são impostas na própria função.

As ACLs baseadas em tempo têm muitos benefícios, como:


• Oferece ao administrador de rede mais controle sobre a permissão ou a negação
de acesso a recursos.
• Permite aos administradores de rede controlar mensagens de registro em log. As
entradas ACL podem registrar o tráfego em log em determinadas horas do dia,
mas não constantemente. Por isso, os administradores podem simplesmente
negar acesso sem analisar os muitos logs gerados durante horários de pico.
Exibir meio visual

Página 2:
Exemplo de ACL baseada em tempo

Embora os detalhes da configuração completa de ACLs baseadas em tempo estejam


além do escopo deste curso, o seguinte exemplo mostra as etapas obrigatórias. No
exemplo, uma conexão Telnet é permitida da rede interna para a rede externa às
segundas, quartas e sextas durante o horário comercial.

Clique no botão Config na figura.

Etapa 1. Definir o intervalo para implementar a ACL e dar a ela um nome


EVERYOTHERDAY, neste caso.

Etapa 2. Aplicar o intervalo à ACL.

Etapa 3. Aplicar a ACL à interface.

O intervalo depende do relógio de sistema do roteador. O recurso funciona melhor com


a sincronização Network Time Protocol (NTP), mas o relógio do roteador pode ser
utilizado.
Exibir meio visual

5.4.5 Identificação e solução de problemas de ACL comuns

Página 1:
A utilização dos comandos show descritos anteriormente revela a maioria dos erros
ACL mais comuns antes que eles causem problemas na sua rede. Felizmente, você está
utilizando um bom procedimento de teste para proteger a sua rede de erros durante o
estágio de desenvolvimento da sua implementação de ACL.

Ao observar uma ACL, verifique-a em relação às regras aprendidas sobre como criar
ACLs corretamente. A maioria dos erros ocorre porque essas regras básicas são
ignoradas. Na verdade, os erros mais comuns são inserir instruções ACL na ordem
errada e não aplicar critérios apropriados às suas regras.

Vejamos uma série de problemas comuns e as soluções. Clique em cada exemplo à


medida que lê essas explicações.

Clique no botão Erro n° 1 na figura.

O host 192.168.10.10 não tem nenhuma conectividade com 192.168.30.12. Você


consegue ver o erro na saída do comando show access-lists?

Solução – observar a ordem das instruções ACL. O host 192.168.10.10 não tem
nenhuma conectividade telnet com 192.168.30.12 por conta da ordem da regra 10 na
lista de acesso. Como o roteador processa as ACLs de cima para baixo, a instrução 10
nega o host 192.168.10.10, logo, a instrução 20 não é processada. As instruções 10 e 20
devem ser invertidas. A última linha permite todo o restante do tráfego não TCP em IP
(ICMP, UDP etc.).

Clique no botão Erro n° 2 na figura.

A rede 192.168.10.0 /24 não pode utilizar TFTP para se conectar à rede 192.168.30.0 /
24. Você consegue ver o erro na saída do comando show access-lists?

Solução – a rede 192.168.10.0 /24 não pode utilizar TFTP para se conectar à rede
192.168.30.0 /24 porque TFTP utiliza o protocolo de transporte UDP. A instrução 30 na
lista de acesso 120 permite todo o restante do tráfego TCP. Como utiliza UDP, o TFTP
é negado implicitamente. A instrução 30 deve ser ip any any.

Essa ACL funcionará se for aplicada a Fa0/0 de R1 ou S0/0/1 de R3, ou S0/0/0 ou R2


na direção de entrada. No entanto, com base na regra sobre como colocar as ACLs
estendidas mais próximas da origem, a melhor opção está em Fa0/0 de R1 porque ela
permite filtrar tráfego indesejável sem atravessar a infraestrutura de rede.

Clique no botão Erro n° 3 na figura.

A rede 192.168.10.0 /24 pode utilizar Telnet para se conectar a 192.168.30.0 /24, mas
essa conexão não deve ser permitida. Analise a saída do comando show access-lists e
veja se você consegue encontrar uma solução. Onde você aplicaria essa ACL?

Solução – a rede 192.168.10.0 /24 pode utilizar Telnet para se conectar à rede
192.168.30.0 /24, porque o número da porta Telnet na instrução 10 da lista de acesso
130 está listado na posição errada. Atualmente, a instrução 10 nega qualquer origem
com um número de porta que seja igual à Telnet que tenta estabelecer uma conexão com
qualquer endereço IP. Se quiser negar tráfego de entrada Telnet em S0/0/1, você deve
negar o número de porta de destino que seja igual a Telnet, por exemplo, deny tcp any
any eq telnet.

Clique no botão Erro n° 4 na figura.

O host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, mas essa
conexão não deve ser permitida. Analise a saída do comando show access-lists.

Solução – o host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12,


porque não há regras que neguem o host 192.168.10.10 ou sua rede como a origem. A
instrução 10 da lista de acesso 140 nega a interface do roteador da qual o tráfego sairia.
No entanto, como esses pacotes saem do roteador, eles têm um endereço de origem
192.168.10.10, e não o endereço da interface do roteador.

Assim como na solução do Erro 2, essa ACL deve ser se aplicada à Fa0/0 de R1 na
direção de entrada.

Clique no botão Erro n° 5 na figura.

O host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10, mas essa
conexão não deve ser permitida. Observe a saída do comando show access-lists e
procure o erro.

Solução – o host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10


porque a direção na qual a lista de acesso 150 é aplicada a uma interface em R2 está
incorreta. A instrução 10 nega o endereço de origem 192.168.30.12, mas esse endereço
só seria a origem se o tráfego fosse de saída em S0/0/0 ou de entrada em S0/0/1.
Exibir meio visual

Página 2:
Exibir meio visual

5.5 Laboratórios do capítulo


5.5.1 Listas de controle de acesso básico

Página 1:
Uma parte essencial da segurança de rede é poder controlar que tipo de tráfego está
sendo permitido para alcançar a sua rede e de onde esse tráfego está vindo. Este
laboratório ensinará como configurar listas de controle de acesso básicas e estendidas e
atingir essa meta.
Exibir meio visual
Página 2:
Esta atividade é uma variação do Laboratório 5.5.1. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

5.5.2 Listas de controle de acesso avançado

Página 1:
No laboratório Lista de controle de acesso básica, você configurou listas de controle de
acesso básicas e estendidas pela primeira vez como uma medida de segurança da rede.
Neste laboratório, tente configurar a maior segurança de rede possível sem consultar o
laboratório Básico. Isso permitirá a você avaliar o quanto aprendeu no laboratório
Básico. Quando necessário, verifique o seu trabalho utilizando o laboratório Básico ou a
resposta fornecida por seu instrutor.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 5.5.2. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamento real.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

5.5.3 Identificação e solução de problemas de listas de controle de acesso


Página 1:
Você trabalha para um provedor de serviços regional que recentemente passou por
várias falhas na segurança. O seu departamento foi solicitado a proteger os roteadores
de borda do cliente para que apenas os PCs de gerenciamento local possam acessar as
linhas VTY. Para resolver esse problema, você configurará as ACLs em R2 de forma
que as redes diretamente conectadas a R3 não consigam se comunicar com redes
diretamente conectadas a R1, mas ainda assim permitam todo o restante do tráfego.
Exibir meio visual

5.6 Resumo do capítulo


5.6.1 Sumarização

Página 1:
ACL é um script de configuração de roteador que utiliza filtragem de pacote para
controlar se um roteador permite ou nega a passagem a pacotes com base nos critérios
encontrados no cabeçalho de pacote. As ACLs também são utilizadas para selecionar
tipos de tráfego a serem analisados, encaminhados ou processados de outras formas. As
ACLs estão entre os objetos mais utilizados no software IOS Cisco.

Há tipos diferentes de ACLs – padrão, estendida, nomeada e numerada. Neste capítulo,


você aprendeu a finalidade de cada um desses tipos de ACL e onde elas precisam ser
colocadas na sua rede. Você aprendeu a configurar as ACLs em interfaces de entrada e
de saída. Os tipos de ACL especiais, dinâmicas, reflexivas e baseadas em tempo, foram
descritas. Foram realçadas as diretrizes e as práticas recomendadas para desenvolver
ACLs funcionais e efetivas.

Com o conhecimento e as habilidades aprendidas neste capítulo, agora você pode


configurar ACLs padrão, estendidas e complexas, além de verificar, identificar e
solucionar problemas dessas configurações com confiança, mas com cuidado.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Nesta atividade, você demonstrará a sua capacidade de configurar ACLs que aplicam
cinco políticas de segurança. Além disso, você irá configurar o roteamento PPP e OSPF.
Os dispositivos já estão configurados com endereçamento IP.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.
Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

5.7 Teste do capítulo


5.7.1 Teste do capítulo

Página 1:
Exibir meio visual

6 Serviços de funcionário remoto


6.0 Introdução do capítulo
6.0.1 Introdução do capítulo

Página 1:
Trabalho remoto é o trabalho longe de um local de trabalho tradicional, geralmente um
escritório em casa. As razões para escolher o trabalho remoto são variadas e incluem
desde a conveniência pessoal até permitir oportunidades para que funcionários
lesionados ou isolados continuem trabalhando durante os períodos de convalescença.

Trabalho remoto é um termo amplo que se refere à condução de um trabalho através da


conexão com um local de trabalho a partir de uma localização remota, com a ajuda das
telecomunicações. Um trabalho remoto eficiente é possível por causa das conexões de
Internet banda larga, redes virtuais privadas (VPN) e tecnologias mais avançadas,
incluindo Voice over IP (VoIP, Voz sobre IP) e videoconferência. O trabalho remoto
pode economizar o dinheiro que seria gasto em viagens, infra-estrutura e suporte das
instalações.

Empresas modernas empregam pessoas que não podem viajar para trabalhar diariamente
ou que acreditam que trabalhar em um escritório em casa é mais prático. Essas pessoas,
chamadas de funcionários remotos, devem conectar-se à rede da empresa de forma que
possam trabalhar em seus escritórios em casa.

Este capítulo explica como as organizações podem fornecer conexões de rede remota
seguras, rápidas e confiáveis para os funcionários remotos.
Exibir meio visual

6.1 Requisitos de negócios para serviços de funcionário remoto


6.1.1 Os requisitos de negócios para serviços de funcionário remoto

Página 1:
É cada vez maior o número de empresas que acreditam ser benéfico ter funcionários
remotos. Com os avanços nas tecnologias de banda larga e sem fio, trabalhar longe do
escritório não apresenta mais os desafios que apresentava no passado. Os funcionários
podem trabalhar remotamente quase como se eles estivessem em suas baias ou na sala
ao lado. As organizações podem distribuir dados, voz, vídeo e aplicativos em tempo real
de modo lucrativo, estendidos em uma única conexão de rede comum por toda sua força
de trabalho, não importando o quão remota e espalhada ela esteja.

Os benefícios do trabalho à distância se estendem muito além da capacidade de os


negócios renderem lucros. O trabalho à distância afeta a estrutura social das sociedades
e pode ter efeitos positivos sobre o ambiente.

Para as operações de negócios do cotidiano, convém ser capaz de manter a continuidade


no caso de fatores como clima, tráfego, congestionamento, desastres naturais ou outros
eventos imprevisíveis atrapalharem os funcionários de chegar ao local de trabalho. Em
uma escala mais ampla, a capacidade dos negócios de prestar mais serviços em todos os
fusos horários e fronteiras internacionais foi enormemente aprimorada utilizando os
funcionários remotos. A redução e a terceirização de soluções são mais fáceis de
implementar e gerenciar.

De uma perspectiva social, as opções de trabalho remoto aumentam as oportunidades de


emprego para diversos grupos, incluindo pais com filhos pequenos, deficientes e
pessoas que moram em áreas remotas. Os funcionários remotos desfrutam de um tempo
em família com maior qualidade, menor stress causado pelas viagens e, no geral,
proporcionam aos seus chefes uma maior produtividade, satisfação e conservação. Na
era da mudança de clima, o trabalho remoto é uma outra maneira de as pessoas
reduzirem sua emissão de gás carbônico.

Ao criar arquiteturas de rede que suportam uma solução de trabalho remoto, os


programadores devem equilibrar os requisitos organizacionais para segurança,
gerenciamento de infra-estrutura, escalabilidade e acessibilidade com relação às
necessidades práticas dos funcionários remotos para a facilidade de uso, velocidades de
conexão e confiabilidade do serviço.

Para permitir que os negócios e os funcionários remotos operem de modo efetivo, nós
devemos equilibrar a seleção das tecnologias e criar cuidadosamente os serviços de
trabalho à distância.
Exibir meio visual

6.1.2 A solução do funcionário remoto

Página 1:
As organizações precisam de redes seguras, confiáveis e econômicas para conectar as
sedes sociais, filiais e fornecedores. Com o número crescente de funcionários remotos,
as empresas têm uma necessidade cada vez maior de maneiras seguras, confiáveis e
econômicas de conectar-se a pessoas trabalhando em pequenos escritórios e escritórios
em casa (small offices, home offices), e outros locais remotos, com recursos nos locais
corporativos.

A figura ilustra as topologias de conexão remota que as redes modernas utilizam para
conectar-se a locais remotos. Em alguns casos, os locais remotos se conectam somente
ao local da sede, enquanto, em outros casos, os locais remotos se conectam a diversos
locais. A filial na figura se conecta aos locais da sede e de parceiros, enquanto o
funcionário remoto possui uma única conexão com a sede.

Clique no botão Opções na figura.

A figura exibe três tecnologias de conexão remota disponíveis para as que organizações
suportem serviços de funcionários remotos:

• As tecnologias de Camada 2 de WAN privadas tradicionais, incluindo Frame


Relay, ATM e linhas alugadas, fornecem muitas soluções de conexão remota. A
segurança destas conexões depende da operadora.
• As Redes Virtuais Privadas (VPNs) IPsec oferecem uma conectividade flexível e
escalável. As conexões ponto a ponto podem fornecer uma conexão segura,
rápida e confiável aos funcionários remotos. Esta é a opção mais comum para os
funcionários remotos, combinada com o acesso remoto por banda larga, a fim de
estabelecer uma VPN segura sobre a Internet pública. (Um meio menos
confiável de conectividade que utiliza a Internet é uma conexão discada.)
• O termo banda larga refere-se a sistemas de comunicação avançados capazes de
fornecer uma transmissão de serviços de alta velocidade, tais como dados, voz e
vídeo, através da Internet e outras redes. A transmissão é fornecida por uma
grande variedade de tecnologias, incluindo a DSL (Digital subscriber line, DSL)
e a tecnologia de cabo de fibra ótica, cabo coaxial, sem fio e satélite. As
velocidades de transmissão de dados do serviço de banda larga geralmente
ultrapassam os 200 kilobits por segundo (kbps), ou 200.000 bits por segundo,
em pelo menos uma direção: downstream (da Internet para o computador do
usuário) ou upstream (do computador do usuário para a Internet).

Este capítulo descreve como cada uma destas tecnologias opera e apresenta algumas das
etapas necessárias para assegurar que as conexões de funcionários remotos sejam
seguras.
Exibir meio visual

Página 2:
Para conectar-se efetivamente às redes de suas organizações, os funcionários remotos
precisam de dois conjuntos principais de componentes: componentes de escritório em
casa e componentes corporativos. A opção de adicionar componentes de telefonia IP
está se tornando mais comum à medida que as operadoras estendem os serviços de
banda larga para mais áreas. Os componentes de Voice over IP (VoIP, Voz sobre IP) e
de videoconferência se tornarão, em breve, partes esperadas do conjunto de ferramentas
dos funcionários remotos.

Conforme mostrado na figura, o trabalho à distância necessita dos seguintes


componentes:

• Componentes de escritório em casa - Os componentes necessários de um


escritório em casa são um laptop ou computador desktop, acesso de banda larga
(cabo ou DSL) e um roteador de VPN ou software de cliente de VPN instalado
no computador. Componentes adicionais podem incluir um ponto de acesso sem
fio. Ao viajar, os funcionários remotos precisam de uma conexão de Internet e
um cliente de VPN para conectar-se à rede corporativa por qualquer conexão
discada, de rede ou de banda larga disponível.
• Componentes corporativos - Os componentes corporativos são os roteadores
habilitados para VPN, concentradores de VPN, mecanismos de segurança
multifuncionais, autenticação e dispositivos de gerenciamento centrais para uma
agregação e conclusão flexíveis das conexões de VPN.

Normalmente, a prestação de suporte para VoIP e videoconferência exige melhorias


para estes componentes. Os roteadores precisam da funcionalidade de Qualidade de
Serviço (Quality of Service, QoS). O QoS refere-se à capacidade de uma rede de
fornecer um melhor serviço para o tráfego de rede selecionado, conforme necessário
para os aplicativos de voz e vídeo. Uma discussão mais aprofundada sobre o QoS está
além do escopo deste curso.

A figura mostra um túnel de VPN criptografado que conecta o funcionário remoto à


rede corporativa. Este é o coração das conexões seguras e confiáveis do funcionário
remoto. Uma VPN é uma rede de dados privada que utiliza a infra-estrutura de
telecomunicação pública. A segurança de VPN mantém a privacidade utilizando um
protocolo de tunelamento e procedimentos de segurança.

Este curso apresenta o protocolo IPsec (Segurança de IP) como a abordagem escolhida
para criar túneis de VPN seguros. Ao contrário das abordagens de segurança anteriores,
que aplicam a segurança na camada de Aplicativos do modelo de Interconexão de
Sistemas Abertos (OSI), o IPsec funciona na camada de rede ou processamento de
pacote.
Exibir meio visual

6.2 Serviços de banda larga


6.2.1 Conectando os funcionários remotos à WAN

Página 1:
Os funcionários remotos geralmente utilizam diversos aplicativos (por exemplo, email,
aplicativos da web, aplicativos importantes para o trabalho, colaboração em tempo real,
voz, vídeo e videoconferência) que exigem uma conexão com uma largura de banda
alta. A escolha da tecnologia de rede de acesso e a necessidade de assegurar uma largura
de banda satisfatória são as primeiras considerações a serem feitas ao conectar os
funcionários remotos.

As conexões por cabo residencial, DSL e banda larga sem fio são as três opções que
fornecem uma largura de banda alta para os funcionários remotos. A baixa largura de
banda fornecida por uma conexão de modem discada normalmente não é suficiente,
embora seja útil para um acesso móvel durante viagens. Uma conexão discada de
modem somente deve ser considerada quando as outras opções não estiverem
disponíveis.

Os funcionários remotos precisam de uma conexão a um ISP para acessar a Internet. Os


ISPs oferecem diversas opções de conexão. Os principais métodos de conexão
utilizados por escritórios em casa e pequenas empresas são:

• Acesso discado - Uma opção barata que utiliza qualquer linha telefônica e um
modem. Para conectar-se ao ISP, um usuário liga para o número de telefone de
acesso ISP. A conexão discada é a opção de conexão mais lenta, utilizada
geralmente por funcionários móveis em áreas onde não estão disponíveis opções
de conexão de velocidade mais alta.
• DSL - Normalmente mais caro que a discada, mas proporciona uma conexão
mais rápida. A conexão DSL também utiliza linhas telefônicas, mas,
diferentemente do acesso discado, ele fornece uma conexão contínua com a
Internet. O DSL utiliza um modem de alta velocidade especial que separa o sinal
de DSL do sinal de telefone e fornece uma conexão Ethernet com um
computador host ou rede local.
• Modem a cabo - Oferecido por provedores de serviços de televisão a cabo. O
sinal de Internet é levado no mesmo cabo coaxial que leva a televisão a cabo.
Um modem a cabo especial separa o sinal da Internet dos outros sinais levados
no cabo e fornece uma conexão Ethernet com um computador host ou rede local.
• Satélite - Oferecido por provedores de serviços de satélite. O computador é
conectado através da Ethernet a um modem de satélite que transmite sinais de
radiofreqüência ao ponto de presença (point of presence, POP) mais próximo
dentro da rede de satélite.

Nesta seção, você aprenderá como os serviços de banda larga, tais como o DSL, cabo e
conexão de banda larga sem fio, estendem as redes da empresa para permitir o acesso
dos funcionários remotos.
Exibir meio visual

6.2.2 Cabo

Página 1:
Acessar a Internet por uma rede a cabo é uma opção popular utilizada pelos
funcionários remotos para acessar a rede de sua empresa. O sistema a cabo utiliza um
cabo coaxial que leva os sinais de freqüência de rádio (RF) através da rede. O cabo
coaxial é o primeiro meio utilizado para criar sistemas de TV a cabo.

A televisão a cabo surgiu na Pensilvânia em 1948. John Walson, o proprietário de uma


loja de eletrodomésticos em uma pequena cidade montanhesca, precisava resolver
problemas de recepção pelos quais seus clientes passavam ao tentar receber sinais de
TV da Filadélfia pelas montanhas. Walson ergueu uma antena em um poste de
eletricidade no topo de uma montanha que permitiu que ele demonstrasse as televisões
em sua loja com broadcasts provenientes das três estações da Filadélfia. Ele conectou a
antena à sua loja de eletrodomésticos por um cabo e modificou os otimizadores de sinal.
Em seguida, ele conectou diversos clientes seus que estavam localizados pelo caminho
do cabo. Este foi o primeiro sistema de televisão de antena comunitária (CATV,
community antenna television) nos Estados Unidos.

A empresa de Walson cresceu ao longo dos anos e ele ficou conhecido como o fundador
da indústria de televisão a cabo. Ele também foi o primeiro operador de cabo a utilizar
microondas para importar estações de televisão distantes, o primeiro a utilizar o cabo
coaxial para aprimorar a qualidade da imagem e o primeiro a distribuir a programação
de televisão paga.

A maioria das operadoras a cabo utilizam antenas parabólicas para reunir os sinais de
TV. No início, os sistemas eram unidirecionais, com amplificadores em cascata
colocados em série ao longo da rede para compensar a perda de sinal. Estes sistemas
utilizavam grampos para juntar os sinais de vídeo dos troncos principais para as casas
dos assinantes por meio dos cabos de derivação.

Os sistemas de cabo modernos fornecem uma comunicação bidirecional entre os


assinantes e o operador de cabo. As operadores a cabo oferecem agora serviços de
telecomunicações avançados, incluindo acesso de alta velocidade à Internet, televisão a
cabo digital e serviço de telefone residencial. As operadoras a cabo geralmente
implantam redes coaxiais de fibra híbrida (HFC) para permitir uma transmissão de
dados de alta velocidade para os modems a cabo localizados em um escritório em casa.

A figura ilustra os componentes de um típico sistema a cabo moderno.

Passe o mouse sobre cada componente na figura para ver uma descrição sobre o que
eles fazem.
Exibir meio visual

Página 2:
O espectro eletromagnético abrange uma grande variedade de freqüências.
A frequência é a taxa na qual os ciclos (ou voltagem) atuais ocorrem, computada como
o número de "ondas" por segundo. Comprimento de onda é a velocidade de propagação
do sinal eletromagnético dividida por sua freqüência em ciclos por segundo.

As ondas de rádio, geralmente chamadas de RF, constituem uma parte do espectro


eletromagnético entre aproximadamente 1 quilohertz (kHz) e 1 terahertz. Quando os
usuários ajustam um rádio ou TV para localizar diferentes estações de rádio ou canais
de TV, eles estão ajustando diferentes freqüências eletromagnéticas por esse espectro de
RF. O mesmo princípio se aplica ao sistema a cabo.

A indústria da TV a cabo utiliza uma parte do espectro eletromagnético de RF. Dentro


do cabo, freqüências diferentes levam canais de TV e dados. Na extremidade do
assinante, equipamentos como TVs, VCRs e conversores de TVs de alta definição são
ajustados para determinadas freqüências que permitem que o usuário veja o canal ou,
utilizando um modem a cabo, tenha acesso à Internet de alta velocidade.

Uma rede a cabo é capaz de transmitir sinais no cabo em ambas as direções ao mesmo
tempo. Utiliza-se o seguinte escopo de freqüência:

• Downstream - A direção de uma transmissão de sinal RF (canais de TV e


dados) da origem (headend) para o destino (assinantes). A transmissão da
origem para o destino é chamada de caminho de encaminhamento (forward
path). As freqüências downstream estão no intervalo de 50 a 860 megahertz
(MHz).
• Upstream - A direção da transmissão de sinal RF dos assinantes para o headend,
retorno ou caminho reverso. As freqüências de upstream estão no intervalo de 5
a 42 MHz.
Exibir meio visual

Página 3:
O DOCSIS (Data-over-Cable Service Interface Specification, Especificação de Interface
de Serviço de Dados sobre Cabo) é um padrão internacional desenvolvido pela
CableLabs, um consórcio de pesquisa e desenvolvimento sem fins lucrativos para as
tecnologias relacionadas a cabo. A CableLabs testa e certifica os dispositivos de
fornecedores de equipamento a cabo, como modems a cabo e sistemas de terminação de
modem a cabo, e concede o status de certificado ou qualificado pela DOCSIS.

A DOCSIS define os requisitos de interface de suporte de comunicações e operação


para um sistema de dados a cabo e permite a adição de transferência de dados de alta
velocidade a um sistema de CATV existente. As operadoras a cabo empregam a
DOCSIS para fornecer acesso à Internet através de sua infra-estrutura coaxial de fibra
híbrida (HFC) existente.
A DOCSIS especifica os requisitos de OSI de Camadas 1 e 2:
• Camada física - Para os sinais de dados que a operadora a cabo pode utilizar, a
DOCSIS especifica as larguras de canal (larguras de banda de cada canal) como
200 kHz, 400 kHz, 800 kHz, 1,6 MHz, 3,2 MHz e 6,4 MHz. A DOCSIS também
especifica as técnicas de modulação (o modo de utilizar o sinal RF para
comunicar os dados digitais).
• Camada MAC - Define um método de acesso determinístico: método de acesso
múltiplo por divisão de tempo (Time-division multiple access, TDMA) ou
método de acesso múltiplo por divisão de código síncrono (Synchronous code
division multiple access, S-CDMA).

Para compreender os requisitos de camada MAC para a DOCSIS, convém explicar


como as diversas tecnologias de comunicação dividem o acesso por canal. O TDMA
divide o acesso por tempo. O acesso múltiplo de divisão por freqüência (Frequency-
division multiple access, FDMA) divide o acesso por freqüência. O acesso múltiplo por
divisão de código (CDMA) emprega uma tecnologia de amplo espectro e um esquema
de codificação especial nos quais cada transmissor recebe um código específico.

Uma analogia que ilustra estes conceitos começa com uma sala representando um canal.
A sala está cheia de pessoas que precisam falar umas com as outras. Em outras palavras,
elas precisam de um acesso ao canal. Uma solução é permitir que as pessoas falem em
turnos (divisão por tempo). Outra solução é que cada pessoa fale em tons diferentes
(divisão por freqüência). Em CDMA, eles falariam em idiomas diferentes. Pessoas
falando no mesmo idioma podem se entender, mas não as outras pessoas. Em CDMA de
rádio, utilizado por muitas redes de telefonia celular norte-americanas, cada grupo de
usuários possui um código compartilhado. Muitos códigos ocupam o mesmo canal, mas
somente os usuários associados com um código específico podem se entender. O S-
CDMA é uma versão proprietária de CDMA desenvolvida pela Terayon Corporation
para a transmissão de dados através de redes por cabo coaxial. O S-CDMA espalha os
dados digitais para ambas as direções com uma ampla banda de freqüência e permite
que vários assinantes conectados à rede transmitam e recebam dados simultaneamente.
O S-CDMA é seguro e extremamente resistente a ruídos.

Os planos para bandas de alocação de freqüência diferem entre os sistemas a cabo norte-
americanos e europeus. O Euro-DOCSIS é adaptado para ser utilizado na Europa. As
principais diferenças entre o DOCSIS e o Euro-DOCSIS estão relacionadas às larguras
de banda do canal. Os padrões técnicos de TV variam pelo mundo, o que afeta o modo
como as variantes de DOCSIS se desenvolvem. Os padrões de TV internacionais
incluem o NTSC na América do Norte e em partes do Japão; PAL na maior parte da
Europa, Ásia, África, Austrália, Brasil e Argentina, e o SECAM na França e em alguns
países da Europa oriental.

Mais informações estão disponíveis nos seguintes sites:

• Sobre o DOCSIS: http://www.cablemodem.com/specifications


• Sobre o Euro-DOCSIS: http://www.eurocablelabs.com
Exibir meio visual
Página 4:
Prestar serviços através de uma rede a cabo exige diferentes freqüências de rádio. As
freqüências downstream estão na faixa de 50 a 860 MHz, e as freqüências upstream
estão no intervalo de 5 a 42 MHz.

São necessários dois tipos de equipamento para enviar sinais de modem digitais
upstream e downstream em um sistema a cabo:

• O sistema de terminação de modem por cabo (Cable modem termination system,


CMTS) no headend da operadora a cabo
• Modem a cabo (CM) na extremidade do assinante

Passe o mouse sobre os componentes na figura e observe a função que cada um


desempenha.

Um CMTS de headend comunica-se com os CMs localizados nas casas dos assinantes.
O headend é, na verdade, um roteador com bancos de dados para prestar serviços na
Internet para assinantes a cabo. A arquitetura é relativamente simples, utilizando uma
rede coaxial ótica combinada na qual a fibra ótica substitui a rede coaxial com a menor
largura de banda.

Uma malha de cabos de tronco de fibra conecta o headend aos nós onde ocorre a
conversão de sinal ótico para sinal RF. A fibra leva o mesmo conteúdo de banda larga
para as conexões de Internet, serviço de telefonia e fluxo de vídeo que o cabo coaxial
leva. Os cabos alimentadores coaxiais são originados do nó que leva os sinais de RF aos
assinantes.

Em uma rede HFC moderna, são conectados geralmente 500 a 2.000 assinantes de
dados ativos a um segmento de rede a cabo, todos compartilhando a largura de banda
upstream e downstream. A largura de banda real para o serviço de Internet por uma
linha de CATV pode ser de até 27 Mb/s no caminho de download para o assinante e de
aproximadamente 2,5 Mb/s de largura de banda no caminho de carregamento. Baseado
na arquitetura de rede a cabo, nas práticas de aprovisionamento do operador de cabo e
na carga de tráfego, um assinante individual pode obter, normalmente, uma velocidade
de acesso entre 256 kb/s e 6 Mb/s.

Quando ocorre um congestionamento da rede devido ao excesso de uso, a operadora a


cabo pode colocar uma largura de banda adicional para obter serviços de dados
alocando um canal de TV adicional para dados de alta velocidade. Esta adição pode
dobrar efetivamente a largura de banda de downstream disponível para os assinantes.
Outra opção é reduzir o número de assinantes atendidos por cada segmento de rede.
Para reduzir o número de assinantes, a operadora a cabo realiza mais uma divisão na
rede colocando as conexões de fibra ótica mais próximas e mais profundas na
vizinhança.
Exibir meio visual

6.2.3 DSL

Página 1:
O DSL é um meio de fornecer conexões de alta velocidade através de fios de cobre
instalados. Nesta seção, nós observamos o DSL como uma das principais soluções
disponíveis para o funcionário remoto.

Há muitos anos, a Bell Labs identificou que uma conversação de voz típica através de
um loop local exigia uma largura de banda de somente 300 Hz a 3 kHz. Por muitos
anos, as redes de telefonia não utilizaram uma largura de banda acima de 3 kHz. Os
avanços na tecnologia permitiram que o DSL utilizasse uma largura de banda adicional
de 3 kHz até 1 MHz para fornecer os serviços de dados de alta velocidade através das
linhas de cobre comuns.

Por exemplo, o DSL assimétrico (ADSL) utiliza um intervalo de freqüência de


aproximadamente 20 kHz a 1 MHz. Felizmente, são necessárias somente pequenas
mudanças na infra-estrutura das empresas de telefonia existentes para fornecer os dados
da largura de banda alta aos assinantes. A figura mostra uma representação da alocação
do espaço de largura de banda em um fio de cobre para ADSL. A área azul identifica o
intervalo de freqüência utilizado pelo serviço de telefonia de grau de voz, geralmente
chamado de serviço de telefone antigo simples (Plain old telephone service, POTS). Os
outros espaços coloridos representam o espaço de freqüência utilizado pelos sinais DSL
de upstream e downstream.

Os dois tipos básicos de tecnologias DSL são assimétricos (ADSL) e simétricos


(SDSL). Todas as formas de serviço DSL são classificadas como ADSL ou SDSL, e
existem diversas variedades de cada tipo. O ADSL fornece uma maior largura de banda
de downstream do que largura de banda de carregamento para o usuário. O SDSL
fornece a mesma capacidade em ambas as direções.

As diferentes variedades de DSL fornecem larguras de banda diferentes, algumas com


recursos que excedem os recursos de uma linha alugada T1 ou E1. As taxas de
transferência são dependentes do comprimento real do loop local e do tipo e condição
de seu cabeamento. Para obter um serviço satisfatório, o loop deve ter menos do que 5,5
quilômetros (3,5 milhas).
Exibir meio visual

Página 2:
As operadoras implantam as conexões DSL na última etapa de uma rede de telefonia
local, chamada de loop local ou última milha. A conexão é configurada entre um par de
modems em qualquer extremidade de um fio de cobre que se estende entre o CPE
(Customer premises equipment, Equipamento do usuário) e o DSLAM (Digital
subscriber line access multiplexer, Multiplexador de acesso à linha digital do assinante).
Um DSLAM é o dispositivo localizado no escritório central (Central office, CO) da
operadora e concentra as conexões de diversos assinantes de DSL.

Clique no botão Conexões DSL na figura.

A figura mostra o principal equipamento necessário para fornecer uma conexão de DSL
com um escritório em casa. Os dois componentes principais são o transceiver DSL e o
DSLAM:

• Transceiver - Conecta o computador do funcionário remoto ao DSL.


Normalmente o transceiver é um modem DSL conectado ao computador
utilizando um cabo USB ou Ethernet. Os transceivers DSL mais novos podem
ser integrados em roteadores pequenos com portas de switch 10/100 múltiplas,
adequadas para serem usadas no escritório em casa.
• DSLAM - Situado no CO da operadora, o DSLAM combina as conexões DSL
individuais de usuários em um link da alta capacidade para um ISP e, desse
modo, para a Internet.

Clique no botão Roteador DSL e DSLAM na figura.

A vantagem que o DSL tem sobre a tecnologia a cabo é que o DSL não é um meio
compartilhado. Cada usuário tem uma conexão direta separada para o DSLAM. A
adição de usuários não impede o desempenho, a menos que a conexão da Internet do
DSLAM para o ISP, ou a Internet, fique saturada.
Exibir meio visual

Página 3:
O principal benefício do ADSL é a capacidade de fornecer serviços de dados junto com
serviços de voz POTS.

Quando a operadora coloca a voz analógica e o ADSL no mesmo fio, a operadora divide
os canais POTS do modem ADSL utilizando filtros ou separadores. Esta configuração
garante um serviço de telefonia regular ininterrupto mesmo se o ADSL falhar. Quando
os filtros ou separadores estiverem posicionados, o usuário pode utilizar a linha
telefônica e a conexão ADSL simultaneamente, sem efeitos adversos em qualquer
serviço.

Os sinais ADSL distorcem a transmissão de voz e são divididos ou filtrados no


equipamento do cliente. Existem duas maneiras de separar o ADSL da voz no
equipamento do cliente, utilizando um microfiltro ou um separador.
Um microfiltro é um filtro de baixa passagem passivo com duas extremidades. Uma
extremidade se conecta ao telefone e a outra se conecta à tomada do telefone. Esta
solução elimina a necessidade de um técnico visitar o local e permite que o usuário
utilize qualquer tomada na casa para voz ou serviço ADSL.

Os separadores POTS separam o tráfego DSL do tráfego POTS. O separador POTS é


um dispositivo passivo. No caso de uma falha de energia, o tráfego de voz ainda vai
para o switch de voz no CO da operadora. Os separadores estão localizados no CO e,
em algumas implantações, no equipamento do cliente. No CO, o separador de POTS
separa o tráfego de voz, destinado às conexões POTS, e o tráfego de dados destinado ao
DSLAM.

A figura mostra o loop local terminando no equipamento do cliente no ponto de


demarcação. O dispositivo real é o dispositivo de interface de rede (NID, Network
interface device). Este ponto é normalmente onde a linha telefônica entra no
equipamento do cliente. Neste momento, um separador pode ser anexado à linha
telefônica. O separador bifurca a linha telefônica: uma ponta fornece a instalação
elétrica de telefone original para os telefones e a outra ponta se conecta ao modem
ADSL. O separador age como um filtro de baixa passagem, permitindo que somente as
freqüências de 0 a 4 kHz passem para o telefone ou saiam dele. Instalar o separador
POTS ao NID geralmente significa que um técnico deve ir para o local do cliente.

Devido a este trabalho e suporte técnico adicional, a maioria das instalações em casa
utilizam hoje microfiltros, conforme mostrado na figura. O uso de microfiltros também
apresenta a vantagem de fornecer uma conectividade mais ampla em toda a residência.
Considerando que o separador POTS separa os sinais ADSL e de voz no NID,
normalmente existe somente uma saída ADSL disponível na casa.

Clique no botão Microfiltros na figura.

A figura mostra um layout de DSL de escritório em casa típico utilizando microfiltros.


Nesta solução, o usuário pode instalar microfiltros de linha em cada telefone, ou instalar
microfiltros embutidos na parede no lugar de tomadas de telefone normais. Ao passar o
mouse sobre os microfiltros no gráfico, serão mostradas fotos de produtos da Cisco.

Clique no botão Separador na figura.

Se a operadora instalasse um separador, ele seria colocado entre o NID e o sistema de


distribuição telefônica interno. Um fio iria diretamente para o modem DSL e o outro
levaria o sinal de voz aos telefones. Ao passar o mouse sobre a caixa de separador no
gráfico, um esquema de instalação elétrica típico será revelado.
Exibir meio visual

6.2.4 Banda larga sem fio


Página 1:
O acesso de banda larga por ADSL ou cabo proporciona aos funcionários remotos
conexões mais rápidas do que a discada, mas, até recentemente, os PCs de escritório em
casa tinham que conectar-se a um modem ou um roteador pelo cabo (Ethernet) Cat 5.
Os sistemas de rede sem fio, ou Wi-Fi (wireless fidelity), aprimoraram esta situação,
não somente no escritório em casa, mas também nos diversos prédios de empresas.

Utilizando os padrões de rede 802.11, os dados viajam de local para local em ondas de
rádio. O que torna o sistema de rede 802.11 relativamente fácil de implantar é que ele
utiliza o espectro de rádio não licenciado para enviar e receber os dados. A maioria das
transmissões de rádio e TV são reguladas pelo governo e exigem uma licença de uso.

A partir de 2007, os fabricantes de computador iniciaram a criação de adaptadores de


rede sem fio na maioria dos laptops. Como o preço dos chipsets para Wi-Fi continua
caindo, ele está se tornando uma opção de sistema de rede muito econômica também
para computadores desktop.

Os benefícios do Wi-Fi estão além de não ter de utilizar ou instalar conexões de rede
com fios. O sistema de rede sem fio fornece mobilidade. As conexões sem fio fornecem
maior flexibilidade e produtividade ao funcionário remoto.
Exibir meio visual

Página 2:
Até recentemente, havia a necessidade de uma limitação significativa do acesso sem fio
para estar dentro do intervalo de transmissão local (geralmente menos que 100 pés) de
um roteador para rede sem fio ou ponto de acesso sem fio que possuísse uma conexão
conectada por fios com a Internet. Quando um trabalhador deixava o escritório ou casa,
o acesso sem fio não estava prontamente disponível.

Porém, com os avanços na tecnologia, o alcance das conexões sem fio foi estendido. O
conceito de hotspots aumentou o acesso a conexões sem fio pelo mundo. Um hotspot é a
área coberta por um ou mais pontos de acesso interconectados. Locais de concentração
de público, como cafés, parques e bibliotecas, criaram hotspots de Wi-Fi, esperando
aumentar os negócios. Ao sobrepor os pontos de acesso, os hotspots podem abranger
muitas milhas quadradas.

Novos desenvolvimentos em tecnologia de banda larga sem fio estão aumentando a


disponibilidade sem fio. São alguns deles:

• Wi-Fi municipal
• WiMAX
• Internet por satélite
Os governos municipais também se juntaram à revolução Wi-Fi. As cidades estão
implantando redes municipais sem fio, trabalhando geralmente com operadoras.
Algumas dessas redes fornecem acesso à Internet de alta velocidade sem custos ou por
um preço consideravelmente menor do que o de outros serviços de banda larga. Outras
cidades reservam suas redes Wi-Fi para uso oficial, fornecendo à polícia, aos bombeiros
e aos funcionários públicos um acesso remoto à Internet e a redes municipais.

Clique no botão Único roteador na figura.

A figura mostra uma implantação doméstica típica utilizando um único roteador para
rede sem fio. Esta implantação utiliza o modelo hub-and-spoke. Se o único roteador
para rede sem fio falhar, toda a conectividade é perdida. Passe seu mouse sobre a caixa
de texto.

Clique no botão Malha na figura.

A maioria das redes municipais sem fio utiliza uma topologia em malha em vez de um
modelo hub-and-spoke. Uma malha é uma série de pontos de acesso (transmissores de
rádio), como mostrado na figura. Cada ponto de acesso está no intervalo e pode
comunicar-se com pelo menos dois outros pontos de acesso. A malha cobre sua área
com sinais de radiofreqüência. Os sinais viajam de ponto de acesso para ponto de acesso
por esta nuvem.

Uma rede em malha possui diversas vantagens sobre os hotspots de único roteador. A
instalação é mais fácil e pode ser mais barata porque existem menos fios. A implantação
sobre uma área urbana grande é mais rápida. De um ponto de vista operacional, ela é
mais confiável. No caso de falha de um nó, outros nós na malha compensarão.

Clique no botão WiMAX na figura.

O WiMAX (Interoperabilidade Mundial para Acesso Microondas, Worldwide


Interoperability for Microwave Access) é a tecnologia de telecomunicações destinada a
fornecer dados sem fio por longas distâncias em uma variedade de modos, de links de
ponto a ponto até o acesso de tipo de celular móvel completo. O WiMAX opera em
velocidades mais altas, sobre maiores distâncias e para um maior número de usuários
que o Wi-Fi. Devido a sua maior velocidade (largura de banda) e preços de
componentes em queda, prevê-se que o WiMAX suplantará em breve as redes de malha
municipais para implantações sem fio.

Uma rede WiMAX consiste em dois componentes principais:

• Uma torre que é semelhante em conceito a uma torre de telefonia celular. Uma
torre de WiMAX única pode fornecer cobertura para uma área de 3.000 milhas
quadradas, ou quase 7.500 quilômetros quadrados.
• Um receptor de WiMAX, semelhante em tamanho e forma a uma placa de
PCMCIA, ou incorporado a um laptop ou outro dispositivo sem fio.

Uma estação de torre WiMAX se conecta diretamente à Internet utilizando uma


conexão de largura de banda alta (por exemplo, uma linha de T3). Uma torre também
pode conectar-se a outras torres de WiMAX utilizando os links de microondas de linha
de visão. O WiMAX é capaz, dessa forma, de abranger áreas rurais fora do alcance do
cabo de "última milha" e tecnologias de DSL.

Clique no botão Satélite na figura.

Os serviços de Internet por Satélite são utilizados em locais em que o acesso à Internet
por terra não está disponível, ou para instalações temporárias que se movem
continuamente. O acesso à Internet utilizando satélites está disponível mundiamente,
inclusive para embarcações no mar, aviões em vôo e veículos em movimento por terra.

Existem três maneiras de conectar-se à Internet utilizando satélites: multicast


unidirecional, retorno terrestre unidirecional e bidirecional.

• Os sistemas de Internet por satélite de multicast unidirecional são utilizados para


distribuição de dados, áudio e vídeo por multicast IP. Embora a maioria dos
protocolos IP exijam uma comunicação bidirecional, para o conteúdo da
Internet, incluindo páginas da web, os serviços de internet por satélite
unidirecional podem ser páginas enviadas para armazenamento local em
instalações de usuários finais pela Internet por satélite. Não é possível obter uma
interatividade completa.
• Os sistemas de internet por satélite de retorno terrestre unidirecional utilizam
acesso discado tradicional para enviar dados de saída por um modem e receber
downloads do satélite.
• A Internet por satélite bidirecional envia dados de locais remotos por meio de
um satélite para um hub, o qual envia os dados para a Internet. A antena
parabólica em cada local deve ser precisamente posicionada para evitar uma
interferência com outros satélites.

A figura ilustra um satélite de sistema de internet bidirecional. As velocidades de upload


são de aproximadamente um décimo da velocidade de download, que está na faixa de
500 kb/s.

O principal requisito de instalação é que a antena tenha uma visão clara em direção ao
equador, onde a maioria dos satélites em órbita estão estacionados. Árvores e chuvas
fortes podem afetar a recepção dos sinais.

A Internet por satélite bidirecional utiliza a tecnologia de multicast IP, que permite que
um satélite sirva a até 5.000 canais de comunicação simultaneamente. O multicast IP
envia dados de um ponto para muitos pontos ao mesmo tempo enviando dados em um
formato compactado. A compactação reduz o tamanho dos dados e a largura de banda.
Exibir meio visual

Página 3:
O sistema de rede sem fio obedece a uma variedade de padrões que os roteadores e os
receptores utilizam para comunicar-se entre si. Os padrões mais comuns estão incluídos
no padrão de rede local sem fio IEEE 802.11 (WLAN, wireless local area network), que
abrange as bandas do espectro (não licenciado) público de 5 GHz e 2,4 GHz.

Os termos 802.11 e Wi-Fi parecem intercambiáveis, mas isso está incorreto. Wi-Fi é
uma certificação de interoperabilidade orientada para a indústria baseada em um
subconjunto de 802.11. A especificação de Wi-Fi surgiu pois a demanda do mercado
levou a Wi-Fi Alliance a começar a certificar os produtos antes de as emendas ao
padrão 802.11 serem concluídas. O padrão 802.11, desde então, alcançou e ultrapassou
o Wi-Fi.

Do ponto de vista dos funcionários remotos, as abordagens de acesso mais populares


para a conectividade são as definidas nos protocolos IEEE 802.11b e IEEE 802.11g.
Originalmente, a segurança era intencionalmente fraca nestes protocolos por causa dos
requisitos de exportação restritos de diversos governos. O padrão mais recente, 802.11n,
é uma emenda proposta integrada nos padrões 802.11 anteriores, adicionando entradas
múltiplas e saídas múltiplas (multiple-input multiple-output, MIMO).

O padrão 802.16 (ou WiMAX) permite transmissões de até 70 Mb/s e possui um


intervalo de até 30 milhas (50 km). Ele pode operar em bandas licenciadas ou não
licenciadas do espectro de 2 a 6 GHz.
Exibir meio visual

Página 4:
Nesta atividade, você demonstrará a sua capacidade de adicionar dispositivos de banda
larga e conexões ao Packet Tracer. Embora não possa configurar DSL e modems a cabo,
você pode simular uma conectividade fim-a-fim para dispositivos de funcionário
remoto.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual
6.3 Tecnologia de VPN
6.3.1 VPNs e seus benefícios

Página 1:
A Internet é uma rede IP mundial, publicamente acessível. Por causa de sua vasta
proliferação global, ela se tornou um modo atraente de interconectar locais remotos.
Porém, o fato de ela ser uma infra-estrutura pública expõe as empresas e suas redes
internas a riscos de segurança. Felizmente, a tecnologia de VPN permite que as
organizações criem redes privadas sobre a infra-estrutura de Internet pública que
mantêm a confidencialidade e a segurança.

As organizações utilizam as VPNs para fornecer uma infra-estrutura de WAN virtual


que conecta as filiais, os escritórios em casa, os locais de parceiros de negócios e os
funcionários remotos a toda sua rede corporativa ou à parte dela. Para que permaneça
privado, o tráfego é criptografado. Em vez de utilizar uma conexão de Camada 2
dedicada, tal como uma linha alugada, uma VPN utiliza conexões virtuais que são
roteadas pela Internet.

Foi apresentada, no início deste curso, uma analogia que envolvia conseguir bilhetes
com prioridade para um show em estádio. Uma extensão para essa analogia ajudará a
explicar como uma VPN funciona. Imagine o estádio como um local público da mesma
maneira que a Internet é um local público. Quando o show acaba, o público sai pelos
corredores e saídas públicas, esbarrando-se e empurrando-se uns aos outros ao longo do
caminho. Pequenos roubos são ameaças pelas quais se pode passar.

Imagine como os artistas saem. Seus seguranças juntam seus braços e formam cordões
pela multidão e protegem as celebridades desses empurrões e esbarrões. De fato, estes
cordões formam túneis. As celebridades são levadas através de túneis até suas
limusines, que os levam protegidos aos seus destinos. Esta seção descreve como as
VPNs funcionam dessa mesma maneira, empacotando os dados e movendo-os
seguramente pela Internet através de túneis protetores. É essencial compreender a
tecnologia de VPN para ser capaz de implementar serviços seguros de funcionário
remoto em redes de empresa.

Analogia: cada rede local é uma ilha

Utilizaremos outra analogia para ilustrar o conceito de VPN de um ponto de vista


diferente. Imagine que você vive em uma ilha em um oceano enorme. Existem milhares
de outras ilhas ao seu redor, algumas muito próximas e outras mais distantes. O modo
normal de viajar é levar uma barca de sua ilha para qualquer ilha que você deseje
visitar. Viajar em uma barca significa que você não tem quase nenhuma privacidade.
Qualquer coisa que você fizer pode ser visto por outra pessoa.

Suponha que cada ilha representa uma rede local privada e que o oceano é a Internet.
Viajar pela barca é semelhante a quando você se conecta a um servidor web ou a outro
dispositivo pela Internet. Você não tem controle sobre os fios e os roteadores que
compõem a Internet, assim como você não tem nenhum controle sobre as outras pessoas
na barca. Isto o deixa vulnerável a problemas de segurança caso você tente conectar-se
entre duas redes privadas utilizando um recurso público.

Sua ilha decide construir uma ponte para outra ilha de forma que haja um modo mais
fácil, mais seguro e direto de as pessoas viajarem entre as duas. A construção e a
manutenção da ponte são caras, mesmo que a ilha para a qual você está se conectando
seja muito próxima. Mas a necessidade de um caminho confiável e seguro é tão grande
que você a constrói mesmo assim. Sua ilha gostaria de conectar-se a uma segunda ilha
que está muito mais distante, mas você decide que isso sairá muito caro.

Esta situação é muito parecida com ter uma linha alugada. As pontes (linhas alugadas)
estão separadas do oceano (Internet), mas, ainda assim, elas podem conectar as ilhas
(redes locais). Muitas empresas escolheram esta rota por causa da necessidade de
segurança e confiabilidade na conexão de seus escritórios remotos. Entretanto, se os
escritórios forem muito distantes, o custo poderá ser proibitivamente alto - assim como
tentar criar uma ponte que atravessa uma grande distância.

Desse modo, como a VPN se ajusta a esta analogia? Nós poderíamos dar a cada
habitante das ilhas seu próprio submarino pequeno com estas propriedades:

• Rápido
• Fácil de levar com você onde você for
• Capaz de escondê-lo completamente de qualquer outro barco ou submarino
• Confiável
• Poucos custos para adicionar submarinos à sua frota depois que o primeiro for
comprado

Embora eles estejam viajando no oceano junto com outro tráfego, os habitantes de
nossas duas ilhas poderiam viajar de um lado para o outro sempre que desejassem, com
privacidade e segurança. É essencialmente dessa maneira que uma VPN funciona. Cada
membro remoto de sua rede pode comunicar-se de uma maneira segura e confiável
utilizando a Internet como o meio para conectar-se à rede local privada. Uma VPN pode
crescer a fim de acomodar mais usuários e locais diferentes de forma muito mais fácil
do que uma linha alugada. Na realidade, a escalabilidade é uma vantagem principal que
as VPNs têm sobre as linhas alugadas comuns. Diferente das linhas alugadas, onde o
custo aumenta proporcionalmente às distâncias envolvidas, as localizações geográficas
de cada escritório pouco importam na criação de uma VPN.
Exibir meio visual

Página 2:
As organizações que utilizam VPNs beneficiam-se de um aumento na flexibilidade e na
produtividade. Locais e funcionários remotos podem conectar-se de modo seguro à rede
corporativa de quase qualquer lugar. Os dados em uma VPN são criptografados e
tornam-se indecifráveis a qualquer um que não tenha permissão para fazê-lo. As VPNs
trazem hosts remotos para dentro do firewall, dando-lhes quase os mesmos níveis de
acesso para os dispositivos de rede como se eles estivessem em um escritório
corporativo.

A figura mostra as linhas alugadas em vermelho. As linhas azuis representam as


conexões baseadas em VPN. Considere estes benefícios ao utilizar as VPNs:

• Economia de custo - As organizações podem utilizar um transporte de Internet


econômico e externo para conectar escritórios remotos e usuários ao site
corporativo principal. Isto elimina links de WAN dedicados caros e bancos de
modem. Utilizando a banda larga, as VPNs reduzem os custos de conectividade
ao mesmo tempo em que aumentam a largura de banda de conexão remota.
• Segurança - Criptografia e protocolos de autenticação avançados protegem os
dados de acessos não autorizados.
• Escalabilidade - As VPNs utilizam a infra-estrutura de Internet dentro dos ISPs
e operadoras, facilitando a adição de novos usuários pelas organizações. As
organizações, grandes e pequenas, podem adicionar uma grande quantidade de
capacidade sem adicionar uma infra-estrutura significativa.
Exibir meio visual

6.3.2 Tipos de VPNs

Página 1:
As organizações utilizam as VPNs ponto a ponto a fim de conectar locais espalhados da
mesma maneira que uma linha alugada ou conexão de Frame Relay é utilizada. Como a
maioria das organizações agora têm acesso à Internet, é conveniente tirar proveito dos
benefícios das VPNs ponto a ponto. Conforme ilustrado na figura, as VPNs ponto a
ponto também suportam intranets de empresas e extranets de parceiros de negócios.

Com efeito, uma VPN ponto a ponto é uma extensão de um sistema de rede WAN
clássico. As VPNs ponto a ponto conectam redes inteiras umas às outras. Por exemplo,
elas podem conectar uma rede de filial a uma rede da sede da empresa.

Em uma VPN ponto a ponto, os hosts enviam e recebem o tráfego de TCP/IP através de
um gateway de VPN que pode ser um roteador, dispositivo de firewall PIX ou um
Mecanismo de Segurança Adaptável (ASA). O gateway de VPN é responsável por
encapsular e criptografar o tráfego de saída para todo o tráfego de um local específico e
por enviá-lo por um túnel de VPN sobre a Internet para um gateway de VPN de mesmo
nível no local designado. Ao receber, o gateway de VPN de mesmo nível retira os
cabeçalhos, descriptografa o conteúdo e retransmite o pacote para o host designado
dentro de sua rede privada.
Exibir meio visual
Página 2:
Os usuários móveis e funcionários à distância utilizam amplamente as VPNs de acesso
remoto. No passado, as corporações suportavam os usuários remotos utilizando redes
discadas. Acessar a corporação geralmente envolvia uma chamada de longa distância e
tarifas de interurbano.

A maioria dos funcionários remotos agora tem acesso à Internet de suas casas e pode
estabelecer VPNs remotas utilizando conexões de banda larga. Da mesma forma, um
funcionário móvel pode fazer uma chamada local para um ISP local a fim de acessar a
corporação pela Internet. De fato, isto marca uma evolução em redes discadas. As VPNs
de acesso remoto podem suportar as necessidades dos funcionários à distância, usuários
móveis, bem como extranet para transações de comércio eletrônico.

Em uma VPN de acesso remoto, cada host geralmente possui um software de cliente de
VPN. Sempre que o host tenta enviar algum tráfego, o software de cliente de VPN
encapsula e criptografa esse tráfego antes de enviá-lo pela Internet para o gateway de
VPN na extremidade da rede designada. Ao receber, o gateway de VPN trata os dados
da mesma maneira que trataria os dados de uma VPN ponto a ponto.
Exibir meio visual

6.3.3 Componentes da VPN

Página 1:
Uma VPN cria uma rede privada sobre uma infra-estrutura de rede pública enquanto
mantém a confidencialidade e a segurança. As VPNs utilizam protocolos de
tunelamento criptográfico para fornecer proteção contra detecção de pacotes,
autenticação de remetentes e integridade da mensagem.

A figura ilustra uma topologia de VPN típica. Os componentes necessários para


estabelecer esta VPN incluem:

• Uma rede existente com servidores e estações de trabalho


• Uma conexão com a Internet
• Gateways de VPN, tais como roteadores, firewalls, concentradores de VPN e
ASAs, que agem como pontos de extremidade para estabelecer, gerenciar e
controlar as conexões de VPN
• Software apropriado para criar e gerenciar túneis de VPN

A chave para a efetividade da VPN é a segurança. As VPNs protegem os dados


encapsulando-os ou criptografando-os. A maioria das VPNs pode fazer os dois.
• O encapsulamento também pode ser chamado de tunelamento, uma vez que o
encapsulamento transmite os dados de forma transparente de rede para rede
através de uma infra-estrutura de rede compartilhada.
• A criptografia codifica os dados em um formato diferente utilizando uma chave
secreta. A descriptografia decodifica os dados criptografados no formato não
criptografado original.

O encapsulamento e a criptografia são discutidos em mais detalhes posteriormente neste


curso.
Exibir meio visual

6.3.4 Características de VPNs seguras

Página 1:
As VPNs utilizam técnicas de criptografia avançadas e tunelamento para permitir que as
organizações estabeleçam conexões de rede seguras, fim-a-fim e privadas pela Internet.

A base de uma VPN segura é a confidencialidade e integridade dos dados e a


autenticação:

• Confidencialidade dos dados - Uma preocupação de segurança comum é


proteger os dados de interceptadores. Como um recurso de design, a
confidencialidade de dados procura proteger o conteúdo das mensagens da
intercepção por fontes não autenticadas ou não autorizadas. As VPNs obtêm a
confidencialidade utilizando mecanismos de encapsulamento e criptografia.
• Integridade de dados - Os receptores não têm nenhum controle sobre o
caminho pelo qual os dados passaram e, portanto, não sabem se os dados foram
vistos ou alterados enquanto viajava pela Internet. Existe sempre a possibilidade
de os dados terem sido modificados. A integridade de dados garante que não
ocorra nenhuma falsificação ou alteração aos dados enquanto eles viajam entre a
origem e o destino. As VPNs normalmente utilizam hashes para assegurar a
integridade dos dados. Um hash é como uma checksum ou selo que garante que
ninguém leu o conteúdo, mas ele é mais potente. Os hashes são explicados no
próximo tópico.
• Autenticação - A autenticação garante que uma mensagem venha de uma
origem autêntica e vá para um destino autêntico. A identificação de usuário
proporciona ao usuário a confiança de que a parte com a qual ele estabelece as
comunicações é quem ele realmente pensa. As VPNs podem utilizar senhas,
certificados digitais, smart cards e biométrica para estabelecer a identidade dos
participantes na outra extremidade de uma rede.
Exibir meio visual

6.3.5 Tunelamento de VPN


Página 1:
Incorporar recursos de confidencialidade de dados apropriados a uma VPN assegura que
somente as origens e os destinos determinados sejam capazes de interpretar o conteúdo
original das mensagens.

O tunelamento permite o uso de redes públicas como a Internet para levar os dados para
usuários como se os usuários tivessem acesso a uma rede privada. O tunelamento
encapsula um pacote inteiro dentro de outro pacote e envia o novo pacote composto
sobre uma rede. Esta figura lista as três classes de protocolos utilizadas pelo
tunelamento.

Para ilustrar o conceito de tunelamento e as classes de protocolos de tunelamento,


considere um exemplo de um envio de um cartão de natal por correio tradicional. O
cartão de natal tem uma mensagem dentro. O cartão é o protocolo de passagem. O
remetente coloca o cartão dentro de um envelope (protocolo de encapsulamento) com o
endereçamento apropriado escrito. O remetente coloca o envelope em uma caixa de
correio para entrega. O sistema postal (protocolo de operadora) escolhe e entrega o
envelope para a caixa de correio do destinatário. Os dois pontos de extremidade no
sistema da operadora são as "interfaces de túnel." O destinatário remove o cartão de
natal (extrai o protocolo de passagem) e lê a mensagem.

Clique no botão Encapsulamento na figura para exibir uma ilustração do processo de


encapsulamento.

Esta figura ilustra uma mensagem de email que viaja pela Internet sobre uma conexão
de VPN. O PPP leva a mensagem ao dispositivo de VPN, onde a mensagem é
encapsulada dentro de um pacote de Encapsulamento de Rota Genérico (GRE, Generic
Route Encapsulation). O GRE é um protocolo de tunelamento desenvolvido pela Cisco
Systems que pode encapsular uma ampla variedade de tipos de pacote de protocolo
dentro de túneis IP, criando um link ponto a ponto virtual para roteadores da Cisco em
pontos remotos sobre uma rede IP interconectada. Na figura, o endereçamento de
origem e destino externo do pacote é atribuído para "interfaces de túnel" e é colocado
em condição de roteamento através da rede. Quando um pacote composto alcança a
interface de túnel de destino, o pacote interno é extraído.
Exibir meio visual

6.3.6 Integridade de dados da VPN

Página 1:
Se os dados de texto simples forem transportados pela Internet pública, eles poderão ser
interceptados e lidos. Para manter os dados privados, eles precisam ser criptografados.
A criptografia de VPN criptografa os dados e os torna ilegíveis para receptores não
autorizados.
Para que a criptografia funcione, o remetente e o receptor devem conhecer as regras
utilizadas para transformar a mensagem original em seu formato codificado. As regras
de criptografia de VPN incluem um algoritmo e uma chave. Um algoritmo é uma
função matemática que combina uma mensagem, texto, dígitos ou os três com uma
chave. A saída de dados é uma cadeia de códigos ilegível. A descriptografia é
extremamente difícil ou impossível sem a chave correta.

No exemplo, Gail deseja enviar um documento financeiro a Jeremy pela Internet. Gail e
Jeremy concordaram previamente com uma chave secreta compartilhada. Na
extremidade de Gail, o software de cliente de VPN combina o documento com a chave
secreta compartilhada e a passa através de um algoritmo de criptografia. A saída de
dados é um texto de códigos indecifrável. O texto de códigos é enviado por um túnel de
VPN sobre a Internet. Na outra extremidade, a mensagem é recombinada com a mesma
chave secreta compartilhada e processada pelo mesmo algoritmo de criptografia. A
saída de dados é o documento financeiro original que agora está legível para Jeremy.
Exibir meio visual

Página 2:
O grau de segurança proporcionado por qualquer algoritmo de criptografia depende do
tamanho da chave. Para qualquer tamanho de chave determinado, o tempo necessário
para processar todas as possibilidades para decodificar o texto codificado é uma função
de potência de computação do computador. Portanto, quanto menor a chave, mais fácil é
a decodificação, mas, ao mesmo tempo, mais fácil é transmitir a mensagem.

Alguns do algoritmos de criptografia e tamanho de chaves mais comuns utilizados são:

• Algoritmo de criptografia padrão de dados (DES) - Desenvolvido pela IBM,


o DES utiliza uma chave de 56 bits, assegurando uma criptografia de alto
desempenho. O DES é um sistema de criptografia de chave simétrica. As chaves
simétricas e assimétricas são explicadas abaixo.
• Algoritmo DES triplo (3DES) - Uma variante mais nova do DES que
criptografa com uma chave, decodifica com outra chave diferente e, em seguida,
criptografa uma última vez com outra chave. O 3DES proporciona uma potência
significativamente maior ao processo de criptografia.
• Criptografia padrão avançada (AES) - O Instituto Nacional de Padrões e
Tecnologia (NIST) adotou o AES para substituir a criptografia de DES existente
em dispositivos criptográficos. O AES proporciona uma segurança mais forte do
que o DES e é mais eficiente que o 3DES do ponto de vista computacional. O
AES oferece três tamanhos de chave diferentes: chaves de 128, 192, e 256 bits.
• Rivest, Shamir e Adleman (RSA) - Um sistema de criptografia de chave
assimétrica. As chaves utilizam um tamanho de bits de 512, 768, 1024 ou maior.

Criptografia simétrica
Os algoritmos de criptografia, tais como DES e 3DES, exigem uma chave secreta
compartilhada para executar criptografia e descriptografia. Cada um dos dois
computadores deve conhecer a chave para decodificar as informações. Com a
criptografia de chave simétrica, também chamada de criptografia de chave secreta, cada
computador criptografa as informações antes de enviá-las pela rede para o outro
computador. A criptografia de chave simétrica exige o conhecimento de quais
computadores se comunicarão de modo que a mesma chave possa ser configurada em
cada computador.

Por exemplo, um remetente cria uma mensagem codificada onde cada letra é substituída
pela letra que está duas letras abaixo no alfabeto: "A" se torna "C" e "B" se torna "D", e
assim por diante. Neste caso, o palavra SECRET se torna UGETGV. O remetente já
contou ao destinatário que a chave secreta é "trocar por 2 antes”. Quando o destinatário
receber a mensagem UGETGV, o computador do destinatário decodificará a mensagem
deslocando-se para duas letras antes e calculando SECRET. Qualquer outra pessoa que
veja a mensagem enxergará somente a mensagem criptografada, que não tem sentido a
menos que a pessoa saiba a chave secreta.

A pergunta é: como ambos os dispositivos de criptografia e descriptografia possuem a


chave secreta compartilhada? Você pode utilizar o email, mensageiro ou correio noturno
para enviar as chaves secretas compartilhadas aos administradores dos dispositivos.
Outro método mais fácil e seguro é a criptografia assimétrica.

Criptografia assimétrica

A criptografia assimétrica utiliza diferentes chaves para criptografia e descriptografia.


Conhecer uma das chaves não permite que um hacker deduza a segunda chave e
decodifique as informações. Uma chave criptografa a mensagem, enquanto uma
segunda chave descriptografa a mensagem. Não é possível criptografar e descriptografar
com a mesma chave.

A criptografia de chave pública é uma variante da criptografia assimétrica que utiliza


uma combinação de uma chave privada e uma chave pública. O destinatário fornece
uma chave pública a qualquer remetente com quem o destinatário deseja se comunicar.
O remetente utiliza uma chave privada combinada com a chave pública do destinatário
para criptografar a mensagem. Além disso, o remetente deve compartilhar sua chave
pública com o destinatário. Para descriptografar uma mensagem, o destinatário utilizará
a chave pública do remetente com sua própria chave privada.
Exibir meio visual

Página 3:
Os hashes contribuem com a integridade e autenticação de dados assegurando que
pessoas não autorizadas não adulterem as mensagens transmitidas. Um hash, também
chamado de resumo de mensagem (message digest), é um número gerado a partir de
uma cadeia de texto. O hash é menor que o próprio texto. Ele é gerado utilizando uma
fórmula de tal modo que seja extremamente improvável que outro texto produza o
mesmo valor de hash.

O remetente original gera um hash da mensagem e o envia com a própria mensagem. O


destinatário descriptografa a mensagem e o hash, gera outro hash da mensagem recebida
e compara os dois hashes. Se eles forem os mesmos, o destinatário poderá ficar
razoavelmente seguro de que a integridade da mensagem não foi afetada.

Na figura, alguém está tentando enviar um cheque de US$100 para Jeremy. Na


extremidade remota, Alex Jones (um provável criminoso) está tentando trocar o cheque
para $1.000. Como o cheque passou pela Internet, ele foi alterado. Tanto o destinatário
quanto a quantia em dólar foram alterados. Neste caso, se um algoritmo de integridade
de dados fosse utilizado, os hashes não seriam correspondentes e a transação não seria
mais válida.

Os dados de VPN são transportados pela Internet pública. Como mostrado, há um


potencial para que esses dados sejam interceptados e modificados. Para se proteger
dessa ameaça, os hosts podem adicionar um hash à mensagem. Se o hash transmitido
corresponder ao hash recebido, a integridade da mensagem terá sido preservada.
Entretanto, se não houver nenhuma correspondência, a mensagem foi alterada.

As VPNs utilizam um código de autenticação de mensagem para verificar a integridade


e a autenticidade de uma mensagem, sem utilizar nenhum mecanismo adicional. Um
HMAC (Keyed Hashed Message Authentication Code, Código de Autenticação de
Mensagem com Chave de Hash) é um algoritmo de integridade de dados que garante a
integridade da mensagem.

Um HMAC possui dois parâmetros: uma entrada de mensagem e uma chave secreta
conhecidas somente pelo remetente e receptores pretendidos. O remetente da mensagem
utiliza uma função HMAC para gerar um valor (o código de autenticação da
mensagem), formado pela compactação da chave secreta e da entrada da mensagem. O
código de autenticação da mensagem é enviado junto com a mensagem. O receptor
computa o código de autenticação da mensagem na mensagem recebida utilizando a
mesma chave e função HMAC que o remetente utilizou e compara o resultado
computado com o código de autenticação de mensagem recebido. Se houver
correspondência entre os dois valores, a mensagem será recebida corretamente e o
receptor terá a segurança de que o remetente é um membro da comunidade de usuários
que compartilham a chave. A potência criptográfica do HMAC depende da potência
criptográfica da função de hash, do tamanho e da qualidade da chave, e do tamanho da
saída de dados de hash produzida em bits.

Existem dois algoritmos HMAC comuns:

• Message Digest 5 (MD5) - Utiliza uma chave secreta compartilhada de 128 bits.
A mensagem de tamanho variável e chave secreta compartilhada de 128 bits são
combinadas e executadas pelo algoritmo hash de HMAC-MD5. A saída de
dados é um hash de 128 bits. O hash é acrescentado à mensagem original e
encaminhado à extremidade remota.
• Algoritmo de Hash seguro 1 (SHA-1) - Utiliza uma chave secreta de 160 bits.
A mensagem de tamanho variável e chave secreta compartilhada de 160 bits são
combinadas e executadas pelo algoritmo hash de HMAC-SHA-1. A saída de
dados é um hash de 160 bits. O hash é acrescentado à mensagem original e
encaminhado à extremidade remota.
Clique no botão Autenticação de VPN na figura.

Ao administrar os negócios à longa distância, é necessário saber quem está na outra


extremidade do telefone, email ou fax. O mesmo vale para redes de VPN. O dispositivo
da outra extremidade do túnel de VPN deve ser autenticado antes de o caminho de
comunicação ser considerado seguro. Existem dois métodos de autenticação do ponto
(peer):

• Chave pré-compartilhada (PSK, Pre-shared key) - Uma chave secreta que é


compartilhada entre os dois participantes utilizando um canal seguro antes de
precisar ser utilizada. As PSKs utilizam algoritmos criptográficos de chave
simétrica. Uma PSK é colocada em cada ponto manualmente e utilizada para
autenticar esse ponto. Em cada extremidade, a PSK é combinada com outras
informações para formar a chave de autenticação.
• Assinatura de RSA - Utiliza a troca de certificados digitais para autenticar os
pontos. O dispositivo local produz um hash e o criptografa com sua chave
privada. O hash criptografado (assinatura digital) é anexado à mensagem e
encaminhado à extremidade remota. Na extremidade remota, o hash
criptografado é descriptografado utilizando a chave pública da extremidade
local. Se o hash descriptografado corresponder ao hash recomputado, a
assinatura será genuína.

Observe uma demonstração de RSA para obter um exemplo de criptografia de RSA.


Exibir meio visual

6.3.7 Protocolos de segurança IPsec

Página 1:
O IPsec é o conjunto de aplicações de protocolo para proteger as comunicações de IP,
que fornece criptografia, integridade e autenticação. O IPsec explicita a transmissão de
mensagens necessária para proteger as comunicações de VPN, mas confia nos
algoritmos existentes.

Existem dois protocolos de estrutura IPsec principais.

• Cabeçalho de autenticação (AH, Authentication header) - Utilizado quando


não se exige ou permite a confidencialidade. O AH fornece a autenticação e a
integridade de dados e para pacotes IP transmitidos entre dois sistemas. Ele
verifica se as mensagens transmitidas de R1 para R2 não foram modificadas
durante o trânsito. Ele também verifica se a origem dos dados era R1 ou R2. O
AH não fornece a confidencialidade de dados (criptografia) dos pacotes. Se for
utilizado sozinho, o protocolo AH fornece uma fraca proteção.
Conseqüentemente, ele é utilizado com o protocolo ESP para fornecer a
criptografia de dados e recursos de segurança de monitoramento contra
adulterações.
• Payload de segurança de encapsulamento (ESP, Encapsulating Security
Payload) - Fornece confidencialidade e autenticação através da criptografia do
pacote IP. A criptografia do pacote IP oculta os dados e as identidades da origem
e do destino. O ESP autentica o pacote IP interno e o cabeçalho de ESP. A
autenticação proporciona a autenticação da origem de dados e a integridade dos
dados. Embora a criptografia e a autenticação sejam opcionais no ESP, no
mínimo uma delas deve ser selecionada.

Clique no botão Estrutura IPsec na figura.

O IPsec conta com os algoritmos existentes para implementar a criptografia, a


autenticação e a troca de chaves. Alguns dos algoritmos padrão que o IPsec utiliza são:

• DES - Criptografa e descriptografa os dados do pacote.


• 3DES - Fornece uma potência de criptografia significativa sobre o DES de 56
bits.
• AES – Proporciona uma criptografia mais potente, dependendo do tamanho de
chave utilizada, bem como uma melhor produtividade.
• MD5 - Autentica os dados do pacote, utilizando uma chave secreta
compartilhada de 128 bits.
• SHA-1 - Autentica os dados do pacote, utilizando uma chave secreta
compartilhada de 160 bits.
• DH - Permite que os dois participantes estabeleçam uma chave secreta
compartilhada utilizada pela criptografia e pelos algoritmos hash, por exemplo, o
DES e MD5, sobre um canal de comunicações não seguro.

A figura mostra como o IPsec é configurado. O IPsec fornece a estrutura e o


administrador escolhe os algoritmos utilizados para implementar os serviços de
segurança dentro dessa estrutura. Existem quatro quadrados da estrutura de IPsec a
serem preenchidos.

• Ao configurar um gateway de IPsec para fornecer serviços de segurança, escolha


primeiro um protocolo IPsec. As escolhas são: ESP ou ESP com AH.
• O segundo quadrado será um algoritmo de criptografia se o IPsec for
implementado com ESP. Escolha o algoritmo de criptografia apropriado para o
nível desejado de segurança: DES, 3DES ou AES.
• O terceiro quadrado é a autenticação. Escolha um algoritmo de autenticação para
fornecer a integridade dos dados: MD5 ou SHA.
• O último quadrado é o grupo de algoritmos Diffie-Hellman (DH). Que
estabelece o compartilhamento das informações da chave entre os pontos.
Escolha qual grupo utilizar: DH1 ou DH2.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Exibir meio visual

6.4 Resumo do capítulo


6.4.1 Resumo do capítulo

Página 1:
Neste capítulo, você aprendeu sobre a importância crescente dos funcionários remotos.
Você pode descrever os requisitos de uma organização para fornecer serviços de
funcionário remoto em termos do que o funcionário remoto precisa e do que a
organização precisa para fornecer uma conectividade confiável e econômica. Entre os
modos preferidos para conectar os funcionários remotos, você pode descrever como
utilizar os serviços de banda larga, inclusive o DSL, cabo e sem fio. Além disso, você
sabe como a tecnologia de VPN pode ser utilizada para fornecer serviços de funcionário
remoto seguros nas organizações, incluindo a importância, os benefícios, a função e o
impacto da tecnologia de VPN, bem como os tipos de acesso, componentes,
tunelamento e criptografia.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Esta atividade exige que você configure uma rota padrão bem como um roteamento
dinâmico utilizando o RIP versão 2. Você também adicionará dispositivos de banda
larga à rede. Por fim, você irá configurar as ACLs em dois roteadores para controlar o
tráfego de rede.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)


Clique no ícone do Packet Tracer para obter mais detalhes.
Exibir meio visual

6.5 Teste do capítulo


6.5.1 Teste do capítulo

Página 1:
Exibir meio visual

7 Serviços de endereçamento IP
7.0 Introdução do capítulo
7.0.1 Introdução

Página 1:
A Internet e as tecnologias relacionadas ao IP passaram por um rápido crescimento.
Uma razão para o crescimento deve-se, em parte, à flexibilidade do design original.
Entretanto, este design não previu a popularidade da Internet e a demanda resultante por
endereços IP. Por exemplo, cada host e cada dispositivo na Internet exige um endereço
do exclusivo IP versão 4 (IPv4). Devido ao drástico crescimento, o número de
endereços IP disponíveis está se esgotando.

Para lidar com o esgotamento dos endereços IP, foram desenvolvidas diversas soluções
de curto prazo. As duas soluções de curto prazo são os endereços privados e a Tradução
de Endereço de Rede (NAT, Network Address Translation).

Um host interno normalmente recebe seu endereço IP, máscara de sub-rede, endereço IP
de gateway padrão, endereço IP de servidor DNS e outras informações de um servidor
de Protocolo de Configuração de Host Dinâmico (DHCP, Dynamic Host Configuration
Protocol). Em vez de fornecer hosts internos com endereços IP de Internet válidos, o
servidor DHCP geralmente fornece endereços IP de um conjunto privado de endereços.
O problema é que estes hosts ainda podem exigir endereços IP válidos para acessar os
recursos da Internet. É aí que entra a NAT.

A NAT permite que os hosts de rede internos obtenham temporariamente um endereço


IP de Internet legítimo enquanto acessam os recursos da Internet. Quando o tráfego
solicitado retorna, o endereço IP legítimo é adaptado e disponibilizado para a solicitação
seguinte da Internet feita por um host interno. Usando a NAT, os administradores de
rede precisam somente de um ou poucos endereços IP para serem fornecidos aos hosts
pelo roteador, em vez de um endereço IP exclusivo para cada cliente que entra na rede.
Embora pareça ineficiente, o processo é, na verdade, muito eficiente, porque o tráfego
do host acontece de forma muito rápida.
Embora os endereços privados com o DHCP e a NAT tenham ajudado a reduzir a
necessidade de endereços IP, estima-se que nós esgotaremos os endereços IPv4
exclusivos por volta de 2010. Por essa razão, em meados dos anos 90, o IETF solicitou
propostas para um novo esquema de endereçamento IP. O grupo de trabalho IP Next
Generation (IPng, Última Geração de IP) reagiu. Por volta do ano de 1996, o IETF
começou a liberar diversas RFCs definindo o IPv6.

O principal recurso do IPv6 sendo adotado hoje em dia é o maior espaço de endereço:
os endereços no IPv6 possuem um tamanho de 128 bits contra os 32 bits do IPv4.

Este capítulo descreve como implementar o DHCP, a NAT e o IPv6 em redes


corporativas.
Exibir meio visual

7.1 DHCP
7.1.1 Apresentando o DHCP

Página 1:
O que é DHCP?

Cada dispositivo que se conecta a uma rede precisa de um endereço IP. Os


administradores de rede atribuem endereços IP estáticos a roteadores, servidores e a
outros dispositivos de rede cujas localizações (físicas e lógicas) não tendem a mudar. Os
administradores digitam os endereços IP estáticos manualmente quando configuram os
dispositivos para entrar na rede. Os endereços estáticos também permitem que os
administradores gerenciem tais dispositivos remotamente.

Porém, os computadores em uma organização mudam frequentemente de localização,


tanto física quanto logicamente. Os administradores não conseguem atribuir novos
endereços IP cada vez que um funcionário se muda para um escritório ou cubículo
diferente. Os clientes com desktop não exigem um endereço estático. Em vez disso, uma
estação de trabalho pode utilizar qualquer endereço dentro de um intervalo de
endereços. Esse intervalo está normalmente dentro de uma sub-rede IP. Uma estação de
trabalho dentro de uma sub-rede específica pode receber qualquer endereço dentro de
um intervalo específico. Atribui-se um valor a outros itens, tais como a máscara de sub-
rede, o gateway padrão e o servidor do Sistema de Resolução de Nome de Domínio
(DNS, Domain Name System), valor esse que é igual para a sub-rede ou para toda a
rede administrada. Por exemplo, todos os hosts dentro da mesma sub-rede receberão
endereços IP de host diferentes, mas receberão a mesma máscara de sub-rede e o
mesmo endereço IP de gateway padrão.

Você viu no CCNA Exploration, Fundamentos de rede, que o DHCP realiza o processo
de atribuir novos endereços IP de modo quase transparente. O DHCP atribui endereços
IP e outras informações de configuração de rede importantes dinamicamente. Como os
clientes com desktop geralmente compõem o lote de nós de rede, o DHCP é uma
ferramenta que economiza tempo e extremamente útil para os administradores de rede.
A RFC 2131 descreve o DHCP.

Os administradores normalmente preferem que um servidor de rede ofereça serviços de


DHCP, porque tais soluções são escaláveis e relativamente fáceis de gerenciar.
Entretanto, em uma filial pequena ou local de SOHO, um roteador Cisco pode ser
configurado para prestar serviços de DHCP sem a necessidade de um servidor dedicado
caro. Um conjunto de recursos do IOS Cisco chamado Easy IP oferece um servidor
DHCP completo e opcional.
Exibir meio visual

7.1.2 Operação de DHCP

Página 1:
Operação de DHCP

A tarefa mais importante realizada por um servidor DHCP é fornecer endereços IP aos
clientes. O DHCP inclui três mecanismos de alocação de endereço diferentes para
fornecer flexibilidade ao atribuir endereços IP:

• Alocação manual: O administrador atribui um endereço IP pré-alocado ao


cliente e o DHCP somente comunica o endereço IP ao dispositivo.
• Alocação automática: O DHCP atribui automaticamente um endereço IP
estático permanente a um dispositivo, selecionando-o de um conjunto de
endereços disponíveis. Não existe empréstimo e o endereço é atribuído
permanentemente a um dispositivo.
• Alocação dinâmica: O DHCP atribui ou empresta automática e dinamicamente
um endereço IP a partir de um conjunto de endereços por um período limitado
escolhido pelo servidor, ou até que o cliente diga ao servidor DHCP que não
precisa mais do endereço.

Esta seção aborda a alocação dinâmica.

O DHCP trabalha em um modo cliente/servidor e funciona como qualquer outra relação


de cliente/servidor. Quando um PC se conecta a um servidor DHCP, o servidor atribui
ou empresta um endereço IP a esse PC. O PC se conecta à rede com esse endereço IP
emprestado até que tal empréstimo expire. O host deve entrar em contato com o
servidor DHCP periodicamente para estender o empréstimo. Este mecanismo de
empréstimo assegura que os hosts que se mudam ou se desligam não se prendam a
endereços dos quais não precisam. O servidor DHCP devolve esses endereços ao
conjunto de endereços e os realoca conforme o necessário.

Clique no botão Detecção na figura.


Quando o cliente inicializa ou deseja entrar de outro modo na rede, ele conclui quatro
etapas para obtenção de um empréstimo. Na primeira etapa, o cliente transmite uma
mensagem DHCPDISCOVER em broadcast. A mensagem DHCPDISCOVER localiza
os servidores DHCP na rede. Como o host não tem nenhuma informação de IP válida na
inicialização, ele utilizará os endereços de broadcast de L2 e L3 para comunicar-se com
o servidor.

Clique no botão Oferta na figura.

Quando o servidor DHCP recebe uma mensagem DHCDISCOVER, ele localiza um


endereço IP disponível para empréstimo, cria uma entrada de ARP consistindo no
endereço MAC do host solicitante e o endereço IP emprestado, e transmite uma oferta
de associação com uma mensagem DHCPOFFER. A mensagem DHCPOFFER é
enviada como um unicast, utilizando o endereço MAC de L2 do servidor como o
endereço de origem e o endereço de L2 do cliente como o destino.

Nota: Sob certas circunstâncias, a troca de mensagens do DHCP do servidor pode ser
transmitida por broadcast e não por unicast.

Clique no botão Solicitação na figura.

Quando o cliente recebe o DHCPOFFER do servidor, ele retorna uma mensagem


DHCPREQUEST. Essa mensagem tem dois objetivos: emprestar a origem, a renovação
e a verificação. Quando usado para emprestar uma origem, o DHCPREQUEST do
cliente está solicitando que as informações de IP sejam verificadas logo após sua
atribuição. A mensagem fornece a verificação de erros para assegurar que a atribuição
ainda seja válida. O DHCPREQUEST também serve como um aviso de aceitação de
associação para o servidor selecionado e uma recusa implícita a quaisquer outros
servidores que possam ter enviado uma oferta de associação para o host.

Muitas redes corporativas utilizam diversos servidores DHCP. A mensagem


DHCPREQUEST é enviada na forma de broadcast para informar este servidor DHCP e
qualquer outro servidor DHCP sobre a oferta aceita.

Clique no botão Confirmação na figura.

Ao receber a mensagem DHCPREQUEST, o servidor verifica as informações de


empréstimo, cria uma nova entrada de ARP para o empréstimo do cliente e responde
com uma mensagem DHCPACK de unicast. A mensagem DHCPACK é uma duplicata
da mensagem DHCPOFFER, exceto por uma mudança no campo de tipo de mensagem.
Quando o cliente recebe a mensagem DHCPACK, ele registra as informações de
configuração e executa uma busca de ARP para o endereço atribuído. Caso não receba
uma resposta, ele saberá que o endereço IP é válido e começa a usá-lo como seu.
Os clientes emprestam as informações do servidor por um período definido
administrativamente. Os administradores configuram os servidores DHCP para definir
os tempos limite dos empréstimos em intervalos diferentes. A maioria dos ISPs e
grandes redes utiliza durações de empréstimo padrão de até três dias. Quando o
empréstimo expira, o cliente deve solicitar outro endereço, embora já receba
normalmente a atribuição do mesmo endereço.

A mensagem DHCPREQUEST também abrange o processo de DHCP dinâmico. As


informações de IP enviadas no DHCPOFFER podem ter sido oferecidas a outro cliente
durante a alocação dinâmica. Cada servidor DHCP cria conjuntos de endereços IP e
parâmetros associados. Os conjuntos são dedicados a sub-redes IP lógicas e individuais.
Os conjuntos permitem a resposta de diversos servidores DHCP e a mobilidade dos
clientes de IP. Caso haja resposta de diversos servidores, um cliente poderá escolher
apenas uma das ofertas.
Exibir meio visual

7.1.3 BOOTP e DHCP

Página 1:
BOOTP e DHCP

O Protocolo Boostrap (BOOTP, Bootstrap Protocol), definido na RFC 951, é o


antecessor do DHCP e compartilha algumas características operacionais. O BOOTP é
um modo de fazer o download do endereço e inicializar as configurações para estações
de trabalho sem disco. Uma estação de trabalho sem disco não possui um disco rígido
ou um sistema operacional. Por exemplo, muitos sistemas de caixa registradora
automatizados em seu supermercado local são exemplos de estações de trabalho sem
disco. O DHCP e o BOOTP são baseados em cliente/servidor e usam as portas UDP 67
e 68. Essas portas são conhecidas ainda como portas de BOOTP.

O DHCP e BOOTP possuem dois componentes, conforme mostrado na figura. O


servidor é um host com um endereço IP estático que aloca, distribui e gerencia o IP e as
atribuições dos dados de configuração. Cada alocação (o IP e os dados de configuração)
é armazenada no servidor em um conjunto de dados chamado de associação. O cliente é
qualquer dispositivo que utiliza o DHCP como um método para obter o endereçamento
IP ou informações de configuração de suporte.

Para entender as diferenças funcionais entre o BOOTP e o DHCP, considere os quatro


parâmetros de IP básicos necessários para unir uma rede:

• Endereço IP
• Endereço de gateway
• Máscara de sub-rede
• Endereço do servidor DNS
Existem três diferenças principais entre o DHCP e o BOOTP:

• A principal diferença é que o BOOTP foi criado para a pré-configuração manual


das informações de host em um banco de dados de servidor, enquanto o DHCP
permite uma alocação dinâmica de endereços de rede e configurações para hosts
recentemente anexados. Quando um cliente de BOOTP solicita um endereço IP,
o servidor de BOOTP procura uma tabela predefinida para uma entrada que
corresponda ao endereço MAC para o cliente. Se houver uma entrada, o
endereço IP correspondente a essa entrada será devolvido ao cliente. Isso
significa que a associação entre o endereço MAC e o endereço IP já deve ter
sido configurada no servidor de BOOTP.
• O DHCP permite a recuperação e a realocação de endereços de rede através de
um mecanismo de empréstimo. Especificamente, o DHCP define os mecanismos
pelos quais podem ser atribuídos aos clientes um endereço IP por um período de
empréstimo finito. Este período de empréstimo permite uma nova atribuição
posterior do endereço IP a outro cliente, ou que o cliente obtenha outra
atribuição caso se mude para outra sub-rede. Os clientes também podem renovar
os empréstimos e manter o mesmo endereço IP. O BOOTP não utiliza
empréstimos. Seus clientes reservaram o endereço IP que não pode ser atribuído
a qualquer outro host.
• O BOOTP fornece uma quantidade limitada de informações a um host. O DHCP
fornece parâmetros de configuração de IP adicionais, tais como o WINS e o
nome de domínio.
Exibir meio visual

Página 2:
Formato de mensagem DHCP

Os desenvolvedores de DHCP precisaram manter a compatibilidade com o BOOTP e,


consequentemente, utilizaram o mesmo formato de mensagem BOOTP. Entretanto,
como o DHCP possui mais funcionalidades que o BOOTP, o campo de opções do
DHCP foi adicionado. Ao comunicar-se com clientes de BOOTP mais antigos, o campo
de opções do DHCP é ignorado.

A figura mostra o formato de uma mensagem de DHCP. Os campos são:

• Código de operação (OP, Operation Code) - Especifica o tipo genérico da


mensagem. Um valor de 1 indica uma mensagem de solicitação; um valor de 2
indica uma mensagem de resposta.
• Tipo de hardware - Identifica o tipo de hardware utilizado na rede. Por
exemplo, 1 é a Ethernet, 15 é o Frame Relay e 20 é uma linha serial. Esses são
os mesmos códigos utilizados nas mensagens de ARP.
• Tamanho do endereço de hardware - 8 bits para especificar o tamanho do
endereço.
• Saltos - Definido como 0 por um cliente antes de transmitir uma solicitação e
utilizado por agentes de retransmissão para controlar o encaminhamento de
mensagens do DHCP.
• Identificador de transações - Identificação de 32 bits gerada pelo cliente para
permitir a correspondência da solicitação com as respostas recebidas dos
servidores DHCP.
• Segundos - Número de segundos decorridos desde que um cliente começou a
obter ou renovar um empréstimo. Servidores DHCP ocupados utilizam este
número para priorizar as respostas quando diversas solicitações do cliente
estiverem pendentes.
• Flags (sinalizadores) - Apenas um dos 16 bits é utilizado, o qual é a flag
(sinalizador) de broadcast. Um cliente que não conhece seu endereço IP ao
enviar uma solicitação, define a flag em 1. Esse valor diz ao servidor DHCP ou
agente de retransmissão que recebe a solicitação que ele deve enviar a resposta
em forma de broadcast.
• Endereço IP do cliente - O cliente coloca seu próprio endereço IP neste campo
somente se tiver um endereço IP válido enquanto estiver no estado associado;
caso contrário, ele define o campo em 0. O cliente somente pode utilizar esse
campo quando seu endereço for realmente válido e utilizável, não durante o
processo de obtenção de um endereço.
• Seu endereço IP - O endereço IP que o servidor atribui ao cliente.
• Endereço IP do servidor - Endereço do servidor que o cliente deve utilizar para
a próxima etapa no processo de bootstrap, que pode ou não ser o servidor que
envia essa resposta. O servidor de origem sempre inclui seu próprio endereço IP
em um campo especial chamado de opção de DHCP do Identificador de
Servidor.
• Endereço IP de gateway - Faz o roteamento das mensagens de DHCP quando
os agentes de retransmissão de DHCP estão envolvidos. O endereço de gateway
facilita as comunicações de solicitações e respostas de DHCP entre o cliente e
um servidor que estejam em sub-redes ou redes diferentes.
• Endereço de hardware de cliente - Especifica a camada física do cliente.
• Nome de servidor - O servidor que envia uma mensagem DHCPOFFER ou
DHCPACK pode opcionalmente colocar seu nome neste campo. Esse nome
pode ser um apelido de texto simples ou um nome de domínio de DNS, tal como
dhcpserver.netacad.net.
• Nome de arquivo de inicialização - Utilizado opcionalmente por um cliente
para solicitar um tipo específico de arquivo de inicialização em uma mensagem
DHCPDISCOVER. Utilizado por um servidor em uma mensagem
DHCPOFFER para especificar por completo um diretório de arquivos de
inicialização e um nome de arquivo.
• Opções - Contém as opções de DHCP, incluindo os diversos parâmetros
necessários para a operação básica de DHCP. Esse campo varia em tamanho.
Tanto o cliente quanto o servidor podem utilizar esse campo.
Exibir meio visual

Página 3:
Métodos de detecção e oferta de DHCP

Estas figuras fornecem detalhes do conteúdo do pacote das mensagens de detecção e


oferta do DHCP.

Quando um cliente deseja entrar na rede, ele solicita os valores de endereçamento do


servidor DHCP da rede. Se um cliente estiver configurado para receber suas
configurações de IP dinamicamente, ele transmitirá uma mensagem DHCPDISCOVER
em sua sub-rede física local quando for inicializado ou quando perceber uma conexão
de rede ativa. Como o cliente não tem como saber a sub-rede para a qual ele pertence, o
DHCPDISCOVER será um broadcast de IP (endereço IP de destino de
255.255.255.255). O cliente não possui um endereço IP configurado, desse modo o
endereço IP de origem de 0.0.0.0 é utilizado. Como pode ver na figura, o endereço IP do
cliente (CIADDR), o endereço de gateway padrão (GIADDR) e a máscara de sub-rede
estão marcadas com pontos de interrogação.

Clique no botão Oferta de DHCP na figura.

O servidor DHCP gerencia a alocação dos endereços IP e responde às solicitações de


configuração dos clientes.

Quando o servidor DHCP recebe a mensagem DHCPDISCOVER, ele responde com


uma mensagem DHCPOFFER. Esta mensagem contém as informações de configuração
iniciais para o cliente, incluindo o endereço MAC do cliente, seguido pelo endereço IP
que o servidor oferece, a máscara de sub-rede, a duração do empréstimo e o endereço IP
do servidor DHCP que faz a oferta. A máscara de sub-rede e o gateway padrão são
especificados no campo de opções: opções de máscara de sub-rede e de roteador,
respectivamente. A mensagem DHCPOFFER pode ser configurada para incluir outras
informações, como o tempo de renovação do empréstimo, o servidor de nomes de
domínio e o Nome Serviço NetBIOS (Microsoft Windows Internet Name Service
[Microsoft WINS]).

O servidor determina a configuração com base no endereço de hardware do cliente,


conforme especificado no campo CHADDR.

Conforme mostrado no diagrama, o servidor DHCP respondeu à mensagem


DHCPDISCOVER atribuindo os valores ao CIADDR e à máscara de sub-rede.

Os administradores configuraram os servidores DHCP para que atribuam os endereços


de conjuntos predefinidos. A maioria dos servidores DHCP também permitem que o
administrador defina especificamente quais endereços MAC do cliente podem ser
atendidos e os atribui sempre ao mesmo endereço IP automaticamente.
O DHCP utiliza o Protocolo de Datagrama do Usuário (UDP, User Datagram Protocol)
como seu protocolo de transporte. O cliente envia mensagens ao servidor na porta 67. O
servidor envia mensagens ao cliente na porta 68.

O cliente e o servidor confirmam as mensagens e o processo é concluído. O cliente


somente define o CIADDR quando um host estiver em um estado associado, o que
significa que o cliente confirmou e está utilizando o endereço IP.

Para obter mais informações sobre o DHCP, veja a seção "Cisco IOS DHCP Server" no
site: http://www.cisco.com/en/US/docs/ios/12_0t/12_ot1/feature/guide/Easyip2.html
(em inglês).
Exibir meio visual

7.1.4 Configurando um servidor DHCP

Página 1:
Configurando um servidor DHCP

Roteadores Cisco que executam o software IOS Cisco fornecem suporte completo para
que um roteador atue como um servidor DHCP. O servidor DHCP do IOS Cisco atribui
e gerencia endereços IP de conjuntos de endereços especificados dentro do roteador
para clientes DHCP.

As etapas para configurar um roteador como um servidor DHCP são as seguintes:

Etapa 1. Definir um intervalo de endereços que o DHCP não deve alocar. Esses
endereços são endereços estáticos geralmente reservados para a interface do roteador,
endereço IP de gerenciamento de switch, servidores e impressoras de rede locais.

Etapa 2. Criar o conjunto de endereços DHCP utilizando o comando ip dhcp pool.

Etapa 3. Configurar as especificidades do conjunto.

Você deve especificar os endereços IP que o servidor DHCP não deve atribuir aos
clientes. Normalmente, alguns endereços IP pertencem a dispositivos de rede estáticos,
tais como servidores ou impressoras. O DHCP não deve atribuir esses endereços IP a
outros dispositivos. Uma prática recomendada é configurar endereços excluídos no
modo de configuração global antes de criar o conjunto de endereços DHCP. Isto garante
que o DHCP não atribuirá acidentalmente os endereços reservados. Para excluir os
endereços específicos, utilize o comando ip dhcp excluded-address.

Clique no botão Conjunto de endereços DHCP na figura.


A configuração de um servidor DHCP envolve a definição de um conjunto de endereços
a serem atribuídos. O comando ip dhcp pool cria um conjunto com o nome
especificado e coloca o roteador no modo de configuração de DHCP, o qual é
identificado pelo prompt Router(dhcp-config)#.

Clique no botão Tarefas DHCP na figura.

Esta figura relaciona as tarefas para concluir a configuração do conjunto de endereços


DHCP. Algumas delas são opcionais, enquanto as outras devem ser configuradas.

Você deve configurar os endereços disponíveis e especificar o número e máscara de


rede da sub-rede do conjunto de endereços de DHCP. Utilize o comando network para
definir o intervalo de endereços disponíveis.

Você também deve definir o gateway padrão ou o roteador a serem utilizados pelos
clientes com o comando default-router. Normalmente, o gateway é a interface de rede
local do roteador. É necessário um endereço, mas você pode listar até oito endereços.

Os comandos seguintes do conjunto de endereços DHCP são considerados opcionais.


Por exemplo, você pode configurar o endereço IP do servidor DNS que está disponível
para um cliente DHCP usando o comando dns-server. Quando configurado, é
necessário um endereço, mas você pode listar até oito endereços.

Outros parâmetros incluem a configuração da duração do empréstimo de DHCP. A


configuração padrão é definitiva, mas você pode alterá-la usando o comando lease.
Você também pode configurar um servidor NetBIOS WINS disponível para um cliente
DHCP da Microsoft. Normalmente, isto seria configurado em um ambiente que suporta
os clientes anteriores ao Windows 2000. Como a maioria das instalações agora possuem
clientes com o sistema operacional do Windows mais recente, esse parâmetro não é
exigido.

Clique no botão Exemplo de DHCP na figura.

Esta figura exibe um exemplo de configuração com os parâmetros de DHCP básicos


configurados no roteador R1.

Desabilitando o DHCP

O serviço de DHCP é habilitado por padrão nas versões do software IOS Cisco que
podem suportá-lo. Para desabilitar o serviço, utilize o comando no service dhcp. Utilize
o comando de configuração global service dhcp para reabilitar o processo do servidor
DHCP. Habilitar o serviço não terá efeito algum se os parâmetros não estiverem
configurados.
Exibir meio visual

Página 2:
Verificando o DHCP

Para ilustrar como um roteador Cisco pode ser configurado para fornecer serviços de
DHCP, consulte a figura. O PC1 não foi ativado e, desse modo, não possui um endereço
IP.

O roteador R1 foi configurado com os seguintes comandos:

ip dhcp excluded-address 192.168.10.1 192.168.10.9


ip dhcp excluded-address 192.168.10.254
ip dhcp pool LAN-POOL-1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
domain-name span.com

Para verificar a operação do DHCP, utilize o comando show ip dhcp binding. Esse
comando exibe uma lista de todas as associações de endereços IP a endereços MAC que
foram fornecidas pelo serviço de DHCP.

Para verificar quais mensagens estão sendo recebidas ou enviadas pelo roteador, utilize
o comando show ip dhcp server statistics. Esse comando exibe informações de
contagem relacionadas ao número de mensagens de DHCP que foram enviadas e
recebidas.

Clique no botão DHCP-1 na figura.

Como você pode ver na figura, atualmente não existem associações ou estatísticas sendo
exibidas.

Agora, suponha que o PC1 foi ativado e concluiu seu processo de inicialização.

Clique no botão DHCP-2 na figura.

Observe que as informações de associação mostram agora que o endereço IP da


192.168.10.10 foi associado a um endereço MAC. As estatísticas também exibem a
atividade do DHCPDISCOVER, DHCPREQUEST, DHCPOFFER e DHCPACK.

Clique no botão Cliente DHCP na figura.


O comando ipconfig /all exibe os parâmetros configurados do TCP/IP no PC1. Como o
PC1 foi conectado ao segmento de rede 192.168.10.0 /24, ele recebeu automaticamente
um endereço IP, um sufixo DNS e o gateway padrão daquele conjunto. Não é exigida
nenhuma configuração de interface DHCP. Se um PC for conectado a um segmento de
rede que tenha um conjunto de endereços DHCP disponível, ele poderá obter um
endereço IP automaticamente.

Assim, como o PC2 recebe um endereço IP? O roteador R1 teria que ser configurado
para fornecer um conjunto de endereços DHCP de 192.168.11.0 /24 conforme segue:

ip dhcp excluded-address 192.168.11.1 192.168.11.9


ip dhcp excluded-address 192.168.11.254
ip dhcp pool LAN-POOL-2
network 192.168.11.0 255.255.255.0
default-router 192.168.11.1
domain-name span.com

Quando o PC2 concluir seu processo de inicialização, ele recebe um endereço IP para o
segmento de rede para o qual está conectado.

Clique no botão DHCP-3 na figura.

Observe que as associações de DHCP agora indicam que dois hosts receberam
endereços IP. As estatísticas de DHCP também refletem a troca de mensagens de
DHCP.

Outro comando útil para exibir os diversos conjuntos é o comando show ip dhcp pool.

Clique no botão Conjuntos de endereços DHCP na figura.

Esse comando resume as informações do conjunto de endereços DHCP.


Exibir meio visual

7.1.5 Configurando um cliente DHCP

Página 1:
Configurando um cliente DHCP

Geralmente, pequenos roteadores de banda larga para uso local, tais como roteadores
Linksys, podem ser configurados para conectar-se a um ISP utilizando um DSL ou um
modem a cabo. Na maioria dos casos, pequenos roteadores locais são configurados para
adquirir um endereço IP automaticamente de seus ISPs. Por exemplo, a figura mostra a
página de configuração de WAN padrão para um roteador WRVS4400N Linksys.
Observe que o tipo de conexão da Internet é definido como Configuração Automática -
DHCP. Isso significa que, quando o roteador está conectado a um modem a cabo, por
exemplo, ele será um cliente DHCP e solicitará um endereço IP do ISP.

Às vezes, os roteadores Cisco em SOHO e filiais devem ser configurados de uma


maneira semelhante. O método utilizado depende do ISP. Entretanto, em sua
configuração mais simples, a interface Ethernet é utilizada para se conectar a um
modem a cabo. Para configurar uma interface Ethernet como um cliente DHCP, o
comando ip address dhcp deverá ser configurado.

Clique no botão Cliente DHCP na figura.

Na figura, suponha que um ISP foi configurado para fornecer a alguns clientes
endereços IP do intervalo da 209.165.201.0 / 27. A saída do comando confirma o
endereço atribuído.
Exibir meio visual

7.1.6 Retransmissão DHCP

Página 1:
O que é a retransmissão DHCP?

Em uma rede hierárquica complexa, os servidores da empresa ficam geralmente em uma


farm de servidores. Esses servidores podem fornecer os serviços de DHCP, DNS, TFTP
e FTP aos clientes. O problema é que os clientes de rede geralmente não estão na
mesma sub-rede que tais servidores. Portanto, os clientes devem localizar os servidores
para receber os serviços, e esses serviços geralmente são localizados com o uso de
mensagens de broadcast.

Na figura, PC1 está tentando adquirir um endereço IP do servidor DHCP localizado em


192.168.11.5. Neste cenário, o roteador R1 não está configurado como um servidor
DHCP.

Clique no botão Problema de host na figura.

Na figura, o PC1 está tentando renovar seu endereço IP. Para fazê-lo, o comando
ipconfig /release é emitido. Observe que o endereço IP é lançado e o endereço atual é
0.0.0.0. Em seguida o comando ipconfig /renew é emitido. Esse comando faz o host
iniciar a transmissão de uma mensagem DHCPDISCOVER por broadcast. No entanto,
PC1 não pode localizar o servidor DHCP. O que acontece quando o servidor e o cliente
estão separados por um roteador e, desse modo, não estão no mesmo segmento de rede?
Lembre-se de que os roteadores não encaminham broadcasts.
Nota: Alguns clientes do Windows possuem um recurso chamado Endereçamento IP
privado automático (APIPA, Automatic Private IP Addressing). Com esse recurso, um
computador com Windows pode atribuir automaticamente a si mesmo um endereço IP
no intervalo de 169.254.x.x no caso de um servidor DHCP não estar disponível ou não
existir na rede.

Para piorar as coisas, o DHCP não é o único serviço essencial que utiliza os broadcasts.
Por exemplo, os roteadores Cisco e outros dispositivos podem utilizar broadcasts para
localizar os servidores TFTP ou para localizar um servidor de autenticação, como o
servidor TACACS.

Para solucionar esse problema, um administrador poderia adicionar servidores DHCP a


todas as sub-redes. Entretanto, a execução desses serviços em vários computadores cria
uma sobrecarga de custo e administrativa.

Uma solução mais simples é configurar o recurso de endereço auxiliar do IOS Cisco nos
roteadores e switches intermediários. Essa solução habilita os roteadores para que
encaminhem broadcasts de DHCP aos servidores DHCP. Quando um roteador
encaminha atribuições de endereços/solicitações de parâmetros, ele está agindo como
um agente de retransmissão de DHCP.

Por exemplo, PC1 transmitiria uma solicitação por broadcast para localizar um servidor
DHCP. Se o roteador R1 estivesse configurado como um agente de retransmissão de
DHCP, ele interceptaria essa solicitação e a encaminharia ao servidor DHCP localizado
na sub-rede 192.168.11.0.

Para configurar o roteador R1 como um agente de retransmissão de DHCP, você precisa


configurar a interface mais próxima do cliente com o comando de configuração de
interface ip helper-address. Esse comando retransmite as solicitações de broadcast para
os principais serviços a um endereço configurado. Configure o endereço IP auxiliar na
interface que recebe o broadcast.

Clique no botão Configuração de retransmissão na figura.

O roteador R1 agora está configurado como um agente de retransmissão de DHCP. Ele


aceita as solicitações de broadcast para o serviço de DHCP e então as encaminha como
unicast ao endereço IP 192.168.11.5.

Clique no botão Renovação de host na figura.

Como você pode ver, o PC1 agora pode adquirir um endereço IP do servidor DHCP.
O DHCP não é o único serviço que pode ser configurado no roteador para que ele faça a
retransmissão. Por padrão, o comando ip helper-address encaminha os seguintes oito
serviços de UDP:

• Porta 37: Tempo


• Porta 49: TACACS
• Porta 53: DNS
• Porta 67: Servidor DHCP/BOOTP
• Porta 68: Cliente DHCP/BOOTP
• Porta 69: TFTP
• Porta 137: serviço de nomes NetBIOS
• Porta 138: serviço de datagrama NetBIOS

Para especificar as portas adicionais, utilize o comando ip forward-protocol para


especificar exatamente quais tipos de pacotes de broadcast serão encaminhados.
Exibir meio visual

7.1.7 Configurando um servidor DHCP usando o SDM

Página 1:
Configurando um servidor DHCP usando o SDM

Os roteadores Cisco também podem ser configurados como um servidor DHCP


utilizando o SDM. Neste exemplo, o roteador R1 será configurado como o servidor
DHCP nas interfaces Fa0/0 e Fa0/1.

Clique no botão Tarefas de DHCP na figura.

A função do servidor DHCP é habilitada em Additional Tasks [Tarefas adicionais] na


guia Configure [Configurar]. Na lista de tarefas, clique na pasta DHCP e selecione
Conjuntos de endereços DHCP para adicionar um novo conjunto. Clique em
Adicionar para criar o novo conjunto de endereços DHCP.

Clique no botão Adicionar conjunto na figura.

A janela Adicionar conjunto de endereços DHCP contém as opções necessárias para


configurar o conjunto de endereços IP do DHCP. Os endereços IP designados pelo
servidor DHCP são tirados de um conjunto comum. Para configurar o conjunto,
especifique o endereço IP inicial e o endereço IP final do intervalo.
O SDM Cisco configura o roteador para que ele exclua automaticamente o endereço IP
da interface de rede local do conjunto. Você não deve usar o endereço IP de rede ou
sub-rede ou o endereço de broadcast na rede no intervalo de endereços que você
especificar.

Se você precisar excluir os outros endereços IP no intervalo, poderá fazê-lo ajustando os


endereços IP inicial e final. Por exemplo, se você precisar excluir os endereços IP de
192.168.10.1 até 192.168.10.9, definirá o endereço IP inicial como 192.168.10.10. Isso
permite que o roteador comece a atribuição de endereços com 192.168.10.10.

As outras opções disponíveis são:

• Servidor DNS 1 e Servidor DNS 2 - O servidor DNS é, geralmente, um


servidor que mapeia um nome de dispositivo conhecido com seu endereço IP. Se
você tiver um servidor DNS configurado para sua rede, digite aqui o endereço IP
para o servidor. Se houver outro servidor DNS na rede, você poderá digitar neste
campo o endereço IP para esse servidor.
• Servidor WINS 1 e Servidor WINS 2 - Relembra que a configuração WINS
geralmente está em ambientes que suportam clientes anteriores ao Windows
2000.
• Importar todas as opções de DHCP para o banco de dados do servidor
DHCP - Permite importar as opções de DHCP de um servidor de nível mais alto
e é usado geralmente em conjunto com um servidor DHCP da Internet. Essa
opção permite que você receba informações de níveis mais altos sem ter que
fazer essa configuração para esse conjunto.

Clique no botão Conjuntos de endereços DHCP na figura.

Esta tela fornece um resumo dos conjuntos configurados em seu roteador. Neste
exemplo, dois conjuntos foram configurados, um para cada interface Fast Ethernet no
roteador R1.
Exibir meio visual

7.1.8 Identificação e solução de problemas de DHCP

Página 1:
Identificação e solução de problemas de configuração de DHCP

Podem surgir problemas no DHCP por diversos motivos, tais como defeitos de software
nos sistemas operacionais, nos drivers da placa de rede ou nos agentes de retransmissão
DHCP/BOOTP, mas os mais comuns são os problemas de configuração. Devido ao
número de áreas potencialmente problemáticas, é necessário uma abordagem
sistemática para identificar e solucionar os problemas.
Identificação e solução de problemas – Tarefa 1: Solucionar conflitos de endereços
IP

O empréstimo de um endereço IP pode expirar para um cliente que ainda esteja


conectado a uma rede. Se o cliente não renovar o empréstimo, o servidor DHCP poderá
atribuir novamente aquele endereço IP para outro cliente. Quando o cliente fizer a
reinicialização, um endereço IP será solicitado. Se o servidor DHCP não responder
rapidamente, o cliente usará o último endereço IP. Ocorre, assim, uma situação em que
dois clientes utilizam o mesmo endereço IP, criando um conflito.

O comando show ip dhcp conflict exibe todos os conflitos de endereço registrados pelo
servidor DHCP. O servidor usa o comando ping para detectar os conflitos. O cliente usa
o Protocolo de resolução de endereços (ARP, Address Resolution Protocol) para
detectar os clientes. Se um conflito de endereços for detectado, o endereço será
removido do conjunto e não será atribuído até que um administrador solucione o
conflito.

Este exemplo exibe o método de detecção e hora da detecção para todos os endereços IP
oferecidos pelo servidor DHCP que entraram em conflito com outros dispositivos.

R2# show ip dhcp conflict

IP address Detection Method Detection time

192.168.1.32 Ping Feb 16 2007 12:28 PM

192.168.1.64 Gratuitous ARP Feb 23 2007 08:12 AM

Identificação e solução de problemas - Tarefa 2: Verificar a conectividade física

Primeiro, use o comando show interfaceinterface para confirmar se a interface do


roteador que está agindo como o gateway padrão para o cliente está operacional. Se o
estado da interface não estiver ativo, a porta não transmitirá o tráfego, inclusive as
solicitações do cliente DHCP.

Identificação e solução de problemas – Tarefa 3: Teste de conectividade de rede


configurando uma estação de trabalho do cliente com um endereço IP estático

Ao identificar e solucionar qualquer problema do DHCP, verifique a conectividade da


rede configurando um endereço IP estático em uma estação de trabalho do cliente. Se a
estação de trabalho não puder alcançar os recursos de rede com um endereço IP
estaticamente configurado, isso significará que a fonte do problema não é o DHCP.
Neste ponto, a identificação e solução de problemas de conectividade de rede é
necessária.
Identificação e solução de problemas – Tarefa 4: Verificar configurações de porta
do switch (Portfast STP e outros comandos)

Se o cliente DHCP não puder obter um endereço IP do servidor DHCP na inicialização,


tente obter um endereço IP do servidor DHCP forçando manualmente o cliente a enviar
uma solicitação DHCP.

Se houver um switch entre o cliente e o servidor DHCP, verifique que se a porta possui
uma PortFast STP habilitada e se o entroncamento/distribuição de canais está
desabilitado. A configuração padrão é a PortFast desabilitada e o
entroncamento/distribuição em canais automático, se aplicável. Essas mudanças de
configuração solucionam os problemas mais comuns do cliente DHCP que ocorrem na
instalação inicial de um switch Catalyst. Rever a seção “CCNA Exploration: Comutação
de rede local e de rede sem fio” pode auxiliar na resolução desse problema.

Identificação e solução de problemas – Tarefa 5: Distinguir se os clientes DHCP


obtêm o endereço IP na mesma sub-rede ou VLAN que o servidor DHCP

É importante distinguir se o DHCP está funcionando corretamente quando o cliente


estiver na mesma sub-rede ou VLAN que o servidor DHCP. Se o DHCP estiver
funcionando corretamente, o problema poderá ser o agente de retransmissão do
DHCP/BOOTP. Se o problema persistir mesmo com o teste do DHCP na mesma sub-
rede ou VLAN que o servidor DHCP, o problema poderá estar, de fato, no servidor
DHCP.
Exibir meio visual

Página 2:
Verificar a configuração de retransmissão DHCP/BOOTP do roteador

Quando o servidor DHCP estiver localizado em uma rede local separada do cliente, a
interface do roteador que estiver de frente para o cliente deverá ser configurada para
retransmitir as solicitações DHCP. Isso é realizado configurando o endereço IP auxiliar.
Se o endereço IP auxiliar não for configurado corretamente, as solicitações do cliente
DHCP não serão encaminhadas ao servidor DHCP.

Siga as seguintes etapas para verificar a configuração do roteador:

Etapa 1. Verifique se o comando ip helper-address está configurado na interface


correta. Ele deve estar presente na interface de entrada da rede local que contém as
estações de trabalho do cliente DHCP e deve ser direcionado ao servidor DHCP correto.
Na figura, a saída do comando show running-config verifica se o endereço IP de
retransmissão DHCP está denominando o endereço do servidor DHCP em
192.168.11.5.
Etapa 2. Verifique se o comando de configuração global no service dhcp não foi
configurado. Esse comando desabilita o servidor DHCP e a funcionalidade de
retransmissão no roteador. O comando service dhcp não aparece na configuração
porque ele é a configuração padrão.
Exibir meio visual

Página 3:
Verificar se o roteador está recebendo solicitações DHCP usando os comandos
debug.

Em roteadores configurados como servidores DHCP, o processo de DHCP falhará se o


roteador não receber as solicitações do cliente. Como uma tarefa de identificação e
solução de problemas, verifique se o roteador está recebendo a solicitação DHCP do
cliente. Essa etapa de identificação e solução de problemas envolve a configuração de
uma lista de controle de acesso para a saída do comando de depuração. A lista de
controle de acesso da depuração não atrapalha o roteador.

No modo de configuração global, crie a seguinte lista de controle de acesso:

access-list 100 permit ip host 0.0.0.0 host 255.255.255.255

Inicie a depuração usando o ACL 100 como o parâmetro de definição. No modo exec,
digite o seguinte comando debug:

debug ip packet detail 100

A saída do comando na figura mostra que o roteador está recebendo as solicitações


DHCP do cliente. O endereço IP de origem é 0.0.0.0 porque o cliente ainda não tem um
endereço IP. O destino é 255.255.255.255 porque a mensagem de detecção do DHCP do
cliente é um broadcast. As portas de origem e destino de UDP, 68 e 67, são as portas
típicas usadas para o DHCP.

Essa saída do comando mostra somente um resumo do pacote e não o pacote em si.
Portanto, não será possível determinar se o pacote está correto. No entanto, o roteador
recebeu um pacote de broadcast com as portas IP e UDP de origem e destino corretas
para o DHCP.

Verificar se o roteador está recebendo e encaminhando as solicitações DHCP


usando o comando debug ip dhcp server packet
Um comando útil para identificar e solucionar os problemas da operação de DHCP é o
comando debug ip dhcp server events. Esse comando reporta os eventos do servidor,
como as atribuições de endereço e as atualizações do banco de dados. Ele também é
usado para decodificar as recepções e as transmissões do DHCP.
Exibir meio visual

Página 4:
O DHCP atribui endereços IP e outras informações de configuração de rede importantes
dinamicamente. Os roteadores Cisco podem usar o conjunto de recursos do IOS Cisco,
Easy IP, como um servidor DHCP opcional com todos os recursos. Por padrão, o Easy
IP empresta configurações por 24 horas. Nesta atividade, você irá configurar os serviços
DHCP em dois roteadores e testar a sua configuração.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

7.2 Dimensionando redes com NAT


7.2.1 Endereçamento IP privado e público

Página 1:
Todos os endereços de Internet públicos devem ser registrados com um Registro de
internet regional (RIR, Regional Internet Registry). As organizações podem emprestar
os endereços públicos de um ISP. Somente o proprietário registrado de um endereço
público de internet pode atribuir esse endereço a um dispositivo de rede.

Você deve ter observado que todos os exemplos neste curso utilizam um número um
pouco restrito de endereços IP. Você também deve ter observado a semelhança entre
esses números e os números que você usou em uma rede pequena para exibir as páginas
de instalação da web de muitas marcas de impressoras, do DSL e de roteadores a cabo,
bem como de outros periféricos. Eles são endereços de internet privados reservados
retirados dos três blocos mostrados na figura. Esses endereços podem ser usados
somente em redes internas e privadas. A RFC 1918 especifica que os endereços
privados não devem ser roteados pela Internet. Os endereços privados são descritos, às
vezes, como " não roteáveis." Entretanto, os pacotes com endereços privados podem ser
roteados dentro de redes interconectadas privadas.

Diferentemente dos endereços IP públicos, os endereços IP privados são um bloco


reservado de números que podem ser usados por qualquer um. Isso significa que duas
redes ou dois milhões de redes podem usar os mesmos endereços privados. Para
proteger a estrutura de endereços da Internet pública, os ISPs geralmente configuram os
roteadores de borda para impedir que o tráfego endereçado exclusivamente a eles seja
encaminhado pela Internet.

Ao fornecer um maior espaço de endereços do que a maioria das organizações pode


obter através de um RIR, o endereçamento privado confere às empresas uma
flexibilidade considerável no design da rede. Isso permite a obtenção de esquemas de
endereçamento operacional e administrativamente convenientes, além de um
crescimento mais fácil.

Entretanto, como não é possível rotear endereços privados pela Internet e como não
existem endereços públicos suficientes para permitir que as organizações forneçam um
host para todos, as redes precisam que um mecanismo traduza os endereços privados
para endereços públicos na extremidade de sua rede que funcionar em ambas as
direções. Na ausência de um sistema de tradução, os hosts privados de um roteador na
rede de uma organização não podem conectar-se a hosts privados de um roteador em
outras organizações pela Internet.

A Tradução de endereços de rede (NAT, Network Address Translation) fornece esse


mecanismo. Antes da NAT, um host com um endereço privado não podia acessar a
Internet. Usando a NAT, as empresas individuais podem designar a alguns ou todos os
seus hosts com endereços privados e usar a NAT para fornecer acesso à Internet.

Para obter uma visão mais detalhada sobre o desenvolvimento do sistema RIR, acesse o
artigo do Cisco Internet Protocol Journal no site
http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_4-
4/regional_internet_registries.html.
Exibir meio visual

7.2.2 O que é NAT?

Página 1:
O que é NAT?

A NAT é como a recepcionista de um grande escritório. Suponha que você deixou


instruções com a recepcionista para que ela não encaminhe nenhuma ligação a menos
que você peça. Mais tarde, você liga para um cliente potencial e deixa uma mensagem
para que ele retorne a ligação. Você diz à recepcionista que você está esperando uma
ligação desse cliente e pede para que ela faça a transferência da chamada.

O cliente liga para o número principal para seu escritório, que é o único número que ele
conhece. Quando o cliente disser à recepcionista quem ele procura, a recepcionista
verificará uma tabela de pesquisa que corresponde seu nome ao seu ramal. A
recepcionista sabe que você pediu essa chamada; portanto, ela encaminha a pessoa que
efetuou a chamada para seu ramal.

Assim, enquanto o servidor DHCP designa os endereços IP dinâmicos para os


dispositivos dentro da rede, os roteadores habilitados pela NAT retêm um ou muitos
endereços IP de Internet válidos fora da rede. Quando o cliente enviar pacotes pela rede,
a NAT traduzirá o endereço IP interno do cliente para um endereço externo. Para
usuários externos, todo o tráfego destinado para a rede e proveniente dela possui o
mesmo endereço IP ou vem do mesmo conjunto de endereços.

A NAT tem muitos usos, mas o principal é salvar os endereços IP, permitindo que as
redes usem os endereços IP privados. A NAT traduz endereços privados, não roteáveis e
internos em endereços públicos e externos. A NAT tem um benefício adicional de
proporcionar um nível maior de privacidade e segurança para uma rede porque ela
oculta endereços IP internos de redes externas.

Um dispositivo habilitado para NAT funciona normalmente na borda de uma rede stub.
Em nosso exemplo, o R2 é o roteador de borda. Uma rede stub é uma rede que tem uma
única conexão com sua rede vizinha. Como visto no ISP, o R2 forma uma rede stub.

Quando um host dentro da rede stub, por exemplo PC1, PC2 ou PC 3, deseja transmitir
um pacote para um host externo, esse pacote é encaminhado para R2, o roteador de
gateway de borda. O R2 executa o processo de NAT, traduzindo o endereço privado
interno do host para um endereço público, roteável e externo.

Na terminologia de NAT, a rede interna é o conjunto de redes que estão sujeitas à


tradução. A rede externa se refere a todos os outros endereços. Os endereços IP
possuem designações diferentes dependendo de estarem na rede privada ou na rede
pública (Internet) e de o tráfego estar chegando ou saindo.

Clique no botão Terminologia na figura.

A figura mostra como referir-se às interfaces ao configurar a NAT. Suponha que o


roteador R2 foi configurado para fornecer os recursos da NAT. Ele possui um conjunto
de endereços publicamente disponíveis para emprestar aos hosts internos. Esta seção
utiliza os seguintes termos ao discutir a NAT:

• Endereço local interno - Geralmente não é um endereço IP atribuído por um


RIR ou operadora, sendo mais provavelmente um endereço privado da RFC
1918. Na figura, o endereço IP 192.168.10.10 está atribuído ao PC1 host na rede
interna.
• Endereço global interno - Um endereço público válido que o host interno
recebe quando sai do roteador da NAT. Quando o tráfego de PC1 é destinado
para o servidor web em 209.165.201.1, o roteador R2 deverá traduzir o
endereço. Nesse caso, o endereço IP 209.165.200.226 é usado como o endereço
global interno para o PC1.
• Endereço global externo - Endereço IP público válido atribuído a um host na
Internet. Por exemplo, o servidor web pode ser alcançado no endereço IP
209.165.201.1.
• Endereço local externo - O endereço IP local atribuído a um host na rede
externa. Na maioria das situações, esse endereço será idêntico ao endereço
global externo do dispositivo externo.

Nota: Neste curso, faremos referência ao endereço local interno, ao endereço global
interno e ao endereço global externo. O uso do endereço local externo está fora do
escopo deste curso.

O "interno" de uma configuração de NAT não é sinônimo de endereços particulares


como eles são definidos pela RFC 1918. Embora os endereços "internos" sejam,
geralmente, endereços privados, a NAT pode fazer a tradução entre endereços públicos
"externos" e "internos".
Exibir meio visual

Página 2:
Como a NAT funciona?

Neste exemplo, um host interno (192.168.10.10) deseja se comunicar com um servidor


web externo (209.165.201.1). Ele envia um pacote a R2, o gateway de borda
configurado para NAT da rede.

Use os controles na figura para iniciar a animação.

R2 lê o endereço IP de origem do pacote e verifica se o pacote corresponde aos critérios


especificados para tradução. R2 possui uma ACL que identifica a rede interna como
hosts válidos para tradução. Portanto, ele traduz um endereço IP local interno para um
endereço IP global interno que, neste caso, é 209.165.200.226. Ele armazena esse
mapeamento de endereço local para endereço global na tabela de NAT.

Em seguida, o roteador envia o pacote a seu destino. Quando o servidor web responde, o
pacote volta ao endereço global de R2 (209.165.200.226).

R2 consulta a sua tabela de NAT e verifica que esse era um endereço IP que foi
traduzido anteriormente. Portanto, ele traduz o endereço global interno para o endereço
local interno, e o pacote é encaminhado ao PC1 no endereço IP 192.168.10.10. Se ele
não localizar um mapeamento, o pacote será descartado.

Mapeamento dinâmico e mapeamento estático


Existem dois tipos de tradução NAT: dinâmica e estática.

A NAT dinâmica utiliza um conjunto de endereços públicos e os atribui por ordem de


chegada. Quando um host com um endereço IP privado solicitar acesso à Internet, a
NAT dinâmica escolherá um endereço IP do conjunto que não estiver mais sendo usado
por outro host. Esse é o mapeamento descrito até então.

A NAT estática usa um mapeamento exclusivo de endereços globais e locais, e tais


mapeamentos permanecem constantes. A NAT estática é particularmente útil para
servidores web ou hosts que devam ter um endereço consistente que possa ser acessado
da Internet. Esses hosts internos podem ser servidores corporativos ou dispositivos de
redes interconectadas.

Tanto a NAT estática como a dinâmica exigem que endereços públicos suficientes
estejam disponíveis para atender ao número total de sessões de usuário simultâneas.

Para observar de outra maneira como a NAT dinâmica funciona, acesse


http://www.cisco.com/warp/public/556/nat.swf.
Exibir meio visual

Página 3:
Sobrecarga de NAT

A sobrecarga de NAT (chamada à vezes de Tradução de endereço de porta ou PAT)


mapeia diversos endereços IP privados para um único endereço IP público ou para
alguns endereços. Isso é o que a maioria dos roteadores locais fazem. Seu ISP atribui
um endereço a seu roteador, mas vários membros de sua família podem navegar na
Internet simultaneamente.

Com a sobrecarga de NAT, vários endereços podem ser mapeados para um ou alguns
endereços porque cada endereço privado também é acompanhado por um número de
porta. Quando um cliente abrir uma sessão de TCP/IP, o roteador de NAT atribuirá um
número de porta ao seu endereço de origem. A sobrecarga de NAT garante que os
clientes utilizem um número de porta TCP diferente para cada sessão do cliente com um
servidor na Internet. Quando uma resposta voltar do servidor, o número de porta de
origem, que se torna o número de porta de destino na viagem de retorno, determinará
para qual cliente o roteador irá rotear os pacotes. Ele também validará se os pacotes de
entrada foram solicitados, acrescentando um grau de segurança à sessão.

Clique nos controles para iniciar e pausar a animação.

Essa animação ilustra o processo. A sobrecarga de NAT utiliza números de porta de


origem exclusivos no endereço IP global interno para fazer a distinção entre as
traduções. Como o NAT processa cada pacote, ele usa um número de porta (neste
exemplo, 1331 e 1555) para identificar o cliente do qual o pacote foi originado. O
endereço de origem (SA, source address) é o endereço IP local interno com o número de
porta atribuído de TCP/IP anexado. O endereço de destino (DA, destination address) é o
endereço IP local externo com o número de porta de serviço anexado, neste caso a porta
80: HTTP.

No roteador de gateway de borda (R2), a sobrecarga de NAT altera o SA para o


endereço IP global interno do cliente, novamente com o número de porta anexado. O
DA é o mesmo endereço, mas agora está sendo chamado de endereço IP global externo.
Quando o servidor web responder, o mesmo caminho será seguido, mas ao contrário.

Os números de porta são codificados em 16 bits. O número total de endereços internos


que pode ser traduzido para um endereço externo pode ser, teoricamente, de 65.536 por
cada endereço IP. Porém, na realidade, o número de endereços internos que pode ser
atribuído a um único endereço IP é cerca de 4.000.

Clique no botão Próxima porta disponível na figura.

No exemplo anterior, os números de porta de cliente nos dois SAs, 1331 e 1555, não se
alteram no gateway de borda. Esse cenário não é muito provável, pois existe uma
grande chance de que esses números possam já ter sido anexados às outras sessões em
andamento.

A sobrecarga de NAT tenta preservar a porta de origem inicial. Porém, se essa porta de
origem já estiver sendo usada, a sobrecarga de NAT atribuirá o primeiro número de
porta disponível do início do grupo de portas apropriado: 0-511, 512-1023 ou 1024-
65535. Quando não houver mais nenhuma porta disponível e houver mais de um
endereço IP externo configurado, a sobrecarga de NAT irá para o próximo endereço IP
para tentar alocar a porta de origem inicial novamente. Esse processo continuará até que
as portas disponíveis e os endereços IP externos acabem.

Na figura, ambos os hosts escolheram o mesmo número de porta 1444. Isso é aceitável
para o endereço interno, porque ambos têm endereços IP privados exclusivos.
Entretanto, no gateway de borda, os números de porta precisam ser alterados, caso
contrário os dois pacotes dos dois hosts deixariam o R2 com o mesmo endereço de
origem. A sobrecarga de NAT deu ao segundo endereço o primeiro número de porta
disponível que, neste caso, é o 1445.

Diferenças entre a NAT e a sobrecarga de NAT

Um resumo das diferenças entre a NAT e a sobrecarga de NAT facilitará sua


compreensão. A NAT geralmente só traduz os endereços IP em uma correspondência de
1:1 entre os endereços IP publicamente expostos e os endereços privativamente retidos.
A sobrecarga de NAT modifica o endereço IP privado e o número de porta do
remetente. A sobrecarga de NAT escolhe os números de porta vistos pelos hosts na rede
pública.

A NAT roteia os pacotes de entrada para seus destinos internos recorrendo ao endereço
IP de origem de entrada dado pelo host na rede pública. Com a sobrecarga de NAT,
geralmente existe somente um ou muito poucos endereços IP publicamente expostos. Os
pacotes de entrada da rede pública são roteados aos seus destinos na rede privada por
meio da consulta na tabela no dispositivo de sobrecarga de NAT que monitora os pares
de portas públicas e privadas. Isso é chamado de monitoramento de conexão.
Exibir meio visual

7.2.3 Benefícios e desvantagens de usar a NAT

Página 1:
Benefícios e desvantagens de usar a NAT

A NAT oferece muitos benefícios e vantagens. Porém, existem algumas desvantagens


de usá-la, inclusive a falta de suporte para alguns tipos de tráfego.

Os benefícios de usar a NAT incluem:

• A NAT conserva o esquema de endereçamento legalmente registrado,


permitindo a privatização das intranets. A NAT conserva os endereços através
da multiplexação de nível de porta de aplicativo. Com sobrecarga de NAT, os
hosts internos podem compartilhar um único endereço IP público para todas as
comunicações externas. Neste tipo de configuração, são necessários muito
poucos endereços externos para suportar os muitos hosts internos.
• A NAT aumenta a flexibilidade das conexões com a rede pública. Diversos
conjuntos, conjuntos de backup e conjuntos de balanceamento de carga podem
ser implementados para assegurar conexões de redes públicas confiáveis.
• A NAT fornece uma consistência para esquemas de endereçamento de rede
internos. Em uma rede sem endereços IP privados e NAT, a mudança de
endereços IP públicos exige a renumeração de todos os hosts na rede existente.
Os custos para renumerar hosts podem ser significativos. O NAT permite que o
esquema existente permaneça enquanto suporta um novo esquema de
endereçamento público. Isso significa que uma organização poderia mudar os
ISPs e não precisaria mudar nenhum de seus clientes internos.
• O NAT oferece segurança de rede. Como as redes privadas não anunciam seus
endereços ou topologia interna, elas permanecem razoavelmente seguras quando
usadas juntamente com a NAT para obter o acesso externo controlado. Porém, a
NAT não substitui os firewalls.

Entretanto, a NAT apresenta algumas desvantagens. Vários problemas são criados pelo
fato de os hosts na Internet parecerem comunicar-se diretamente com o dispositivo de
NAT, em vez de comunicar-se com o host real dentro da rede privada. Teoricamente,
um endereço IP globalmente exclusivo pode representar hosts endereçados
privativamente. Isso pode ser vantajoso do ponto de vista da privacidade e segurança
mas, na prática, existem desvantagens.

A primeira desvantagem afeta o desempenho. A NAT aumenta os atrasos da comutação


porque a tradução de cada endereço IP dentro dos cabeçalhos do pacote é demorada. O
primeiro pacote é comutado por processo, o que significa que ele sempre passa pelo
caminho mais lento. O roteador deve observar todos os pacotes para decidir se eles
precisam de tradução. O roteador precisa alterar o cabeçalho de IP e, possivelmente,
alterar o cabeçalho de TCP ou UDP. Se existir uma entrada de cache, os pacotes
restantes passam através do caminho que foi comutado rapidamente; caso contrário, eles
também são atrasados.

Muitos protocolos e aplicativos de Internet dependem da funcionalidade fim-a-fim, com


pacotes inalterados encaminhados da origem ao destino. Com a alteração dos endereços
fim-a-fim, a NAT evita alguns aplicativos que utilizam o endereçamento IP. Por
exemplo, alguns aplicativos de segurança, como as assinaturas digitais, falham porque o
endereço IP de origem muda. Os aplicativos que usam endereços físicos em vez de um
nome de domínio qualificado não alcançam os destinos que são traduzidos através do
roteador de NAT. Às vezes, esse problema pode ser evitado implementando
mapeamentos de NAT estáticos.

A capacidade de rastreamento IP fim-a-fim também é perdida. Torna-se muito mais


difícil rastrear pacotes que passam por muitas mudanças de endereço ao longo dos
diversos saltos da NAT, dificultando a identificação e solução de problemas. Por outro
lado, os hackers que querem determinar a origem de um pacote acham difícil rastrear ou
obter a origem ou o endereço de destino.

O uso da NAT também complica os protocolos de tunelamento, como o IPsec, porque


ela modifica os valores nos cabeçalhos que interferem nas verificações de integridade
feitas pelo IPsec e por outros protocolos de tunelamento.

Os serviços que exigem a iniciação de conexões de TCP da rede externa ou protocolos


sem estado, como os que usam o UDP, podem ser interrompidos. A menos que o
roteador de NAT se esforce especificamente para suportar esses protocolos, os pacotes
de entrada não poderão chegar ao seu destino. Alguns protocolos podem acomodar uma
instância de NAT entre os hosts participantes (FTP no modo passivo, por exemplo), mas
falham quando ambos os sistemas são separados da Internet pela NAT.
Exibir meio visual

7.2.4 Configurando a NAT estática

Página 1:
NAT estática
Lembre-se de que a NAT estática é um mapeamento exclusivo entre um endereço
interno e um endereço externo. A NAT estática permite conexões iniciadas por
dispositivos externos para dispositivos internos. Por exemplo, você pode desejar mapear
um endereço global interno para um endereço local interno específico que está atribuído
ao seu servidor web.

A configuração das traduções de NAT estáticas é uma tarefa simples. É necessário


definir os endereços a serem traduzidos e, em seguida, configurar a NAT nas interfaces
apropriadas. Os pacotes que chegam em uma interface do endereço IP definido estão
sujeitos à tradução. Os pacotes que chegam em uma interface externa, destinados para o
endereço IP identificado, estão sujeitos à tradução.

A figura explica os comandos para cada etapa. Você digita as traduções estáticas
diretamente na configuração. Diferentemente das traduções dinâmicas, essas traduções
sempre estão na tabela de NAT.

Clique no botão Exemplo na figura.

A figura é uma configuração de NAT estática simples aplicada em ambas as interfaces.


O roteador sempre traduz os pacotes do host dentro da rede com o endereço privado de
192.168.10.254 em um endereço externo de 209.165.200.254. O host na Internet
direciona as solicitações da web ao endereço IP público 209.165.200.254, e o roteador
R2 sempre encaminha esse tráfego ao servidor em 192.168.10.254.
Exibir meio visual

7.2.5 Configurando a NAT dinâmica

Página 1:
Configurando a NAT dinâmica

Enquanto a NAT estática fornece um mapeamento permanente entre um endereço


interno e um endereço público específico, a NAT dinâmica mapeia os endereços IP
privados para endereços públicos. Esses endereços IP públicos vêm de um conjunto de
NAT. A configuração de NAT dinâmica é diferente da NAT estática, mas também
apresenta algumas semelhanças. Assim como a NAT estática, ela exige que a
configuração identifique cada interface como uma interface interna ou externa.
Entretanto, em vez de criar um mapa estático para um único endereço IP, utiliza-se um
conjunto de endereços globais internos.

Clique no botão Comandos na figura para ver as etapas e configurar a NAT dinâmica.

Para configurar a NAT dinâmica, você precisa de uma ACL para permitir somente os
endereços que devem ser traduzidos. Ao desenvolver sua ACL, lembre-se de que há um
“negar todos” implícito no final de cada ACL. Uma ACL muito permissiva pode levar a
resultados imprevisíveis. A Cisco não aconselha configurar as listas de controle de
acesso indicadas pelos comandos NAT com o comando permit any. O uso do comando
permit any pode fazer com que a NAT consuma muitos recursos do roteador, o que
pode levar a problemas de rede.

Clique no botão Exemplo na figura.

Essa configuração permite a tradução para todos os hosts nas redes 192.168.10.0 e
192.168.11.0 quando elas gerarem o tráfego que entrar em S0/0/0 e sair de S0/1/0. Esses
hosts são traduzidos para um endereço disponível no intervalo de 209.165.200.226 -
209.165.200.240.
Exibir meio visual

7.2.6 Configurando a sobrecarga de NAT

Página 1:
Configurando a sobrecarga de NAT para um único endereço IP público

Existem duas maneiras possíveis de configurar a sobrecarga, dependendo de como o


ISP aloca os endereços IP públicos. Em primeiro lugar, o ISP aloca um endereço IP
público para a organização e, em seguida, aloca mais de um endereço IP público.

A figura mostra as etapas a serem seguidas para configurar a sobrecarga de NAT com
um único endereço IP. Com somente um endereço IP público, a configuração da
sobrecarga geralmente atribui esse endereço público à interface externa que se conecta
ao ISP. Todos os endereços internos são traduzidos para o único endereço IP ao deixar a
interface externa.

Clique no botão Comandos na figura para ver as etapas para configurar a sobrecarga
de NAT.

A configuração é semelhante à NAT dinâmica. A diferença é que, em vez de um


conjunto de endereços, a palavra-chave interface é usada para identificar o endereço IP
externo. Portanto, nenhum conjunto de NAT foi definido. A palavra-chave sobrecarga
permite adicionar o número da porta à tradução.

Clique no botão Exemplo na figura.

Este exemplo mostra como a sobrecarga de NAT é configurada. No exemplo, todos os


hosts da rede 192.168.0.0 /16 (correspondentes à ACL 1) que enviam o tráfego através
do roteador R2 para a Internet são traduzidos para o endereço IP 209.165.200.225
(endereço IP S0/1/0 da interface). Como a palavra-chave sobrecarga foi usada, os
fluxos de tráfego foram identificados pelos números de porta.
Exibir meio visual

Página 2:
Configurando a sobrecarga de NAT para um conjunto de endereços IP públicos

No cenário onde o ISP fornecer mais de um endereço IP público, a sobrecarga de NAT


será configurada para usar um conjunto. A principal diferença entre essa configuração e
a configuração para a NAT dinâmica e exclusiva é que ela usa a palavra-chave
sobrecarga. Lembre-se de que a palavra-chave sobrecarga permite a tradução de
endereço de porta.

Clique no botão Comandos na figura para ver as etapas da configuração da


sobrecarga de NAT usando um conjunto de endereços.

Clique no botão Exemplo na figura.

Neste exemplo, a configuração estabelece a tradução de sobrecarga para o conjunto de


NAT, NAT-POOL2. O conjunto de NAT contém os endereços 209.165.200.226 -
209.165.200.240 e é traduzido usando PAT. Os hosts na rede 192.168.0.0 /16 estão
sujeitos à tradução. Por fim, as interfaces interna e externa são identificadas.
Exibir meio visual

7.2.7 Configurando o encaminhamento de porta

Página 1:
Encaminhamento de porta

O encaminhamento de porta (às vezes chamado de tunelamento) é o ato de encaminhar


uma porta de rede de um nó de rede para outro. Essa técnica permite que um usuário
externo alcance uma porta em um endereço IP privado (dentro de uma rede local) do
endereço externo através de um roteador habilitado pela NAT.

Geralmente, os programas e as principais operações de compartilhamento de arquivos


ponto a ponto, como o FTP de serviço e de saída da web, exigem que as portas do
roteador sejam encaminhadas ou abertas para permitir o funcionamento desses
aplicativos. Como a NAT oculta os endereços internos, o ponto a ponto só funciona no
sentido contrário onde a NAT pode mapear as solicitações de saída de registro em
relação às respostas de entrada.

O problema é que a NAT não permite que as solicitações sejam iniciadas do exterior.
Essa situação pode ser resolvida com uma intervenção manual. O encaminhamento de
porta permite identificar as portas específicas que podem ser encaminhadas para os
hosts internos.

Lembre-se de que os aplicativos de software da Internet interagem com portas de


usuário que precisam estar abertas ou disponíveis para esses aplicativos. Diferentes
aplicativos usam diferentes portas. Por exemplo, a Telnet usa a porta 23, o FTP usa as
portas 20 e 21, o HTTP usa a porta 80 e o SMTP usa a porta 25. Isso torna previsível a
identificação dos serviços de rede pelos aplicativos e roteadores. Por exemplo, o HTTP
opera pela porta 80, que é conhecida. Quando você digita o endereço http://cisco.com, o
navegador exibe o site da Cisco Systems, Inc. Observe que nós não precisamos
especificar o número de porta HTTP para as solicitações de página porque o aplicativo
supõe a porta 80.

Configurando o encaminhamento de porta

O encaminhamento de porta permite que os usuários na Internet acessem os servidores


internos usando o endereço de porta de WAN e o número de porta externo
correspondente. Quando os usuários enviam esses tipos de solicitações para seu
endereço IP de porta de WAN pela Internet, o roteador encaminha essas solicitações aos
servidores apropriados em sua rede local. Por questões de segurança, os roteadores de
banda larga não permitem, por padrão, que seja encaminhada nenhuma solicitação de
rede externa para um host interno.

Por exemplo, a figura está exibindo a janela Encaminhamento de porta simples de um


roteador de SOHO de classe de negócios, Linksys WRVS4400N. Atualmente, o
encaminhamento de porta não está configurado.

Clique no botão Exemplo de encaminhamento de porta na figura.

Você pode habilitar o encaminhamento de porta para os aplicativos e especificar o


endereço local interno para o qual encaminhar as solicitações. Por exemplo, na figura,
as solicitações de serviço do HTTP que chegam ao Linksys são encaminhadas, neste
momento, para o servidor web com o endereço local interno de 192.168.1.254. Se o
endereço IP WAN externo do roteador de SOHO for 209.165.200.158, o usuário
externo poderá digitar http://209.165.200.158 e o roteador de Linksys redirecionará a
solicitação de HTTP para o servidor web interno no endereço IP 192.168.1.254, usando
o número de porta 80 padrão.

Nós podemos especificar uma porta diferente da porta padrão 80. Entretanto, o usuário
externo teria que saber o número de porta específico a ser usado.

A abordagem que você adota para configurar o encaminhamento de porta depende da


marca e modelo do roteador de banda larga na rede. Porém, existem algumas etapas
genéricas a serem seguidas. Se as instruções fornecidas pelo seu ISP ou que vieram com
o roteador não fornecerem uma orientação adequada, o site www.portforward.com
oferece guias para diversos roteadores de banda larga. Você pode seguir as instruções
para adicionar ou excluir portas conforme o necessário para que as necessidades de
qualquer aplicativo que você deseja aceitar ou rejeitar sejam atendidas.
Exibir meio visual

7.2.8 Verificando, identificando e solucionando problemas das configurações de NAT

Página 1:
Verificando a NAT e a sobrecarga de NAT

É importante verificar a operação de NAT. Existem vários comandos de roteador úteis


para exibir e apagar as traduções de NAT. Este tópico explica como verificar a operação
de NAT usando as ferramentas disponíveis nos roteadores Cisco.

Um dos comandos mais úteis ao verificar a operação de NAT é o comando show ip nat
translations. Antes de usar os comandos show para verificar a NAT, você deve apagar
as entradas de tradução dinâmica que ainda estejam presentes porque, por padrão, as
traduções dinâmicas de endereço expiram da tabela de tradução NAT após um período
de falta de uso.

Na figura, o roteador R2 foi configurado para fornecer a sobrecarga de NAT aos


clientes de 192.168.0.0 /16. Quando os hosts internos saem do roteador R2 para a
Internet, eles são traduzidos para o endereço IP da interface serial com um número de
porta de origem exclusivo.

Suponha que os dois hosts na rede interna acessaram os serviços da web pela Internet.

Clique no botão Traduções de NAT na figura.

Observe que a saída do comando show ip nat translations exibe os detalhes das duas
atribuições de NAT. Adicionar verbose ao comando exibirá as informações adicionais
sobre cada tradução, inclusive há quanto tempo a entrada foi criada e usada.

O comando exibe todas as traduções estáticas que foram configuradas, além das
traduções dinâmicas que foram criadas pelo tráfego. Cada tradução é identificada
através do protocolo e através dos endereços locais e globais, internos e externos.

Clique no botão Estatísticas de NAT na figura.

O comando show ip nat statistics exibe informações sobre o número total de traduções
ativas, os parâmetros de configuração de NAT, quantos endereços estão no conjunto e
quantos foram alocados.
Na figura, os hosts iniciaram o tráfego da web, além do tráfego ICMP.

Como alternativa, use o comando show run e procure a NAT, a lista de comandos de
acesso, a interface ou comandos de conjunto com os valores exigidos. Examine-os
cuidadosamente e corrija os erros que encontrar.

Por padrão, a tradução expira depois de 24 horas, a menos que os temporizadores sejam
reconfigurados com o comando ip nat translation timeouttimeout_ seconds no modo
de configuração global.

Clique no botão NAT apagado na figura.

Às vezes é útil apagar as entradas dinâmicas antes do tempo padrão. Isso é


especialmente verdadeiro ao testar a configuração de NAT. Para apagar as entradas
dinâmicas antes de o tempo limite expirar, use comando global clear ip nat
translation.

A tabela na figura está exibindo os vários modos de apagar as traduções de NAT. Você
pode especificar qual tradução apagar ou pode apagar todas as traduções da tabela
usando o comando global clear ip nat translation *, como mostrado no exemplo.

Somente as traduções dinâmicas são apagadas da tabela. As traduções estáticas não


podem ser apagadas da tabela de tradução.
Exibir meio visual

Página 2:
Identificação e solução de problemas de configuração da NAT e da sobrecarga de
NAT

Quando você tiver problemas de conectividade IP em um ambiente de NAT, geralmente


é difícil determinar suas causas. A primeira etapa da resolução do problema é excluir a
NAT como a causa. Siga estas etapas para verificar se a NAT está funcionando como
esperado:

Etapa 1. Com base na configuração, defina claramente o que a NAT deve alcançar. Isso
pode revelar um problema com a configuração.

Etapa 2. Verifique se as traduções corretas se encontram na tabela usando o comando


show ip nat translations.
Etapa 3. Use os comandos clear e debug para verificar se a NAT está funcionando
conforme o esperado. Verifique se as entradas dinâmicas são recriadas depois de serem
apagadas.

Etapa 4. Observe detalhadamente o que acontece com o pacote e verifique se os


roteadores possuem as informações de roteamento corretas para mover o pacote.

Use o comando debug ip nat para verificar a operação do recurso de NAT exibindo as
informações sobre os pacotes que são traduzidos pelo roteador. O comando debug ip
nat detailed gera uma descrição de cada pacote considerado para tradução. Esse
comando também exibe informações sobre certos erros ou condições de exceção, como
a falha para alocar um endereço global.

A figura apresenta uma amostra da saída do comando debug ip nat. Na saída do


comando, é possível observar que o host interno 192.168.10.10 iniciou o tráfego para o
host externo 209.165.200.254 e foi traduzido para o endereço 209.165.200.225.

Ao decodificar a saída do comando da depuração, observe o que os símbolos e valores


seguintes indicam:

• * - O asterisco próximo à NAT indica que a tradução está ocorrendo no caminho


de comutação rápida. O primeiro pacote em uma conversação sempre é
comutado por processo, o que é mais lento. Se existir uma entrada de cache, os
pacotes restantes passam através do caminho que foi comutado rapidamente.
• s= - Refere-se ao endereço IP de origem.
• a.b.c.d---> w.x.y.z - Indica que o endereço de origem a.b.c.d é traduzido para
w.x.y.z.
• d= - Refere-se ao endereço IP de destino.
• [xxxx] - O valor em colchetes é o número de identificação IP. Essas informações
podem ser úteis para a depuração porque elas habilitam a correlação com outros
rastros de pacote de analisadores de protocolo.

Você pode ver as seguintes demonstrações sobre como verificar, identificar e solucionar
problemas da NAT nestes locais:

Flash Animation Case Study: Can Ping Host, but Cannot Telnet: Animação em flash
com duração de sete minutos sobre por que um dispositivo pode executar ping no host,
mas não pode usar a telnet: http://www.cisco.com/warp/public/556/index.swf.

Flash Animation Case Study: Cannot Ping Beyond NAT: Animação em flash com
duração de dez minutos sobre como um dispositivo não pode executar ping além da
NAT: http://www.cisco.com/warp/public/556/TS_NATcase2/index.swf.
Exibir meio visual
Página 3:
A NAT traduz endereços privados, não roteáveis e internos em endereços públicos,
roteáveis. A NAT tem um benefício adicional de proporcionar um nível de privacidade
e segurança para uma rede porque ela oculta endereços IP internos de redes externas.
Nesta atividade, você configurará a NAT dinâmica e estática.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

7.3 IPv6
7.3.1 Motivos para usar o IPv6

Página 1:
Por que precisamos de mais espaço de endereço

Para compreender os problemas de endereçamento IP que atingem os administradores


de rede, considere que o espaço de endereço do IPv4 fornece, aproximadamente,
4.294.967.296 endereços exclusivos. Desses, apenas 3,7 bilhões de endereços podem ser
atribuídos porque o sistema de endereçamento do IPv4 separa os endereços em classes e
reserva os endereços para multicast, teste e outros usos específicos.

Com base nos números de janeiro de 2007, aproximadamente 2,4 bilhões dos endereços
de IPv4 disponíveis já foram atribuídos a usuários finais ou ISPs. Isso deixa
aproximadamente 1,3 bilhão de endereços ainda disponíveis do espaço de endereços do
IPv4. Apesar desse número aparentemente grande, o espaço de endereços do IPv4 está
acabando.

Clique no botão Reproduzir na figura para ver a rapidez desses acontecimentos


durante os últimos 14 anos.

Na última década, a comunidade da Internet analisou o esgotamento dos endereço do


IPv4 e publicou pilhas de relatórios. Alguns relatórios preveem o esgotamento dos
endereços de IPv4 por volta de 2010 e outros dizem que isso não acontecerá até 2013.

Clique no botão Redução na figura para ver como o espaço de endereços disponíveis
está sendo reduzido.
O crescimento da Internet, aliado ao aumento do poder da computação, aumentou o
alcance dos aplicativos baseados em IP.

Clique no botão Por que o IPv6 na figura e pense sobre o que está levando a uma
mudança para o IPv6.

O conjunto de números está sendo reduzido pelos seguintes motivos:

• Crescimento da população - A população da Internet está crescendo. Em


novembro de 2005, a Cisco estimou que havia 973 milhões de usuários
aproximadamente. Esse número dobrou desde então. Além disso, os usuários
ficam online por mais tempo, reservando os endereços IP por períodos mais
longos e entrando em contato com cada vez mais pontos diariamente.
• Usuários móveis - A indústria produziu mais de um bilhão de telefones
celulares. Foram produzidos mais de 20 milhões de dispositivos móveis
habilitados para IP, inclusive assistentes digitais pessoais (PDAs, personal
digital assistants), canetas digitais, blocos de notas e leitores de códigos de barra.
Cada vez mais dispositivos móveis habilitados para IP ficam online todos os
dias. Os telefones celulares antigos não precisavam de endereços IP, mas os
novos precisam.
• Transporte - Haverá mais de um bilhão de automóveis por volta de 2008. Os
modelos mais novos são habilitados para IP para permitir que a monitoração
remota forneça uma manutenção e suporte em tempo hábil. A Lufthansa já
fornece a conectividade da Internet em seus voos. Mais operadoras, incluindo os
navios, fornecerão serviços semelhantes.
• Equipamentos eletrônicos - Os dispositivos mais novos permitem a
monitoração remota usando a tecnologia IP. São exemplos os gravadores de
vídeo digital (DVRs, Digital Video Recorder), que fazem o download de guias
de programas e os atualizam pela Internet. As redes locais podem conectar esses
dispositivos.
Exibir meio visual

Página 2:
Motivos para usar o IPv6

O movimento para mudar do IPv4 para o IPv6 já começou, especialmente na Europa,


Japão e na região da Ásia-Pacífico. Essas áreas estão esgotando seus endereços IPv4
distribuídos, o que torna o IPv6 ainda mais atraente e necessário. O movimento foi
oficialmente iniciado no Japão no ano 2000, quando o governo japonês determinou a
incorporação do IPv6 e definiu o prazo final para 2005 para que se atualizassem os
sistemas existentes em todos os negócios e no setor público. A Coreia, China e Malásia
tiveram iniciativas semelhantes.
Em 2002, a IPv6 Task Force da Comunidade Europeia formou uma aliança estratégica
para encorajar a adoção do IPv6 em todo o mundo. A IPv6 Task Force norte-americana
começou a exigir que os mercados norte-americanos adotassem o IPv6. Os primeiros
avanços significativos nos Estados Unidos são provenientes do Departamento de Defesa
Norte-Americano (DoD, U.S Department of Defense). Prevendo o futuro e conhecendo
as vantagens de dispositivos habilitados para IP, o DoD designou, já em 2003, que todos
os novos equipamentos comprados, além de serem habilitados para IP, fossem
habilitados também para o IPv6. Na realidade, todos os órgãos públicos norte-
americanos devem começar a usar o IPv6 em suas redes principais por volta de 2008, e
eles estão trabalhando para cumprir com esse prazo.

A capacidade de dimensionar as redes para as demandas futuras requer um


fornecimento ilimitado de endereços IP e uma mobilidade aprimorada que o DHCP e a
NAT sozinhos não conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais
complexos do endereçamento hierárquico que o IPv4 não fornece.

Devido à enorme base instalada do IPv4 no mundo, não é difícil avaliar que a transição
das implantações do IPv4 para o IPv6 seja um desafio. Entretanto existe uma variedade
de técnicas, inclusive uma opção de configuração automática, para fazer a transição de
modo mais fácil. O mecanismo de transição usado por você dependerá das necessidades
de sua rede.

A figura compara as representações binárias e alfanuméricas dos endereços do IPv4 e


do IPv6. Um endereço IPv6 é um valor binário de 128 bits que pode ser exibido como
32 dígitos hexadecimais. O IPv6 deve fornecer endereços suficientes para as
necessidades do crescimento futuro da Internet por muitos anos. Existem endereços
IPv6 suficientes para alocar mais do que o espaço de endereços de Internet do IPv4
inteiro a todas as pessoas do mundo.

Clique no botão Perspectiva na figura.

Então, o que aconteceu com o IPv5? O IPv5 foi usado para definir um protocolo
experimental de streaming em tempo real. Para evitar qualquer confusão, foi decidido
não usar o IPv5 e nomear o novo protocolo IP como IPv6.
Exibir meio visual

Página 3:
O IPv6 não existiria não fosse o esgotamento reconhecido de endereços IPv4
disponíveis. Porém, além do maior espaço de endereços IP, o desenvolvimento do IPv6
apresentou oportunidades para aplicar as lições aprendidas a partir das limitações do
IPv4 para criar um protocolo com recursos novos e aprimorados.

Uma arquitetura de cabeçalho e uma operação de protocolo simplificados se traduzem


em gastos operacionais reduzidos. Os recursos de segurança integrados significam
práticas de segurança mais fáceis, extremamente ausentes em muitas redes atuais.
Entretanto, talvez a melhoria mais significativa oferecida pelo IPv6 sejam os recursos
de autoconfiguração que ele possui.

A Internet está evoluindo rapidamente de uma coleção de dispositivos fixos para uma
rede fluida de dispositivos móveis. O IPv6 permite que os dispositivos móveis adquiram
e façam a transição rapidamente entre endereços conforme eles se movem entre redes
externas, sem que haja necessidade de um agente externo. (Um agente externo é um
roteador que pode funcionar como o ponto de anexo para um dispositivo móvel quando
for de sua rede local para uma rede externa.)

A autoconfiguração de endereço também significa uma conectividade de rede plug and


play mais sólida. A autoconfiguração suporta clientes que tenham qualquer combinação
de computadores, impressoras, câmeras digitais, rádios digitais, telefones IP,
dispositivos domésticos habilitados para a Internet e brinquedos eletrônicos conectados
às suas redes locais. Muitos fabricantes já integram o IPv6 em seus produtos.

Muitos dos aprimoramentos oferecidos pelo IPv6 são explicados nesta seção, incluindo:

• Endereçamento IP aprimorado
• Cabeçalho simplificado
• Mobilidade e segurança
• Riqueza de transição

Endereçamento IP aprimorado

Um espaço maior de endereço oferece vários aprimoramentos, incluindo:

• Melhor acessibilidade e flexibilidade globais.


• Melhor agregação de prefixos de IP anunciados nas tabelas de roteamento.
• Hosts multihome. Multihoming é uma técnica para aumentar a confiabilidade da
conexão da Internet de uma rede IP. Com o IPv6, um host pode ter vários
endereços IP sobre um link upstream físico. Por exemplo, um host pode
conectar-se a vários ISPs.
• A autoconfiguração, que pode incluir endereços de camada de enlace de dados
no espaço de endereço.
• Mais opções de plug and play para mais dispositivos.
• Reendereçamento público-para-privado e fim-a-fim sem tradução de endereços.
Ele torna a rede ponto a ponto (P2P) mais funcional e mais fácil de ser
implantada.
• Mecanismos simplificados para renumeração e modificação do endereço.

Clique no botão Cabeçalho simples na figura.


A figura compara a estrutura de cabeçalho de IPv6 simplificada ao cabeçalho de IPv4.
O cabeçalho de IPv4 possui 20 octetos e 12 campos de cabeçalho básicos, seguidos por
um campo de opções e uma porção de dados (normalmente o segmento de Camada de
transporte). O cabeçalho de IPv6 possui 40 octetos, três campos de cabeçalho básicos de
IPv4 e cinco campos de cabeçalho adicionais.

O cabeçalho simplificado de IPv6 oferece várias vantagens com relação ao IPv4:

• Melhor eficiência de roteamento para desempenho e escalabilidade de taxa de


encaminhamento
• Ausência de broadcasts e, desse modo, ausência de ameaças de broadcast storms
• Sem necessidade de processar checksums
• Mecanismos de cabeçalho de extensão simplificados e mais eficientes
• Rótulos de fluxo para processamento por fluxo sem a necessidade de abrir o
pacote interno de transporte para identificar os diversos fluxos de tráfego

Mobilidade e segurança aprimoradas

A mobilidade e a segurança ajudam a garantir a conformidade com a funcionalidade dos


padrões de IP móveis e Segurança IP (IPsec). A mobilidade permite que as pessoas com
dispositivos de rede móveis, muitas com conectividade sem fio, movam-se entre as
redes.

• O padrão de IP móvel da IETF está disponível para o IPv4 e o IPv6. Ele permite
que os dispositivos móveis se movam em conexões de rede estabelecidas sem
interrupções. O dispositivos móveis usam um endereço secundário para obter
essa mobilidade. Com o IPv4, esses endereços são configurados manualmente.
Com o IPv6, as configurações são dinâmicas, dando uma mobilidade integrada
aos dispositivos habilitados para Ipv6.
• O IPsec está disponível para IPv4 e IPv6. Embora as funcionalidades sejam
essencialmente idênticas em ambos os ambientes, o IPsec é obrigatório no IPv6,
tornando a Internet do IPv6 mais segura.

Riqueza de transição

O IPv4 não desaparecerá do dia para a noite. Ao contrário, ele coexistirá com o IPv6 e
será gradualmente substituído por ele. Por essa razão, o IPv6 foi criado com técnicas de
migração para abranger todos os casos concebíveis de atualização do IPv4. Porém, no
final das contas, muitas foram rejeitadas pela comunidade tecnológica.

Existem atualmente três abordagens principais.


• Pilha dupla
• Tunelamento 6to4
• NAT-PT, tunelamento ISATAP e tunelamento Teredo (métodos de último caso)

Algumas dessas abordagens serão discutidas com mais detalhes posteriormente nesse
capítulo.

O conselho atual para fazer a transição para o IPv6 é "Pilha dupla onde puder, túnel
onde precisar!"
Exibir meio visual

7.3.2 Endereçamento IPv6

Página 1:
Representação de endereço IPv6

Você conhece o endereço IPv4 de 32 bits como uma série de quatro campos de 8 bits,
separada por pontos. Porém, endereços IPv6 maiores, de 128 bits, precisam de uma
representação diferente por causa de seu tamanho. Os endereços IPv6 usam dois-pontos
para separar as entradas em uma série de hexadecimal de 16 bits.

Clique no botão Representação na figura.

A figura mostra o endereço 2031:0000:130F:0000:0000:09C0:876A:130B. O IPv6 não


requer uma notação de cadeia de endereços explícita. A figura mostra como encurtar o
endereço aplicando as seguintes diretrizes:

• Os zeros à esquerda em um campo são opcionais. Por exemplo, o campo 09C0 é


igual ao 9C0 e o campo 0000 é igual a 0. Assim 2031:0000:
130F:0000:0000:09C0:876A:130B podem ser escritos como 2031:0:
130F:0000:0000:9C0: 876A:130B.
• Os campos sucessivos de zeros podem ser representados como dois sinais de
dois-pontos "::”. Entretanto, este método de taquigrafia só pode ser usado uma
vez em cada endereço. Por exemplo, 2031:0:130F:0000:0000:9C0:876A:130B
pode ser escrito como 2031:0:130F::9C0:876A:130B.
• Um endereço especificado é escrito como "::" porque contém somente zeros.

Usando o "::", a notação reduz bastante o tamanho da maioria dos endereços, como
mostrado. Um analista de endereços identifica o número de zeros faltantes separando
duas partes quaisquer de um endereço e digitando 0s até que os 128 bits estejam
completos.
Clique no botão Exemplos na figura para obter alguns exemplos adicionais.
Exibir meio visual

Página 2:
Endereço de unicast global do IPv6

O IPv6 possui um formato de endereço que permite eventualmente uma maior


agregação para o ISP. Endereços de unicast globais consistem geralmente de um prefixo
de roteamento global de 48 bits e uma ID de sub-rede de 16 bits. As organizações
individuais podem usar um campo de sub-rede de 16 bits para criar sua própria
hierarquia de endereçamento local. Esse campo permite que uma organização use até
65.535 sub-redes individuais.

Na parte superior da figura, podemos ver como a hierarquia adicional é acrescentada ao


prefixo de roteamento global de 48 bits com o prefixo de registro, prefixo de ISP e
prefixo do site.

O endereço de unicast global atual que é atribuído pelo IANA usa o intervalo de
endereços iniciado com o valor binário 001 (2000::/3), que é 1/8 do espaço total do
endereço IPv6 e que é o maior bloco de endereços atribuídos. O IANA está alocando o
espaço de endereços IPv6 nos intervalos de 2001::/16 para os cinco registros RIR
(ARIN, RIPE NCC, APNIC, LACNIC e AfriNIC).

Para obter mais informações, consulte a RFC 3587, Formato de endereços de unicast de
IPv6, que substitui a RFC 2374.

Endereços reservados

O IETF reserva uma porção do espaço de endereços IPv6 para vários usos, presentes e
futuros. Os endereços reservados representam 1/256 do espaço de endereço IPv6 total.
Alguns dos outros tipos de endereços IPv6 são originados deste bloco.

Endereços privados

Um bloco de endereços IPv6 é reservado para endereços privados, assim como é feito
no IPv4. Esses endereços privados são locais somente para um link ou local específico
e, portanto, nunca são roteados para fora de uma rede corporativa específica. Os
endereços privados possuem um valor de primeiro octeto de "FE" em notação
hexadecimal, com o próximo dígito hexadecimal sendo um valor de 8 para F.

Esses endereços são divididos ainda em dois tipos, com base no escopo.
• Endereços locais de site são endereços semelhantes à Alocação de endereços
para internet privada no IPv4 da RFC 1918 de hoje. O escopo desses endereços é
um site ou organização inteiros. Entretanto, o uso dos endereços locais é
problemático e está sendo substituído desde 2003 pela RFC 3879. Em
hexadecimais, os endereços locais começam com "FE" e então de "C" até "F"
para o terceiro dígito hexadecimal.
• Endereços de enlace locais são novos para o conceito de endereçamento com IP
na Camada de rede. Esses endereços têm um escopo menor do que os endereços
locais de site. Eles se referem somente a um link físico específico (rede física).
Os roteadores não encaminham datagramas utilizando endereços de enlace
locais, nem mesmo dentro da organização. Eles servem somente para
comunicação local em um segmento de rede físico específico. Eles são usados
para comunicações de link como a configuração de endereço automática,
detecção de vizinho e detecção de roteador. Muitos protocolos de roteamento do
IPv6 também usam endereços de enlace locais. Os endereços de enlace locais
começam com "FE" e, assim, possuem um valor de "8" para "B" para o terceiro
dígito hexadecimal.

Endereço de loopback

Assim como ocorre no IPv4, foi fornecido um endereço IPv6 de loopback especial para
testes. Os datagramas enviados para esse endereço retornam para o dispositivo de
origem. Entretanto, existe apenas um endereço no IPv6 para essa função, e não um
bloco inteiro. O endereço de loopback é 0:0:0:0:0:0:0:1, normalmente expresso com o
uso da compressão do zero com o ":: 1."

Endereço não especificado

No IPv4, um endereço IP somente com zeros tem um significado especial. Ele se refere
ao próprio host e é usado quando um dispositivo não souber seu próprio endereço. No
IPv6, esse conceito foi formalizado, e o endereço somente com zeros (0:0:0:0:0:0:0:0)
recebe o nome de endereço "não especificado." Ele é usado normalmente no campo de
origem de um datagrama, o qual é enviado por um dispositivo que busca ter seu
endereço IP configurado. É possível aplicar a compressão de endereços a esse endereço.
Como somente contém zeros, ele se tornará simplesmente "::".
Exibir meio visual

Página 3:
Gerenciamento de endereços IPv6

Os endereços do IPv6 usam identificadores de interface para identificar as interfaces em


um link. Considere-os como a "porção de host" de um endereço IPv6. Os
identificadores de interface devem ser exclusivos em um link específico. Os
identificadores de interface são sempre de 64 bits e são derivados dinamicamente de um
endereço de Camada 2 (endereço MAC).
Você pode atribuir uma ID de endereço IPv6 estática ou dinamicamente:

• Atribuição estática usando uma ID de interface manual


• Atribuição estática usando uma ID de interface EUI-64
• Configuração automática sem estado
• DHCP para IPv6 (DHCPv6)

Atribuição de ID de interface manual

Uma maneira de atribuir um endereço IPv6 estaticamente a um dispositivo é atribuir o


prefixo (rede) e a porção da ID de interface (host) do endereço IPv6. Para configurar um
endereço IPv6 em uma interface do roteador Cisco, use o comando ipv6 address ipv6-
address/prefix-length no modo de configuração de interface. O exemplo seguinte mostra
a atribuição de um endereço IPv6 à interface de um roteador Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::72/64

Atribuição de ID de interface EUI-64

Outra maneira de atribuir um endereço IPv6 é configurar a porção do prefixo (rede) do


endereço IPv6 e derivar a porção da ID de interface (host) do endereço MAC de camada
2 do dispositivo, conhecido como a ID de interface EUI-64.

Clique no botão EUI-64 na figura.

O padrão EUI-64 explica como expandir os endereços MAC do IEEE 802 de 48 para 64
bits inserindo o 0xFFFE de 16 bits no meio do 24º bit do endereço MAC, a fim de criar
um identificador de interface de 64 bits exclusivo.

Para configurar um endereço IPv6 em uma interface do roteador Cisco e habilitar o


processamento de IPv6 usando o EUI-64 nessa interface, use o comando ipv6 address
ipv6-prefix/prefix-length eui-64 no modo de configuração de interface. O exemplo
seguinte mostra a atribuição de um endereço EUI-64 à interface de um roteador Cisco:

RouterX(config-if)#ipv6 address 2001:DB8:2222:7272::/64 eui-64

Configuração automática sem estado

A configuração automática configura automaticamente o endereço IPv6. No IPv6,


presume-se que os dispositivos que não sejam do PC, bem como os terminais de
computador, serão conectados à rede. O mecanismo de configuração automática foi
introduzido para permitir que a rede plug-and-play desses dispositivos ajudem a reduzir
a sobrecarga de administração.

DHCPv6 (sem estado)

O DHCPv6 permite que os servidores DHCP transmitam os parâmetros de


configuração, como os endereços de rede IPv6, para os nós do IPv6. Ele oferece o
recurso de alocação automática de endereços de rede reutilizáveis e uma flexibilidade de
configuração adicional. Esse protocolo é um correspondente sem estado da
configuração automática de endereços sem estado do IPv6 (RFC 2462) e pode ser usado
separado da configuração automática de endereços sem estado do IPv6, ou
simultaneamente a ela, para obter os parâmetros de configuração.

Para obter mais informações sobre a atribuição de endereços IPv6, acesse o site:
http://www.netbsd.org/docs/network/ipv6/.
Exibir meio visual

7.3.3 Estratégias de transição do IPv6

Página 1:
Estratégias de transição do IPv6

A transição do IPv4 não exige melhorias concomitantes em todos os nós. Muitos


mecanismos de transição permitem uma integração tranquila do IPv4 e IPv6. Outros
mecanismos que permitem que os nós de IPv4 se comuniquem com os nós de IPv6
estão disponíveis. Situações diferentes exigem estratégias diferentes. A figura ilustra a
riqueza de estratégias de transição disponíveis.

Lembre-se do conselho: "Pilha dupla onde puder, túnel onde precisar." Esses dois
métodos são as técnicas mais comuns para fazer a transição de IPv4 para IPv6.

Empilhamento duplo

O empilhamento duplo é um método de integração no qual um nó possui


implementação e conectividade a uma rede IPv4 e a uma rede IPv6. Essa é a opção
recomendada e envolve a execução de IPv4 e IPv6 ao mesmo tempo. Os roteadores e os
switches são configurados para suportar ambos os protocolos, sendo que o IPv6 é o
protocolo preferido.

Tunelamento

A segunda técnica de transição mais importante é o tunelamento. Existem várias


técnicas de tunelamento disponíveis, incluindo:
• Tunelamento manual de IPv6 sobre IPv4 - Um pacote de IPv6 é encapsulado
dentro do protocolo IPv4. Esse método exige roteadores de pilha dupla.
• Tunelamento dinâmico 6to4 – Estabelece a conexão das ilhas de IPv6
automaticamente através de uma rede IPv4, normalmente a Internet. Ele aplica
automaticamente um prefixo de IPv6 válido e exclusivo a cada ilha de IPv6,
permitindo a rápida implantação do IPv6 em uma rede corporativa sem que
ocorra a recuperação de endereço dos ISPs ou dos registros.

Outras técnicas de tunelamento menos populares, que estão além do escopo deste curso,
incluem:

• Protocolo de endereçamento automático de túnel intra-site (ISATAP, Intra-Site


Automatic Tunnel Addressing Protocol) – Mecanismo de tunelamento de
sobreposição automática que usa a rede de IPv4 subjacente como uma camada
de enlace para o IPv6. Os túneis do ISATAP permitem que os hosts de pilha
dupla individuais de IPv4 ou IPv6 dentro de um local se comuniquem com
outros hosts em um link virtual, criando uma rede de IPv6 que utiliza a
infraestrutura de IPv4.
• Tunelamento Teredo - Uma tecnologia de transição de IPv6 que fornece o
tunelamento automático de host para host em vez de um tunelamento de
gateway. Essa abordagem transmite o tráfego unicast de IPv6 quando os hosts de
pilha dupla (hosts que executam tanto o IPv6 quanto o IPv4) estão localizados
atrás de um ou de vários NATs de IPv4.

Tradução do protocolo NAT (NAT-PT)

O software IOS Cisco Release 12.3(2)T e mais recente (com o conjunto de recursos
apropriado) também inclui o NAT-PT entre IPv6 e IPv4. Essa tradução permite a
comunicação direta entre hosts que usam versões diferentes do protocolo IP. Essas
traduções são mais complexas do que a NAT de IPv4. Neste momento, essa técnica de
tradução é a opção menos favorável e deve ser usada como o último recurso.
Exibir meio visual

7.3.4 Pilha dupla do IOS Cisco

Página 1:
Pilha dupla do IOS Cisco

O empilhamento duplo é um método de integração que permite que um nó tenha


conectividade a uma rede IPv4 e a uma rede IPv6 simultaneamente. Cada nó possui
duas pilhas de protocolo com a configuração na mesma interface ou em várias
interfaces.
A abordagem da pilha dupla para a integração de IPv6, na qual os nós possuem tanto as
pilhas de IPv4 quanto as de IPv6, será um dos métodos de integração mais comumente
usados. Um nó de pilha dupla escolhe qual pilha usar com base no endereço de destino
do pacote. Um nó de pilha dupla deve preferir o IPv6 quando ele estiver disponível. Os
aplicativos antigos exclusivos de IPv4 continuam funcionando como antes. Os
aplicativos novos e modificados tiram proveito de ambas as camadas de IP.

Uma nova interface de programação de aplicativos (API, Application Programming


Interface) foi definida para suportar os endereços de IPv4 e de IPv6 e solicitações de
DNS. Uma API facilita a troca de mensagens ou de dados entre dois ou mais aplicativos
de software diferentes. Um exemplo de uma API é a interface virtual entre duas funções
de software, como um processador de textos e uma planilha. A API é integrada aos
aplicativos de software para traduzir o IPv4 em IPv6 e vice-versa, usando o mecanismo
de conversão de IP. Os novos aplicativos podem usar o IPv4 e o IPv6.

A experiência de portar os aplicativos de IPv4 para IPv6 sugere que, para a maioria dos
aplicativos, há uma alteração mínima em alguns pontos localizados dentro do código-
fonte. Essa técnica é bastante conhecida e tem sido aplicada nas últimas outras
transições de protocolo. Ela permite melhorias de aplicativos graduais, uma por uma,
para o IPv6.

Clique no botão Configurando a interface de IPv6 na figura.

O software IOS Cisco Release 12.2(2)T e mais recente (com o conjunto de recursos
apropriado) são habilitados para o IPv6. Logo após a configuração do IPv4 e IPv6
básicos na interface, a interface sofre o empilhamento duplo e encaminha o tráfego de
IPv4 e de IPv6 naquela interface. Observe que um endereço de IPv4 e um endereço de
IPv6 foram configurados.

O uso do IPv6 em um roteador do IOS Cisco exige que você use o comando de
configuração global ipv6 unicast-routing. Esse comando habilita o encaminhamento de
datagramas de IPv6.

Você deve configurar todas as interfaces que encaminham o tráfego de IPv6 com um
endereço de IPv6 usando o comando de interface ipv6 addressIPv6-address [/prefix
length].
Exibir meio visual

7.3.5 Tunelamento de IPv6

Página 1:
Tunelamento de IPv6
O tunelamento é um método de integração onde um pacote de IPv6 é encapsulado
dentro de outro protocolo, como o IPv4. Esse método permite a conexão das ilhas de
IPv6 sem que haja a necessidade de converter as redes intermediárias para o IPv6.
Quando o IPv4 for usado para encapsular o pacote de IPv6, um tipo de protocolo de 41
será especificado no cabeçalho de IPv4, e o pacote incluirá um cabeçalho de IPv4 de 20
bytes sem opções, um cabeçalho de IPv6 e a payload. Ele também exige roteadores de
pilha dupla.

O tunelamento apresenta estes dois problemas. A unidade máxima de transmissão


(MTU, Maximum Transmission Unit) será diminuída efetivamente em 20 octetos se o
cabeçalho de IPv4 não contiver nenhum campo opcional. Além disso, é geralmente
difícil identificar e solucionar problemas de uma rede tunelada.

O tunelamento é uma técnica de integração e transição intermediária e não deve ser


considerada como uma solução final. Uma arquitetura de IPv6 nativa será o objetivo
final.
Exibir meio visual

Página 2:
Túnel IPv6 manualmente configurado

Um túnel manualmente configurado equivale a um link permanente entre dois domínios


de IPv6 sobre um backbone de IPv4. A utilização principal é para conexões estáveis que
exigem uma comunicação regular segura entre dois roteadores de extremidade ou entre
um sistema final e um roteador de extremidade, ou para a conexão com redes IPv6
remotas. Os roteadores finais devem ter passado por empilhamento duplo, e a
configuração não pode mudar dinamicamente conforme as necessidades da rede e do
roteamento precisem de mudanças.

Os administradores configuram um endereço IPv6 estático manualmente em uma


interface de túnel e atribuem endereços IPv4 estáticos configurados manualmente à
origem do túnel e ao destino do túnel. O host ou roteador em cada extremidade de um
túnel configurado deve suportar as pilhas do protocolo IPv4 e IPv6. Os túneis
manualmente configurados podem ser configurados entre roteadores de borda ou entre
um roteador de borda e um host.
Exibir meio visual

7.3.6 Considerações de roteamento com o IPv6

Página 1:
Configurações de roteamento com o IPv6
Assim como o roteamento entre domínios com endereços classless (CIDR, Classless
Interdomain Routing) do IPv4, o IPv6 usa o roteamento de correspondência com o
prefixo mais longo. O IPv6 utiliza versões modificadas da maioria dos protocolos de
roteamento comuns para lidar com os endereços IPv6 mais longos e com estruturas de
cabeçalho diferentes.

Espaços de endereços maiores abrem espaço para alocações de endereço grandes para
os ISPs e as organizações. Um ISP agrega todos os prefixos de seus clientes em um
único prefixo e anuncia esse único prefixo para a Internet de IPv6. O espaço de
endereços aumentado é suficiente para permitir que as organizações definam um único
prefixo para toda a sua rede.

Mas como isso afeta o desempenho do roteador? Uma breve revisão de como um
roteador funciona em uma rede ajudará a ilustrar como o IPv6 afeta o roteamento.
Conceitualmente, um roteador possui três áreas funcionais:

• O plano de controle trata da interação do roteador com os outros elementos de


rede, fornecendo as informações necessárias para tomar as decisões e para
controlar a operação global do roteador. Este plano executa processos tais como
os protocolos de roteamento e o gerenciamento de rede. Essas funções são
geralmente complexas.
• O plano de dados lida com o encaminhamento de pacotes de uma interface física
ou lógica para outra. Ele envolve diferentes mecanismos de comutação como a
comutação de processo e o Cisco Express Forwarding (CEF) em roteadores do
software IOS Cisco.
• Os serviços aprimorados incluem recursos avançados aplicados ao encaminhar
dados, como a filtragem de pacotes, qualidade de serviço (QoS, Quality of
Service), criptografia, tradução e auditoria.

O IPv6 apresenta essas funções com novos desafios específicos.

Plano de controle do IPv6

A habilitação do IPv6 em um roteador inicia os processos operacionais de seu plano de


controle especificamente para o IPv6. As características do protocolo moldam o
desempenho desses processos e a quantidade de recursos necessários para operá-los:

• Tamanho de endereço do IPv6 - O tamanho do endereço afeta as funções de


processamento de informações de um roteador. Sistemas que usam uma CPU de
64 bits, um barramento ou uma estrutura de memória, podem transmitir os
endereços de origem e destino de IPv4 em um único ciclo de processamento.
Para o IPv6, os endereços de origem e destino exigem quatro ciclos de dois
ciclos cada para processar as informações de endereço de origem e de destino.
Como resultado, é provável que os roteadores que confiam exclusivamente no
processamento de software funcionem mais lentamente do que quando estão em
um ambiente de IPv4.
• Endereços de nó de IPv6 múltiplos - Como os nós de IPv6 podem utilizar
vários endereços de unicast de IPv6, o consumo de memória do cache de
Detecção de vizinho pode ser afetado.
• Protocolos de roteamento de IPv6 - Os protocolos de roteamento de IPv6 são
semelhantes aos seus correspondentes do IPv4 mas, como um prefixo do IPv6 é
quatro vezes maior do que um prefixo de IPv4, as atualizações de roteamento
precisam levar mais informações.
• Tamanho da tabela de roteamento - O maior espaço de endereços do IPv6
leva a redes maiores e a uma Internet muito maior. Isso implica em tabelas de
roteamento maiores e em requisitos de memória maiores para suportá-los.

Plano de dados do IPv6

O plano de dados encaminha pacotes IP com base nas decisões feitas pelo plano de
controle. O mecanismo de encaminhamento analisa as informações de pacote IP
relevantes e faz uma busca para fazer a correspondência das informações analisadas
com as políticas de encaminhamento definidas pelo plano de controle. O IPv6 afeta o
desempenho das funções de análise e busca:

• Cabeçalhos de extensão de IPv6 de análise - Os aplicativos, incluindo o IPv6


móvel, geralmente usam informações de endereço IPv6 nos cabeçalhos de
extensão, aumentando assim seu tamanho. Esses campos adicionais exigem um
processamento adicional. Por exemplo, um roteador que usa as ACLs para filtrar
as informações de Camada 4 precisa aplicar as ACLs aos pacotes com
cabeçalhos de extensão, bem como aos que não têm esses cabeçalhos. Se o
tamanho do cabeçalho de extensão exceder o tamanho fixo do registro do
hardware do roteador, haverá falha na comutação do hardware, e os pacotes
poderão ser colocados na comutação de software ou poderão ser ignorados. Isto
afeta gravemente o desempenho de encaminhamento do roteador.
• Pesquisa de endereço IPv6 - O IPv6 executa uma pesquisa de pacotes que
entram no roteador para localizar a interface de saída correta. No IPv4, o
processo de decisão de encaminhamento analisa um endereço de destino de 32
bits. No IPv6, a decisão de encaminhamento poderia exigir possivelmente uma
análise de um endereço de 128 bits. A maioria dos roteadores de hoje executa
pesquisas utilizando um circuito integrado específico de aplicativo (ASIC,
application-specific integrated circuit) com uma configuração fixa que executa
as funções para as quais eles foram criados originalmente – o IPv4. Isso pode
resultar novamente na colocação dos pacotes em um processamento de software
mais lento ou fazer com que eles sejam todos ignorados.
Exibir meio visual

Página 2:
Protocolo de roteamento RIPNg
As rotas do IPv6 usam os mesmos protocolos e técnicas que o IPv4. Embora os
endereços sejam mais longos, os protocolos usados no roteamento de IPv6 são
simplesmente extensões lógicas dos protocolos usados no IPv4.

A RFC 2080 define a última geração do Protocolo de informações de roteamento


(RIPng, Routing Information Protocol next generation) como um protocolo de
roteamento simples baseado em RIP. O RIPng não é nem mais potente e nem menos
potente do que o RIP, porém ele fornece uma maneira simples de ativar uma rede de
IPv6 sem a necessidade de criar um novo protocolo de roteamento.

O RIPng é um protocolo de roteamento do vetor de distância com um limite de 15 saltos


que usa o split horizon e as atualizações de poison reverse para evitar os loops de
roteamento. Sua simplicidade vem do fato de ele não exigir nenhum conhecimento
global da rede. Somente os roteadores vizinhos trocam mensagens locais.

O RIPng inclui as seguintes características:

• Baseia-se no RIP versão 2 (RIPv2) do IPv4 e é semelhante ao RIPv2


• Utiliza o IPv6 para o transporte
• Inclui o prefixo de IPv6 e o endereço IPv6 do próximo salto
• Utiliza o grupo multicast FF02::9 como o endereço de destino para atualizações
de RIP (semelhante à função de broadcast executada pelo RIP no IPv4)
• Envia atualizações na porta UDP 521
• É suportado pelo IOS Cisco Release 12.2 (2) T e mais recentes

Em implantações que sofreram empilhamento dual, são necessários o RIP e o RIPng.


Exibir meio visual

7.3.7 Configurando os endereços IPv6

Página 1:
Habilitando o IPv6 em roteadores Cisco

Existem duas etapas básicas para ativar o IPv6 em um roteador. Primeiro, você deve
ativar o encaminhamento de tráfego IPv6 no roteador e, em seguida, você deve
configurar cada interface que exija o IPv6.

Por padrão, o encaminhamento de tráfego do IPv6 está desabilitado em um roteador


Cisco. Para ativá-lo entre as interfaces, é necessário configurar o comando global ipv6
unicast-routing.
O comando ipv6 address pode configurar um endereço IPv6 global. O endereço de
enlace local será configurado automaticamente quando um endereço for atribuído à
interface. Você deve especificar o endereço IPv6 de 128 bits inteiro ou deve especificar
o uso do prefixo de 64 bits usando a opção eui-64.
Exibir meio visual

Página 2:
Exemplo de configuração do endereço IPv6

Você pode especificar completamente o endereço IPv6 ou pode computar o


identificador de host (64 bits mais à direta) do identificador de EUI-64 da interface. No
exemplo, o endereço IPv6 da interface é configurado usando o formato EUI-64.

Como alternativa, você pode especificar completamente o endereço IPv6 inteiro para
atribuir um endereço a uma interface do roteador usando o comando ipv6 addressipv6-
address/prefix-length no modo de configuração de interface.

A configuração de um endereço IPv6 em uma interface configura automaticamente o


endereço de enlace local para essa interface.
Exibir meio visual

Página 3:
Resolução de nome IPv6 do IOS Cisco

Existem duas maneiras de realizar a resolução de nome no processo de software do IOS


Cisco:

• Definir um nome estático para um endereço IPv6 usando o comando ipv6 host
name [port] ipv6-address1 [ipv6-address2...ipv6-address4]. Você pode definir
até quatro endereços IPv6 para um nome de host. A opção de porta se refere à
porta Telnet a ser usada para o host associado.
• Especificar o servidor DNS usado pelo roteador com o comando ip name-
serveraddress. O endereço pode ser um endereço IPv4 ou IPv6. É possível
especificar até seis servidores DNS com esse comando.
Exibir meio visual

7.3.8 Configurando o RIPng com IPv6

Página 1:
Configurar o RIPng com IPv6
Ao configurar os protocolos de roteamento suportados no IPv6, é necessário criar o
processo de roteamento, habilitar o processo de roteamento nas interfaces e personalizar
o protocolo de roteamento para sua rede privada.

Antes de configurar o roteador para que ele execute o RIP de IPv6, faça a habilitação
global usando o comando de configuração global ipv6 unicast-routing e habilite o IPv6
nas interfaces em que o RIP de IPv6 deverá ser habilitado.

Para habilitar o roteamento RIPng no roteador, use o comando de configuração global


ipv6 router rip name. O parâmetro name (nome) identifica o processo RIP. Este nome
de processo é usado posteriormente ao configurar o RIPng nas interfaces participantes.

Para o RIPng, em vez de usar o comando network para identificar quais interfaces
devem executar o RIPng, você usa o comando ipv6 rip name enable no modo de
configuração de interface para habilitar o RIPng em uma interface. O parâmetro name
(nome) deve corresponder ao parâmetro de nome no comando ipv6 router rip.

A habilitação do RIP em uma interface cria dinamicamente um processo de "router rip"


se necessário.
Exibir meio visual

Página 2:
Exemplo: RIPng para configuração de IPv6

O exemplo mostra uma rede de dois roteadores. O roteador R1 está conectado à rede
padrão. Nos roteadores R2 e R1, o nome RT0 identifica o processo de RIPng. O RIPng
é habilitado na primeira interface Ethernet do roteador R1 usando o comando ipv6 rip
RT0 enable. O roteador R2 mostra que o RIPng está habilitado nas interfaces Ethernet
usando o comando ipv6 rip RT0 enable.

Essa configuração permite que as interfaces Ethernet 1 no roteador R2 e Ethernet 0 de


ambos os roteadores troquem informações de roteamento de RIPng.
Exibir meio visual

7.3.9 Verificando, identificando e solucionando problemas de RIPng

Página 1:
Verificando, identificando e solucionando problemas de RIPng para o IPv6
Depois de configurar o RIPng, é necessário fazer uma verificação. A figura relaciona os
vários comandos show que podem ser usados.

Clique no botão Identificação e solução de problemas na figura.

Se você descobrir que o RIPng não está funcionando corretamente durante a


verificação, será preciso identificar e solucionar o problema.

A figura relaciona os comandos usados para identificar e solucionar os problemas de


RIPng.
Exibir meio visual

Página 2:
Exibir meio visual

7.4 Laboratórios do capítulo


7.4.1 Configuração básica DHCP e NAT

Página 1:
Neste laboratório, você irá configurar os serviços DHCP e NAT IP. Um roteador é o
servidor DHCP. O outro roteador encaminha solicitações DHCP ao servidor. Você
também definirá as configurações de NAT estáticas e dinâmicas, inclusive a sobrecarga
de NAT. Quando você concluir as configurações, verifique a conectividade entre os
endereços internos e externos.
Exibir meio visual

Página 2:
Esta atividade é uma variação do laboratório 7.4.1. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual
7.4.2 Configuração avançada DHCP e NAT

Página 1:
Neste laboratório, configure os serviços de endereço IP usando a rede mostrada no
diagrama de topologia. Se você precisar de assistência, consulte o laboratório de
configuração básico de DHCP e NAT. No entanto, tente fazer o máximo possível.
Exibir meio visual

Página 2:
Esta atividade é uma variação do laboratório 7.4.2. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

7.4.3 Identificação e solução de problemas de DHCP e NAT

Página 1:
Os roteadores da sua empresa foram configurados por um engenheiro de rede sem
experiência. Vários erros na configuração resultaram em problemas de conectividade.
Seu chefe lhe pediu para identificar e solucionar os problemas, corrigir os erros de
configuração e documentar seu trabalho. Com seus conhecimentos de DHCP, NAT e
métodos de teste padrão, identifique e corrija os erros. Certifique-se de que todos os
clientes tenham total conectividade.
Exibir meio visual

Página 2:
Esta atividade é uma variação do laboratório 7.4.3. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamentos reais.
São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

7.5 Resumo do capítulo


7.5.1 Resumo

Página 1:
Este capítulo tratou das principais soluções do problema da diminuição do espaço de
endereços de Internet. Você aprendeu a usar o DHCP para atribuir endereços IP
privados dentro de sua rede. Isso conserva o espaço de endereços públicos e impede
uma sobrecarga administrativa considerável gerenciando acréscimos, mudanças e
alterações. Você aprendeu a implementar o NAT e a sobrecarga de NAT para conservar
o espaço de endereços públicos e criar intranets seguras privadas sem afetar sua
conexão de ISP. Entretanto, a NAT possui desvantagens no que se refere a seus efeitos
negativos no desempenho do dispositivo, segurança, mobilidade e conectividade fim-a-
fim.

No geral, a capacidade de dimensionar as redes para as demandas futuras requer um


fornecimento ilimitado de endereços IP e uma mobilidade aprimorada que o DHCP e a
NAT sozinhos não conseguem atingir. O IPv6 satisfaz os requisitos cada vez mais
complexos do endereçamento hierárquico que o IPv4 não fornece. O aparecimento do
IPv6 não lida somente com o esgotamento dos endereços IPv4 e deficiências de NAT,
ele fornece novos e melhores recursos. Na breve introdução ao IPv6 nesta lição, você
aprendeu como os endereços IPv6 são estruturados, como eles irão aprimorar a
segurança e a mobilidade da rede e como o mundo do IPv4 fará a transição para o IPv6.
Exibir meio visual

Página 2:
Exibir meio visual

Página 3:
Nesta atividade final, você irá configurar PPP, OSPF, DHCP, NAT e roteamento padrão
para ISP. Em seguida, você verificará sua configuração.

São fornecidas instruções detalhadas na atividade, bem como no link do arquivo PDF
abaixo.
Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

7.6 Teste do capítulo


7.6.1 Teste do capítulo

Página 1:
Exibir meio visual

8 Identificação e solução de problemas de rede


8.0 Introdução do capítulo
8.0.1 Introdução do capítulo

Página 1:
Quando uma rede está funcionando, os administradores têm que monitorar seu
desempenho para garantir a produtividade da organização. De vez em quando, podem
ocorrer quedas da rede. Muitas vezes elas são planejadas e o impacto disso na
organização é gerenciado facilmente. Muitas vezes elas não são planejadas e o impacto
disso na organização pode ser grave. No caso de quedas inesperadas da rede, os
administradores devem ser capazes de identificar e solucionar problemas, e restabelecer
o funcionamento total da rede. Neste capítulo, você aprenderá um processo sistemático
para identificar e solucionar problemas de quedas de rede.
Exibir meio visual

8.1 Estabelecendo a linha de base de desempenho da rede


8.1.1 Documentando a sua rede

Página 1:
Documentando a sua rede

Para diagnosticar e corrigir problemas de rede com eficiência, um engenheiro de rede


precisa saber como ela foi criada e o qual o desempenho esperado sob condições
normais de funcionamento. Estas informações são chamadas de linha de base de rede e
são capturadas em documentação como tabelas de configuração e diagramas de
topologia.
A documentação de configuração de rede fornece um diagrama lógico da rede e
informações detalhadas sobre cada componente. Estas informações devem ser mantidas
em um único local, ou como cópia impressa ou na rede em um site protegido. A
documentação de rede deve incluir esses componentes:

• Tabela de configuração de rede


• Tabela de configuração de sistema final
• Diagrama de topologia da rede

Tabela de configuração de rede

Contém registros precisos e atualizados do hardware e do software usados em uma rede.


A tabela de configuração de rede deve proporcionar ao engenheiro de rede todas as
informações necessárias para identificar e corrigir a falha da rede.

Clique no botão Documentação de roteador e switch na figura.

A tabela na figura ilustra o conjunto de dados que deve ser incluído para todos os
componentes:

• Tipo de dispositivo, designação de modelo


• Nome da imagem IOS
• Hostname de rede do dispositivo
• Local do dispositivo (edifício, andar, sala, rack, painel)
• Se for um dispositivo modular, inclua todos os tipos de módulo e em qual slot de
módulo eles estão localizados
• Endereços de camada de enlace de dados
• Endereços de camada de rede
• Qualquer outra informação importantes sobre aspectos físicos do dispositivo

Clique no botão Documentação de sistema final na figura.

Tabela de configuração de sistema final

Contém registros de linha de base do hardware e do software usados em dispositivos de


sistema final como servidores, consoles de gerenciamento de rede e estações de trabalho
desktop. Um sistema final configurado incorretamente pode prejudicar o desempenho
global de uma rede.

Para fins de identificação e solução de problemas, as informações seguintes devem ser


documentadas:
• Nome do dispositivo (propósito)
• Sistema operacional e versão
• Endereço IP
• Máscara de sub-rede
• Gateway padrão, servidor DNS e servidor de endereços WINS
• Toda aplicativo de rede de largura de banda alta que o sistema final execute

Clique no botão Diagrama de topologia de rede na figura.

Diagrama de topologia da rede

Representação gráfica de uma rede, que ilustra como cada dispositivo em uma rede é
conectado e sua arquitetura lógica. Um diagrama de topologia compartilha muitos dos
mesmos componentes como, por exemplo, a tabela de configuração de rede. Cada
dispositivo de rede deve ser representado no diagrama com notação consistente ou um
símbolo gráfico. Além disso, cada conexão lógica e física deve ser representada usando
uma linha simples ou outro símbolo apropriado. Também podem ser ilustrados os
protocolos de roteamento.

O diagrama de topologia deve incluir pelo menos o seguinte:

• Símbolos para todos os dispositivos e para o modo como eles são conectados
• Tipos de interface e números
• Endereços IP
• Máscaras de sub-rede
Exibir meio visual

8.1.2 Documentando a sua rede

Página 1:
Processo de documentação de rede

A figura mostra o processo de documentação de rede.

Passe o mouse sobre cada estágio na figura para aprender mais sobre o processo.

Quando você documentar sua rede, poderá ter que reunir informações diretamente de
roteadores e switches. Os comandos úteis ao processo de documentação de rede
incluem:
• O comando ping é usado para testar a conectividade com dispositivos vizinhos
antes de fazer o logon neles. Fazer ping em outros PCs na rede também inicia o
processo de detecção automática do endereço MAC.
• O comando telnet é usado para fazer o logon remotamente em um dispositivo
para acessar informações de configuração.
• O comando show ip interface brief é usado para exibir o status para cima ou
para baixo e o endereço IP de todas as interfaces em um dispositivo.
• O comando show ip route é usado para exibir a tabela de roteamento em um
roteador a fim de conhecer os vizinhos diretamente conectados, mais
dispositivos remotos (através de rotas conhecidas) e os protocolos de roteamento
que foram configurados.
• O comando show cdp neighbor detail é usado para obter informações
detalhadas sobre dispositivos vizinhos Cisco diretamente conectados.
Exibir meio visual

Página 2:
Esta atividade abrange as etapas necessárias para descobrir uma rede que usa
principalmente os comandos telnet, show cdp neighbors detail e show ip route. Esta é
a Parte I de uma atividade de duas partes.

A topologia visualizada ao abrir a atividade do Packet Tracer não revela todos os


detalhes da rede. Os detalhes foram ocultados usando a função de cluster do Rastreador
de pacote. A infra-estrutura de rede foi recolhida e a topologia do arquivo mostra
somente os dispositivos finais. Sua tarefa é utilizar seu conhecimento de rede e
comandos de detecção para obter informações sobre toda a topologia de rede e
documentá-la.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

8.1.3 Por que estabelecer uma linha de base de rede é importante?

Página 1:
Para estabelecer uma linha de base de desempenho da rede é preciso reunir os principais
dados de desempenho de portas e dispositivos essenciais para o funcionamento da rede.
Estas informações ajudam a determinar a "personalidade" da rede e fornecem respostas
às perguntas seguintes:
• Como é o desempenho da rede durante um dia normal ou comum?
• Quais são as áreas subutilizadas e saturadas?
• Onde ocorre a maioria dos erros?
• Que limites devem ser definidos para os dispositivos que precisam ser
monitorados?
• A rede consegue atender às políticas identificadas?

Um administrador de rede precisa medir o desempenho inicial e a disponibilidade de


dispositivos de rede e links críticos para poder determinar a diferença entre
comportamento anormal e desempenho correto da rede à medida que ela cresce ou que
mudem os padrões de tráfego. A linha de base também ajuda a identificar se o design de
rede atual pode atender às políticas exigidas. Sem uma linha de base, não existe padrão
para medir a natureza ótima de tráfego da rede e níveis de congestionamento.

Além disso, a análise posterior a uma linha de base inicial tende a revelar problemas
ocultos. Os dados reunidos revelam a verdadeira natureza do congestionamento ou
congestionamento em potencial em uma rede. A reunião também pode revelar áreas na
rede que são subutilizadas e muito freqüentemente podem levar a um novo design da
rede com base em observações de qualidade e capacidade.
Exibir meio visual

8.1.4 Etapas para estabelecer uma linha de base de rede

Página 1:
Planejando a primeira linha de base

Como a linha de base de desempenho da rede inicial prepara as condições para medir os
efeitos de alterações da rede e os esforços subseqüentes de solução de problemas, é
importante planejar isso com cuidado. Aqui estão as etapas recomendadas para planejar
a primeira linha de base de rede:

Etapa 1. Determine os tipos de dados que devem ser reunidos

Ao definir a linha de base, comece selecionando algumas variáveis que representam as


políticas definidas. Se forem selecionados pontos de dados demais, a quantidade de
dados poderá ser excessiva, dificultando a análise dos dados reunidos. Comece
simplesmente e ajuste com o tempo. Geralmente, algumas medidas iniciais
recomendadas são utilização de interface e utilização de CPU. A figura mostra algumas
capturas de tela de interface e dados de utilização de CPU, como exibido por um
sistema de gerenciamento de rede chamado de WhatsUp Gold.

Clique no botão Dispositivos e portas de interesse na figura.


Etapa 2. Identifique dispositivos e portas de interesse

O próximo passo é identificar os principais dispositivos e portas que devem ter os dados
de desempenho medidos. Dispositivos e Portas de Interesse são:

• Portas de dispositivo de rede que conectam-se a outros dispositivos de rede


• Servidores
• Usuários principais
• Outros elementos considerados críticos para o funcionamento

Na topologia mostrada na figura, o administrador de rede destacou os dispositivos e as


portas de interesse para monitorar durante o teste de linha de base. Os dispositivos de
interesse incluem roteadores R1, R2 e R3, PC1 (o terminal do Administrador) e SRV1
(o servidor Web/TFTP). As portas de interesse incluem as portas de R1, R2 e R3 que se
conectam a outros roteadores ou a switches, e do roteador R2, a porta que se conecta a
SRV1 (Fa0/0).

Ao escolher corretamente as portas, os resultados serão concisos e a carga de


gerenciamento de rede será minimizada. Lembre-se de que uma interface em um
roteador ou switch pode ser uma interface virtual, como uma interface virtual do switch
(SVI).

Este passo será mais fácil se você configurou os campos de descrição de porta do
dispositivo para indicar o que se conecta à porta. Por exemplo, para uma porta de
roteador que se conecta ao switch de distribuição no grupo de trabalho de Engenharia,
você poderia configurar a descrição "Switch de distribuição de LAN da Engenharia."

Clique no botão Determine a duração da linha de base na figura.

Etapa 3. Determine a duração da linha de base

É importante que o período de tempo e as informações de linha de base reunidas sejam


suficientes para estabelecer uma imagem típica da rede. Este período deve ser de pelo
menos sete dias para capturar tendências diárias ou semanais. Tendências semanais têm
a mesma importância que tendências diárias e horárias.

A figura mostra exemplos de várias capturas de tela de tendências de utilização de CPU


capturados em períodos diários, semanais, mensais e anuais. As tendências de semana
de trabalho são muito curtas para revelar com precisão a natureza recorrente da onda de
utilização que ocorre todos os fins de semana, nas noites de sábado, quando uma grande
operação de backup de banco de dados consome largura de banda da rede. Este padrão
recorrente é revelado na tendência mensal. A tendência anual mostrada no exemplo tem
uma duração muito longa para fornecer detalhes significativos de desempenho de linha
de base. Uma linha de base precisa durar não mais que seis semanas, a menos que
tendências específicas de longo prazo precisem ser medidas. Geralmente, uma linha de
base de duas a quatro semanas é suficiente.

Você não deve executar uma medição de linha de base durante horários de padrões de
tráfego incomuns porque os dados forneceriam uma imagem inexata do funcionamento
normal da rede. Por exemplo, você obteria uma medida inexata do desempenho da rede
se executasse uma medição de linha de base em um feriado ou durante um mês em que
a maioria da empresa estivesse de férias.

A análise de linha de base da rede deve ser realizada regularmente. Realize uma análise
anual da rede inteira ou seções diferentes de linha de base da rede de uma maneira
rotativa. A análise deve ser administrada para entender regularmente como a rede é
afetada por crescimento e outras alterações.
Exibir meio visual

Página 2:
Medição de dados de desempenho da rede

Um software sofisticado de gerenciamento de rede é usado geralmente para definir a


linha de base de redes grandes e complexas. Por exemplo, o módulo Fluke Network
SuperAgent permite que os administradores automaticamente criem e revisem relatórios
usando o recurso Intelligent Baselines (Linhas de Base Inteligentes). Esse recurso
compara níveis de desempenho atual com observações históricas e pode identificar
automaticamente problemas de desempenho e aplicações que não fornecem níveis
esperados de serviço.

Clique no botão Comandos manuais na figura.

Em redes mais simples, as tarefas de linha de base devem exigir uma combinação de
coleta manual de dados e inspetores simples de protocolo de rede. Estabelecer uma linha
de base inicial ou realizar uma análise de monitoramento de desempenho pode exigir
muitas horas ou dias para refletir com precisão o desempenho da rede. O software de
gerenciamento de rede ou inspetores de protocolo e farejadores podem ser executados
continuamente durante o processo de reunião de dados. Reunir dados manualmente
usando comandos show em dispositivos de rede individuais é extremamente demorado
e deve ser limitado a dispositivos de rede de missão crítica.
Exibir meio visual

8.2 Metodologias e Ferramentas de Identificação e Solução de Problemas


8.2.1 Uma abordagem geral para identificar e solucionar problemas

Página 1:
Engenheiros de rede, administradores e pessoal de suporte estão cientes de que
identificação e solução de problemas é um processo que leva o maior percentual de seu
tempo. Usar técnicas eficientes de identificação e solução de problemas é uma forma de
reduzir o tempo global gasto na tarefa quando se trabalha em um ambiente de produção.

Duas abordagens extremas quase sempre resultam em decepção, atraso ou falha. Em um


extremo está a abordagem teorista ou científica. No outro extremo está a abordagem não
prática ou pré-histórica.

A científica analisa e reanalisa a situação até que a causa exata à raiz do problema seja
identificada e corrigida com precisão cirúrgica. Se por um lado, esse processo é
relativamente confiável, poucas empresas podem permitir que suas redes fiquem sem
funcionar pelas horas ou dias necessários para essa análise exaustiva.

O primeiro instinto da abordagem pré-histórica é começar a trocar placas, cabos,


hardware e software até que a rede volte a funcionar miraculosamente. Isso não
significa que a rede está funcionando corretamente, apenas que está funcionando. Essa
abordagem pode até obter mais rapidamente uma alteração nos sintomas, porém não é
muito confiável e a causa raiz do problema pode ainda estar presente.

Como ambas abordagens são extremas, a melhor deve ser o meio termo entre as duas,
usando elementos de ambos. É importante analisar a rede como um todo em vez de
isoladamente. Uma abordagem sistemática minimiza a confusão e evita o desperdício de
tempo gasto com tentativa e erro.
Exibir meio visual

8.2.2 Usando modelos de camadas para identificar e solucionar problemas

Página 1:
OSI em comparação com modelos de camadas de TCP/IP

Os modelos lógicos de rede, como OSI e TCP/IP, separam funcionalidade de rede em


camadas modulares. Ao identificar e solucionar problemas, esses modelos de camadas
podem ser aplicados à rede física para isolar problemas de rede. Por exemplo, se os
sintomas sugerirem um problema de conexão física, o técnico de rede tentará consertar
o circuito que funciona na camada Física. Se o circuito funcionar corretamente, o
técnico analisará as áreas em outra camada que possa estar causando o problema.

Modelo de referência OSI

O modelo OSI utiliza uma linguagem comum para engenheiros de rede e é usado
geralmente para identificar e solucionar problemas de rede. Os problemas são
geralmente descritos em termos de uma determinada camada do modelo OSI.
O modelo de referência OSI descreve como as informações de um software em um
computador movem-se através da rede para um software em outro computador.

As camadas superiores (5-7) do modelo OSI lidam com problemas de aplicações e


geralmente são implementadas somente no software. A camada de Aplicativo é a mais
próxima do usuário final. Os processos de camada de Usuários e de Aplicativo
interagem com aplicativos de software que contêm um componente de comunicação.

As camadas inferiores (1-4) do modelo OSI lidam com problemas de transporte de


dados. As camadas 3 e 4 são geralmente implementadas somente em software. A
camada Física (Camada 1) e a camada de enlace (Camada 2) são implementadas em
hardware e software. A camada Física é a mais próxima do meio de rede físico, como o
cabeamento de rede, e é responsável por colocar informações no meio.

Modelo TCP/IP

Assim como o modelo de rede OSI, o modelo de rede TCP/IP também divide a
arquitetura de rede em camadas modulares. A figura mostra como o modelo de rede
TCP/IP mapeia para as camadas do modelo de rede OSI. Esse mapeamento próximo
permite que a suíte de protocolos TCP/IP comuniquem-se com êxito com tantas
tecnologias de rede.

A camada de Aplicativo na suíte TCP/IP na verdade combina as funções das 3 camadas


do modelo OSI: Sessão, Apresentação e Aplicativo. A camada de Aplicativo fornece
comunicação entre aplicações como FTP, HTTP e SMTP em hosts separados.

As camadas de Transporte de TCP/IP e OSI correspondem diretamente em função. A


camada de Transporte é responsável por trocar segmentos entre dispositivos em uma
rede TCP/IP.

A camada de Internet TCP/IP relaciona-se com a camada de rede OSI. A camada de


Internet é responsável por colocar mensagens em um formato fixo para permitir que os
dispositivos lidem com eles.

A Camada de Acesso à Rede TCP/IP corresponde às camadas de Enlace e Físicas OSI.


A camada de acesso à rede comunica-se diretamente com os meios de rede e fornece
uma interface entre a arquitetura da rede e a camada de Internet.

Clique no botão Dispositivos nas camadas de OSI na figura.

Passe o mouse sobre cada dispositivo para saber de quais Camadas OSI você
geralmente precisa para identificar e solucionar problemas naquele tipo de dispositivo.
Exibir meio visual
8.2.3 Procedimentos gerais de identificação e solução de problemas

Página 1:
As fases do processo geral de identificação e solução de problemas são:

• Fase 1 Reunir sintomas - Identificação e solução de problemas começa com o


processo de reunir e documentar sintomas da rede, sistemas finais e usuários.
Além disso, o administrador de rede determina quais componentes de rede foram
afetados e como a funcionalidade da rede foi alterada em comparação com a
linha de base. Sintomas podem aparecer em muitos formulários diferentes,
inclusive alertas do sistema de gerenciamento de rede, mensagens de console e
reclamações de usuário. Ao reunir sintomas, as perguntas devem ser usadas
como um método de localizar o problema em um intervalo menor de
possibilidades.
• Fase 2 Isolar o problema - O problema não é de fato isolado até que um único
problema, ou um conjunto de problemas relacionados, seja identificado. Para
fazer isso, o administrador de rede examina as características dos problemas nas
camadas lógicas da rede de forma que a causa mais provável possa ser
selecionada. Nesta fase, o administrador de rede pode reunir e documentar mais
sintomas dependendo das características do problema que são identificadas.
• Fase 3 Corrigir o problema - Após isolar e identificar a causa, o administrador
de rede tenta corrigir o problema implementando, testando e documentando uma
solução. Se o administrador de rede determinar que a ação corretiva criou outro
problema, a solução tentada será documentada, as alterações serão removidas e o
administrador de rede voltará a reunir sintomas e isolar o problema.

Essas fases não são mutuamente exclusivas. A qualquer ponto no processo, pode ser
necessário voltar a fases anteriores. Por exemplo, pode ser necessário reunir mais
sintomas enquanto estiver isolando um problema. Além disso, ao tentar corrigir um
problema, outro problema não identificado poderá ser criado. Como resultado, seria
necessário reunir os sintomas, isolar e corrigir o novo problema.

Uma política de identificação e solução de problemas deve ser estabelecida para cada
fase. Uma política fornece uma maneira consistente de executar cada fase. É parte da
política documentar todas as informações importantes.
Exibir meio visual

8.2.4 Métodos de identificação e solução de problemas

Página 1:
Métodos de identificação e solução de problemas

Seguem os três métodos principais para identificar e solucionar problemas de rede:


• De baixo para cima
• De cima para baixo
• Dividir e conquistar

Cada abordagem tem suas vantagens e desvantagens. Este tópico descreve os três
métodos e fornece diretrizes para escolher o melhor método para uma situação
específica.

Método de identificação e solução de problemas de baixo para cima

Nesse método, você deve iniciar com os componentes físicos da rede e subir pelas
camadas do modelo OSI até que a causa do problema seja identificada. Esta é uma
abordagem interessante quando desconfia-se que o problema seja físico. A maior parte
dos problemas de rede estão nos níveis inferiores; portanto, implementar a abordagem
De baixo para cima geralmente tem resultados efetivos. A figura mostra a abordagem
De baixo para cima para identificar e solucionar problemas.

A desvantagem com a abordagem de solução de problemas De baixo para cima é que


ela exige que você verifique cada dispositivo e interface na rede até que a possível causa
do problema seja localizada. Lembre-se de que devem ser documentadas todas as
conclusões e todas as possibilidades, de modo que possa haver bastante documentação
associada a esta abordagem. Um desafio maior é determinar quais dispositivos devem
ser examinados primeiro.

Clique no botão Mét. de cima para baixo na figura.

Método de identificação e solução de problemas de cima para baixo

Nesse método, você deve iniciar com os aplicativos de usuário final e descer pelas
camadas do modelo OSI até que a causa do problema tenha sido identificada. Os
aplicativos de usuário final de um sistema final são testados antes que se examinem
partes mais específicas da rede. Use esta abordagem para problemas mais simples ou
quando você suspeita que o problema seja com o software.

A desvantagem da abordagem De cima para baixo é que exige verificação de todos os


aplicativos da rede até que a possível causa do problema seja localizada. Cada
conclusão e possibilidade devem ser documentadas, e o desafio é determinar qual
aplicativo deve ser examinado primeiro.

Clique no botão Mét. dividir e conquistar na figura.

Método de identificação e solução de problemas dividir e conquistar


Quando você utilizar a abordagem Dividir e conquistar para identificar e solucionar um
problema de rede, selecione uma camada e teste em ambas as direções da camada
inicial.

Nessa abordagem, inicie reunindo a experiência de usuário sobre o problema,


documente os sintomas e em seguida, usando essas informações, faça uma suposição
informada sobre em qual camada OSI você deve iniciar sua investigação. Após verificar
que uma camada está funcionando corretamente, presuma que as camadas abaixo dela
também estejam funcionando e analise as camadas OSI acima. Se uma camada de OSI
não estiver funcionando corretamente, analise as camadas debaixo do modelo de
camadas OSI.

Por exemplo, se os usuários não puderem acessar o servidor Web e você puder executar
ping no servidor, então você saberá que o problema é acima da Camada 3. Se você não
puder executar ping no servidor, o problema deverá ser em uma camada de OSI inferior.
Exibir meio visual

Página 2:
Diretrizes para selecionar um método de identificação e solução de problemas

Para solucionar problemas de rede rapidamente, selecione o método mais eficaz de


identificação e solução de problemas. Examine a figura. Use o processo mostrado na
figura para poder selecionar o método de identificação e solução de problemas mais
eficiente.

Veja um exemplo de como você poderia escolher um método de solução de problemas


para um problema específico. Dois roteadores IP não estão trocando informações de
roteamento. Da última vez que este tipo de problema ocorreu, era um problema de
protocolo. Então você escolhe o método de identificação e solução de problemas Dividir
e conquistar. Sua análise revela que existe conectividade entre os roteadores. Portanto,
você inicia seus esforços de identificação e solução de problemas pela camada física ou
de enlace, confirma a conectividade e começa a testar as funções relacionadas a TCP/IP
na próxima camada para cima no modelo OSI, a camada de rede.
Exibir meio visual

8.2.5 Reunindo sintomas

Página 1:
Reunindo sintomas
Para determinar o escopo do problema, reúna (documente) os sintomas. A figura mostra
um gráfico de fluxo desse processo. Cada etapa neste processo é descrita aqui
brevemente:

Etapa 1. Analise os sintomas existentes - Analise os sintomas reunidos de protocolos de


problemas, usuários ou sistemas finais afetados para formar uma definição do problema.

Etapa 2. Determine a propriedade - Se o problema estiver dentro de seu sistema, você


poderá passar para a próxima fase. Se o problema estiver fora do limite de seu controle,
por exemplo, conectividade de Internet perdida fora do sistema autônomo, você
precisará entrar em contato com o administrador do sistema externo antes de reunir
outros sintomas de rede.

Etapa 3. Restrinja o escopo - Determine se o problema está no núcleo, na distribuição


ou na camada de acesso da rede. Na camada identificada, analise os sintomas existentes
e use seu conhecimento da topologia de rede para determinar quais equipamentos são a
provável causa.

Etapa 4. Reúna sintomas de dispositivos suspeitos - Usando uma abordagem de solução


de problemas em camadas, reúna sintomas de hardware e software dos dispositivos
suspeitos. Inicie com o que tiver maior probabilidade, use o conhecimento e a
experiência para determinar se é mais provável que seja um problema de configuração
de hardware ou software.

Etapa 5. Documente os sintomas - muitas vezes o problema pode ser resolvido usando
os sintomas documentados. Se não puder, comece a fase de isolamento do processo
geral de identificação e solução de problemas.

Clique no botão Comandos na figura.

Use os comandos do Cisco IOS para reunir sintomas sobre a rede. A tabela na figura
descreve os comandos comuns do Cisco IOS que você pode usar para reunir os
sintomas de um problema na rede.

Embora o comando debug seja uma ferramenta importante para reunir sintomas, ele
gera uma quantidade grande de tráfego de mensagem de console e o desempenho de um
dispositivo de rede pode ser afetado consideravelmente. Avise aos usuários que o
desempenho da rede pode ser afetado devido a esse esforço de identificação e solução
de problemas. Lembre-se de desabilitar a depuração quando acabar.
Exibir meio visual

Página 2:
Questionando usuários finais
Quando você questiona usuários finais sobre um problema de rede, use técnicas
interrogativas efetivas. Deste modo, você obterá as informações necessárias para
documentar com eficácia os sintomas de um problema. A tabela na figura fornece
algumas diretrizes e alguns exemplos de perguntas a serem feitas ao usuário final.
Exibir meio visual

8.2.6 Ferramentas para identificação e solução de problemas

Página 1:
Ferramentas de identificação e solução de problemas de software

Uma ampla variedade de ferramentas de software e hardware está disponível para


facilitar o processo. Estas ferramentas podem ser usadas para reunir e analisar sintomas
de problemas de rede e geralmente possuem funções de monitoramento e relatório que
podem ser usadas para estabelecer a linha de base de rede.

Ferramentas NMS

As ferramentas de sistema de gerenciamento de rede (NMS) incluem monitoramento de


dispositivo, configuração e gerenciamento de falha. A figura mostra um exemplo de tela
do software What's Up Gold da NMS. Estas ferramentas podem ser usadas para
investigar e corrigir problemas de rede. O software de monitoramento de rede exibe
graficamente uma perspectiva física dos dispositivos de rede, permitindo que os
gerentes de rede monitorem dispositivos remotos sem de fato precisarem verificá-los
fisicamente. O software de gerenciamento de dispositivo apresenta status dinâmico,
estatísticas e informações de configuração para produtos comutados. Exemplos de
ferramentas de gerenciamento de rede geralmente usadas são CiscoView, HP
Openview, Solar Winds e What's Up Gold.

Clique no botão Base de conhecimento na figura para ver o exemplo de um site da


base de conhecimento.

Bases de conhecimento

Bases de conhecimento online de fornecedores de dispositivos de rede têm se tornado


fontes indispensáveis de informações. Quando bases de conhecimento de fornecedor são
combinadas com mecanismos de pesquisa de Internet como Google, um administrador
de rede tem acesso a um conjunto vasto de informações baseadas em experiência.

A figura mostra a página Tools & Resources (Ferramentas e recursos) da Cisco em


http://www.cisco.com. Esta é uma ferramenta grátis que fornece informações sobre
hardware e software relacionados à Cisco. Contém procedimentos de identificação e
solução de problemas, guias de implementação e artigos originais na maioria dos
aspectos da tecnologia de redes.

Clique no botão Ferramentas da linha de base na figura para ver alguns exemplos.

Ferramentas da linha de base

Existem muitas ferramentas usadas para automatizar a documentação de rede e o


processo de linha de base. Estas ferramentas estão disponíveis para os sistemas
operacionais Windows, Linux e AIX. A figura mostra uma captura de tela do
SolarWinds LANsurveyor e software CyberGauge. Ferramentas de linha de base
ajudam a realizar tarefas de documentação de linha de base. Por exemplo, eles podem
ajudá-lo a desenhar diagramas de rede, manter atualizada a documentação de software e
hardware de rede e medir o uso de largura de banda de rede da linha de base.

Clique no botão de Analisador de protocolo na figura para ver um exemplo de um


aplicativo típico de analisador de protocolo.

Analisadores de protocolo

Um analisador de protocolo decodifica as várias camadas de protocolo em um quadro


registrado e apresenta estas informações em um formato relativamente fácil de usar. A
figura mostra uma captura de tela do analisador de protocolo Wireshark. As
informações exibidas por um analisador de protocolo incluem a parte física, o enlace de
dados, o protocolo e as descrições para cada quadro. A maioria dos analisadores de
protocolo podem filtrar tráfego que atenda a um determinado critério de forma que, por
exemplo, todo o tráfego para e de um dispositivo específico possa ser capturado.
Exibir meio visual

Página 2:
Ferramentas de identificação e solução de problemas de hardware

Clique nos botões na figura para ver exemplos de várias ferramentas de identificação
e solução de problemas de hardware.

Módulo de análise de rede

Um módulo de análise de rede (NAM) pode ser instalado nos switches da série 6500 do
Cisco Catalyst e nos roteadores da série 7600 da Cisco a fim de fornecer uma
representação gráfica do tráfego de roteadores e switches locais e remotos. O NAM é
uma interface incorporada baseada em navegador que gera relatórios no tráfego que
consome recursos de rede críticos. Além disso, o NAM pode capturar e decodificar
pacotes e rastrear tempos de resposta para informar à rede ou ao servidor o aplicativo
que está com problema.

Multímetro digital

Multímetros digitais (DMMs) são instrumentos de teste usados para medir diretamente
valores elétricos de voltagem, corrente e resistência. Em identificação e solução de
problemas de rede, a maioria dos testes de multimídia envolve verificação de níveis de
voltagem de fonte de alimentação e verificação de que os dispositivos de rede estão
recebendo energia.

Testadores de cabo

Testadores de cabos são dispositivos portáteis especializados criados para testar


diversos tipos de cabeamento de comunicação de dados. Testadores de cabos podem ser
usados para detectar fios quebrados, fios cruzados, conexões em curto e conexões
emparelhadas incorretamente. Estes dispositivos podem ser testadores de continuidade
baratos, testadores de cabos de preço mediano ou reflectômetros de domínio de tempo
caros (TDRs).

Os TDRs são usados para definir a distância até uma interrupção em um cabo. Estes
dispositivos enviam sinais ao longo do cabo e esperam que eles sejam refletidos. O
tempo entre enviar o sinal e recebê-lo é convertido em uma medida de distância. O TDR
normalmente vem com os testadores de cabo de dados. Os TDRs usados para testar
cabos de fibra óptica são conhecidos como como reflectômetros ópticos de domínio de
tempo (OTDRs).

Analisadores de cabo

Analisadores de cabo são dispositivos portáteis multifuncionais usados para testar e


certificar cabos de cobre e fibra para diferentes serviços e padrões. As ferramentas mais
sofisticadas incluem diagnósticos avançados de identificação e solução de problemas
que medem a distância até o defeito de desempenho (NEXT, RL), identificam ações
corretivas e exibem graficamente diafonia e comportamento de impedância. Os
analisadores de cabo geralmente também incluem software para PC. Depois que os
dados de campo são reunidos, o dispositivo portátil pode fazer upload de seus dados, e
são criados relatórios precisos e atualizados.

Analisadores de rede portáteis

Dispositivos portáveis usados para identificar e solucionar problemas de redes


comutadas e VLANs. Ao conectar o analisador de rede em qualquer lugar da rede, o
engenheiro de rede pode ver a porta do switch na qual o dispositivo está conectado, e a
utilização média e de pico. O analisador também pode ser usado para descobrir a
configuração de VLAN, identificar os principais faladores da rede, analisar o tráfego da
rede e visualizar detalhes da interface. O dispositivo normalmente é capaz de gerar uma
saída para um PC que tenha software de monitoramento de rede instalado para obter
uma análise mais detalhada, e identificação e solução de problemas.
Exibir meio visual

Página 3:
Atividade de pesquisa

A seguir, veja links para várias ferramentas de identificação e solução de problemas.

Ferramentas de software

Sistemas de gerenciamento de rede:

http://www.ipswitch.com/products/whatsup/index.asp?t=demo

http://www.solarwinds.com/products/network_tools.aspx

Ferramentas da linha de base:

http://www.networkuptime.com/tools/enterprise/

Bases de conhecimento:

http://www.cisco.com

Analisadores de protocolo:

http://www.flukenetworks.com/fnet/en-us/products/OptiView+Protocol+Expert/

Ferramentas de hardware

Cisco Network Analyzer Module (NAM):

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/3.5/u
ser/guide/user.html

Testadores de cabo:
http://www.flukenetworks.com/fnet/en-
us/products/CableIQ+Qualification+Tester/Demo.htm

Analisadores de cabo:

http://www.flukenetworks.com/fnet/en-
us/products/DTX+CableAnalyzer+Series/Demo.htm

Analisadores de rede:

http://www.flukenetworks.com/fnet/en-
us/products/OptiView+Series+III+Integrated+Network+Analyzer/Demos.htm
Exibir meio visual

8.3 Problemas comuns na implementação de WAN


8.3.1 Comunicações de WAN

Página 1:
Um provedor de comunicações ou uma operadora comum geralmente possui os enlaces
de dados que compõem uma WAN. Os links estão disponíveis para assinantes mediante
o pagamento de uma taxa e são usados para interconectar LANs ou conectar a redes
remotas. A velocidade de transferência de dados da WAN (largura de banda) está
consideravelmente mais lenta que a largura de banda da LAN comum. Os encargos para
a provisão de link são o elemento de custo principal; portanto a implementação de
WAN deve objetivar fornecer a máxima largura de banda a um custo aceitável.
Considerando-se a pressão do usuário para fornecer mais acesso de serviço a altas
velocidades e a pressão do gerenciamento para reduzir custos, determinar uma
configuração ótima de WAN não é uma tarefa fácil.

As WANs transportam vários tipos de tráfego, como voz, dados e vídeo. O design
selecionado deve fornecer capacidade suficiente e horas de trânsito para atender os
requisitos da empresa. Entre outras especificações, o design deve considerar a topologia
das conexões entre os vários sites, a natureza dessas conexões e capacidade de largura
de banda.

As WANs mais antigas consistiram geralmente em enlaces de dados que conectam


diretamente mainframes remotos. As WANs de hoje conectam LANs geograficamente
separadas. As tecnologias WAN funcionam nas três camadas inferiores do modelo de
referência OSI. Estações de usuário final, servidores e roteadores comunicam-se por
LANs e os enlaces de dados da WAN finalizam em roteadores locais.
Os roteadores determinam o caminho mais apropriado ao destino dos dados a partir dos
cabeçalhos de camada de rede e transferem os pacotes para a conexão de enlace de
dados apropriada para entrega na conexão física. Os roteadores também podem fornecer
gerenciamento de qualidade de serviço (QoS) que atribui prioridades aos diferentes
fluxos de tráfego.
Exibir meio visual

8.3.2 Etapas em design de WAN

Página 1:
As empresas instalam conectividade WAN para atender ao requisito comercial
estratégico de mover dados entre filiais externas. Como a conectividade WAN é
importante para o negócio e caro, você precisa criar a WAN de uma maneira
sistemática. Esta figura mostra as etapas para o design de WAN.

Cada vez que uma modificação a uma WAN existente é considerada, essas etapas
devem ser seguidas. Porém, como muitas WANs evoluíram com o passar do tempo,
algumas das diretrizes discutidas aqui podem não ter sido consideradas. As
modificações de WAN podem ocorrer devido à expansão de servidores WAN da
empresa ou à acomodação de novas práticas e métodos comerciais.

Essas são as etapas para criar ou modificar uma WAN:

Etapa 1. Localize as LANS - Estabeleça os pontos de extremidade de origem e destino


que se conectarão pela WAN.

Etapa 2. Analise o tráfego - Descubra qual tráfego de dados deve ser transportado, sua
origem e seu destino. As WANs transportam uma variedade de tipos de tráfego com
requisitos variados para largura de banda, latência e atraso. Para cada par de pontos de
extremidade e para cada tipo de tráfego, é necessário fornecer informações sobre as
características do tráfego.

Etapa 3. Planeje a topologia - A topologia é influenciada por considerações


geográficas, mas também por requisitos como disponibilidade. Um requisito de alto
nível para disponibilidade exige links extras que fornecem caminhos de dados
alternativos para redundância e balanceamento de carga.

Etapa 4. Estime a largura de banda exigida - O tráfego nos links pode ter requisitos
variados para latência e atraso.

Etapa 5. Escolha a tecnologia WAN - Selecione as tecnologias de link adequadas.


Etapa 6. Avalie despesas - Quando todos os requisitos são estabelecidos, os custos
operacionais e de instalação para a WAN podem ser determinados e comparados com a
necessidade comercial que orienta a implementação de WAN.

Como mostrado na figura, as etapas de design descritas aqui não são um processo linear.
Várias iterações dessas etapas podem ser necessárias antes de finalizar um design. Para
manter o ótimo desempenho da WAN, é necessário monitorar e reavaliar
continuamente.
Exibir meio visual

8.3.3 Considerações sobre o tráfego de WAN

Página 1:
A tabela na figura mostra a ampla variedade de tipos de tráfego e seus requisitos
variados de largura de banda, latência e atraso que os links de WAN exigem para
transportar.

Para determinar as condições de fluxo de tráfego e controle de tempo de um link de


WAN, você precisa analisar as características específicas de tráfego para cada LAN que
está conectada à WAN. A determinação das características de tráfego pode envolver
consulta aos usuários da rede e avaliação de suas necessidades.
Exibir meio visual

8.3.4 Considerações sobre a topologia WAN

Página 1:
Depois de estabelecer pontos de extremidade de LAN e características de tráfego, a
próxima etapa para implementar uma WAN é criar uma topologia satisfatória. Criar
uma topologia de WAN essencialmente consiste no seguinte:

Selecione um padrão de interconexão ou layout para os links entre os vários locais

Selecione as tecnologias para que esses links satisfaçam os requisitos de empresa a um


custo aceitável

Clique nos botões na figura para exibir um exemplo de cada tipo de topologia de
WAN.

Muitas WANs usam uma topologia em estrela. À medida em que a empresa cresce e são
adicionadas novas filiais, elas são conectadas com a matriz, criando uma topologia em
estrela tradicional. Os pontos de extremidade em estrela muitas vezes são conectados de
maneira cruzada, criando uma malha ou topologia de malha parcial. Isto propicia muitas
combinações possíveis para interconexões. Ao criar, reavaliar ou modificar uma WAN,
selecione uma topologia que atenda os requisitos de design.

Ao selecionando um layout, há vários fatores para considerar. Mais links aumentam o


custo dos serviços da rede, mas ter vários caminhos entre destinos aumenta a
confiabilidade. Acrescentar mais dispositivos de rede ao caminho de dados aumenta a
latência e diminui a confiabilidade. Geralmente, cada pacote deve ser completamente
recebido em um nó antes de ser transmitido ao próximo.

Clique no botão Hierárquico na figura.

Quando muitos locais devem ser agrupados, é recomendada uma solução hierárquica.
Por exemplo, imagine uma empresa que tem filiais em todos os países da União
européia e tem uma filial em todas as cidades com mais de 10.000 habitantes. Cada
filial tem uma LAN e decidiram interconectar as filiais. Uma rede de malha obviamente
não é viável porque seriam centenas de milhares de links.

A solução é implementar uma topologia hierárquica. Agrupe as LANs em cada área e


interconecte-as para formar uma região; em seguida, interconecte as regiões para formar
o núcleo da WAN. A área poderia se basear no número de locais a serem conectados
com um limite superior entre 30 e 50. A área teria uma topologia estrela, com os hubs
das estrelas vinculados para formar a região. As regiões poderiam ser geográficas,
conectando entre três e 10 áreas e o hub de cada região poderia ser vinculado de ponto a
ponto.

Uma hierarquia de três camadas é geralmente útil quando o tráfego da rede espelha a
estrutura de filial da empresa e é dividido em regiões, áreas e filiais. Também é útil
quando existe um serviço central para o qual todas as filiais devem ter acesso, mas os
níveis de tráfego são insuficientes para justificar a conexão direta de uma filial com o
serviço.

A LAN no centro da área pode ter servidores que fornecem serviços locais e também
baseados em área. Dependendo dos volumes de tráfego e tipos, as conexões de acesso
podem ser dialup, alugadas ou de frame relay. O Frame Relay facilita a formação em
malha para obter redundância sem exigir conexões físicas adicionais. Links de
distribuição podem ser Frame Relay ou ATM e o núcleo da rede pode ser ATM ou linha
alugada.

Ao planejar redes mais simples, uma topologia hierárquica ainda deve ser considerada
porque pode fornecer melhor escalabilidade de rede. O hub ao centro de um modelo de
duas camadas também é um núcleo, mas sem outros roteadores de núcleo conectados a
ele. Da mesma maneira, em uma solução de camada única, o hub de área funciona como
o hub regional e o hub de núcleo. Isto permite o crescimento fácil e rápido no futuro,
porque o design básico pode ser replicado para adicionar novas áreas de serviço.
Exibir meio visual
Página 2:
Tecnologias de conexão WAN

Uma WAN privada típica usa uma combinação de tecnologias que normalmente são
escolhidas com base no tipo de tráfego e volume. São usados ISDN, DSL, Frame Relay
ou linhas alugadas para conectar filiais individuais em uma área. São usados Frame
Relay, ATM ou linhas alugadas para conectar áreas externas ao backbone. ATM ou
linhas alugadas formam o backbone de WAN. As tecnologias que exigem o
estabelecimento de uma conexão antes de poder transmitir dados, como telefone básico,
ISDN ou X.25, não são adequadas para WANs que exigem tempo de resposta rápido ou
baixa latência.

Diferentes partes de uma empresa podem ser diretamente conectadas com linhas
alugadas ou com um link de acesso ao ponto-de-presença (POP) mais próximo de uma
rede compartilhada. Frame Relay e ATM são exemplos de redes compartilhadas. As
linhas alugadas são geralmente mais caras que links de acesso, mas estão disponíveis a
praticamente qualquer largura de banda e possuem latência e atraso muito baixos.

Redes ATM e de Frame Relay transportam tráfego de vários clientes usando os mesmos
links internos. A empresa não tem nenhum controle sobre o número de links ou saltos
que os dados devem atravessar na rede compartilhada. Ela não pode controlar o tempo
que os dados devem esperar em cada nó antes de mover para o próximo link. Esta
incerteza em latência e atraso torna essas tecnologias inadequadas para alguns tipos de
tráfego de rede. Porém, as desvantagens de uma rede compartilhada podem geralmente
ser compensadas pelo custo reduzido. Como vários clientes estão compartilhando o link,
o custo para cada é geralmente menor que o custo de um link direto da mesma
capacidade.

Embora ATM seja uma rede compartilhada, ele foi criado para produzir latência e atraso
mínimos através de links internos de alta velocidade que enviam unidades de dados
facilmente gerenciáveis, chamadas de células. As células de ATM têm um comprimento
fixo de 53 bytes, 48 bytes para dados e 5 bytes para o cabeçalho. O ATM é usado
amplamente para transportar tráfego que não tolera atrasos.

O Frame Relay também pode ser usado para tráfego que não tolera atrasos, geralmente
usando mecanismos de QoS para dar prioridade para os dados mais importantes.
Exibir meio visual

Página 3:
Muitas WANs de empresa têm conexões com a Internet. Embora a Internet possa
representar um problema de segurança, ela fornece uma alternativa para o tráfego entre
filiais. Parte do tráfego que deve ser considerado durante o design vai ou vem da
Internet. Implementações comuns devem fazer cada rede na empresa conectar-se a um
ISP diferente ou fazer todas as redes de empresa conectarem-se a um único ISP a partir
de uma conexão de camada de núcleo.
Exibir meio visual

8.3.5 Considerações sobre largura de banda WAN

Página 1:
Lembre-se de que uma rede suporta as necessidades comerciais de uma empresa. Muitas
empresas dependem da transferência de dados em alta velocidade entre locais remotos.
Consequentemente, é crucial possuir largura de banda mais alta para transmitir mais
dados em um determinado tempo. Quando a largura de banda é inadequada, a
competição entre vários tipos de tráfego faz os tempos de resposta aumentarem, o que
reduz a produtividade dos funcionário e reduz a velocidade de processos baseados em
web que são críticos para a empresa.

A figura mostra como links de WAN são geralmente classificados como de velocidade
alta ou baixa.
Exibir meio visual

8.3.6 Problemas comuns na implementação de WAN

Página 1:
A figura resume os problemas comuns de implementação de WAN e as perguntas que
você precisa fazer antes de efetivamente implementar uma WAN.
Exibir meio visual

8.3.7 Estudo de caso: Diagnóstico de WAN a partir de uma perspectiva de ISPs

Página 1:
O gráfico ilustra as perguntas típicas que a equipe de suporte técnico de um ISP deve
fazer a um cliente que está pedindo suporte.

Uma proporção significativa das chamadas de suporte recebidas por um ISP refere-se à
lentidão da rede. Para solucionar esse problemas com eficácia, você deve isolar os
componentes individuais e testar cada um como segue:

Host de PC individual - Um número grande de aplicações de usuário abertas ao


mesmo tempo no PC pode ser responsável pela lentidão que está sendo atribuída à rede.
Ferramentas como o Gerenciador de Tarefas em um Windows PC podem ajudar a
determinar a utilização da CPU.
LAN - Se o cliente tiver um software de monitoramento de rede na LAN, o gerente de
rede pode informar se a largura de banda na LAN está alcançando 100 por cento de
utilização com frequência. Esse é um problema que a empresa do cliente precisaria
resolver internamente. Esse é o motivo por que é tão importante conhecer a linha de
base de rede e realizar um monitoramento contínuo.

Link da extremidade da rede do usuário à extremidade do ISP - Teste o link do


roteador de extremidade do cliente para o roteador de extremidade do ISP pedindo para
o cliente fazer o logon no roteador e enviar cem pings de 1500 bytes (pings de estresse)
para o endereço IP do roteador de extremidade do ISP. O cliente não pode corrigir esse
problema. É responsabilidade do ISP comunicar-se com o provedor de link para corrigir
isso.

Backbone do ISP - O representante de serviço do cliente do ISP pode realizar pings de


estresse a partir da extremidade do roteador de ISP para o roteador de extremidade do
cliente. Eles também podem executar pings de estresse em cada link pelo qual circula o
tráfego do cliente. Ao isolar e testar cada link, o ISP pode determinar qual link está
causando o problema.

Servidor sendo acessado - Em alguns casos, a lentidão atribuída à rede pode ser
causada por congestionamento do servidor. Esse problema é o mais difícil de
diagnosticar e deve ser a última opção a ser investigada depois de eliminar todas as
outras.
Exibir meio visual

Página 2:
Nesta atividade, você e outro aluno criarão a rede exibida no diagrama de topologia.
Você configurará o NAT, DHCP e OSPF e então verificará a conectividade. Quando a
rede estiver funcionando completamente, um aluno apresentará diversos erros. Em
seguida, o outro aluno usará técnicas de solução de problemas para isolar e resolver o
problema. Em seguida, os alunos inverterão as funções e repetirão o processo. Esta
atividade pode ser feita em equipamento real ou com o Packet Tracer.
Exibir meio visual

8.4 Solução de problemas da rede


8.4.1 Interpretando diagramas de rede para identificar problemas

Página 1:
É quase impossível solucionar qualquer tipo de problema de conectividade de rede sem
um diagrama de rede que descreve endereços IP, rotas IP, dispositivos como firewalls e
switches, e assim por diante. Geralmente, topologias lógicas e físicas ajudam a
identificar e solucionar problemas.
Diagrama físico de rede

Um diagrama físico de rede mostra o layout físico dos dispositivos conectado à rede. É
necessário saber como os dispositivos são conectados fisicamente para identificar e
solucionar problemas na camada Física, como cabeamento ou problemas de hardware.
As informações registradas no diagrama geralmente incluem:

• Tipo de dispositivo
• Modelo e fabricante
• Versão do sistema operacional
• Tipo de cabo e identificador
• Especificação do cabo
• Tipo de conector
• Pontos de extremidade de cabeamento

A figura mostra um exemplo de um diagrama físico de rede que fornece informações


sobre o local físico dos dispositivos de rede, os tipos de cabeamento entre eles, e os
números de identificação de cabo. Estas informações seriam usadas principalmente para
identificar e solucionar problemas físicos com dispositivos ou cabeamento. Além do
diagrama físico de rede, alguns administradores incluem fotografias reais dos wiring
closets como parte da documentação de rede.

Diagrama lógico de rede

Um diagrama lógico de rede mostra como os dados são transferidos na rede. Símbolos
representam elementos de rede como roteadores, servidores, hubs, hosts, concentradores
de VPN e dispositivos de segurança. As informações registradas em um diagrama
lógico de rede podem incluir:

• Identificadores de dispositivo
• Endereço IP e sub-rede
• Identificadores de interface
• Tipo de conexão
• DLCI para circuitos virtuais
• VPNs ponto a ponto
• Protocolos de roteamento
• Rotas estáticas
• Protocolos de enlace de dados
• Tecnologias WAN usadas
Clique no botão Lógico na figura para ver um exemplo de um diagrama lógico de
rede.

A figura mostra a mesma rede, mas, dessa vez, fornece informações lógicas como
endereços IP de dispositivo específicos, números de rede, números de porta, tipos de
sinal e atribuições de DCE para links seriais. Estas informações podem ser usadas para
identificar e solucionar problemas em todas as camadas de OSI.
Exibir meio visual

8.4.2 Identificação e solução de problemas de camada física

Página 1:
Sintomas de problemas de camada física

A camada Física transmite bits de um computador para outro e regula a transmissão de


um fluxo de bits pelo meio físico. A camada Física é a única camada com propriedades
tangíveis fisicamente, como fios, placas e antenas.

Falhas e condições abaixo do ideal na camada Física não só incomodam os usuários,


mas também afetam a produtividade da empresa inteira. Redes que experimentam essas
condições geralmente passam por paradas bruscas. Como as camadas superiores do
modelo OSI dependem da camada Física para funcionar, um técnico de rede deve ter a
capacidade de isolar e corrigir problemas com eficácia nesta camada.

Um problema de camada Física ocorre quando as propriedades físicas da conexão são


inferiores, fazendo os dados serem transferidos a uma taxa que é consistentemente
menor que a taxa de fluxo de dados estabelecida na linha de base. Se houver um
problema que faça a rede operar abaixo da ideal na camada Física, a rede poderá
continuar funcionando, mas o desempenho será intermitente ou consistentemente abaixo
do nível especificado na linha de base.

Os sintomas comuns de problemas de rede na camada Física incluem:

• Desempenho abaixo da linha de base - Se o desempenho for insatisfatório o


tempo todo, o problema provavelmente estará relacionado a uma configuração
pobre, à capacidade inadequada em algum lugar, ou a algum outro problema
sistêmico. Se o desempenho variar e não for sempre insatisfatório, o problema
será relacionado provavelmente a uma condição de erro ou está sendo afetado
por tráfego de outras origens. As razões mais comuns para o desempenho lento
ou baixo incluem servidores sobrecarregados ou subutilizados, configurações
inadequadas de roteador ou switch, congestionamento de tráfego em um link da
baixa capacidade e perda de quadro crônica.
• Perda de conectividade - Se um cabo ou dispositivo falhar, o sintoma mais
óbvio é perda de conectividade entre os dispositivos que se comunicam por
aquele link ou com o dispositivo ou interface com falha, como indicado por um
teste de ping simples. Perda intermitente de conectividade pode indicar uma
conexão solta ou oxidada.
• Alta contagem de colisão - Problemas de domínio de colisão afetam o meio
local e rompem comunicações com dispositivos de infra-estrutura, servidores
locais ou serviços de Camada 2 ou Camada 3. Colisões são normalmente um
problema mais significativo em meios compartilhados do que em portas de
switch. A média de contagens de colisão em meios compartilhados geralmente
deve estar abaixo de 5 por cento, embora esse número seja conservador. Confira
que se as informações são baseadas na média e não no pico das colisões.
Problemas referentes a colisões podem ser geralmente rastreados até uma única
origem. Pode ser um cabo com defeito em uma única estação, um cabo de uplink
com defeito em um hub ou porta em um hub, ou um link exposto a ruído elétrico
externo. Uma fonte de ruído próxima a um cabo ou hub pode causar colisões até
mesmo quando não houver tráfego aparente. Se as colisões piorarem
proporcionalmente ao nível do tráfego, se a quantidade de colisões chegar a 100
por cento ou se não houver nenhum tráfego bom, isso significará falha no
sistema de cabo.
• Gargalos de rede ou congestionamento - Se um roteador, interface ou cabo
falharem, protocolos de roteamento poderão redirecionar o tráfego para outras
rotas que não são criadas para transportar a capacidade adicional. Isto pode
resultar em congestionamento ou gargalos nessas partes da rede.
• Taxas altas de utilização de CPU - São um sintoma de que um dispositivo,
como um roteador, switch ou servidor, está funcionando em ou está excedendo
seus limites de design. Se isso não for resolvido rapidamente, a sobrecarga de
CPU pode causar falha ou parada do dispositivo.
• Console mensagens de erro - Mensagens de erro reportadas no console do
dispositivo indicam um problema de camada Física.
Exibir meio visual

Página 2:
Causas de problemas de camada física

As situações que geralmente causam problemas de rede na camada Física incluem:

Alimentação

Problemas relacionados à alimentação são a principal razão de falha de rede. A


alimentação CA principal flui para um módulo de transformador CA a CC externo ou
interno para dentro de um dispositivo. O transformador fornece corrente de CC
modulada corretamente, que age para dar alimentação a circuitos de dispositivo,
conectores, portas e as ventoinhas usadas para resfriamento do dispositivo. Se houver
suspeita de problema relacionado à alimentação, geralmente é feita uma inspeção física
do módulo de alimentação. Verifique o funcionamento das ventoinhas e confira se estão
desobstruídas as passagens de ar do chassi. Se outras unidades próximas também
pararam de funcionar, poderá estar havendo uma falha da fonte de alimentação
principal.
Falhas de hardware

Placas de rede defeituosas (NIC) podem ser a causa de erros de transmissão de rede
devido a recentes colisões, quadros curtos e jabber. Jabber é geralmente definido como
a condição na qual um dispositivo de rede transmite continuamente dados aleatórios
sem sentido pela rede. Outras causas prováveis de jabber são arquivos de driver da placa
de rede defeituosos ou corrompidos, cabeamento incorreto ou problemas de
aterramento.

Falhas de cabeamento

Muitos problemas podem ser corrigidos simplesmente reconectando-se os cabos que


ficaram parcialmente desconectados. Ao executar uma inspeção física, verifique se há
cabos danificados, tipos de cabo impróprios e conectores RJ-45 mal instalados. Cabos
suspeitos devem ser testados ou trocados por um cabo em perfeito estado de
funcionamento.

Verifique se há conexões entre dispositivos ou portas de hub e switch que estejam


usando cabos crossover incorretamente. Os cabos de pares separados não funcionam
quando estão com defeito, dependendo da velocidade de Ethernet, o comprimento do
segmento separado e a distância de qualquer extremidade.

Os problemas com cabos de fibra óptica podem ser causados por conectores sujos,
curvas excessivamente apertadas e conexões RX/TX trocadas quando polarizada.

Os problemas com cabo coaxial geralmente ocorrem nos conectores. Quando o condutor
do centro na extremidade do cabo coaxial não está reto e com o comprimento correto,
não é obtida uma conexão boa.

Atenuação

Um bitstream de dados atenuado é quando a amplitude dos bits é reduzida enquanto


trafega por um cabo. Se a atenuação for severa, o dispositivo receptor nem sempre
poderá distinguir com êxito os bits de componente do fluxo um do outro. Isto resulta em
uma transmissão adulterada e em uma solicitação do dispositivo receptor para nova
transmissão do tráfego perdido pelo remetente. A atenuação poderá ser causada se um
comprimento de cabo exceder o limite de design para o meio (por exemplo, um cabo
Ethernet é limitado a 100 metros, ou 328 pés, para garantir um desempenho bom), ou
quando há uma conexão pobre que é o resultado de um cabo solto, sujo ou com contatos
oxidados.

Ruído
A interferência eletromagnética local (EMI) geralmente é conhecida como ruído. Há
quatro tipos de ruído que são muito significativos para redes de dados:

• Ruído de impulso que é causado por flutuações de voltagem ou picos de corrente


induzidos no cabeamento.
• Ruído aleatório (branco) que é gerado por muitas fontes, como estações de rádio
FM, rádio da polícia, seguranças de prédios e ondas de rádio de aviação para
aterrissagem automatizada.
• Diafonia estrangeira que é o ruído induzido por outros cabos no mesmo
caminho.
• Diafonia próxima (NEXT) que é o ruído que se origina da diafonia de outros
cabos adjacentes ou ruído de cabos elétricos próximos, dispositivos com motores
elétricos de grande porte, ou qualquer coisa que inclua um transmissor mais
avançado que um telefone celular.

Erros de configuração de interface

Muitas coisas podem ser configuradas incorretamente em uma interface para causar esse
tipo de erro, causando uma perda de conectividade com segmentos de rede anexados.
Exemplos de erros de configuração que afetam a camada Física incluem:

• Links seriais reconfigurados como assíncronos em vez de síncronos


• Clock rate incorreto
• Fonte de clock incorreta
• Interface não ligada

Limites de design excedidos

Um componente pode estar operando de maneira não ideal na camada Física porque
está sendo utilizado a uma taxa média mais alta do que ele é configurado para operar.
Ao solucionar problemas desse tipo, fica evidente que os recursos para o dispositivo
estão operando na capacidade máxima ou próximo a ela e há um aumento no número de
erros de interface.

Sobrecarga CPU

Os sintomas incluem processos com altos percentuais de utilização de CPU, descartes


das filas de entrada, desempenho lento, serviços de roteador como o Telnet e ping lentos
ou não respondem, ou não há nenhuma atualização de roteamento. Uma das causas de
sobrecarga de CPU em um roteador é o alto tráfego. Se algumas interfaces forem
sobrecarregadas regularmente com tráfego, redesenhe o fluxo de tráfego na rede ou
atualize o hardware.
Exibir meio visual
Página 3:
Para isolar problemas nas camadas Físicas, faça o seguinte:

Verifique se há cabos ou conexões com defeito

Verifique se o cabo da interface de origem está conectado e se está em boas condições.


Seu testador de cabo pode revelar um fio aberto. Por exemplo, na figura, o testador
Fluke CableIQ revelou que os fios 7 e 8 estão apresentando falha. Para testar a
integridade de um cabo, alterne os cabos suspeitos com um cabo que esteja funcionando
com certeza. Se estiver em dúvida sobre a conexão estar funcionando, remova o cabo,
faça uma inspeção física do cabo e da interface, e reconecte o cabo. Use um testador de
cabo nas tomadas que deseja testar para verificar se estão cabeadas corretamente.

Verifique se o padrão de cabeamento correto é consistente ao longo da rede

Verifique se o cabo correto está sendo utilizado. Um cabo crossover pode ser necessário
para conexões diretas entre alguns dispositivos. Verifique se o cabo está cabeado
corretamente. Por exemplo, na figura, o testador Fluke CableIQ detectou que, embora
um cabo estivesse bom para Fast Ethernet, ele não é qualificado para suportar
1000BASE-T porque os fios 7 e 8 não foram conectados corretamente. Esses fios não
são necessários para Fast Ethernet, mas são necessários para Gigabit Ethernet.

Verifique se os dispositivos estão cabeados corretamente

Verifique se todos os cabos estão conectados às portas ou interfaces corretas. Verifique


se as conexões cruzadas estão corrigidas para o local correto. Esse é o motivo pelo qual
um wiring closet deve ser limpo e organizado: poupa muito tempo.

Verifique se as configurações de interface estão corretas

Verifique se todas as portas de switch estão definidas na VLAN correta e se estão


configurados corretamente o spanning tree, a velocidade e as configurações
bidirecionais. Confirme se as portas ou interfaces ativa não estão desligadas.

Verifique as estatísticas de funcionamento e as taxas de erros de dados

Use os comandos show da Cisco para verificar estatísticas como colisões, erros de
entrada e saída. As características destas estatísticas variam, dependendo dos protocolos
usados na rede.
Exibir meio visual
8.4.3 Identif. e solução de problemas da camada de enlace de dados

Página 1:
Sintomas de problemas da camada de enlace de dados

Identificar e solucionar problemas de Camada 2 pode ser um processo difícil. A


configuração e a operação destes protocolos são críticas para criar uma rede funcional e
bem ajustada.

Problemas de camada de enlace causam sintomas comuns que ajudam a identificar


problemas de Camada 2. Reconhecer esses sintomas ajuda a reduzir o número de
possíveis causas. Os sintomas comuns de problemas de rede na camada de enlace de
dados incluem:

Não há funcionalidade ou conectividade na camada de rede ou acima

Alguns problemas de Camada 2 podem interromper a troca de quadros por um link,


enquanto outros só degradam o desempenho da rede.

A rede está funcionando abaixo dos níveis de desempenho de linha de base

Há dois tipos distintos de funcionamento não ideal de Camada 2 que podem ocorrer em
uma rede:

• Quadros trafegam por um caminho ilógico ao seu destino, mas chegam. Um


exemplo de um problema que pode levar os quadros a trafegarem por um
caminho não ideal é uma topologia de spanning-tree de Camada 2 mal projetada.
Neste caso, a rede deve experimentar uso de alta largura de banda em links que
não devem ter aquele nível de tráfego.
• Alguns quadros são ignorados. Esses problemas podem ser identificados por
estatísticas de contador de erro e mensagens de erro de console que aparecem no
switch ou roteador. Em um ambiente de Ethernet, um toque estendido ou
contínuo revelará também se os quadros estiverem sendo ignorados.

Broadcasts em excesso

Os sistemas operacionais modernos usam broadcasts extensivamente para detectar


serviços de rede e outros hosts. Onde são observados broadcasts excessivos, é
importante identificar a origem dos broadcasts. Geralmente, difusões excessivas são o
resultado de uma das situações seguintes:

• Aplicativos configurados ou programados incorretamente


• Domínios de broadcast grandes de Camada 2
• Problemas de rede adjacentes, como loops de STP ou alternância de rota.

Mensagens da console

Em algumas instâncias, um roteador reconhece que um problema de Camada 2 ocorreu


e envia mensagens de alerta à console. Normalmente, um roteador faz isto quando
detecta um problema para interpretar quadros de entrada (encapsulamento ou problemas
de enquadramento) ou quando keepalives são esperados, mas não chegam. A mensagem
de console mais comum que indica um problema de Camada 2 é uma mensagem de que
o protocolo de linha está inativo.
Exibir meio visual

Página 2:
Causas de problemas da camada de enlace de dados

Os problemas na camada de enlace que geralmente resultam em problemas de


conectividade de rede ou desempenho incluem:

Erros de encapsulamento

Um erro de encapsulamento ocorre porque os bits colocados pelo remetente em um


campo específico não são o que o receptor espera ver. Esta condição ocorre quando o
encapsulamento em uma extremidade de um link de WAN é configurado
diferentemente do encapsulamento usado na outra extremidade.

Erros de mapeamento de endereço

Em topologias como ponto-a-multiponto, Frame Relay ou Ethernet broadcast, é


essencial que um endereço de destino de Camada 2 apropriado seja dado ao quadro. Isto
assegura sua chegada ao destino correto. Para obter isto, o dispositivo de rede deve
corresponder um endereço de destino de Camada 3 com o endereço de Camada 2
correto usando mapas estáticos ou dinâmicos.

Ao usar mapas estáticos em Frame Relay, um mapa incorreto é um engano comum.


Erros simples de configuração podem resultar em uma incompatibilidade de
informações de endereçamento de Camada 2 e Camada 3.

Em um ambiente dinâmico, o mapeamento das informações de Camada 2 e Camada 3


pode falhar pelas seguintes razões:
• Os dispositivos podem ter sido especificamente configurados para não responder
a solicitações ARP ou ARP inverso.
• As informações de Camada 2 ou Camada 3 que são armazenadas em cache
podem ter se alterado fisicamente.
• As respostas inválidas de ARP são recebidas devido a uma configuração
incorreta ou um ataque de segurança.

Erros de enquadramento

Quadros normalmente funcionam em grupos de bytes de 8 bits. Um erro de


enquadramento ocorre quando um quadro não termina em um limite de byte de 8 bits.
Quando isto acontece, o receptor pode ter problemas que determinam onde um quadro
termina e outro quadro inicia. Dependendo da gravidade do problema de
enquadramento, a interface pode ser capaz de interpretar alguns dos quadros. Muitos
quadros inválidos podem impedir keepalives válidos de serem trocados.

Erros de enquadramento podem ser causados por uma linha serial ruidosa, um cabo
projetado de modo inadequado (muito longo ou não blindado corretamente) ou um
relógio de linha de unidade do serviço de canal (CSU) incorretamente configurado.

Falhas ou loops de STP

O propósito do Protocolo Spanning Tree (STP) é transformar uma topologia física


redundante em uma topologia em árvore através do bloqueio de portas redundantes. A
maioria das problemas de STP gira em torno desses problemas:

• Encaminhar loops que ocorrem quando nenhuma porta em uma topologia


redundante é bloqueada e o tráfego é encaminhado indefinidamente em círculos.
Quando o encaminhamento de loop inicia, isso normalmente congestiona os
links de largura de banda mais baixa no caminho. Se todos os links forem da
mesma largura de banda, todos estarão congestionados. Este congestionamento
causa perda de pacote e leva a uma rede com baixo desempenho no domínio de
L2 afetado.
• Envios excessivos devido a uma taxa alta alterações na topologia de STP. A
função do mecanismo de alteração de topologia é corrigir as tabelas de
encaminhamento de Camada 2 depois que a topologia de encaminhamento foi
alterada. Isto é necessário para evitar uma interrupção de conectividade porque,
depois de uma alteração de topologia, alguns endereços MAC previamente
acessíveis por portas particulares podem ficar acessíveis por portas diferentes.
Uma alteração de topologia deve ser um evento raro em uma rede bem
configurada. Quando um link em uma porta de switch fica ativo ou inativo,
eventualmente há uma alteração de topologia quando o estado de STP da porta
muda para ou de encaminhar. Porém, quando uma porta oscila (entre os estados
ativo e inativo), isso causa mudanças repetitivas de topologia e inundação.
• A convergência lenta de STP ou reconvergência podem ser causadas por uma
incompatibilidade entre a topologia real e a documentada, um erro de
configuração, como uma configuração inconsistente de temporizadores de STP,
uma CPU de switch sobrecarregada durante a convergência, ou um defeito de
software.
Exibir meio visual

Página 3:
Identificação e solução de problemas de Camada 2 (PPP)

A dificuldade para identificar e solucionar problemas de tecnologias de Camada 2,


como PPP e Frame Relay, é a indisponibilidade de ferramentas adequadas para Camada
3 comuns, como ping, para ajudar a identificar problemas além de constatar que a rede
está inativa. Somente através de um entendimento completo dos protocolos e de sua
operação, o técnico de rede consegue escolher a metodologia adequada de identificação
e solução de problemas e os comandos Cisco IOS certos para solucionar o problema de
uma maneira eficiente.

A maioria das problemas que ocorrem com PPP envolve negociação de link. Os passos
para identificar e solucionar problemas de PPP estão a seguir:

Etapa 1. Verifique se o encapsulamento apropriado está sendo usado nas duas


extremidades, usando o comando show interfaces serial. Na figura para Etapa 1, a
saída de comando revela que R2 foi configurado incorretamente para usar
encapsulamento HDLC.

Etapa 2. Confirme que as negociações do Protocolo de Controle de Link (LCP) tiveram


sucesso verificando a saída para mensagem do LCP aberto.

Clique no botão Etapa 2 na figura.

Na figura, o encapsulamento em R2 foi alterado a PPP. A saída do comando show


interfaces serial mostra a mensagem LCP aberto, que indica que as negociações de
LCP tiveram sucesso.

Etapa 3. Verifique a autenticação em ambos os lados do link usando o comando debug


ppp authentication.

Clique no botão Etapa 3 na figura.

Na figura, a saída do comando debug ppp authentication mostra que R1 não pode
autenticar R2 usando CHAP, porque o nome de usuário e a senha para R2 não foram
configurados em R1.
Consulte o Capítulo 2, "PPP" para obter mais detalhes sobre como identificar e
solucionar implementações de PPP.
Exibir meio visual

Página 4:
Identificação e solução de problemas de Camada 2 (Frame Relay)

Para identificar e solucionar problemas de rede Frame Relay, divida a tarefa em quatro
etapas:

Etapa 1. Verifique a conexão física entre o CSU/DSU (unidade de serviço de dados) e


o roteador. Na figura, as conexões físicas entre os roteadores R2 e R3 e os CSU/DSU
correspondentes podem ser verificadas usando um testador de cabo e conferindo se
todos os LEDs de status na unidade de CSU/DSU estão verdes. Na figura, algumas
luzes de status para o CSU/DSU no R3 estão vermelhas, indicando um problema de
conectividade potencial entre o CSU/DSU e roteador R3.

Etapa 2. Verifique se o roteador e o provedor de Frame Relay estão trocando


informações de LMI corretamente usando o comando show frame-relay lmi.

Clique no botão Etapa 2 na figura.

Na figura, a saída do comando show frame-relay lmi no R2 não mostra erros ou


mensagens perdidas. Isto indica que R2 e o switch do provedor de Frame Relay estão
trocando informações de LMI corretamente.

Etapa 3. Verifique se o status de PVC está ativo usando o comando show frame-relay
pvc.

Clique no botão Etapa 3 na figura.

Na figura, a saída do comando show frame-relay pvc no R2 verifica que o status de


PVC está ativo.

Etapa 4. Verifique se o encapsulamento de Frame Relay corresponde nos dois


roteadores, usando o comando show interfaces serial.

Clique no botão Etapa 4 na figura.


Na figura, a saída do comando show interfaces serial nos roteadores R2 e R3 mostra
que existe uma incompatibilidade de encapsulamento entre eles. O R3 foi configurado
incorretamente para usar o encapsulamento de HDLC em vez de Frame Relay.

Para obter detalhes adicionais sobre como identificar e solucionar problemas de


implementações de Frame Relay, consulte o Capítulo 3, "Frame Relay".
Exibir meio visual

Página 5:
Identificação e solução de problemas de Camada 2 (Loops de STP)

Se você suspeitar que um loop de STP esteja causando um problema de Camada 2,


verifique se o protocolo Spanning Tree está sendo executado nos dois switches. Um
switch somente deverá ter STP desabilitado se não fizer parte de uma topologia
fisicamente com loops. Para verificar operação de STP, use o comando show spanning-
tree em cada switch. Se você descobrir que aquele STP não está funcionando, você
pode habilitá-lo usando o comando spanning-tree vlan ID.

Siga essas etapas para identificar e solucionar problemas de loops de encaminhamento:

Etapa 1. Identifique que um loop de STP está ocorrendo.

Quando um loop de encaminhamento tiver se desenvolvido na rede, estes são os


sintomas habituais:

• Perda de conectividade para, de e pelas regiões de rede afetadas


• Alta utilização de CPU em roteadores conectados a segmentos afetados ou
VLANs
• Alta utilização de link (geralmente 100 por cento)
• Alta utilização de backplane de switch (comparado com a utilização de linha de
base)
• Mensagens de Syslog que indicam looping de pacote na rede (por exemplo,
mensagens duplicadas de endereço IP de Protocolo de roteador de espera a
quente)
• Mensagens de Syslog que indicam reaprendizado constante de endereço ou de
mensagens de atraso de endereço MAC
• Aumento no número de descartes de saída em muitas interfaces

Etapa 2. Descubra a topologia (escopo) do loop.


A prioridade mais alta é parar o loop e restaurar a operação da rede. Para parar o loop,
você deve saber quais portas estão envolvidas. Observe as portas com a mais alta
utilização de link (pacotes por segundo). O comando show interface exibe a utilização
para cada interface. Tenha certeza de registrar estas informações antes de continuar para
o próximo passo. Caso contrário, poderia ser difícil determinar no futuro a causa do
loop.

Etapa 3. Quebre o loop.

Feche ou desconecte as portas envolvidas uma de cada vez. Depois que você desabilitar
ou desconectar cada porta, verifique se a utilização de backplane de switch está de volta
ao nível normal. Documente seus resultados. Lembre-se de que algumas portas podem
não estar sustentando o loop, mas estão enviando o tráfego que chega com o loop.
Quando você fecha essas portas de envio, só reduz a utilização de blackplane a uma
quantidade pequena, mas você não interrompe o loop.

Etapa 4. Localize e corrija a causa do loop.

Determinar por que o loop começou é geralmente a parte mais difícil do processo,
porque as razões podem variar. Também é difícil formalizar um procedimento exato que
funciona em todos os casos. Primeiro, investigue o diagrama de topologia para localizar
um caminho redundante.

Para cada switch no caminho redundante, verifique se há esses problemas:

• O switch conhece a raiz de STP correta?


• A porta de raiz é identificada corretamente?
• As unidades de dados de protocolo da bridge (BPDUs) são recebidas
regularmente na porta de raiz e em portas que deveriam supostamente bloquear?
• As BPDUs são enviadas regularmente em portas designadas não-raiz?

Etapa 5. Restaure a redundância.

Depois de encontrar o dispositivo ou link que está causando o loop e o problema for
resolvido, restaure os links redundantes que foram desconectados.

Nós só mencionamos rapidamente o assunto de identificar e solucionar problemas de


loops de STP. Identificar e solucionar problemas de loops e outros problemas de STP é
uma discussão complexa e detalhada que está além do escopo deste curso. No entanto,
se você desejar saber mais sobre identificação e solução de problemas de STP, consulte
as observações técnicas excelentes visitando:
http://cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080136673.sht
ml#troubleshoot.
Exibir meio visual
8.4.4 Identificação e solução de problemas de camada de rede

Página 1:
Sintomas de problemas de camada de rede

Problemas de camada de rede incluem todos os problemas que envolvem um protocolo


de Camada 3, protocolos roteados e protocolos de roteamento. Este tópico concentra-se
principalmente em protocolos de roteamento de IP.

Problemas na camada de rede podem causar falhas de rede ou desempenho abaixo do


nível ideal. Falha de rede é quando a rede está quase ou completamente sem funcionar,
afetando todos os usuários e as aplicações que usam a rede. Estas falhas normalmente
são notadas rapidamente pelos usuários e pelos administradores de rede, e são
obviamente críticas à produtividade de uma empresa. Problemas de otimização de rede
normalmente envolvem um subconjunto de usuários, aplicações, destinos ou um tipo
específico de tráfego. Problemas de otimização em geral podem ser mais difíceis de
detectar e até mais difíceis de isolar e diagnosticar, porque eles normalmente envolvem
várias camadas ou até mesmo o próprio computador host. Determinar que o problema é
de camada de rede pode levar muito tempo.
Exibir meio visual

Página 2:
Solução de problemas da camada 3

Na maioria das redes, rotas estáticas são usadas em combinação com protocolos de
roteamento dinâmico. A configuração imprópria de rotas estáticas pode levar a um
roteamento abaixo do nível ideal e, em alguns casos, criar loops de roteamento ou partes
da rede podem ficar inalcançáveis.

Identificar e solucionar problemas de protocolos de roteamento dinâmico exige uma


compreensão completa de como funcionam os protocolos de roteamento específicos.
Alguns problemas são comuns a todos os protocolos de roteamento, enquanto outros são
específicos do protocolo de roteamento individual.

Não há nenhum modelo para resolver problemas de Camada 3. Problemas de


roteamento são resolvidos com um processo metódico, usando uma série de comandos
para isolar e diagnosticar o problema.

Aqui estão algumas áreas para explorar ao diagnosticar um possível problema que
envolve protocolos de roteamento:

Problemas gerais de rede


Geralmente uma mudança na topologia, como um link inativo, pode ter outros efeitos
em outras áreas da rede que podem não ser óbvios no momento. Isto pode incluir a
instalação de novas rotas, estáticas ou dinâmicas, remoção de outras rotas, e assim por
diante.

Alguns itens devem ser considerados:

• Algo mudou na rede recentemente?


• Há alguém trabalhando na infra-estrutura de rede nesse momento?

Problemas de conectividade

Verifique se há algum problema nos equipamentos e na conectividade, inclusive


problemas de alimentação como interrupções e problemas ambientais como
superaquecimento. Verifique também se há problemas de Camada 1, como problemas
de cabeamento, portas incorretas e problemas de ISP.

Problemas de vizinhança

Se o protocolo de roteamento estabelecer uma adjacência com um vizinho, verifique se


há problemas com os roteadores que formam as relações de vizinhança.

Banco de dados de topologia

Se o protocolo de roteamento usar uma tabela de topologia ou banco de dados, procure


na tabela algo inesperado, como entradas faltando ou inesperadas.

Tabela de roteamento

Procure na tabela de roteamento algo inesperado, como rotas faltando ou inesperadas.


Use comandos debug para exibir atualizações de roteamento e manutenção de tabela de
roteamento.
Exibir meio visual

8.4.5 Identificação e solução de problemas de camada de transporte

Página 1:
Problemas comuns de lista de acesso
Problemas de rede podem ocorrer devido a problemas de camada de Transporte no
roteador, particularmente na extremidade da rede onde as tecnologias de segurança
podem estar examinando e modificando o tráfego. Esse tópico discute duas das
tecnologias de segurança de camada de Transporte mais comumente implementadas.
Elas são as Listas de Controle de Acesso (ACLs) e a Tradução de Endereço de Rede
(NAT).

Clique no botão Problemas de lista de acesso na figura.

Os problemas mais comuns com ACLs são causados por configuração imprópria. Há
oito áreas onde as configurações incorretas geralmente ocorrem:

Seleção de fluxo de tráfego

A configuração incorreta de roteador mais comum está aplicando a ACL ao tráfego


incorreto. O tráfego é definido pela interface do roteador pela qual o tráfego está
passando e também pela direção na qual este tráfego está passando. Uma ACL deve ser
aplicada à interface correta e a direção correta de tráfego deve ser selecionada para
funcionar corretamente. Se o roteador estiver executando ACLs e NAT, a ordem na qual
cada uma destas tecnologias é aplicada a um fluxo de tráfego será importante:

• O tráfego de entrada é processado pela ACL de entrada antes de ser processado


pela NAT de fora para dentro.
• O tráfego de saída é processado pela ACL de saída depois de ser processado pela
NAT de dentro para fora.

Ordem de elementos de controle de acesso

Os elementos em uma ACL devem ser de específico para geral. Embora uma ACL
possa ter um elemento para permitir especificamente um fluxo de tráfego determinado,
os pacotes nunca corresponderão àquele elemento se eles estiverem sendo negados por
outro elemento anterior na lista.

Negar tudo implicitamente

Em uma situação onde a segurança alta não é exigida na ACL, esquecer este elemento
de controle de acesso implícito pode ser a causa de uma configuração incorreta de ACL.

Endereços e máscaras curinga

Máscaras curinga complexas fornecem melhorias significativas em eficiência, mas são


mais sujeitas a erros de configuração. Um exemplo de uma máscara curinga complexa é
usar o endereço 10.0.32.0 e a máscara curinga 0.0.32.15 para selecionar os primeiros 15
endereços de host na rede 10.0.0.0 ou na rede 10.0.32.0.
Seleção de protocolo de camada de transporte

Ao configurar as ACLs, é importante que somente os protocolos de camada de


transporte corretos sejam especificados. Muitos engenheiros de rede, quando não têm
certeza se um fluxo de tráfego específico usa uma porta TCP ou uma porta UDP,
configuram ambas. Especificar ambas abre um buraco pelo firewall, possivelmente
dando aos invasores uma avenida de acesso à rede. Também introduz um elemento
adicional na ACL, de forma que a ACL leva mais tempo para processar, introduzindo
mais latência nas comunicações da rede.

Portas de origem e destino

Controlar o tráfego corretamente entre dois hosts requer elementos de controle de


acesso simétricos para ACLs de entrada e de saída. As informações de endereço e porta
para tráfego gerado por um host que responde são uma imagem espelhada das
informações de endereço e porta para o tráfego gerado pelo host que iniciou.

Uso da palavra-chave established

A palavra-chave established aumenta a segurança fornecida por uma ACL. Porém, se a


palavra-chave for aplicada a uma ACL de saída, resultados inesperados poderão ocorrer.

Protocolos incomuns

ACLs configuradas incorretamente geralmente causam problemas para protocolos


menos comuns que TCP e UDP. Protocolos incomuns que estão ganhando popularidade
são VPN e protocolos de criptografia.

Solução de problemas de listas de controle de acesso

Um comando útil para exibir o funcionamento de ACL é a palavra-chave log em


entradas de ACL. Esta palavra-chave instrui o roteador a colocar uma entrada no log de
sistema sempre que aquela condição de entrada é correspondida. O evento registrado
inclui detalhes do pacote que correspondeu ao elemento de ACL.

A palavra-chave log é especialmente útil para identificar e solucionar problemas, e


também fornece informações sobre tentativas de invasão que são bloqueadas pela ACL.
Exibir meio visual

Página 2:
Problemas NAT comuns
O maior problema com todas as tecnologias de NAT é a interoperabilidade com outras
tecnologias de rede, principalmente os que contêm ou derivam informações de
endereçamento de rede de host no pacote. Algumas destas tecnologias incluem:

• BOOTP e DHCP - Ambos os protocolos gerenciam a atribuição automática de


endereços IP a clientes. Lembre-se de que o primeiro pacote que o cliente novo
envia é um pacote IP de broadcast de solicitação DHCP. O pacote de solicitação
DHCP tem um endereço IP de origem de 0.0.0.0. Como o NAT exige um
endereço IP válido de destino e origem, BOOTP e DHCP podem ter dificuldade
para funcionar em um roteador que executa o NAT estático ou dinâmico.
Configurar o recurso de ajuda de IP pode ajudar a resolver este problema.
• DNS e WINS - Como um roteador que executa NAT dinâmico altera
regularmente a relação entre endereços de entrada e saída já que as entradas de
tabela expiram e são recriadas, um servidor DNS ou WINS fora do roteador de
NAT não tem uma representação precisa da rede dentro do roteador. Configurar
o recurso de ajuda de IP pode ajudar a resolver este problema.
• SNMP - Da mesma maneia que ocorre com os pacotes de DNS, o NAT não
pode alterar as informações de endereçamento armazenadas na payload de dados
do pacote. Por causa disto, uma estação de gerenciamento de SNMP em um lado
de um roteador de NAT pode talvez não ser capaz de contactar os agentes de
SNMP no outro lado do roteador de NAT. Configurar o recurso de ajuda de IP
pode ajudar a resolver este problema.
• Protocolos de tunelamento e criptografia - Os protocolos de criptografia e
tunelamento geralmente exigem que o tráfego seja gerado de uma porta UDP ou
TCP específica, ou use um protocolo na camada de Transporte que não pode ser
processado pelo NAT. Por exemplo, os protocolos de tunelamento de IPsec e os
protocolos genéricos de encapsulamento de roteamento usados por
implementações de VPM não podem ser processados pelo NAT. Se os
protocolos de criptografia e tunelamento devem ser executados por um roteador
NAT, o administrador de rede poderá criar uma entrada NAT estática para a
porta necessária para um único endereço IP na parte de dentro do roteador NAT.

Se os protocolos de criptografia e tunelamento devem ser executados por um roteador


NAT, o administrador de rede poderá criar uma entrada NAT estática para a porta
necessária para um único endereço IP na parte de dentro do roteador NAT.

Um dos erros de configuração de NAT mais comuns é esquecer que o NAT afeta tanto o
tráfego de entrada como o de saída. Um administrador de rede sem experiência poderia
configurar uma entrada de NAT estática para redirecionar o tráfego de entrada para um
host de backup específico interno. Esta instrução de NAT estática também altera o
endereço de origem do tráfego daquele host, resultando possivelmente em
comportamentos indesejáveis e inesperados ou em operação abaixo do nível ideal.

Temporizadores configurados de modo inadequado também podem resultar em


comportamento de rede inesperado e operação abaixo do nível ideal de NAT dinâmico.
Se os temporizadores de NAT forem muito curtos, as entradas na tabela de NAT
poderão expirar antes de as respostas serem recebidas, de forma que os pacotes são
descartados. A perda de pacotes gera novas transmissões, consumindo mais largura de
banda. Se os temporizadores forem muito longos, as entradas poderão ficar na tabela de
NAT mais tempo que o necessário, consumindo o conjunto de conexão disponível. Em
redes ocupadas, isto poderá levar a problemas de memória no roteador e os hosts
poderão não ser capazes de estabelecer conexões se a tabela de NAT dinâmica estiver
cheia.

Consulte o Capítulo 7, "Serviços de endereçamento IP" para obter detalhes adicionais


sobre como identificar e solucionar problemas de configuração de NAT.
Exibir meio visual

8.4.6 Identificação e solução de problemas de camada de aplicativo

Página 1:
Visão geral da camada de aplicativo

A maioria dos protocolos de camada de aplicativo fornece serviços de usuário. Os


protocolos de camada de aplicativo são usados normalmente para gerenciamento de
rede, transferência de arquivos, serviços de arquivo distribuídos, emulação de terminal e
email. Porém, são adicionados freqüentemente novos serviços de usuário, como VPNs,
VoIP, e assim por diante.

Os mais conhecidos e implementados protocolos de camada de aplicativo de TCP/IP


incluem:

• Telnet - Permite que os usuários estabeleçam conexões de sessão de terminal


com hosts remotos.
• HTTP - Suporta a troca de texto, imagens gráficas, som, vídeo e outros arquivos
de multimídia na Web.
• FTP - Executa transferências de arquivo interativas entre hosts.
• TFTP - Executa transferências de arquivo interativas básicas normalmente entre
hosts e dispositivos de rede.
• SMTP - Suporta serviços básicos de entrega de mensagem.
• POP - Conecta-se a servidores de email e baixa email.
• Protocolo de gerenciamento de rede comum (SNMP) - Reune informações de
gerenciamento de dispositivos de rede.
• DNS - Mapeia endereços IP para os nomes atribuídos a dispositivos de rede.
• Sistema de arquivos de rede (NFS) - Permite que computadores montem
unidades em hosts remotos e os operem como se elas fossem unidades locais.
Originalmente desenvolvido pela Sun Microsystems, ele se combina com dois
outros protocolos de camada de aplicativo, representação de dados externa
(XDR) e chamada de procedimento remoto (RPC), para permitir acesso
transparente a recursos de rede remota.
Clique no botão Protocolos e portas de aplicativos na figura para exibir uma lista de
protocolos de aplicativo e as portas associadas.
Exibir meio visual

Página 2:
Sintomas de problemas da camada de aplicativo

Os problemas de camada de aplicativo impedem que os serviços sejam fornecidos aos


programas. Um problema na camada de aplicativo pode resultar em recursos
inalcançáveis ou inutilizáveis quando as camadas física, de enlace de dados, de rede e
de transporte estiverem funcionando. É possível ter conectividade de rede total, mas o
aplicativo simplesmente não pode fornecer dados.

Outro tipo de problema na camada de aplicativo ocorre quando as camadas física, de


enlace de dados, de rede e de transporte estão funcionando, mas a transferência de dados
e as solicitações para serviços de rede de um único serviço de rede ou aplicativo não
atende as expectativas normais de um usuário.

Um problema na camada de aplicativo pode fazer os usuários reclamarem que a rede ou


o aplicativo específica com a qual eles estão trabalhando está lenta ou mais lenta que o
habitual para transferir dados ou solicitar serviços de rede.

A figura mostra alguns dos possíveis sintomas de problemas de camada de aplicativo.


Exibir meio visual

Página 3:
Identificação e solução de problemas de aplicativo

O mesmo processo geral de identificação e solução de problemas que é usado para


isolar problemas nas camadas inferiores também pode ser usado para isolar problemas
na camada de aplicativo. Os conceitos são os mesmos, mas o foco tecnológico agora
envolve coisas como conexões recusadas ou expiradas, listas de acesso e problemas de
DNS.

As etapas para solucionar problemas de camada de aplicativo são as seguintes:

Etapa 1. Execute ping no gateway padrão.


Se for bem-sucedido, isso significa que os serviços de Camada 1 e Camada 2 estão
funcionando corretamente.

Etapa 2. Verificar a conectividade fim-a-fim.

Use um ping estendido se estiver tentando fazer ping de um roteador Cisco. Se for bem-
sucedido, isso significa que a Camada 3 está funcionando corretamente. Se as Camadas
1-3 estão funcionando corretamente, o problema deve existir em uma camada mais alta.

Etapa 3. Verifique a lista de acesso e a operação NAT.

Para identificar e solucionar problemas de listas de controle de acesso, siga os passos


seguintes:

• Use o comando show access-list. Existe algum ACL que poderia estar parando
tráfego? Observe quais listas de acesso têm correspondências.
• Desmarque os contadores de lista de acesso com o comando clear access-list
counters e tente estabelecer uma conexão novamente.
• Verifique os contadores de lista de acesso. Algum deles aumentou? Eles
deveriam aumentar?

Para identificar e solucionar problemas do NAT, siga os passos seguintes:

• Use o comando show ip nat translations. Há alguma tradução? As traduções


são como o esperado?
• Desmarque as traduções de NAT com o comando clear ip nat translation * e
tente acessar o recurso externo novamente.
• Use o comando debug ip nat e examine a saída.
• Observe o arquivo de configuração em execução. Os comandos ip nat inside e
ip nat outside estão localizados nas interfaces corretas? O conjunto NAT está
configurado corretamente? A ACL está identificando os hosts corretamente?

Se as ACLs e a NAT estão funcionando como o esperado, o problema deve ser em uma
camada mais alta.

Etapa 4. Identifique e solucione problemas de conectividade de protocolo de camada


superior.

Embora possa haver conectividade de IP entre uma origem e um destino, problemas


ainda podem existir para um protocolo de camada superior específico, como FTP,
HTTP ou Telnet. Estes protocolos estão no topo do transporte IP básico, mas estão
sujeitos a problemas específicos de protocolo em relação a filtros de pacote e firewalls.
É possível que tudo exceto email funcione entre uma determinada origem e um destino.
Identificar e solucionar um problema de conectividade de protocolo de camada superior
exige um entendimento do processo do protocolo. Estas informações normalmente estão
localizadas no RFC mais recente para o protocolo ou na página da Web do
desenvolvedor.
Exibir meio visual

Página 4:
Corrigindo problemas de camada de aplicativo

As etapas para corrigir problemas de camada de aplicativo são as seguintes:

Etapa 1: Faça backup. Antes de continuar, verifique se uma configuração válida foi
salva em algum dispositivo no qual a configuração possa ser modificada. Isto facilita a
recuperação a um estado inicial conhecido.

Etapa 2: Faça uma mudança de configuração inicial de hardware ou software. Se a


correção exigir mais de uma alteração, faça uma alteração de cada vez.

Etapa 3: Avalie e documente cada alteração e os resultados. Se os resultados de


qualquer etapa de solução de problemas não forem bem-sucedidos, desfaça
imediatamente as alterações. Se o problema for intermitente, espere para ver se o
problema ocorre novamente antes de avaliar o efeito de qualquer alteração.

Etapa 4: Determine se a alteração resolve o problema. Verifique se a alteração de


fato resolve o problema sem introduzir nenhum problema novo. A rede deve voltar à
operação de linha de base e nenhum sintoma novo ou antigo deve ser observado. Se o
problema não for resolvido, desfaça todas as alterações. Se forem descobertos
problemas novos ou adicionais, modifique o plano de correção.

Etapa 5: Pare quando o problema for resolvido. Pare de fazer alterações quando o
problema original for resolvido.

Etapa 6: Se necessário, obtenha assistência de recursos externos. Pode ser de um


colega de trabalho, um consultor ou o Cisco Technical Assistance Center (TAC). Em
ocasiões raras, pode necessário realizar um core dump, para criar uma saída de comando
que um especialista da Cisco Systems pode analisar.

Etapa 7: Documente. Depois que o problema for resolvido, documente a solução.


Exibir meio visual
Página 5:
Para concluir esta atividade com êxito, você precisa da documentação final da Atividade
PT 8.1.2: Detecção de rede e documentação concluída anteriormente neste capítulo.
Esta documentação deve ter uma tabela de endereçamento e um diagrama de topologia
precisos. Se você não tiver essa documentação, peça a seu instrutor versões precisas.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

8.5 Laboratórios do Capítulo


8.5.1 Identificação e solução de problemas de rede da empresa 1

Página 1:
Foi solicitado que você corrija os erros de configuração na rede da empresa. Para este
laboratório, não use a proteção por login ou senha em nenhuma linha de console para
impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste cenário.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e as


técnicas de solução de problemas aprendidas no material anterior para concluir este
laboratório com êxito.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 8.5.1. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual
8.5.2 Identificação e solução de problemas de rede da empresa 2

Página 1:
Para este laboratório, não use a proteção por login ou senha em nenhuma linha de
console para impedir o bloqueio acidental. Utilize ciscoccna em todas as senhas deste
laboratório.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e as


técnicas de solução de problemas aprendidas no material anterior para concluir este
laboratório com êxito.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 8.5.2. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

8.5.3 Identificação e solução de problemas de rede da empresa 3

Página 1:
Para este laboratório, não use a proteção por login ou senha em nenhuma linha de
console para impedir o bloqueio acidental. Use ciscoccna para todas as senhas deste
cenário.

Observação: Como este laboratório é cumulativo, você usará todo o conhecimento e as


técnicas de solução de problemas aprendidas no material anterior para concluir este
laboratório com êxito.
Exibir meio visual

Página 2:
Esta atividade é uma variação do Laboratório 8.5.3. O Packet Tracer pode não suportar
todas as tarefas especificadas no laboratório prático. Esta atividade não deve ser
considerada equivalente à conclusão do laboratório prático. O Packet Tracer não
substitui um experimento em laboratório prático com equipamentos reais.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

8.6 Resumo do capítulo


8.6.1 Resumo do capítulo

Página 1:
Neste capítulo, você aprendeu que uma linha de base de rede é necessária para
identificar e solucionar problemas de forma eficaz. Para criar uma linha de base, é
necessário primeiro garantir que a documentação de rede esteja atualizada e precisa.
Uma documentação de rede apropriada inclui uma tabela de configuração de rede para
todos os dispositivos e um diagrama de topologia que reflete o estado atual da rede.
Quando a rede tiver sido documentada completamente, uma medição de linha de base
de desempenho da rede deve ser realizada por um período de várias semanas a um mês
para estabelecer a personalidade da rede. A primeira linha de base é criada durante um
momento de funcionamento normal e estável.

O modo mais eficaz de solucionar problemas é realizar uma abordagem sistemática


usando um modelo de camadas, como o modelo OSI ou o modelo TCP/IP. Três
métodos geralmente usados para identificar e solucionar problemas inclui De baixo para
cima, De cima para baixo, e Dividir e conquistar. Cada método tem suas vantagens e
desvantagens e você aprendeu as diretrizes para escolher qual método deve aplicar.
Você também aprendeu sobre as várias ferramentas de software e hardware que são
usadas por profissionais de rede para reunir sintomas e solucionar problemas de rede.

Embora eles funcionem principalmente nas três primeiras camadas de OSI, as WANs
têm problemas de implementação que podem afetar a operação do resto da rede. Você
aprendeu sobre algumas das considerações para implementar as WANs e os problemas
comuns que as WANs introduzem nas redes, como ameaças de segurança, problemas de
largura de banda, latência e problemas de QoS.

Por fim, você explorou os sintomas e as causas de problemas comuns em cada camada
de OSI, e as etapas para identificar e solucionar os problemas.
Exibir meio visual
Página 2:
Exibir meio visual

Página 3:
Nesta atividade de habilidades CCNA abrangente, a Corporação XYZ usa uma
combinação de Frame Relay e PPP para conexões WAN. O roteador HQ fornece acesso
ao farm de servidores e à Internet através do NAT. O HQ também usa uma ACL básica
de firewall para filtrar o tráfego de entrada. Cada roteador de filial é configurado para o
roteamento inter-VLAN e DHCP. O roteamento é obtido por meio de EIGRP, bem
como rotas estáticas e padrão. As VLANs, o VTP e o STP são configurados em cada
uma das redes comutadas. A segurança de porta é habilitada, e o acesso sem fio é
fornecido. Seu trabalho é implementar com êxito todas estas tecnologias, aproveitando o
que você aprendeu ao longo dos quatro cursos de exploração até esta atividade final.

São fornecidas instruções detalhadas na atividade, bem como no link do PDF abaixo.

Instruções da atividade (PDF)

Clique no ícone do Packet Tracer para obter mais detalhes.


Exibir meio visual

8.7 Teste do capítulo


8.7.1 Teste do capítulo

Página 1:
Exibir meio visual